Ohne Open Source? Wie hätte das denn gehen sollen?

Geschichten aus der Digitalisierung von Verwaltungen inmitten der Pandemie

Wer spricht da eigentlich?

Level of Expertise

  • Software-Projektmanagerin / Webentwicklerin
  • Vertreibt beruflich Faxe aus Gesundheitsämtern
  • Vorsitzende Innovationsverbund Öffentliche Gesundheit (InÖG)
  • hat schon mal die Luca App gehackt
  • macht aber auch erfolgreiche Open Source Software in der Verwaltung mit einem ganz tollen Team…

Dies ist kein Talk über digitale Souveränität oder Kosten, es ist ein Talk für Menschen, die an besserer Verwaltungsdigitalisierung gemeinsam arbeiten wollen.

Dies ist auch kein reiner Talk über Software, es ist auch ein Talk über mit Open Source zusammenhängende Prinzipien.

Slides: bkastl.de/froscon23

Ganz viel frischer Wind für Behördenflure… in nur einem Vorhaben

Wer bringt da frischen Wind?

  • gemeinwohlorientierte, zivilgesellschaftliche Initiative
  • Kooperation mit Siftung
  • kleines Team
  • Open Source, aber ernsthaft
  • mitten in der Pandemie
  • unter dynamischen Rahmenbedingungen
Partner von IRIS connect: Björn Steiger Stiftung als Finanzier, INÖG als Initator

Welches Problem sollten wir eigentlich lösen?

Anwendungsfall: Kontaktnachverfolgung via Check-in-Apps

Eines der «einfachsten» Probleme in der Gesundheits- oder Verwaltungsdigitalisierung:
Sichere Vernetzung über viele heterogene Systeme hinweg

100+ Gesundheitsämter x 70+ Apps x 7+ Fachanwendungen

Was ist IRIS connect?

  • «Vernetzungsbaukasten»
  • ermöglicht die Vernetzung von Behörden mit z. B. Apps, aber auch Behörden untereinander
  • von uns gestellte und gewartete Basiskomponenten
  • ein Netzwerk gemeinsamer gepflegter und zugelassener Akteure in einem gemeinsamen Netzwerk

Mehrere Probleme auf einmal

  • unterschiedlichste Behördennetze
  • unterschiedlicher Stand der Technik
  • Anpassungen an etablierten Standards zäh und langsam
  • hohe Dynamik pandemischer Entwicklung
  • hoher Schutzbedarf
Architekturschaubild von IRIS connect

Technische Details

  • Zero Trust Verbindungskomponenten (EPS)
  • Organisations-Identitäten (Zertifikat-basiert)
  • mTLS gekapselte gRPC-Calls zwischen Akteueren
  • abgesichert durch zentral verwaltetetes Service Directory
  • Erweiterung um Proxy-Proxy-Dienst für Zugriffe von außen

Funktioniert(e) das?

  • Betrieb in vier Bundesländern (NRW, Hessen, Thüringen, Sachsen)
  • tatsächlicher Rollout in 50+ Ämtern in kurzer Zeit, teils in deren Amtsnetzen
  • keine Beanstandungen seitens IT-Security und Datenschutz
  • funktionierende Weiterentwicklung einer Open Source Lösung über mehr als ein Jahr
  • State of the Art Technik

6 Schmerzpunkte in der Verwaltungsdigitalisierung,
die mit Open Source gelindert werden können

1. Höhere Transparenz und weniger Informationsbeschaffungskomplexität

Angenommen, ich will ernsthaft im E-Goverment Dienste implementieren,
wie komme ich zu ersten Informationen?

Einstieg von Fitko Docs

Quelle: FITKO (CC BY 4.0)

Einstieg von fitconnect Docs

Quelle: FITKO (CC BY 4.0)

Die Developer Experience beim Zugang zu Komponenten der Verwaltungsdigitalisierung schwankt erheblich.

Einstieg zur Bund ID Der Integrationsprozess 1/5: Kontakt

Quelle: FITKO (CC BY 4.0)

Einstieg zur Bund ID Der Integrationsprozess 2/5: Integration

Quelle: FITKO (CC BY 4.0)

Abgleich: Wie offen wir das bei IRIS gemacht haben

Einstieg zur IRIS connect Doku

Der Overhead, der durch «Security by Obscurity»
oder das Vorhalten von eigentlich ohnehin öffentlichen Informationen entsteht,
lähmt Management und Entscheidungsstrukturen.

2. Bessere Dokumentation, mit der du auch arbeiten willst

Die Developer Experience bei der Dokumentation von Komponenten der Verwaltungsdigitalisierung schwankt erheblich.

Einstieg zur OSCI Doku mit vielen Errata und PDFs

Quelle: KoSIT (CC BY-NC-ND 2.5)

OSCI PDF des Standards als mehrseitiges PDF, das die Antworten und Nachrichten seitenweise zerschneidet

Quelle: KoSIT (CC BY-NC-ND 2.5)

«Wieso habt ihr bessere Dokumentation als viele andere Hersteller, die das schon länger für mehr Geld machen?»

zeitgemäße Doku von IRIS connect mit kopierbaren Antworten und interaktiven Doks

Der Standard, den viele Open Source Entwickler*innen intuitiv
an die Güte von Dokumentationen anlegen, ist leider nicht selbstverständlich.

3. Einfacher Nachweis von gutem Datenschutz

Zero Trust schön und gut,
aber was mache ich denn mit Verbindungen «von außen»?

Deep Dive: TLS-Passthrough Proxy

Beschreibung des EPS TLS-Passthrough, bei dem Daten über zwei Proxies weitergeleitet werden

Die Bewertung einer solchen Daten-(Nicht-)Verarbeitung führt durchaus schnell zu technischem Handgemenge.

schlechte Montage eines Source Code assist in Anlehung an den Video Assist in der Bundesliga
Relevanter Quellcode, der beweist, dass die Verarbeitung datenschutzkonform ist

Nachweisbarkeit und Reproduzierbarkeit von konkreter Softwarefunktion kann die Bewertung aus Sicht des technischen Datenschutz erheblich vereinfachen.

4. Ermöglichung vielfältigster Betriebsmodelle

Im OZG gibt es den Gedanken von «Einer für alle»-Leistungen.

Einer für alle Nachnutzungsmodelle für OZG-Leistungen: Modell A: Einer für Alle - Modell B: Nachnutzbare Software dezentral betrieben

Quelle: BMI

Aus der Erfahrung im Betrieb von digitalen Basiskomponenten in vier Bundesländern, wie sieht das angewandt aus?

Bild des heligen römischen Reiches dt. Nation aus dem Jahr 1400 mit Zersplitterung her heutigen Fläche Deutschlands in viele kleine Fürstentümer

Von Ziegelbrenner - own drawing/Source of Information: Putzger – Historischer Weltatlas, 89. Auflage, 1965; Westermanns Großer Atlas zur Weltgeschichte, 1969; Haacks geographischer Atlas. VEB Hermann Haack Geographisch-Kartographische Anstalt, Gotha/Leipzig, 1. Auflage, 1979; dtv-Atlas zur Weltgeschichte 1. Von den Anfängen bis zur Französischen Revolution; 23. Aufl. 1989, ISBN 3-423-03001-1, CC BY 2.5, https://commons.wikimedia.org/w/index.php?curid=9427842

Betriebsszenarien

  • Will selbst betreiben, kann Containerisierung
  • Will selbst betreiben, kompiliert lieber selbst
  • Will selbst betrieben, kompiliert lieber selbst, möchte aber anderes DBMS
  • Will von seinem kommunalen Dienstleister betreiben lassen
  • Will zentral betreiben lassen
Einer für alle Nachnutzungsmodelle für OZG-Leistungen: Modell A: Einer für Alle - Modell B: Nachnutzbare Software dezentral betrieben

Quelle: BMI

Open Source Komponenten sind die Grundlage, um Technologie-Föderalismus überhaupt handhabbar zu machen.

5. Besserer Umgang mit IT-Security Updates und schnellere Reaktionsgeschwindigkeit

Ende 2021: Der Log4Shell-Moment

«Nutzen Sie Log4j?»

«Nicht direkt in Verwendung, aber der Code hat sich bereits selbst geupdated, Update folgt»

GIF einer schockierten Katze

Bei Sicherheitslücken ermöglicht der strukturierte Einsatz von Open Source einen hohen Grad an Automatisierbarkeit und Transparenz.

6. Ermöglichung direkter Zusammenarbeit

Wie Kommunikation zu Softwareproblemen in Verwaltungen funktioniert (teilweise)… Part 1

  • Sachbearbeitung im Amt meldet Problem an Abteilungsleitung
  • Abteilungsleitung meldet Problem an Amtsleitung
  • Amtsleitung meldet Problem an Ministerium
  • Ministerium meldet Problem an Hersteller
  • Hersteller behebt Problem

Wie Kommunikation zu Softwareproblemen in Verwaltungen funktioniert (teilweise)… Part 2

  • Hersteller meldet Behebung des Problems an Ministerium
  • Minsterium meldet Problembehebung an Amtsleitung
  • Amtsleitung meldet Problembehebung an Abteilungsleitung
  • Abteilungsleitung meldet Problembehebung an Sachbearbeitung

Alternative: Als professionelles Open Source Vorhaben melden sich Menschen bei deinem telefonischen Support-Team (im Zweischichtbetrieb)

Mitte 2021: Erstes direktes Issue aus Kommune im richtigen Repo - auf englisch

GIF von Spongebob Schwammkopf und Patrick, die panisch durch die Gegend hin und her laufen

«Was sollen wir jetzt nur antworten?»

«Danke für den Hinweis, wir haben des gefixt in Version x.1.»

Und ja, es gibt da so ein paar Menschen, bei denen wir uns für die Hinweise zu dem ein oder anderen x.0.1 Patch bedanken möchten.

Auch in der Verwaltungsdigitalisierung gibt es viele Menschen, die direkt an Software mitwirken können und möchten.

Offene Entwicklungsansätze ermöglichen positive Feedback-Loops und schnellere, direktere Interaktion für bessere digitale Lösungen.

Am Ende fragen wir uns:
Wie hätte das ohne Open Source funktionieren sollen?

Vielleicht funktioniert Verwaltungsdigitalisierung deshalb nicht,
weil es an der Anwendung guter Open Source Prinzipien fehlt?

Fragen?

bkastl.de

kontakt@bkastl.de

Slides bkastl.de/froscon23

CC BY 4.0