Ende 2024 wurde die dreiteilige Technische Richtlinie „Anforderungen an Anwendungen im Finanzwesen“, TR-03174, durch das BSI veröffentlicht. Ziel der TR ist die Absicherung von mobilen und Web-Anwendungen sowie den zugehörigen Hintergrundsystemen bereits ab deren Planung („security by design“). Derzeit erfolgt eine umfangreiche Überarbeitung der TR, welche die regulatorischen Anforderungen an die Technik, insbesondere aus DORA, PSD2 und 3 sowie den zugehörigen technischen Regulierungsstandards, stärker in die Vorgaben miteinbezieht. Zusätzlich soll die TR um eine „Arbeitstabelle“ erweitert werden, um den Nutzen und den Einsatz in der Praxis zu verbessern. Die Veröffentlichung der überarbeiteten TR ist für Anfang 2026 geplant. Der Beitrag soll Einblicke in die Neuerungen der TR geben und die Möglichkeit der Kommentierung und Diskussion bieten.

Digitale Souveränität basiert auf funktionierendem Wettbewerb auf Basis eines Open-Source Projektes, gestützt durch drei Säulen:
1. Eine breit gefächerte Community von Entwicklern aus vielen Ländern und Organisationen.
2. Eine Verwaltung der Urheberrechte (IPR), idealerweise in einer unabhängigen Organisation/Institution, nicht bei einzelnen Unternehmen.
3. Eine vielfältige Finanzierung aus staatlichen und privaten Quellen, die unabhängige Weiterentwicklung sichert.

Die OSS-Lizenz sollte dabei als Rahmen für fairen Wettbewerb dienen, unterschiedliche Geschäftsmodelle erlauben und eine klare, individuelle Wertschöpfung ermöglichen.

Die Diskussion erfolgt anhand von drei Leitfragen:

1. Wer sind die Rechteinhaber der OSS?
Während viele Projekte IPR in einer unabhängigen Organisation/Institution halten, zeigen einige Beispiele wie auch einzelne Unternehmen die Rechte halten, was überraschende Lizenzänderungen zur Folge hatte und Community-Abspaltungen (Forks) bewirkt hat.
Derartige Unsicherheiten zum Erhalt der Lizenzkontinuität stellen bislang ein Risiko dar. Eine Open-Source-Lizenz garantiert somit keine unabhängige Rechteinhaberstruktur hinsichtlich der IPR.
2. Wer trägt bei?
Der Open Source Contributor Index (OSCI) zeigt eine starke Dominanz von Beitragsleistenden aus nicht europäischen Firmen, was die technische Ausrichtung und die Entwicklung der Projekte beeinflussten.
3. Wer finanziert?
Die Finanzierung ist oft konzentriert und nicht breit gestreut, was die Unabhängigkeit der Weiterentwicklung einschränkt.

Zusammenfassend lässt sich sagen, dass Open Source zwar notwendig, aber nicht hinreichend für digitale Souveränität ist, da Konzentration bei Rechteinhabern, Beitragenden und Finanzierung die Unabhängigkeit und den Wettbewerb mit dem OSS-Projekt gefährden kann. Derartige faktische Abhängigkeiten stellen neben der Akzeptanz der OSS in der öffentlichen Beschaffung einer Herausforderung dar.

Der Vortrag stellt die Samsung KNOX Native Solution vor, die sichere Integration von dienstlichen und persönlichen Anwendungen auf Geräten ermöglicht. Die Plattform bietet physische Trennung von Daten, Verschlüsselung, Richtlinienmanagement und Smart Card-Funktionalität, um Herausforderungen in sicherheitskritischen Umgebungen zu adressieren. Ein Live-Rollout demonstriert die praktische Anwendung und Vorteile für Nutzer, die beide Bereiche auf einem Gerät kombinieren möchten. Zukünftig wird KNOX Native Solution eine zentrale Rolle in der sich entwickelnden Sicherheitslandschaft spielen und mögliche Erweiterungen der Plattform ermöglichen.

Ab November 2026 sind alle EU-Mitgliedstaaten verpflichtet, ihren Bürgerinnen und Bürgern eine European Digital Identity Wallet bereitzustellen – ein digitaler Identitätsnachweis mit weitreichenden Konsequenzen für Verwaltung, Wirtschaft und Gesellschaft.

Im Gespräch mit Hagen Saxowski vom BMDS beleuchten wir den aktuellen Stand der deutschen Umsetzungsstrategie: Welche Wallet-Architektur verfolgt Deutschland? Wie positioniert sich die Bundesregierung in der Frage „ein nationales Wallet oder mehrere Anbieter“? Welche Lösungsansätze verfolgen andere EU-Länder und was können wir daraus lernen?

Vertrauen als Erfolgsfaktor: Die technische Machbarkeit allein garantiert noch keine Akzeptanz. Wie gewinnen wir das Vertrauen der Bürgerinnen und Bürger in diese neue Technologie? Welche Rolle spielen Transparenz, Kommunikation, Datenschutz und die freiwillige Nutzung?

Das Ökosystem dahinter: Die Wallet ist nur so gut wie die Infrastruktur, die sie trägt. Welche Rolle spielen Vertrauensdiensteanbieter? Wie werden Attributanbieter – von Behörden über Universitäten bis zu privaten Unternehmen – in das System eingebunden? Welche technischen und rechtlichen Standards müssen erfüllt werden, und wie wird Qualität und Sicherheit gewährleistet?

Ein besonderer Fokus liegt zudem auf der Rolle von Unternehmen: Die eIDAS:2024-Verordnung sieht vor, dass auch juristische Personen Wallets nutzen können, um vereinfacht am E-Government teilzunehmen. Wie ist hier der Umsetzungsstand und welche praktischen Hürden gibt es noch?

Wir wollen über die Balance zwischen technischer Innovation, regulatorischer Vorgabe und gesellschaftlicher Akzeptanz auf dem Weg zu einer funktionierenden digitalen Identitätsinfrastruktur sprechen.