Niederländische Regierung erlaubt den Betrieb der DigiD-Plattform nur noch europäischen Unternehmen

 (nltimes.nl)
1 Punkte von GN⁺ 4 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Die Ausschreibungsregeln sollen so geändert werden, dass Teile des Betriebs der DigiD-Plattform bei Verträgen nach August 2028 nur noch von europäischen Unternehmen übernommen werden dürfen
  • Die neue Ausschreibung soll über den Defense and Security Procurement Act (ADV) erfolgen; der ADV bietet mehr Möglichkeiten, Risiken für die nationale Sicherheit zu begrenzen, als eine reguläre europäische Ausschreibung
  • Derzeit wird DigiD teilweise von Solvinity betrieben, das britischen Investoren gehört; das US-Unternehmen Kyndryl wollte Solvinity übernehmen
  • Das niederländische Kabinett blockierte die Übernahme nach einer Empfehlung des Investment Review Office (BTI); im Parlament gab es Bedenken, dass die US-Regierung über Kyndryl auf DigiD zugreifen oder den Dienst lahmlegen könnte
  • Die nächste ADV-Ausschreibung soll Länder mit Gesetzen wie in den USA, die übermäßige Eingriffe in Tech-Unternehmen oder Datenanfragen ermöglichen, vom DigiD-Betrieb ausschließen und die Verschlüsselung der Daten von DigiD und MijnOverheid stärken

Ausschreibungsverfahren und Vorgabe für europäische Unternehmen

  • Das nächste Unternehmen, das Teile von DigiD betreibt, muss ein europäisches Unternehmen sein; die Ausschreibung für Verträge nach August 2028 soll über den Defense and Security Procurement Act (ADV) laufen
  • Der ADV bietet mehr Möglichkeiten zur Begrenzung nationaler Sicherheitsrisiken als eine reguläre europäische Ausschreibung und legt zur Absicherung der Sicherheit fest, dass nur europäische Unternehmen teilnahmeberechtigt sind
  • Die nächste Ausschreibung über den ADV schließt Länder mit entsprechenden Gesetzen vom Betrieb von DigiD aus

Solvinity und die blockierte Kyndryl-Übernahme

  • Derzeit wird DigiD teilweise von Solvinity betrieben, das britischen Investoren gehört; das US-Unternehmen Kyndryl wollte Solvinity übernehmen
  • Das niederländische Kabinett blockierte die Übernahme vergangene Woche nach einer Empfehlung des Investment Review Office (BTI); im Parlament gab es Bedenken, dass die US-Regierung über Kyndryl auf DigiD zugreifen oder DigiD abschalten könnte
  • Das betreffende Unternehmen erklärte, es werde alles tun, um dies zu verhindern, konnte aber nicht garantieren, dass es unmöglich wäre
  • Aufgrund von US-Gesetzen kann die US-Regierung übermäßig in US-Tech-Unternehmen eingreifen oder Daten anfordern
  • Nach einer vertraulichen Untersuchungsempfehlung zur möglichen Übernahme von Solvinity durch Kyndryl sollen die Daten von DigiD und MijnOverheid mit besserer Verschlüsselung geschützt werden

Verwandte Beiträge

1 Kommentare

 
GN⁺ 4 시간 전
Hacker-News-Kommentare
  • Als Franzose verstehe ich nicht, warum DigiD nicht wie FranceConnect ein staatlich betriebenes Projekt ist
    Noch erstaunlicher ist, dass ein US-Unternehmen offenbar dachte, es könne das nationale Identitätsmanagementsystem eines europäischen Landes wie ein gewöhnliches Geschäft übernehmen
    • DigiD ist ein Regierungsprojekt. Es gehört Logius, einer staatlichen Organisation, und wird von ihr betrieben
      Logius hat Hosting und Infrastruktur an Solvinity ausgelagert
    • Die meisten Staaten haben Globalisierung und marktwirtschaftliche Lösungen übernommen, und dieser Trend wirkte in beide Richtungen
      Auch in US-Bundes­systemen gibt es europäische und indische Betreiber, wobei die Einschränkungen je nach Systembereich strenger werden. Trotzdem machen Betreiber manchmal Fehler
      Viele „US“-Unternehmen werden zum Beispiel ebenfalls von Betreibern in Irland, Bulgarien oder den Niederlanden bedient. Selbst bei Fedpod sind die Beschränkungen meist nicht alles oder nichts, sondern abgestuft. Deshalb wurden US-Unternehmen dabei erwischt, dass Chinesen auf Daten zugegriffen haben
      Die eigentliche Frage ist nicht, ob Europa und die USA aufräumen müssen, sondern wo die Grenze zwischen legitimer staatlicher Souveränität und unverhohlenem Merkantilismus im Cloud-/SaaS-Bereich verläuft
    • Am verstörendsten ist, dass die niederländische Regierung das offenbar in Ordnung fand und dass die Opposition sehr viel Aufwand betreiben musste, um einen Kurswechsel zu erzwingen
    • Als Niederländer überrascht mich das nicht. Niederländische Verwaltungsbeamte scheuen sich traditionell davor, Dinge selbst zu machen, die sich scheinbar an kommerzielle Anbieter auslagern lassen
      Das hat auch endlose Beraterhorden hervorgebracht, die von Steuergeldern leben. Ich hasse es, aber was soll man machen, leider wählen die Leute hier weiterhin genau so
    • Das gesamte chinesische Zollsystem wurde zeitweise ebenfalls von europäischen Ausländern betrieben. Nicht wegen westlichem Imperialismus, sondern weil chinesische Herrscher sie zur Korruptionsbekämpfung eingeladen hatten
      Auch heute lagern manche europäischen Staaten den Druck von Geldscheinen oder Pässen ins Ausland aus. So außergewöhnlich ist das also nicht
  • Langfristig hat auch die Lokalisierung ihre Grenzen
    Ein gutes Modell ist wie bei 5G WiFi: ausländische „dumme Komponenten“ vertrauen, die „smarten Komponenten“ aber selbst bereitstellen
    Das erfordert jedoch erhebliche staatliche Fähigkeiten. Besonders schwierig ist der Informationsaustausch mit inländischen Regulierungsbehörden, und viele Länder scheitern genau daran
    Letztlich werden Prozessoren nicht lokal entworfen werden, und vertrauenswürdiges Computing ist ebenfalls ziemlich selten
  • Erst jetzt beginnt man, digitale Bedrohungen aus den USA, Israel und China ernst zu nehmen
  • Endlich
    Aber jetzt will man für den Login bei NL Wallet Google- und Apple-Konten verwenden, sodass sich dasselbe Problem erneut ergibt
    • Es gibt Hoffnung
      „Vielen Dank, dass Sie dieses Problem angesprochen haben. Uns ist bewusst, dass die aktuelle Implementierung auf GrapheneOS noch nicht funktioniert. Das ist nur vorübergehend, und wir planen, es zu beheben, bevor die App veröffentlicht wird.“
      https://github.com/MinBZK/nl-wallet/issues/34#issuecomment-4...
      Bis dahin wäre es gut, wenn alle Niederländer und vielleicht auch EU-Bürger den ursprünglichen Antrag in diesem Issue mit einem Upvote oder Herz markieren würden, um zu zeigen, dass es ernsthafte Nachfrage gibt. Das könnte auch andere Wallets beeinflussen
  • Dass den USA nur schwer zu trauen ist, fühlt sich inzwischen ziemlich heftig an
    • Ich weiß nicht, warum sich das heftig anfühlen sollte. Ich finde das leicht nachvollziehbar und sachlich begründet
  • Das ist zwar eine naive Vorstellung von Souveränität, aber in einer neuen Welt, in der „die USA beschlossen haben, ihre eigene Hegemonie zu zerstören und ihre Verbündeten anzugreifen“, muss es wohl so laufen. Die Welt ist jetzt balkanisiert, und wir müssen in dieser Realität leben
    1. Fast jedes Land hat gute Universitäten mit Studiengängen für Software. Das große Problem ist, dass Universitäten Studierende nicht ausreichend auf die eigentliche Arbeit vorbereiten, also darauf, Produkte zu entwickeln und zu betreuen
    2. Regierungen sollten Produkte, die von Studierenden der eigenen Universitäten gebaut wurden, stark bevorzugen
      Das Ziel jedes Landes sollte sein, einen souveränen Software-Kreislauf zu fördern. Alles andere wirkt ziemlich töricht
    • Die Aussage „Fast jedes Land hat gute Universitäten mit Software-Studiengängen“ stimmt einfach nicht
      Und auch was in der Softwaretechnik ein „Top-Studiengang“ sein soll, ist fraglich. Das ist eine Fähigkeit, die sich schwer im Klassenraum vermitteln lässt, und das Ausbildungs-/Mentoring-Modell hat einen guten Ruf. Selbst wenn es heute in jedem Land solche Systeme gäbe, was faktisch nicht der Fall ist, würden Entwickler mit 10 Jahren Erfahrung eben trotzdem erst in zehn Jahren entstehen
      Auch „Regierungen sollten Produkte ihrer eigenen Universitätsstudierenden stark bevorzugen“ stimmt nicht. Man sollte das Werkzeug nutzen, das für die Aufgabe am besten geeignet ist. In einer Branche mit schnellem Innovationstempo ist Bevorzugung der heimischen Industrie fatal. Selbst wenn ein heimisches Produkt besser ist, zählt am Ende die Einführung
      Wenn sich herausgestellt hätte, dass das US-amerikanische Gopher dem europäischen HTTP weit überlegen war, dass US-UNIX besser war als das finnische Linux und dass US-Perl besser war als das niederländische Python, würde es rückblickend nicht sehr seltsam wirken, lokale Produkte zu bevorzugen?
      Die Alternative ist, Kompetenzen zur Risikobewertung und -minderung aufzubauen
    • Ich denke seit Jahren genau dasselbe, aber für andere scheint es nicht so offensichtlich zu sein
      Neue Softwareentwicklung? Universität! Wartung und Migration alter Software? Universität! IT-Beratung und Konsulting? Man glaubt es kaum … Universität, ich höre hier besser auf. Den Punkt versteht ihr schon
    • Das einfache ökonomische Problem des Ansatzes „Das Ziel jedes Landes sollte sein, einen souveränen Software-Kreislauf zu fördern“ ist, dass Autarkie die Gesamtproduktion nicht erhöht
      Auf „Ich mache es selbst“ muss immer die Frage folgen: „Was werde ich stattdessen dann nicht mehr tun?“
      Für kleine Länder besteht die Anpassung an eine balkanisierte Welt eher darin, wie Singapur zwischen Großmächten zu balancieren, sich auf das zu spezialisieren, was man gut kann, pragmatisch, flexibel und strategisch neutral zu bleiben. Dann konkurrieren die Großmächte miteinander, statt Feindseligkeit gegen einen zu entwickeln. Wer „Souveränität“ anstrebt, wird eher arm und leichter zum Ziel
  • Ich weiß nicht, wie es heute ist, aber das alte DigiD waren zwei Racks in einem separaten Cage. Selbst mit Zugang zur Etage des Rechenzentrums kam man nicht physisch in die Nähe der Server
  • Warum nicht einfach ein niederländisches Unternehmen nehmen?
    Es gibt in Europa auch eindeutig prorussisch ausgerichtete Länder
    • Ganz ernsthaft: Würde man dann auch deutsche Verträge kündigen, falls die AfD an die Macht käme?
  • Was passiert, wenn dieses europäische Unternehmen beschließt, die Arbeit an einen anderen Kontinent weiterzuvergeben?
    • Dann wäre das ein Vertragsbruch. Viele Regierungsverträge enthalten Klauseln gegen Untervergabe