Public Code und SBOM

Das Prinzip "Public Money, Public Code" besagt, dass mit Steuergeldern finanzierte Software der Allgemeinheit als Open Source zur Verfügung gestellt werden sollte. Dies fördert die Wiederverwendung, reduziert redundante Entwicklungen und stärkt die digitale Souveränität des Staates.

Ergänzend dazu ist die Software-Stückliste (Software Bill of Materials — SBOM) der notwendige Sicherheits-Standard, um Transparenz über die genutzten Komponenten und deren Sicherheitszustand zu erhalten.

Anti-Patterns: Die Blackbox-Verwaltung

Viele Behörden nutzen proprietäre Software, deren Funktionsweise nicht überprüfbar ist. Dies führt zu Abhängigkeiten von einzelnen Dienstleistern, erschwert die Interoperabilität zwischen verschiedenen Ämtern und birgt unerkannte Sicherheitsrisiken in der Software-Supply-Chain. Ohne SBOM ist es im Falle einer neu entdeckten Sicherheitslücke (wie Log4j) fast unmöglich, schnell festzustellen, welche Systeme betroffen sind.

Transparenz per Standard

1. Open Source by Default: Neue Software-Projekte im öffentlichen Sektor werden unter einer freien Lizenz entwickelt (z. B. AGPL oder Apache 2.0).
2. Verpflichtende SBOMs: Jeder Software-Lieferant muss eine maschinenlesbare Liste aller enthaltenen Bibliotheken und Lizenzen mitliefern (z. B. im CycloneDX- oder SPDX-Format).
3. Zentrale Repositorys: Aufbau von föderalen Code-Plattformen (wie opencode.de), um den Austausch zwischen Kantonen und Gemeinden zu erleichtern.
4. Security Audits: Öffentlicher Code ermöglicht unabhängige Sicherheitsüberprüfungen durch die Community und Fachspezialisten.
5. EMBAG-Konformität: Umsetzung der gesetzlichen Anforderungen an den Einsatz elektronischer Mittel (EMBAG) durch konsequente Offenheit.

Der Vorteil: Föderale Effizienz

Ein Kanton entwickelt eine Lösung für das Baugesuch-Management — andere Kantone können diesen Code übernehmen, anpassen und verbessern, anstatt das Rad jedes Mal neu zu erfinden.

FAQ

Verschenken wir nicht wertvolles geistiges Eigentum, wenn wir den Code öffnen?

Nein, wir investieren in eine gemeinsame Infrastruktur. Der Wert liegt im funktionierenden Prozess und den Daten, nicht in den Code-Zeilen selbst. Durch das Teilen sinken die Wartungskosten für alle.

Erhöht die Veröffentlichung des Codes nicht das Risiko von Hackerangriffen?

Nein. Wahre Sicherheit basiert auf robuster Architektur, nicht auf Geheimhaltung. Security through Obscurity schützt nicht vor professionellen Angreifern — Transparenz hingegen ermöglicht schnellere Patches.

Reference Guide

• FSFE — Public Money Public Code: Die europäische Initiative für Open Source in der Verwaltung. publiccode.eu
• Open Source Studie Schweiz: Aktuelle Daten zur Nutzung von OSS in Schweizer Behörden. oss-studie.ch
• CISA — SBOM Guide: Leitfaden der US-Cybersicherheitsbehörde zur Software-Stückliste. cisa.gov

---

Verwandte Themen

• Strategie
• Neuland Index

Offene Punkte

• Leitfaden für die Implementierung von SBOM-Prüfungen in Beschaffungsprozessen ergänzen.
• Übersicht über Schweizer Open-Source-Projekte im GovTech-Bereich verlinken.