Kommt beim Admin-Stammtisch das Gespräch auf das Thema digitale Souveränität, rollen viele gestandene IT-Haudegen heute bloß noch genervt mit den Augen. Schließlich kursiert dieses Schlagwort seit über einem Jahrzehnt und immer wieder versprechen Hersteller epochale Lösungen, die letztlich zum Papiertiger oder gar zum Rohrkrepierer werden. Erinnern Sie sich etwa noch an GAIA-X? Das vor einiger Zeit mit viel Tamtam von Frankreich und Deutschland aus der Taufe gehobene Projekt sollte digitale (Daten-)Souveränität im medizinischen Kontext ermöglichen.

Tatsächlich hat GAIA-X als Gegenentwurf zur den Hyperscalern hinter den Kulissen mehr erreicht, als den meisten Beobachtern heute klar ist, was Standards und den Verbleib sensibler Gesundheitsdaten zumindest im europäischen Rechtsraum betrifft. In die Breite ist Gaia-X jedoch bis heute nicht vorgedrungen, und die Effekte des Unterfangens im Alltag halten sich bis heute in engen Grenzen. Vielen anderen Projekten aus dem Dunstkreis digitaler Souveränität ging oder geht es ganz ähnlich.

Dabei hat das Thema keinesfalls an Relevanz verloren, ganz im Gegenteil: Seit dem 20. Januar ist Donald Trump zum zweiten Mal Präsident der USA und bereits die ersten Wochen seiner zweiten Amtszeit lassen vermuten, dass "America first" ein noch viel wichtigerer Faktor ist als von 2016 bis 2020. Obendrein mischen die Riesen der Tech-Branche unmittelbar im US-Regierungsapparat mit oder nehmen auf diesen zumindest erheblichen Einfluss.

Bereits im Vorfeld kritische Aspekte wie die Vereinbarkeit von DSGVO und US-CLOUD-Act gewinnen nochmals erheblich an Schärfe und objektiv betrachtet war es nie wichtiger als heute, kritische Infrastruktur in Europa und Deutschland nicht vom Gutdünken großer US-Konzerne abhängig zu machen. Trotz aller Lippenbekenntnisse in Sachen digitaler Souveränität jedoch passiert in der Breite eher das Gegenteil: Die Bundesagentur für Arbeit etwa feierte letztes Jahr medial die Einführung von Microsoft Teams.

In diese politische Gemengelage platzte Ende vergangenen Jahres die Ankündigung des Behördendesktops openDesk [1] in Version 1.0 durch das Zentrum für Digitale Souveränität (ZenDiS). Vielerorts sorgte das zunächst für Verwirrung, schon weil das ZenDiS selbst bis dahin nur Kennern der Materie überhaupt ein Begriff war. Praktisch ist ZenDiS dem BMI unterstellt und seine Mission besteht darin, Konzepte und Werkzeuge für mehr digitale Souveränität in der öffentlichen Verwaltung zu erarbeiten und umzusetzen. Mit openDesk 1.0 verspricht ZenDiS nicht weniger als einen "souveränen Behördendesktop" – wahlweise gehostet oder von den Einrichtungen selbst betrieben und mit voller Kontrolle über alle abgelegten Daten.

Laut den ZenDiS-Standards soll ausdrücklich Open-Source-Software zum Einsatz kommen. Frei nach dem Motto "öffentliches Geld für öffentliche Software" verspricht schließlich nur diese dauerhaft offene und freie Standards. Und das ist ein wichtigerer Faktor, denn schließlich helfen lokal gespeicherte Daten nicht weiter, wenn später bloß noch ein Werkzeug existiert, das diese öffnen kann und für viel Geld von einem Hersteller zu beziehen ist. Anders geht openDesk vor und integriert NextCloud, OX App Suite, XWiki, Jitsi, Collabora und weitere Werkzeuge aus dem Open-Source-Kosmos.

Grundsätzlich ist openDesk ist als Groupware konzipiert. Das Produkt fußt also auf dem Konzept, so wenig Kooperation des Anwenders wie möglich vorauszusetzen, wenn es um die Nutzung der Komponenten geht. Sämtliche Module lassen sich von einem beliebigen Client aus verwenden, solange dieser mit einem aktuellen Browser ausgestattet ist. Dadurch entledigen sich die openDesk-Entwickler auch eines Problems, an dem LiMux in München vor fast 20 Jahren noch gescheitert ist. Dort hatte allein die Pflege eines Debian-Forks als Grundlage für das Produkt viele Ressourcen gebunden, die an anderer Stelle fehlten. Anwender mussten sich obendrein an einen komplett neuen Desktop auf Linux-Basis gewöhnen, ein Unterfangen, das sich für viele Anwender als schwierige Hürde herausstellte.

Und auch in anderer Hinsicht geht openDesk schlau vor und nutzt als technisches Rückgrat den Container-Verwalter Kubernetes, also Technologie auf der Höhe der Zeit. Um Faktoren wie die Pflege von Debian- oder RPM-Paketen für die einzelnen openDesk-Komponenten müssen sich die Entwickler entsprechend ebenso wenig kümmern. Überspitzt ließe sich gar formulieren, dass openDesk im Kern eigentlich nur bestehende Open-Source-Komponenten kombiniert, um eine umfassende Benutzererfahrung zu erreichen. Das aber täte der Leistung der openDesk-Entwickler Unrecht. Denn Teil des Kombinierens ist eben auch die Integration, also die passende Konfiguration für die einzelnen Komponenten, sodass diese harmonisch zusammenspielen. Dabei setzen die openDesk-Entwickler zwar auf erprobte Methoden aus dem Container-Umfeld. Die "Secret Sauce" aber, die im openDesk-Falle gar nicht so Secret ist, ist tatsächlich eine genuine Leistung von openDesk und ZenDiS.

Zunächst sehen sich potenzielle openDesk-Betreiber mit der Frage konfrontiert, ob sie die Software selbst umsetzen oder lieber auf eine gehostete Variante zurückgreifen wollen. Streng genommen ist auch das Teil des Aspekts digitaler Souveränität, denn diese umfasst eben auch die Möglichkeit, die eigenen Daten gar nicht aus der Hand zu geben, sondern komplett im eigenen Haus zu verwahren.

Technisch ist das durchaus möglich, denn für eine openDesk-Infrastruktur reicht im Grunde eine funktionierende Kubernetes-Plattform aus. Wobei das leichter gesagt als getan ist, denn eine Kubernetes-Umgebung fällt im produktiven Einsatz nicht unbedingt in die Kategorie "trivial". Zwar ist mit Tools wie Minikube oder K3s flott eine Umgebung aus dem Boden gestampft. Um Faktoren wie eingehenden Traffic ("Ingress"), Loadbalancing oder Hochverfügbarkeit sinnvoll abzudecken, ist dann aber doch etwas mehr Know-how nötig. Der Ansatz, openDesk vollständig im eigenen Haus zu betreiben, eignet sich insofern eher für größere Behörden oder Institutionen, die eine IT-Abteilung haben und auf entsprechende Erfahrung zurückgreifen können.

Ohnehin ist in vielen Städten, Gemeinden und Ländern in der Bundesrepublik aber ohnehin seit Jahren Zentralisierung und Konsolidierung ein eherner Grundsatz, sodass Einrichtungen wie das Kommunale Rechenzentrum Niederrhein openDesk beispielsweise auch für eine Vielzahl angeschlossener Behörden betreiben könnte. Wer den openDesk-Betrieb nicht selbst übernehmen oder behördennah auslagern will, erhält dazu in absehbarer Zeit ebenfalls die Möglichkeit. Denn die Linux-Spezialisten von B1 in Nürnberg haben sich mit dem Cloud-Dienstleister der Schwarz-Gruppe StackIt zusammengetan, um eine schlüsselfertige openDesk-Version in der Wolke anzubieten und weiterzuentwickeln. Hier gilt dann ein Subskriptionsmodell pro Nutzer. Das ist zwar nicht ganz so souverän wie der Betrieb im eigenen Haus, wird den grundsätzlichen Ansprüchen an digitale Souveränität aber noch immer gerecht. Denn hier liegen zumindest die Dienste und die Daten auf Servern eines deutschen Unternehmens in Deutschland, sodass alle nationalen Gesetze sowie Regelungen der EU umfassend zur Anwendung kommen.

Ganz gleich, für welche Betriebsvariante sich eine Behörde entscheidet, bekommen es die Anwender stets mit einer Vielzahl verschiedener Open-Source-Werkzeuge zu tun, die alle Aspekte der alltäglichen Büroarbeit abdecken. Das startet an der Basis wie der üblichen Schreibarbeit sowie dem Erstellen und Bearbeiten von Präsentationen und Tabellen, für das in openDesk Collabora zum Einsatz kommt. Collabora selbst fußt auf LibreOffice und ist mit den zugehörigen Formaten vollständig kompatibel. Anders als ein lokal genutztes LibreOffice ist Collabora zudem um eine Kollaborationsoption erweitert und erlaubt dergestalt die gleichzeitige Arbeit an Textdokumenten ebenso wie das parallele Bearbeiten von Tabellen oder von Slides für Präsentationen.

Ebenso integral ist bei einem Behördendesktop freilich die umfassende Möglichkeit, mit anderen Menschen über diverse Wege in Kontakt zu treten. Bis heute ist das gängigste Werkzeug der digitalen Behördenkommunikation die E-Mail, was openDesk mit der OX App Suite abdeckt. OX steht dabei für Open Exchange, ein Firmenname, der arrivierten Admins womöglich noch ein Begriff ist: Vor 15 Jahren startete Open Exchange als Dienstleister für Unternehmen durch, die bestehende Exchange-Setups hin zu einem offeneren Produkt migrieren wollten.

Seither hat sich bei Open Exchange viel getan, mittlerweile ist die OX App Suite ein zentraler Teil des Geschäfts als umfassende Groupware. Folgerichtig nimmt die Suite in openDesk auf der einen Seite die Funktion als zentraler E-Mailserver wahr, andererseits liefert sie aber auch Zusatzfunktionen wie geteilte Kalender oder Gruppenpostfächer. Darüber hinaus lassen sich an die verschiedenen Komponenten der App-Suite externe Dienste wie Google, Facebook, LinkedIn oder andere IMAP-Accounts anbinden. Insofern Social Media im Behördenkontext relevant ist, bietet die OX App Suite also eine passende Integration. Auch dabei kommen Standardprotokolle wie etwa CalDAV zum Einsatz.

Auch auf Instant Messanging müssen openDesk-Nutzer nicht verzichten. Hier springt Element ein, das aus derselben Feder wie das Instant-Messanging-Protokoll Matrix stammt und auch darauf fußt. Im Kern ist Element HQ ein Matrix-Client, der dezentral und mit echter Ende-zu-Ende-Verschlüsselung die Kommunikation zwischen zwei Teilnehmern ebenso ermöglicht wie Gruppenchats im Sinne klassischer Channels. Allerdings fügen die Entwickler Element HQ noch die sogenannten Nordeck-Erweiterungen hinzu, die Features wie ein agiles Board (NeoBoard) oder ein Umfragewerkzeug (NeoChoice) nachrüsten. Für die gemeinsame Arbeit an Diagrammen steht zudem CryptPad mit der Diagrams.net-Erweiterung bereit. Zusammen ahmen die beiden Werkzeuge die Funktionalität proprietärer und in der Cloud gehosteter Anwendungen wie Draw.io nach.

Last but not least deckt openDesk auch das Thema Videokonferenz ab. Dabei kommt Jitsi zum Einsatz. Dieses hat sich in den vergangenen Jahren zu einer Standardlösung in Sachen Open-Source-Videotelefonie entwickelt. Es erlaubt Eins-zu-eins-Gespräche ebenso wie Gruppenanrufe. Hier zeigt sich einmal mehr der Vorteil der Vorkonfiguration der Dienste durch openDesk. Unter Administratoren gilt Jitsi nämlich durchaus als heißes Eisen, weil eine Videokonferenz in HD-Qualität zwischen etlichen Teilnehmern einen hohen Ressourcenbedarf hat. Gerade für solche Setups ist aber eben auch die Konfiguration von Jitsi eine Herausforderung, die openDesk dem Administrator abnimmt.

Zu den beliebtesten Clouddiensten gehören Amazons S3 oder Google Drive. Sie bieten Nutzern Speicherplatz in der Cloud an, a priori provisioniert und mittels standardisierter Schnittstellen nutzbar. Eine solche Funktion darf in openDesk natürlich nicht fehlen und konsequent greifen die Entwickler auch dabei zu Open Source. Der einstige ownCloud-Fork NextCloud, der längst auf eigenen Füßen steht, ist in openDesk für On-demand-Speicher mit Fernzugriff zuständig.

Ähnliches bietet ergänzend XWiki, eine Wiki-Software zur zentralen Wissensverwaltung. Über den Umweg von openDesk dürften nicht wenige Behörden oder Institutionen mit solchen Werkzeugen für Wissensmanagement überhaupt erstmals in Kontakt kommen. Zumindest indirekt leistet openDesk hier also Pionierarbeit, weil XWiki wie alle anderen openDesk-Komponenten ad hoc nutzbar ist, sobald die Umgebung ausgerollt und konfiguriert ist.

Ebenfalls neu dürfte für viele behördliche IT-Verantwortliche das Thema Projektmanagement sein. Hierfür hat openDesk Open Project an Bord. Die Software gilt als etabliert, hochfunktional und genießt auch außerhalb der Open-Source-Blase hohes Ansehen. Als Ersatz etwa für Microsoft Projects oder andere proprietäre Anwendungen eignet sich das vielfach ausgezeichnete Open Project jedenfalls hervorragend.

Schnell fällt bei openDesk auf, dass seine Erfinder versucht haben, eine Art "Best of Breed" der Office-Werkzeuge aus der Welt der freien Software zu kompilieren. Dabei mussten sie sich zwangsläufig auch mit den Themen Identitäts- und Benutzerverwaltung beschäftigen. Mehr noch gilt ein sinnvolles IAM-System heute als Grundlage dafür, dass zentral genutzte Software sinnvoll zum Einsatz kommen kann. Sicherheits- und Compliance-Anforderungen lassen Admins letztlich keine andere Wahl. Bis heute setzen die meisten Firmen hier entweder auf das Active Directory oder auf einen LDAP-basierten Ansatz. Diesen ist im Regelfall gemein, dass sie kompliziert zu administrieren und nicht sonderlich umfangreich sind, was ihre Konfiguration angeht.

Einmal mehr löste openDesk das Problem, indem seine Entwickler sich auf Komponenten besannen, die in der Open-Source-Welt bereits existieren und sturmerprobt sind. Konkret steuerte das Bremer Unternehmen Univention, hierzulande vielen vor allem wegen seines Corporate Servers bekannt, eine Komponente aus ebendiesem für das Thema Benutzerverwaltung bei. Dazu löste Univention die bereits im Corporate Server vorhandene IAM-Komponente als eigenes Modul heraus und veröffentlichte das Produkt separat unter dem Namen Univention Nubus. Es folgt eine Integration von Nubus in Kubernetes, die zum Rest des openDesk-Deployments auf Grundlage von Helm basiert.

Das Ergebnis kann sich sehen lassen: Die gesamte IAM-Schicht von openDesk fußt auf LDAP und bringt neben diversen Modulen für die Integration in andere Dienste ein vollständiges GUI zur Administration ebenso mit wie moderne Komponenten wie Keycloak. Letztere ermöglicht es einerseits auch Nicht-IT-Profis, triviale Aufgaben wie das Hinzufügen eines Nutzers samt ordentlicher Integration in das bestehende Verzeichnis zu erledigen. Und andererseits sind sogar Self-Service-Portale Teil des Moduls, sodass Benutzer beispielsweise ihr Passwort selbst zurücksetzen können.

Bei Nubus fällt schließlich wie beim gesamten Rest von openDesk auf, dass seitens des Herstellers eine umfangreiche Dokumentation verfügbar ist. Die deckt zahlreiche Anwendungsfälle ab, etwa die Integration von openDesk in bestehende Active-Directory-Verzeichnisse. Damit unterstützt openDesk in Sachen IAM auch Anforderungen, die in der Praxis durchaus vorkommen, weil vielerorts beispielsweise ein Active Directory bereits existieret, das die einführende Organisation nicht ersetzen will.

Wie eingangs erwähnt, lässt openDesk sich bereits jetzt testen. Hier stellt sich die Frage, ob der IT-Verantwortliche tatsächlich zunächst eine Testumgebung bauen möchte, die lediglich der Ansicht dient, oder ob es gleich ein Setup sein soll, das produktiven Anforderungen standhält. Ersteres ist relativ leicht zu bewerkstelligen, denn es genügt eine virtuelle Instanz mit ein bisschen Dampf unter der Haube, auf der openDesk sich installieren und weitgehend ohne Einschränkungen nutzen lässt.

Es sei allerdings darauf hingewiesen, dass zusätzlich zu den erwähnten, von außen sichtbaren openDesk-Komponenten im Maschinenraum noch einige zusätzliche Dienste notwendig sind. Das umfasst etwa eine Datenbank in Form von PostgreSQL, eine Instanz der MariaDB, Postfix als E-Mailserver, Redis sowie MinIO für S3-basierten Speicher. Die openDesk-Anleitung enthält eine Beschreibung für ein solches All-in-one-Setup.

Die genannten Komponenten zeigen aber auch, dass der produktive Einsatz von openDesk herausfordernd ist. Denn sämtliche Bestandteile der Plattform wollen dann hochverfügbar konfiguriert und betrieben sein, Backups spielen eine Rolle und diverse andere Faktoren sind ebenso in die Überlegungen einzubeziehen.

Die Version 1.0 von openDesk beweist, dass ZenDiS in die richtige Richtung geht. Anders als beispielsweise bei LiMux wurde zunächst geplant und entwickelt, dann erst versprochen und kurz danach geliefert. Der Bedarf danach in vielen Behörden und Ämtern ist gewaltig, denn hier werkeln noch immer uralte Exchange- und Active-Directory-Setups vor sich hin. Und dies durch die Migration in eine Hyperscaler-Cloud abzulösen, verbietet sich kategorisch. Die öffentliche Verwaltung in Deutschland kann und darf sich nicht dauerhaft vom Gutdünken amerikanischer IT-Infrastrukturanbieter abhängig machen.

openDesk selbst ist dabei technisch über beinahe jeden Zweifel erhaben. Weil das Projekt noch recht jung ist, gibt es an der einen oder anderen Stelle zwar noch scharfe Kanten und manchen Bug. Dennoch liefert ZenDiS moderne Technik im hübschen Gewand: Kubernetes unter der Haube, die Crème de la Crème der Open-Source-Technologie versammelt in einem Technologie-Stack zur Abdeckung der Anforderungen im Alltag eines Arbeitsplatzes einer Behörde. Das ganze digital vollständig souverän und wahlweise in der EU, in Deutschland oder im eigenen RZ gehostet.