camp2023-57073-deu-Public_Money_bei_der_Arbeit_opus.srt

1
00:00:00,000 --> 00:00:29,000
 [Musik]

2
00:00:30,000 --> 00:00:34,480
 Thomas wird euch was erzählen über, wie es um Open Source in der Verwaltung

3
00:00:34,480 --> 00:00:38,280
 bestellt ist und welche Projekte es da so gibt und er beantwortet alle

4
00:00:38,280 --> 00:00:42,480
 relevanten W-Fragen, die er beantworten darf, soweit der Kram veröffentlicht ist.

5
00:00:42,480 --> 00:00:47,280
 Der Talk heißt "Public Money bei der Arbeit - Die deutsche Verwaltung und Open Source".

6
00:00:47,280 --> 00:00:50,000
 Dann bitte eine Runde Applaus und ich übergebe.

7
00:00:50,000 --> 00:00:56,000
 [Applaus]

8
00:00:56,000 --> 00:01:00,000
 Ja, dankeschön. Ist ja hier ausverkauft, würde ich sagen.

9
00:01:00,000 --> 00:01:04,000
 So viel Interesse. Gut, fangen wir mal an. Ich stelle mich noch mal kurz ausführlicher vor.

10
00:01:04,000 --> 00:01:10,000
 Was mache ich eigentlich, wenn jetzt hier noch die Bilder kommen würden?

11
00:01:10,000 --> 00:01:16,000
 Wäre das perfekt. Dankeschön.

12
00:01:16,000 --> 00:01:19,000
 Ich beschäftige mich eigentlich hauptberuflich mit Kubernetes und Security,

13
00:01:19,000 --> 00:01:22,000
 also Cloud Security. Habe auch irgendwann mal zwei Firmen gegründet.

14
00:01:22,000 --> 00:01:26,000
 Die eine hat als Open Source Firma angefangen, ist in der Google Cloud gelandet.

15
00:01:26,000 --> 00:01:33,000
 Sonst versuchen wir gerade Fehler in Azure und AWS zu finden, was auch eine dankbare Aufgabe ist.

16
00:01:33,000 --> 00:01:39,000
 Die letzten Projekte, die ich gemacht habe, waren im Wesentlichen Security und ganz besonders

17
00:01:39,000 --> 00:01:43,000
 in kritischer Infrastruktur, weil die das Kubernetes-Thema auch entdeckt haben.

18
00:01:43,000 --> 00:01:47,000
 Ich mache Open Source schon sehr lange, also seit 0.95.

19
00:01:47,000 --> 00:01:51,000
 Ohne mein Alter verraten zu wollen, könnt ihr daraus hochrechnen.

20
00:01:51,000 --> 00:01:59,000
 Ich mache jetzt hier Open Source und im Wesentlichen Cloud Native für die deutsche Verwaltung.

21
00:01:59,000 --> 00:02:05,000
 Ich war auch mal im Bundestag. Das ist also alles in den Folien, die sind verlinkt.

22
00:02:05,000 --> 00:02:09,000
 2001, da haben die Abgeordneten aus Nürnberg die Bild-Zeitung gelesen,

23
00:02:09,000 --> 00:02:12,000
 als wir für SUSE da versucht haben, das durchzubekommen.

24
00:02:12,000 --> 00:02:15,000
 Wir haben es auch durchbekommen, aber nicht auf dem Client.

25
00:02:15,000 --> 00:02:18,000
 Das Geschäft gemacht hat nicht SUSE, sondern IBM.

26
00:02:18,000 --> 00:02:23,000
 Das war dann im Wesentlichen auch für lange Zeit das, was passiert ist.

27
00:02:23,000 --> 00:02:30,000
 Es gab so einen halbherzigen Wunsch, damals nach Open Source, aber nicht so wirklich.

28
00:02:30,000 --> 00:02:37,000
 Irgendwann 2019 ist eine Strategie aufgetaucht von PricewaterhouseCoopers.

29
00:02:37,000 --> 00:02:41,000
 Das hat dann eine strategische Marktanalyse gemacht und festgestellt,

30
00:02:41,000 --> 00:02:44,000
 dass die Verwaltung von Microsoft abhängig ist.

31
00:02:44,000 --> 00:02:53,000
 Es gibt auch eine von Deloitte, die sagt, dass die Datenbanken entweder von Oracle oder von Microsoft abhängig sind.

32
00:02:53,000 --> 00:02:56,000
 Das überrascht uns jetzt alle nicht wirklich.

33
00:02:56,000 --> 00:03:04,000
 Dann wurde ich eingeladen, weil die letzte Bundesregierung das schon ändern wollte,

34
00:03:04,000 --> 00:03:08,000
 dass wir mal über dieses Thema digitale Souveränität reden.

35
00:03:08,000 --> 00:03:15,000
 Ehrenamtlich ging es dann los mit diesem Projekt, das hieß "Ein Ort für öffentlichen Code".

36
00:03:15,000 --> 00:03:17,000
 Das ist also opencode.de.

37
00:03:17,000 --> 00:03:20,000
 Da gehe ich gleich noch etwas weiter drauf ein.

38
00:03:20,000 --> 00:03:25,000
 Ich habe dann auch gelegentliche Beiträge zur AG Cloud gemacht.

39
00:03:25,000 --> 00:03:29,000
 Das ist also die deutsche Verwaltungs-Cloud-Strategie, Rahmenwerk der Zielarchitektur.

40
00:03:29,000 --> 00:03:31,000
 Das Dokument ist da verlinkt.

41
00:03:31,000 --> 00:03:35,000
 Das ist so gefühlt anderthalb Jahre später, nachdem ich da eingeladen wurde,

42
00:03:35,000 --> 00:03:39,000
 tatsächlich veröffentlicht wurde vom IT-Planungsrat.

43
00:03:39,000 --> 00:03:43,000
 Parallel, 2020, habe ich noch eine Anfrage gehabt,

44
00:03:43,000 --> 00:03:47,000
 wir könnten hier mal Open Source sicherheitstechnisch auf Vordermann bringen

45
00:03:47,000 --> 00:03:52,000
 und würden dafür auch einen sogenannten Souverän-Tech-Fonds einrichten.

46
00:03:52,000 --> 00:03:55,000
 Da habe ich auch ein kleines Gutachten zugeschrieben.

47
00:03:55,000 --> 00:04:04,000
 Allmählich haben wir eine Infrastruktur, das heißt opencode.de,

48
00:04:04,000 --> 00:04:09,000
 was eigentlich ein GitLab ist, das verlangt OSI-Lizenzen.

49
00:04:09,000 --> 00:04:12,000
 Wir haben damals sehr lange über Lizenzen diskutiert

50
00:04:12,000 --> 00:04:14,000
 und konnten uns eigentlich nur darauf einigen,

51
00:04:14,000 --> 00:04:18,000
 ja, OSI-Lizenzen, da können wir die ganze Diskussion im Prinzip

52
00:04:18,000 --> 00:04:22,000
 über Lizenzen von der Linux Foundation übernehmen

53
00:04:22,000 --> 00:04:27,000
 und haben das auch in dieser deutschen Verwaltungsstrategie verankert.

54
00:04:27,000 --> 00:04:31,000
 Da findet ihr zum Beispiel den Bundes-Messenger.

55
00:04:31,000 --> 00:04:38,000
 Und ja, man kann schauen, ich werde auch dazu noch etwas erzählen,

56
00:04:38,000 --> 00:04:41,000
 was es noch für andere Projekte gibt.

57
00:04:41,000 --> 00:04:46,000
 Der Souverän-Tech-Fonds ist jetzt gegründet worden,

58
00:04:46,000 --> 00:04:49,000
 der ist also sehr interessant für Infrastrukturprojekte.

59
00:04:49,000 --> 00:04:52,000
 Der Prototype-Fonds, das ist eigentlich die kleine Schwester,

60
00:04:52,000 --> 00:04:56,000
 schiebt die Projekte an und der Souverän-Tech-Fonds hat also richtig

61
00:04:56,000 --> 00:05:00,000
 durchaus ein Budget, was sich lohnt, 10 Millionen im ersten Jahr,

62
00:05:00,000 --> 00:05:03,000
 ich hoffe, dass das durch die Haushaltsverhandlungen

63
00:05:03,000 --> 00:05:09,000
 ungefähr so geblieben ist und damit können dann auch größere Dinge,

64
00:05:09,000 --> 00:05:15,000
 die sonst niemand anfasst, mal überprüft werden.

65
00:05:15,000 --> 00:05:18,000
 Parallel dazu ist jetzt das Zendes entstanden,

66
00:05:18,000 --> 00:05:20,000
 das ist also keine Marmeladensorte,

67
00:05:20,000 --> 00:05:24,000
 das ist das Zentrum für digitale Souveränität.

68
00:05:24,000 --> 00:05:27,000
 Die suchen gerade Leute, das ist in Bochum,

69
00:05:27,000 --> 00:05:30,000
 für die Leute aus dem Ruhrgebiet.

70
00:05:30,000 --> 00:05:33,000
 Das wird tendenziell ein Open-Source-Programm-Office

71
00:05:33,000 --> 00:05:37,000
 für die öffentliche Verwaltung, im Wesentlichen für den Bund und die Länder,

72
00:05:37,000 --> 00:05:41,000
 aber da werden dann irgendwann Open-Source-Strategien entwickelt.

73
00:05:41,000 --> 00:05:46,000
 Also wer sich für sowas interessiert, einfach mal auf den Seiten gucken.

74
00:05:46,000 --> 00:05:50,000
 Digimatik baut übrigens auch in Ospo auf, München baut eins auf,

75
00:05:50,000 --> 00:05:54,000
 Dortmund hat eins schon, also da passieren gerade viele Dinge

76
00:05:54,000 --> 00:05:57,000
 in Richtung Open-Source-Programm-Office.

77
00:05:57,000 --> 00:06:00,000
 Gucken wir uns OpenCode mal genauer an.

78
00:06:00,000 --> 00:06:04,000
 Das Problem mit OpenCode ist, es ist nicht GitHub.

79
00:06:04,000 --> 00:06:07,000
 Ja, da war eine Frage?

80
00:06:17,000 --> 00:06:24,000
 Die Frage war, die Länder bauen jetzt auch Ospo auf,

81
00:06:24,000 --> 00:06:29,000
 ob das generell eine gute Idee ist, das föderal zu organisieren.

82
00:06:29,000 --> 00:06:33,000
 Die Open-Source-Programm-Offices sollen ja auch nach innen wirken,

83
00:06:33,000 --> 00:06:35,000
 die sollen auch der eigenen Verwaltung erklären,

84
00:06:35,000 --> 00:06:37,000
 wie man Open-Source richtig benutzt.

85
00:06:37,000 --> 00:06:40,000
 Von daher ist die Antwort ja.

86
00:06:40,000 --> 00:06:45,000
 Die werden nicht alle Strategien zu allen Open-Source-Projekten machen können,

87
00:06:45,000 --> 00:06:48,000
 die sollten zusammenarbeiten,

88
00:06:48,000 --> 00:06:52,000
 aber wenn eine Verwaltung was Besonderes braucht,

89
00:06:52,000 --> 00:06:57,000
 dann ist es natürlich auch gut, wenn sie in Ospo hat, was nach innen wirkt.

90
00:06:57,000 --> 00:07:04,000
 OpenCode.de, da war die Diskussion, wieso nehmen wir nicht einfach GitHub,

91
00:07:04,000 --> 00:07:07,000
 auf GitHub ist viel mehr.

92
00:07:07,000 --> 00:07:11,000
 GitHub gilt genau dasselbe, was für den Abgrund gilt.

93
00:07:11,000 --> 00:07:15,000
 Du blickst lange genug in einen Abgrund und irgendwann guckt der Abgrund zurück.

94
00:07:15,000 --> 00:07:18,000
 Also aus Datenschutzgründen, was GitHub mit den Daten der User macht,

95
00:07:18,000 --> 00:07:20,000
 die auf GitHub unterwegs sind,

96
00:07:20,000 --> 00:07:26,000
 kann man GitHub nicht verpflichtend für die öffentliche Verwaltung machen.

97
00:07:26,000 --> 00:07:29,000
 Wir wissen nicht, was da mit dem Code passiert,

98
00:07:29,000 --> 00:07:33,000
 jetzt mit den Code-Pilot-Sachen, wir wissen nicht,

99
00:07:33,000 --> 00:07:38,000
 bleibt das vertraulich, da werden von Microsoft in Teams bereits

100
00:07:38,000 --> 00:07:42,000
 das User-Verhalten ausgewertet,

101
00:07:42,000 --> 00:07:45,000
 passiert das auch auf GitHub, wissen wir nicht,

102
00:07:45,000 --> 00:07:48,000
 also ist es nicht möglich, das verpflichtend zu machen.

103
00:07:48,000 --> 00:07:50,000
 Ich kann natürlich ein Repository auf GitHub machen

104
00:07:50,000 --> 00:07:54,000
 und auf OpenCode spiegeln oder umgekehrt, das ist mir unbenommen,

105
00:07:54,000 --> 00:07:57,000
 aber aus Gründen der Rechtssicherheit der Verwaltung

106
00:07:57,000 --> 00:08:02,000
 ist also OpenCode das führende System für die Verwaltung.

107
00:08:07,000 --> 00:08:12,000
 Es gibt eine Lizenz-Compliance, wenn man sich das anguckt,

108
00:08:12,000 --> 00:08:16,000
 da sind erst mal am Anfang fürchterlich triviale Sachen,

109
00:08:16,000 --> 00:08:21,000
 also ein Adventskalender mit irgendwelchen Awareness-Tipps vom BSI.

110
00:08:21,000 --> 00:08:29,000
 Da ist aber auch sowas wie Lean zur Gestaltung von vitalen Innenstädten.

111
00:08:29,000 --> 00:08:33,000
 Was wir da auch gesehen haben, ist dieser Bundes-Messenger, abgekürzt BUM.

112
00:08:33,000 --> 00:08:39,000
 Das ist im Grunde ein Matrix für die Bundeswehr.

113
00:08:39,000 --> 00:08:44,000
 Jeder Drehbuchschreiber hätte das aus dem Skript gestrichen bekommen,

114
00:08:44,000 --> 00:08:46,000
 wenn er sich diesen Namen ausgedacht hätte,

115
00:08:46,000 --> 00:08:49,000
 aber so ist die Verwaltung manchmal.

116
00:08:49,000 --> 00:08:54,000
 Da findet man zum Beispiel auch, wie die entsprechenden Container gebaut werden von Matrix.

117
00:08:54,000 --> 00:09:02,000
 Da finden wir auch vom Robert-Koch-Institut inzwischen COVID-Sequenzen,

118
00:09:02,000 --> 00:09:08,000
 die stehen also unter irgendeiner Creative Commons-Lizenz.

119
00:09:08,000 --> 00:09:13,000
 Da stehen aber auch solche Dinge, was uns nie begegnet wird,

120
00:09:13,000 --> 00:09:18,000
 wenn wir uns als Deutsche die Vorab-Erfassung der Einreisebefragung werben.

121
00:09:18,000 --> 00:09:24,000
 Das ist also etwas, was man ausfüllen kann, bevor man nach Deutschland einreist,

122
00:09:24,000 --> 00:09:28,000
 dann hat man hier weniger Ärger mit dem Zoll bei der Einreise.

123
00:09:28,000 --> 00:09:31,000
 Das wusste ich auch nicht, dass es so etwas gibt,

124
00:09:31,000 --> 00:09:34,000
 aber ich reise ja auch nicht als Ausländer nach Deutschland ein.

125
00:09:34,000 --> 00:09:37,000
 Das muss man sich angucken.

126
00:09:37,000 --> 00:09:41,000
 Was ich jetzt bei der Vorbereitung festgestellt habe,

127
00:09:41,000 --> 00:09:45,000
 es gibt auch so etwas wie erste Ansätze einer elektronischen Gesetzgebung.

128
00:09:45,000 --> 00:09:48,000
 Also die Amerikaner sind da wesentlich weiter.

129
00:09:48,000 --> 00:09:51,000
 Die machen ihre Gesetzgebung in Git-Repositories

130
00:09:51,000 --> 00:09:55,000
 und dann kann jeder Commit getraced werden,

131
00:09:55,000 --> 00:09:58,000
 wer der Lobbyist ist, hat da welchen Beitrag geliefert.

132
00:09:58,000 --> 00:10:02,000
 Das wäre etwas, was wir uns wahrscheinlich in Deutschland auch wünschen würden.

133
00:10:02,000 --> 00:10:07,000
 Es gibt Ansätze, das müsst ihr halt eben in der lokalen Politik einfordern.

134
00:10:07,000 --> 00:10:10,000
 Ich möchte eigentlich wissen, wenn ein Gesetz entsteht,

135
00:10:10,000 --> 00:10:14,000
 wer hat wann welche Beiträge gemacht, was sind welche Diskussionen gewesen.

136
00:10:14,000 --> 00:10:17,000
 Das könnte ein Ausgangspunkt sein,

137
00:10:17,000 --> 00:10:20,000
 das wird sicherlich nicht von heute auf morgen passieren,

138
00:10:20,000 --> 00:10:24,000
 weil man das auch noch erklären muss, was es halt in Git,

139
00:10:24,000 --> 00:10:29,000
 wenn ich jemandem erkläre, der bisher nur Microsoft Word Dokumente schreiben kann,

140
00:10:29,000 --> 00:10:32,000
 wie man mit Git umgeht, am Ende ist es natürlich einfacher,

141
00:10:32,000 --> 00:10:36,000
 aber das ist nicht so straight forward.

142
00:10:36,000 --> 00:10:47,000
 Möchte die Justiz nicht explizit getrennt von der Verwaltung sein

143
00:10:47,000 --> 00:10:52,000
 und deswegen da auch vielleicht nicht dran hängen?

144
00:10:52,000 --> 00:10:59,000
 Das könnte man überlegen, da müsste die Justiz sich irgendwann eine eigene Instanz aufbauen.

145
00:10:59,000 --> 00:11:04,000
 Ja, aber erstmal ist es gut, dass es anfängt.

146
00:11:04,000 --> 00:11:09,000
 Wie man das hinterher organisiert, da wird sicherlich noch ganz viel darüber diskutiert.

147
00:11:09,000 --> 00:11:13,000
 Aber ich sehe das Argument ja.

148
00:11:13,000 --> 00:11:18,000
 Ihr könnt das alles anklicken in dem PDF, was ich da verlinkt habe in dem Vortrag.

149
00:11:18,000 --> 00:11:25,000
 Da seid ihr direkt in den entsprechenden Repositories.

150
00:11:25,000 --> 00:11:27,000
 Warum Open Coden?

151
00:11:27,000 --> 00:11:32,000
 Mein persönlicher Gang war mir das im Wesentlichen mit der Rechtssicherheit nicht so klar.

152
00:11:32,000 --> 00:11:35,000
 War mir eigentlich auch egal, ich komme aus der technischen Ecke.

153
00:11:35,000 --> 00:11:39,000
 Es muss unter staatlicher Hoheit sein, mit OSI-Lizenzen und so weiter.

154
00:11:39,000 --> 00:11:45,000
 Aber was ich eigentlich haben will, ist hier diese Möglichkeit, DevOps zu machen.

155
00:11:45,000 --> 00:11:48,000
 Und zwar später auch DevOps in richtig.

156
00:11:48,000 --> 00:11:55,000
 Das heißt, dieses GitLab, also dieses Open Code.de kann Bildprozesse anstoßen.

157
00:11:55,000 --> 00:12:00,000
 Das heißt, ich kann lokal in meiner Anstalt öffentlichen Rechts,

158
00:12:00,000 --> 00:12:04,000
 tatsächlich die COM1 macht sowas, Dataport macht sowas, viele machen sowas,

159
00:12:04,000 --> 00:12:10,000
 kann ich bei der Änderung in Open Code einen Bildprozess für Software anstoßen.

160
00:12:10,000 --> 00:12:13,000
 Das ist ein großer Alleinstellungsvorteil von Open Source.

161
00:12:13,000 --> 00:12:17,000
 Ich kann ja keinen Bildprozess anstoßen für Closed Source, weil ich den Source nicht habe.

162
00:12:17,000 --> 00:12:21,000
 Das heißt, wenn ich da jetzt eine Änderung mache, läuft bei mir im Prinzip eine Pipeline ab,

163
00:12:21,000 --> 00:12:23,000
 die im einfachsten Fall so aussieht.

164
00:12:23,000 --> 00:12:28,000
 Ich mache hier also im Prinzip etwas, was Continuous Integration fähig wäre.

165
00:12:28,000 --> 00:12:32,000
 Das heißt, es könnte eigentlich vom Bau bis zur Produktion durchlaufen.

166
00:12:32,000 --> 00:12:35,000
 Natürlich, die Regularien würden es nicht erlauben,

167
00:12:35,000 --> 00:12:41,000
 dass ich hier an der Stelle überall gleich auf Produktion deploye.

168
00:12:41,000 --> 00:12:49,000
 Sicherheitsüberprüfungen müssten da passieren, aber für einfache Sachen wäre das sicherlich möglich.

169
00:12:49,000 --> 00:12:54,000
 Also der Awareness-Kalender wäre sicherlich ein Kandidat, wo man sagen kann,

170
00:12:54,000 --> 00:12:56,000
 wieso muss das eigentlich noch jemand freigeben.

171
00:12:56,000 --> 00:13:00,000
 Das kann man sicherlich unkritisch machen.

172
00:13:00,000 --> 00:13:03,000
 Worauf ich euch auch noch hinweise,

173
00:13:03,000 --> 00:13:16,000
 der Awareness-Kalender, wenn der kritisch ist, dann haben wir ja, gut.

174
00:13:16,000 --> 00:13:23,000
 Wir können hier noch gucken, irgendwo ist jetzt hier ein Fenster aufgegangen.

175
00:13:23,000 --> 00:13:25,000
 Ich habe noch eine Frage zur Pipeline.

176
00:13:25,000 --> 00:13:32,000
 Ist hier bekannt, hier, das BMBK arbeitet ja gerade an der Vergaberechtsreform

177
00:13:32,000 --> 00:13:36,000
 und ich einfach festlegen möchte, in drei, vier Jahren muss einfach jeder Code,

178
00:13:36,000 --> 00:13:41,000
 der geliefert wird, auch in die Pipeline reinkommen und auf Open Code geliefert werden.

179
00:13:41,000 --> 00:13:46,000
 Wenn das eine einzelne Behörde ausschreiben möchte, gibt es hier keine Angebote,

180
00:13:46,000 --> 00:13:49,000
 sondern muss man mit der Marktmacht der öffentlichen Hand sagen,

181
00:13:49,000 --> 00:13:55,000
 wir hätten jetzt gerne hier ein Commit im Git und wir hätten den SBOM dazu und die Pakete dazu.

182
00:13:55,000 --> 00:13:59,000
 Das muss man als Deutschland fordern, weil wenn das jetzt, weiß ich nicht,

183
00:13:59,000 --> 00:14:03,000
 das CommOne ausschreibt, gibt es ja keine Angebote.

184
00:14:03,000 --> 00:14:08,000
 Die CommOne ist eigentlich Ausführung des Organ, die lässt diese Pipeline laufen,

185
00:14:08,000 --> 00:14:14,000
 aber natürlich die Regularien, wer diese Pipeline fordern kann, das ist irgendwie Beschaffung.

186
00:14:14,000 --> 00:14:18,000
 Und das wird natürlich dauern, weil in dem Moment, wo ich sowas fordere,

187
00:14:18,000 --> 00:14:23,000
 werden alle bisherigen Open Source oder alle bisherigen Softwarelieferanten der Verwaltung sagen,

188
00:14:23,000 --> 00:14:28,000
 nee, das ist viel zu kompliziert, das geht nicht, CI/CD, das ist ja irgendwie fehleranfällig

189
00:14:28,000 --> 00:14:33,000
 und ich kenne die Argumentation, ich habe die erste CI/CD Pipeline,

190
00:14:33,000 --> 00:14:37,000
 größeren Stil, vor 12 oder 13 Jahren eingeführt.

191
00:14:37,000 --> 00:14:41,000
 Die Argumente sind alle durch Gewöhnung hinfällig,

192
00:14:41,000 --> 00:14:48,000
 aber die Gewöhnung dauert, je nachdem wie ich die Zeit messe, zwischen 2 und 5 Jahren.

193
00:14:48,000 --> 00:14:54,000
 Da müssen sich auch Leute dran gewöhnen, dass das ihnen das Leben erleichtert.

194
00:14:54,000 --> 00:14:59,000
 Übergangsfristen, also schön, wenn das BMWK das jetzt macht,

195
00:14:59,000 --> 00:15:05,000
 5 Jahre wäre großzügig, ich hätte 2 Jahre reingeschrieben und dann gehofft, dass sie in 5 Jahren fertig sind,

196
00:15:05,000 --> 00:15:10,000
 aber das sind immer so diese strategischen Dinge.

197
00:15:10,000 --> 00:15:17,000
 Das ist tatsächlich Legislatur, also die Frage war, das sollte in einer Legislaturperiode sein,

198
00:15:17,000 --> 00:15:23,000
 das ist legislaturübergreifend, das hat bisher einen Regierungswechsel überlebt,

199
00:15:23,000 --> 00:15:28,000
 die Hoffnung ist, dass es auch einen weiteren Regierungswechsel überleben wird,

200
00:15:28,000 --> 00:15:32,000
 das muss sich aber dann in der Zukunft zeigen,

201
00:15:32,000 --> 00:15:37,000
 ich werde gleich auch noch verargumentieren, was da alles im Moment dran hängt.

202
00:15:37,000 --> 00:15:43,000
 Bei der Diskussion haben wir auch überlegt,

203
00:15:43,000 --> 00:15:50,000
 wie machen wir Metainformationen sichtbar zu diesen ganzen Sachen in Open Code

204
00:15:50,000 --> 00:15:55,000
 und da kam aus Italien die Rettung, die Italiener sind da an der Stelle schon weiter,

205
00:15:55,000 --> 00:16:01,000
 das ist also Docs Italia, die haben ein Public Code-Yaml sich ausgedacht

206
00:16:01,000 --> 00:16:08,000
 und dieses Public Code-Yaml beschreibt halt, wofür das Ganze ist, unter welcher Lizenz das steht,

207
00:16:08,000 --> 00:16:15,000
 welche Varianten es gibt, die haben also schon einen nationalen Software-Katalog,

208
00:16:15,000 --> 00:16:18,000
 also einen italienischen und die haben uns also mehr oder weniger eingeladen,

209
00:16:18,000 --> 00:16:22,000
 ja macht doch die deutschen Erweiterungen, es wäre tatsächlich sogar möglich,

210
00:16:22,000 --> 00:16:26,000
 landesspezifische Erweiterungen auf Bundesländerebene zu machen,

211
00:16:26,000 --> 00:16:32,000
 wie weit das Sinn macht, weiß ich nicht, also das haben wir dankbar damals angenommen

212
00:16:32,000 --> 00:16:38,000
 und einfach gesagt, das kann man sofort verwenden.

213
00:16:38,000 --> 00:16:45,000
 Worauf wir hinwollen in diesem ganzen Betrieb, das ist dieses GitOps,

214
00:16:45,000 --> 00:16:49,000
 das heißt die Operations sollen so automatisiert sein,

215
00:16:49,000 --> 00:16:53,000
 dass jeder Zustand im Betrieb aus einem Git-Repository kommt,

216
00:16:53,000 --> 00:16:58,000
 das heißt es läuft auch unter dem Thema Configuration as Code,

217
00:16:58,000 --> 00:17:05,000
 also die Konfiguration von Servern wird genauso verwendet wie Code

218
00:17:05,000 --> 00:17:11,000
 oder genauso verwaltet wie Code, das heißt eine Serveränderung kommt aus dem Git-Repository,

219
00:17:11,000 --> 00:17:18,000
 hat ein paar Sicherheitsimplikationen, weil ich kann natürlich nicht alles in Git-Repository speichern,

220
00:17:18,000 --> 00:17:27,000
 aber das kann man alles abfangen und handeln.

221
00:17:27,000 --> 00:17:32,000
 Wo wollen wir eigentlich wirklich hin und das Thema heißt DevSecOps,

222
00:17:32,000 --> 00:17:36,000
 das heißt wir wollen nicht nur diesen naiven DevOps-Ansatz machen,

223
00:17:36,000 --> 00:17:39,000
 wir wollen da auch Security tief verankern.

224
00:17:39,000 --> 00:17:43,000
 Das weiteste was wir da gesehen haben, kommt im Moment aus den USA,

225
00:17:43,000 --> 00:17:46,000
 zusammen mit der Cloud Native Computing Foundation.

226
00:17:46,000 --> 00:17:50,000
 CNCF ist ein Teil der Linux Foundation,

227
00:17:50,000 --> 00:17:55,000
 das heißt das ist im amerikanischen Open Source Kontext überhaupt kein Problem,

228
00:17:55,000 --> 00:17:59,000
 dass sie mit dem Verteidigungsministerium zusammenarbeiten.

229
00:17:59,000 --> 00:18:04,000
 Ich bin nicht so ein großer Freund des Militärs, aber die Ansätze sind vernünftig,

230
00:18:04,000 --> 00:18:15,000
 das heißt wir nehmen diesen DevSecOps-Prozess und fügen überall wo es nötig ist noch Security-Checks dazu.

231
00:18:15,000 --> 00:18:21,000
 Von diesen insgesamt, wenn ich richtig gezählt habe, 14 Checks kann ich 11 automatisieren,

232
00:18:21,000 --> 00:18:27,000
 bis auf das Thread Modeling, bis auf manuelles Pentesten

233
00:18:27,000 --> 00:18:30,000
 und bis hinterher die Security-Bewertung.

234
00:18:30,000 --> 00:18:36,000
 Damit habe ich die Möglichkeit im Prinzip diese Pipeline sicher aufzubauen.

235
00:18:36,000 --> 00:18:47,000
 Das ist BSI-konform, man muss das jetzt nur auf den IT-Grundschutz

236
00:18:47,000 --> 00:18:51,000
 und die entsprechenden technischen Richtlinien des BSI abbilden,

237
00:18:51,000 --> 00:18:53,000
 das ist durchaus eine ganze Menge Arbeit.

238
00:18:54,000 --> 00:18:57,000
 Datenschutz, da war doch was.

239
00:18:57,000 --> 00:19:06,000
 Datenschutz, ja wir kriegen das hin.

240
00:19:06,000 --> 00:19:17,000
 Das ist noch eine Aufgabe, ich bin da im Moment bei, das mit dem BSI zu verwerkstücken.

241
00:19:17,000 --> 00:19:24,000
 Wir müssen uns auch überlegen, BSI-Grundschutz kann keiner mehr lesen, das sind 4000 Seiten,

242
00:19:24,000 --> 00:19:28,000
 ich muss das abbilden, das ist im Prinzip die große Flughöhe

243
00:19:28,000 --> 00:19:31,000
 und das jetzt runterzubrechen auf technische Richtlinien und Grundschutz,

244
00:19:31,000 --> 00:19:36,000
 die in den einzelnen Behörden auch die Anforderungen erfüllen,

245
00:19:36,000 --> 00:19:39,000
 ist eine nicht zu unterschätzende Aufgabe.

246
00:19:39,000 --> 00:19:47,000
 Was haben wir noch drin, bemerkenswert, das kann alles aus Open Code getriggert werden.

247
00:19:47,000 --> 00:19:53,000
 Wir können automatische Security Scans einfügen,

248
00:19:53,000 --> 00:19:58,000
 das heißt wir können Statische Code-Analyse im Prinzip noch bauen,

249
00:19:58,000 --> 00:20:05,000
 wir können Container mit sowas wie OVASP-SAP prüfen,

250
00:20:05,000 --> 00:20:12,000
 können das bis in die Produktion liefern inklusive Logging, Monitoring und Alerting.

251
00:20:12,000 --> 00:20:15,000
 Das kriegen wir also idealerweise alles mit.

252
00:20:15,000 --> 00:20:21,000
 Wir werden natürlich niemals in kritischer Infrastruktur komplett automatische Prozesse kriegen,

253
00:20:21,000 --> 00:20:26,000
 aber dadurch, dass wir die bis im Prinzip zu dem letzten "Ich möchte jetzt hier releasen"

254
00:20:26,000 --> 00:20:30,000
 zu dem Button, den vielleicht jemand drücken muss, automatisieren,

255
00:20:30,000 --> 00:20:32,000
 kriegen wir eine ganz andere Geschwindigkeit in das Thema.

256
00:20:32,000 --> 00:20:36,000
 Also wir warten jetzt nicht mehr sechs Monate auf ein Patch oder sowas,

257
00:20:36,000 --> 00:20:43,000
 sondern wir müssen uns in die Lage versetzen, dass wir die Patches deutlich schneller ausspülen.

258
00:20:43,000 --> 00:20:48,000
 Was die öffentliche Hand eigentlich will, was sie alle wollen und wovon sie nicht reden,

259
00:20:48,000 --> 00:20:52,000
 sie wollen eigentlich eine DevSecOps Software Factory,

260
00:20:52,000 --> 00:20:55,000
 weil alle sind scharf hier auf dieses Enabling,

261
00:20:55,000 --> 00:20:58,000
 wir wollen den Leuten in der Verwaltung so viel Freiheit wie möglich geben.

262
00:20:58,000 --> 00:21:04,000
 Einige beschäftigen sich nur mit dem agilen Mindset, andere nur mit Cloud Software,

263
00:21:04,000 --> 00:21:08,000
 aber der Schatz, der gehoben wird und da, wo die Arbeit drinsteckt,

264
00:21:08,000 --> 00:21:13,000
 das ist hier diese ganze Automatisierung, wo ich also dieses CI/CD Pipelines mache.

265
00:21:13,000 --> 00:21:19,000
 Also dieser Teil zusammen hier mit den Regularien, das ist der anstrengende Teil,

266
00:21:19,000 --> 00:21:27,000
 wo man also wirklich das in der Einführung schon in kommerziellen Unternehmen sagen muss,

267
00:21:27,000 --> 00:21:34,000
 das dauert zwei Jahre und für die 80/20 Regel und für Vorbereitung, Nachbereitung fünf Jahre.

268
00:21:34,000 --> 00:21:40,000
 Das ist eine gemessene Größe, habe ich erlebt, in dem ersten Projekt halt.

269
00:21:40,000 --> 00:21:44,000
 Das war eine von den großen Internetbuden in Berlin,

270
00:21:44,000 --> 00:21:47,000
 ich kann es auch sagen, das ist Immobilienscout, die gehen sehr offen damit um.

271
00:21:47,000 --> 00:21:52,000
 Das war vor den Kubernetes Zeiten, da gab es noch kein Git, wir haben GitOps gemacht aus CVS heraus.

272
00:21:52,000 --> 00:21:57,000
 Kann man auch machen, mit Git ist es einfacher, aber das funktioniert halt.

273
00:21:57,000 --> 00:22:03,000
 Und das ist halt die große Aufgabe, die man nicht unterschätzen darf.

274
00:22:03,000 --> 00:22:13,000
 [Unverständlich]

275
00:22:13,000 --> 00:22:17,000
 Genau, hier habe ich zum Beispiel, wenn ich DevOps machen will, will ich eigentlich GSEC DevOps machen,

276
00:22:17,000 --> 00:22:28,000
 dann habe ich ja Audits zu berücksichtigen und so weiter, ja, der Datenschutz.

277
00:22:28,000 --> 00:22:36,000
 Da fehlt quasi noch das Gesetzespaket zum Thema, wie kann ich diesen gesamten Prozess noch agiler machen,

278
00:22:36,000 --> 00:22:41,000
 weil wir haben ja sozusagen so regelmäßige Freigaben, die man dann braucht für Datenschutz,

279
00:22:41,000 --> 00:22:47,000
 für Sicherheitsfreigaben, Sicherheitskonzepte, BSI-Geschichten, wo man halt so festgelegt ist,

280
00:22:47,000 --> 00:22:51,000
 die Höhe trifft sich viermal im Jahr und dann werden Dinge freigegeben

281
00:22:51,000 --> 00:22:55,000
 und das ist halt so im wöchentlichen Prozess eher nicht so machbar.

282
00:22:55,000 --> 00:23:03,000
 Das ist hier, ich habe Regulierung, also jeder dieser Punkte wird euch irgendwie,

283
00:23:03,000 --> 00:23:05,000
 wenn ihr das einführen wollt, Monate eures Lebens kosten.

284
00:23:05,000 --> 00:23:12,000
 [Lachen]

285
00:23:12,000 --> 00:23:15,000
 Ja, was ist eigentlich hier jetzt als Strategie rausgekommen,

286
00:23:15,000 --> 00:23:19,000
 das ist jetzt eine, ich hatte Cloud Native schon als Buzzword verwendet,

287
00:23:19,850 --> 00:23:26,170
 ist jetzt eine Cloud-Native-Strategie. Cloud-Native kommt aus dem Google-Umfeld,

288
00:23:26,170 --> 00:23:30,930
 das ist also aus dem Borg-Projekt, das war ein interner Witz von denen gekommen,

289
00:23:30,930 --> 00:23:35,210
 das war halt die nicht veröffentlichbare Infrastruktur von Google und da haben

290
00:23:35,210 --> 00:23:39,930
 sich irgendwann überlegt, greifen wir doch mal Amazon an, machen unsere

291
00:23:39,930 --> 00:23:48,610
 Infrastruktur open source und holen uns dann im Prinzip Anteile von von Amazon.

292
00:23:49,490 --> 00:24:01,010
 Ja und rausgekommen ist dann irgendwann ein Ökosystem, das ist hier die

293
00:24:01,010 --> 00:24:05,530
 Landscape der Cloud-Native Computing Foundation, das waren zu dem Zeitpunkt,

294
00:24:05,530 --> 00:24:11,530
 wo ich das gemacht habe, knapp 1200 Kacheln, es werden immer mehr, die

295
00:24:11,530 --> 00:24:16,250
 Amerikaner legen immer sehr viel Wert auf Börsenbewertungen und sowas, also

296
00:24:16,250 --> 00:24:21,810
 da stecken einige Milliarden an Start-up-Geschichten drin, das muss man

297
00:24:21,810 --> 00:24:25,690
 jetzt nicht alles ernst nehmen, wichtig ist halt, wir haben hier ein Ökosystem

298
00:24:25,690 --> 00:24:31,490
 von Dingen, die wir überwiegend verwenden können auf Basis der Apache-License und

299
00:24:31,490 --> 00:24:36,210
 die sind alle kompatibel mit dieser Idee von, wir können jetzt GitOps machen,

300
00:24:36,210 --> 00:24:40,850
 Konfigurationen kommen immer aus Repositories, also hier irgendwo sind die

301
00:24:40,850 --> 00:24:45,170
 Netzwerke, ich kann also eine Netzwerk-Definition machen aus einem Git-

302
00:24:45,170 --> 00:24:49,790
 Repository raus. Hier an der Stelle erschrecken immer die Netzwerker, weil die

303
00:24:49,790 --> 00:24:55,130
 wollen natürlich ihre komischen Netzwerk-Konstruktionen auf keinen Fall

304
00:24:55,130 --> 00:24:59,530
 mit irgendjemand anders teilen, es ist immer sehr viel Überzeugungsarbeit, ihnen zu

305
00:24:59,530 --> 00:25:04,450
 sagen, dass es damit eine zusätzliche Sicherheit gibt und keiner will ihnen ihre

306
00:25:04,450 --> 00:25:11,570
 F5s, Junipers und Ziskos wegnehmen, dann sind sie immer meistens beruhigt.

307
00:25:11,570 --> 00:25:17,330
 Wir müssen hier ein bisschen aufpassen, die

308
00:25:17,330 --> 00:25:23,410
 Automatisierung ist eingebaut, aber es gibt jetzt auch die ersten Tendenzen

309
00:25:23,410 --> 00:25:28,170
 dieses Ökosystem in Richtung Edge gehen zu lassen, das heißt, Edge-Devices sind

310
00:25:28,170 --> 00:25:33,570
 eigentlich Devices, ich könnte einen Laptop zum Edge-Device einer Cloud machen

311
00:25:33,570 --> 00:25:36,570
 und das im Prinzip komplett aus der Cloud heraus verweisen.

312
00:25:36,570 --> 00:25:42,650
 Das kann man beliebig weit treiben, Vorsicht, wir hatten immer früher diese

313
00:25:42,650 --> 00:25:48,090
 netten T-Shirts, die Cloud, das sind ja nur die Computer anderer Leute, ich habe

314
00:25:48,090 --> 00:25:53,370
 den Satz einfach mal umgedreht, dein Edge-Device oder dein Laptop ist

315
00:25:53,370 --> 00:25:57,730
 eigentlich nur das Edge-Device meiner Cloud. Das zeigt auch diesen totalitären

316
00:25:57,730 --> 00:26:01,330
 Ansatz, der möglich ist, auf den wir ein bisschen aufpassen müssen, weil ich kann

317
00:26:01,330 --> 00:26:06,490
 damit auch Konfigurationen erzeugen, wo ich sage, in diesem Netz ist kein

318
00:26:06,490 --> 00:26:12,410
 Computer mehr, den ich nicht kontrolliere. Da ist durchaus die Gefahr eines

319
00:26:12,410 --> 00:26:16,090
 totalitären Anspruchs, aber ich will das jetzt nicht nach vorne heben, also das

320
00:26:16,090 --> 00:26:19,730
 Schlimmste, was einem passieren kann, ist man hat irgendwann ein Edge-Device, das ist ein

321
00:26:19,730 --> 00:26:24,850
 Implantat oder so was und dann wird es aus der Cloud heraus verwaltet.

322
00:26:24,850 --> 00:26:31,330
 Ich glaube nicht da, wo wir hinwollen, aber das ist noch weit weg und gucken wir

323
00:26:31,330 --> 00:26:34,330
 halt weiter. Haben wir eigentlich die Kompetenz in Deutschland, so was zu

324
00:26:34,330 --> 00:26:38,970
 machen? Man fragt sich ja immer, ja Cloud, das sind die großen

325
00:26:38,970 --> 00:26:44,050
 Hyperscaler, nein, sind sie nicht. Wir hatten zum Beispiel den Severin Cloudstack,

326
00:26:44,050 --> 00:26:48,050
 das einzige Projekt aus dem Gaia-X Projekt, was irgendwie scheinbar Erfolg

327
00:26:48,050 --> 00:26:55,370
 verspricht. Von der Hochschule Osnabrück gibt es Ansätze, einfach eine Cloud in

328
00:26:55,370 --> 00:26:59,570
 einem Container auszuliefern. Das sieht dann so aus, das heißt, ich

329
00:26:59,570 --> 00:27:03,090
 habe eine ganze Cloud, die wird im Container ausgelegt, ich schließe dann einen Strom an,

330
00:27:03,090 --> 00:27:07,810
 ein Netz an und da fährt sich vollautomatisch die entsprechende

331
00:27:07,810 --> 00:27:12,650
 Cloud-Software hoch und ist dann in der Lage, die entsprechenden Arbeiten

332
00:27:12,650 --> 00:27:18,410
 durchzuführen. Also ich habe eine Installation, die vollautomatisierbar ist.

333
00:27:18,410 --> 00:27:22,530
 GovDigital guckt schon in diese Richtung, das heißt, viele Anstalten,

334
00:27:22,530 --> 00:27:27,210
 öffentlichen und rechts, werden gerade damit konfrontiert und bringen sich gerade in die

335
00:27:27,210 --> 00:27:31,930
 Lage, so was auszurollen. Da drin steckt tatsächlich noch eine

336
00:27:31,930 --> 00:27:37,410
 ganze Menge mehr, wenn noch mehr Komplexität haben möchte. Also Open Source

337
00:27:37,410 --> 00:27:43,330
 und Jura reicht nicht. Am Samstag gebe ich noch einen Vortrag über Energieverbrauch

338
00:27:43,330 --> 00:27:46,250
 von Rechenzentren, deswegen habe ich auch dieses Bild ausgewählt.

339
00:27:46,250 --> 00:27:51,530
 Man kann tatsächlich inzwischen kleine Einheiten so einrichten, dass sie

340
00:27:51,530 --> 00:27:59,250
 komplett aus Photovoltaik betrieben werden, gerechnet wird im Container und

341
00:27:59,250 --> 00:28:06,370
 die Kühlleistung geht in das lokale Fernwärme- oder Nahwärmenetz.

342
00:28:06,370 --> 00:28:12,690
 Und da drin läuft nur Open Source Software. Wenn ich das ernsthaft im großen

343
00:28:12,690 --> 00:28:15,170
 Maßstab machen würde, müsste ich mir natürlich über die Sicherheit dieser

344
00:28:15,170 --> 00:28:18,370
 Container Gedanken machen, alleine über die physische Sicherheit.

345
00:28:18,370 --> 00:28:23,050
 Irgendwelche Blechcontainer sind ja nicht irgendwie ein großes Hindernis

346
00:28:23,050 --> 00:28:32,210
 gegen Angriffe. So, wie eine Deployment Pipeline aus, das hatte ich eigentlich

347
00:28:32,210 --> 00:28:35,730
 schon mal erwähnt. Vorne machen wir Commit, hier machen wir Produktion.

348
00:28:35,730 --> 00:28:40,570
 Oben sind die DevOps-Schritte und unten sind also angedeutet schon mal die

349
00:28:40,570 --> 00:28:48,290
 Schritte, die man wirklich braucht, wenn man das Ganze sicher machen möchte.

350
00:28:48,290 --> 00:28:51,250
 Was wir uns jetzt leisten können, jetzt können wir wieder bei Google abgucken.

351
00:28:51,250 --> 00:28:58,650
 Was hat Google eigentlich für Maßstäbe oder für KPIs oder so etwas, um die

352
00:28:58,650 --> 00:29:03,330
 CI/CD Pipelines zu bewerten? Und da stehen dann im Wesentlichen Sachen drin

353
00:29:03,330 --> 00:29:08,610
 wie Deployment Frequency oder Lead Time for Changes oder Time to Restore Service

354
00:29:08,610 --> 00:29:13,530
 oder Change Failure Rate. Das sind die einzigen Parameter. Das heißt, an diesen

355
00:29:13,530 --> 00:29:19,210
 Parametern, das ist das einzige, was Google für sich misst, weil viel mehr auch nicht

356
00:29:19,210 --> 00:29:26,010
 messbar ist. Also können wir jetzt einfach mal anfangen, das in die Standards

357
00:29:26,010 --> 00:29:30,090
 reinzuschreiben, die wir haben. Bedauerlicherweise haben wir im Moment,

358
00:29:30,090 --> 00:29:34,690
 das ist tatsächlich bestätigt vom BSI, BSI hat weder eine richtige Cloud-Strategie

359
00:29:34,690 --> 00:29:40,810
 noch eine Supply Chain-Strategie. Es gibt also jetzt die ersten

360
00:29:40,810 --> 00:29:45,450
 brauchbaren Container und Kubernetes-Bausteine. Die ersten zwei, die sie

361
00:29:45,450 --> 00:29:49,330
 produziert haben als Grundschutz-Bausteine, waren Schrott. Die waren einfach

362
00:29:49,330 --> 00:29:55,450
 kompletter Unse. Was man dann auch sieht, es fehlen hier noch ganz viele Sachen.

363
00:29:55,450 --> 00:29:58,450
 Also wir haben überhaupt keine Definition, was ist die Sicherheit von

364
00:29:58,450 --> 00:30:03,050
 Deployment Pipelines. Wir haben sowas nicht wie Signatur-Richtlinien von

365
00:30:03,050 --> 00:30:07,570
 Containern. Natürlich dürfen Container, also die Software-Container nur

366
00:30:07,570 --> 00:30:10,690
 ausgeliefert werden, wenn sie irgendwie vernünftig abgesichert und signiert sind.

367
00:30:10,690 --> 00:30:15,550
 Wir haben ja noch nicht mal ein Let's Encrypt für die Verwaltung.

368
00:30:15,550 --> 00:30:21,150
 RFC 8555, das ist alles, was eigentlich eingerichtet werden muss als

369
00:30:21,150 --> 00:30:26,130
 umgebende Infrastruktur. Alles das hat Sicherheitsimplikationen.

370
00:30:26,130 --> 00:30:32,410
 Das muss gelöst und geregelt werden. Was wir eigentlich in Zukunft anstreben, ist,

371
00:30:32,410 --> 00:30:38,530
 dass wir in der Lage sind, sowas zu machen wie in Open Source Software, Time to Fix

372
00:30:38,530 --> 00:30:44,050
 sind 24 Stunden inklusive Tests und wenn wir dann einen geprüften und getesteten

373
00:30:44,050 --> 00:30:47,490
 Container haben, können wir den in 20 Minuten überall deployen.

374
00:30:47,490 --> 00:30:51,570
 Die 20 Minuten habe ich noch aus der Immobilienscout-Zeit mitgebracht.

375
00:30:51,570 --> 00:30:55,290
 20 Minuten, wir können auch in fünf Minuten deployen, aber 20 Minuten brauche

376
00:30:55,290 --> 00:31:00,330
 ich, um das Deployment anzustoßen, an der Kaffeemaschine vorbeizugehen und zum

377
00:31:00,330 --> 00:31:03,330
 Betrieb zu laufen und zu gucken, ob wir da noch irgendwelche anderen Schäden

378
00:31:03,330 --> 00:31:09,170
 angerichtet haben. Das lässt sich alles machen.

379
00:31:09,170 --> 00:31:16,530
 Ja, was haben wir noch in den Clouds? Also das ist alles halbwegs modern.

380
00:31:16,530 --> 00:31:20,210
 Was wir auch gesehen haben, ist in dieser deutschen Verwaltungsstrategie, da gab es

381
00:31:20,210 --> 00:31:27,270
 also auch durchaus ein Hin und Her. Was man da reinschreiben musste, war zum

382
00:31:27,270 --> 00:31:32,810
 Beispiel, dass digitale Souveränität, das lieben die Juristen, dass das nicht

383
00:31:32,810 --> 00:31:37,970
 nur heißt, dass das Rechenzentrum in Deutschland steht, sondern dass gefälligst

384
00:31:37,970 --> 00:31:42,770
 auch die Schlüssel und die Krypto-Algorithmen austauschbar sein müssen

385
00:31:42,770 --> 00:31:46,010
 für die Verwaltung. Das heißt, ich kann mich nicht auf Krypto-Algorithmen

386
00:31:46,010 --> 00:31:49,170
 anderer Hersteller verlassen, ich muss sie selber bestimmen können. Wenn ich

387
00:31:49,170 --> 00:31:57,130
 die Idee habe, hier was aus der Sekunet und Pluto-Ecke von Siemens

388
00:31:57,130 --> 00:32:02,790
 kommt, nationale Kryptografie zu machen, das heißt eigene, nicht veröffentlichte

389
00:32:02,790 --> 00:32:07,050
 Krypto-Algorithmen, dann muss ich die auch ausrollen können und spätestens da

390
00:32:07,050 --> 00:32:13,970
 waren dann auch die Leute vom BWI sehr dafür. Das heißt, wir haben hier in der

391
00:32:13,970 --> 00:32:19,490
 deutschen Verwaltungsstrategie etwas, was wirklich dafür sorgt, dass die

392
00:32:19,490 --> 00:32:23,570
 Krypto, jedenfalls im Prinzip auf dieser Flughöhe, das muss natürlich alles

393
00:32:23,570 --> 00:32:27,770
 implementiert werden, unter der Kontrolle der Verwaltung ist oder unter Kontrolle

394
00:32:27,770 --> 00:32:33,890
 des BSI. Das hat dann eine Diskussion gegeben, also das hat eineinhalb Jahre

395
00:32:33,890 --> 00:32:37,890
 gedauert, bis das veröffentlicht wurde, dann haben wir vier Monate gedauert, bis

396
00:32:37,890 --> 00:32:42,330
 das alle gelesen haben und dann kamen auf einmal die drei großen Hyperscaler

397
00:32:42,330 --> 00:32:47,690
 und die Bitkom an und sagen, die deutsche Verwaltungsstrategie

398
00:32:47,690 --> 00:32:51,810
 will die Public Clouds verbieten. Nein, das geht auch in Public Clouds, aber ihr

399
00:32:51,810 --> 00:32:57,690
 müsst es halt hinkriegen. Ja, was haben wir hier angerichtet?

400
00:32:57,690 --> 00:33:04,810
 Wir haben jetzt also eine Schachtel DevOps gemacht in dieser

401
00:33:04,810 --> 00:33:10,650
 Version, also ganz viel Jaml, wenn euch die Augen bluten von Spaces, dann habt ihr

402
00:33:10,650 --> 00:33:15,210
 wahrscheinlich zu viel Jaml editiert und dann findet man hier, wir haben

403
00:33:15,210 --> 00:33:22,370
 diese Evolution gemacht, mal gucken was rauskommt.

404
00:33:22,370 --> 00:33:29,930
 Zusätzlich, ich gehe da jetzt schnell durch, haben wir den

405
00:33:29,930 --> 00:33:36,090
 Safarin Tech Fonds eingerichtet, das sind drei Frauen, die mit ein bisschen

406
00:33:36,090 --> 00:33:41,450
 Hilfe einfach mal die entsprechenden Budgets bereitgestellt haben, wenn wir

407
00:33:41,450 --> 00:33:44,850
 uns das angucken. Ich habe da also für diese Studie mit den

408
00:33:44,850 --> 00:33:49,690
 entsprechenden Softwareleuten, mit insgesamt vier Leuten ein Interview

409
00:33:49,690 --> 00:33:54,630
 gemacht und alle haben irgendwie gesagt, ja wir stoßen auf dieses Problem, alle

410
00:33:54,630 --> 00:33:58,570
 moderne Infrastruktur das gleich viermal zu erleben, an vier verschiedenen Stellen.

411
00:33:58,570 --> 00:34:07,290
 Das war bei GPG, das war bei Python, das war bei K9 für Android und das war für

412
00:34:07,290 --> 00:34:11,330
 Alpine Container. Die sagen alle, ja wir sind gut ausgestattet.

413
00:34:11,330 --> 00:34:16,450
 Dann fragt man nach den Prozessen, wie macht ihr eure Qualitätssicherung,

414
00:34:16,450 --> 00:34:19,290
 wie seid ihr mit dem letzten Audits umgegangen, wir haben den Code noch nicht

415
00:34:19,290 --> 00:34:23,170
 eingearbeitet. Wir hatten einen Audit, der von Red Hat bezahlt wurde, aber wir

416
00:34:23,170 --> 00:34:28,210
 hatten keine Ressourcen das einzuarbeiten. Das war also die

417
00:34:28,210 --> 00:34:32,610
 erschreckendste Antwort, dann sage ich, ihr seid halt nicht gut ausgestattet, weil ihr

418
00:34:32,610 --> 00:34:36,290
 halt die elementaren Sicherheitsprozesse nicht hinbekommt.

419
00:34:36,290 --> 00:34:40,490
 Also es heißt nicht nur Code strullen, sondern es heißt auch Code sicher

420
00:34:40,490 --> 00:34:44,690
 verwalten, Code sicher kriegen und Code sicher halten.

421
00:34:44,690 --> 00:34:50,210
 Wenn man sich die Projekte anguckt, die der Sovereign Tech Fond macht, da ist also Open

422
00:34:50,210 --> 00:34:54,850
 MLS bei, also Message Layer Security, das hat jetzt ein RFC gekriegt, das haben die

423
00:34:54,850 --> 00:34:59,890
 geerbt vom Prototype Fond. Da ist aber auch so was bei wie

424
00:34:59,890 --> 00:35:06,410
 die Verbesserung der Infrastruktur von JavaScript und von Python, wenn man

425
00:35:06,410 --> 00:35:15,090
 die Hochschulprofessoren für IT Security fragt, die fassen JavaScript nicht an.

426
00:35:15,090 --> 00:35:18,530
 Was man verstehen kann, das löst aber unser Problem nicht.

427
00:35:18,530 --> 00:35:21,610
 Das heißt, ich bin relativ dankbar, dass sie das machen, da sind auch ein paar

428
00:35:21,610 --> 00:35:25,010
 Exoten dabei, ich wusste gar nicht, dass Fortran einen Package Manager hat und

429
00:35:25,010 --> 00:35:29,770
 der supported werden muss. Die Älteren unter uns erinnern sich an Fortran, aber

430
00:35:29,770 --> 00:35:33,770
 das ist praktisch in jeder KI-Anwendung drin, weil Python das exzessiv benutzt

431
00:35:33,770 --> 00:35:40,410
 unten drunter. Python ist eigentlich nur Glue Code. Zenlys, wie gesagt, frisch

432
00:35:40,410 --> 00:35:47,610
 gegründet mit genau einem Geschäftsführer, Andreas Rekert-Lodde, wird

433
00:35:47,610 --> 00:35:54,450
 in Bochum eingerichtet. Was er so erklärt ist, dass das

434
00:35:54,450 --> 00:35:59,170
 Bundesministerium nicht in den Markt eingreifen darf. Er selbst darf nur

435
00:35:59,170 --> 00:36:06,290
 Talks halten innerhalb der Verwaltung und jetzt darf er auch als

436
00:36:06,290 --> 00:36:12,090
 Geschäftsführer auf der Froscon auftauchen und da erzählen, guckt euch

437
00:36:12,090 --> 00:36:19,330
 den Vortrag, wenn ihr da interessiert seid, im Detail an. Es ist also wirklich ein

438
00:36:19,330 --> 00:36:24,530
 Sprung jetzt, wo wir hoffen, dass das alles erfolgreich ist.

439
00:36:24,530 --> 00:36:27,850
 Ich selber bin so ein bisschen parteiisch hier, also ich bin im souveränen

440
00:36:27,850 --> 00:36:32,850
 Arbeitsplatz, der jetzt OpenDesk enthält. Der basiert irgendwie auf dem

441
00:36:32,850 --> 00:36:36,370
 Phoenix-Projekt von Dataport, ist aber jetzt die Cloud-Native-Version. Das heißt,

442
00:36:36,370 --> 00:36:40,850
 es klingt nach einem deutlichen Umbau. Also da werden nicht viel

443
00:36:40,850 --> 00:36:47,250
 Steine auf den anderen bleiben. Es wird Cloud-Native-Kubernetes sein,

444
00:36:47,250 --> 00:36:52,090
 DVS-konform, kann überall selber gehostet werden, also in der Basisversion, in

445
00:36:52,090 --> 00:36:55,570
 dem Minikube auf eurem Arbeitsplatzrechner oder auf eurem Laptop.

446
00:36:55,570 --> 00:37:01,970
 Das ist also das Ziel, die Deployment-Pipeline komplett auf OpenCode und

447
00:37:01,970 --> 00:37:06,450
 womit kämpfen wir im Moment? Ja, wir müssen im Prinzip jedes Produkt

448
00:37:06,450 --> 00:37:11,370
 austauschbar machen. Also es ist nicht nur Jitsi drin, es ist entweder Jitsi oder

449
00:37:11,370 --> 00:37:15,290
 BigBlueButton oder irgendwas anderes drin. Matrix ist drin von Element.

450
00:37:15,290 --> 00:37:19,530
 Es gibt aber Behörden, die sagen, die hätten lieber was anderes. Dann muss man

451
00:37:19,530 --> 00:37:25,250
 dann halt schauen, dass das alles passt. Das hat mich dann dazu gebracht,

452
00:37:25,250 --> 00:37:28,570
 irgendwie, ja wir haben jetzt nicht mehr den Jahr des Linux-Desktops, sondern wir

453
00:37:28,570 --> 00:37:34,770
 haben den Jahr des Desktops im Browser. Mal gucken, das soll

454
00:37:34,770 --> 00:37:41,090
 Ende des Jahres, also in der betreibbaren Version, Basisversion auf OpenCode.de

455
00:37:41,090 --> 00:37:44,890
 auftauchen. Die ersten Leute sagen, sie haben schon was installiert.

456
00:37:44,890 --> 00:37:51,410
 Das sind die Randbedingungen. Ganz viel Container, Helmcharts, das ist der Jaml-Teil.

457
00:37:51,410 --> 00:37:55,690
 Das ist also wirklich nicht angenehm, aber kein Konfigurationsmanagement.

458
00:37:55,690 --> 00:37:59,810
 Das System war bisher angenehm. Es ist BSE-konform. BSE arbeitet also mit im

459
00:37:59,810 --> 00:38:07,170
 Sinne von DevSecOps. Was wir sehen, wir zwingen die kleinen Open-Source-Hersteller

460
00:38:07,170 --> 00:38:11,370
 ihre Kronjuwelen Open-Source zu machen. Also für Google ist sowas wie

461
00:38:11,370 --> 00:38:13,850
 Kubernetes überhaupt kein Problem, das Open-Source zu stellen.

462
00:38:13,850 --> 00:38:18,090
 Aber wenn jetzt ein kleiner Hersteller sagt, mein Geschäftsmodell hängt davon

463
00:38:18,090 --> 00:38:21,650
 ab und das ist mein einziges Produkt, da gibt es natürlich die entsprechenden

464
00:38:21,650 --> 00:38:27,610
 Bedenken. Wir müssen das hinkriegen.

465
00:38:27,610 --> 00:38:33,650
 Großer Promoter von Open-Source ist die Bundeswehr über ihren Dienstleister BWI GmbH.

466
00:38:33,650 --> 00:38:37,370
 Ich wusste gar nicht, dass die irgendwie das Herkules-Projekt

467
00:38:37,370 --> 00:38:43,970
 überlebt haben und dann noch einen positiven Turn gemacht haben.

468
00:38:43,970 --> 00:38:51,370
 Die Interviews von BWI und von Element gibt es bei Heise.

469
00:38:51,370 --> 00:38:57,650
 Die sind halt sehr Cloud-Native-affin und die sind auch sehr Open-Source-affin.

470
00:38:57,650 --> 00:39:04,810
 Das ist jetzt ein Wimmelbild geworden, was wir also hier sehen. Der blaue Teil,

471
00:39:04,810 --> 00:39:12,210
 das ist hier Message Layer Security. Da haben mitgewirkt, meiner Meinung nach,

472
00:39:12,210 --> 00:39:17,290
 mindestens das Server-In-Tech von der Prototype. BWI fordert das. Das wird jetzt von

473
00:39:17,290 --> 00:39:25,130
 Element in Matrix implementiert und diese Verwaltungsstrategie kommt aus dem

474
00:39:25,130 --> 00:39:30,730
 IT-Planungsrat. Das sind also oben ganz klein 16 Länder und der Bund.

475
00:39:30,730 --> 00:39:37,770
 Das ist dieses schwerfällige Gremium, was entscheidet. Das hat diese deutsche

476
00:39:37,770 --> 00:39:41,570
 Verwaltungsstrategie geschrieben, wo Open-Source eigentlich bevorzugt jetzt ist.

477
00:39:41,570 --> 00:39:48,090
 Und damit müssen wir an der Stelle umgehen. Der Vorteil ist, wenn da 16

478
00:39:48,090 --> 00:39:52,450
 Bundesländer und der Bund entscheiden, ist das auch relativ schwer umkehrbar.

479
00:39:52,450 --> 00:39:57,210
 Es wird natürlich die entsprechenden Versuche geben. Also das erste, was da

480
00:39:57,210 --> 00:40:02,850
 rausgekommen ist, Message Layer Security jetzt mit RFC. Eigentlich ist das

481
00:40:02,850 --> 00:40:10,050
 Schachmat für Open-Source, aber ich hoffe, dass wir nicht mit Taubenschach

482
00:40:10,050 --> 00:40:16,570
 spielen. Wer dieses Bild kennt, weiß, dass das manchmal passieren kann.

483
00:40:16,570 --> 00:40:23,290
 Hier sieht man uns beim Entwurf einer Verwaltungsstrategie. Wo bleibt

484
00:40:23,290 --> 00:40:26,210
 eigentlich das Online-Zugangsgesetz? Ich mache hier einfach mal schneller. Das war

485
00:40:26,210 --> 00:40:31,970
 auf der Republika. Das ist entstanden vor diesem ganzen Kram und ist jetzt in

486
00:40:31,970 --> 00:40:37,850
 Version 2.0 gescheitert. Wenn die sich nicht an die Software Factory halten, dann

487
00:40:37,850 --> 00:40:44,570
 wird das auch in Version 3.0 und 4.0 scheitern. Das ist mit Ansage. Haushaltskürzungen

488
00:40:44,570 --> 00:40:48,130
 hat es gegeben. Ich überblicke das Ganze noch nicht so sehr, weil das ist

489
00:40:48,130 --> 00:40:51,370
 teilweise einfach mittel umgeschichtet worden. Das ging aber

490
00:40:51,370 --> 00:40:55,490
 durch die Medien. Ja und wenn wir Desktop sagen, wir haben

491
00:40:55,490 --> 00:41:00,010
 ja übrigens auch bereits ein lauffähiges in sicherheitskritischen Umgebungen

492
00:41:00,010 --> 00:41:06,130
 zertifiziertes Desktop. Das ist von V&C Laguna. Bernd ist hier, bevor ich hier das

493
00:41:06,130 --> 00:41:11,090
 Verkaufsgespräch beginne, fragt ihn lieber. Das heißt, wir haben insgesamt

494
00:41:11,090 --> 00:41:17,090
 vier Lösungen, die in verschiedener Ausprägung mit verschiedenen Details es

495
00:41:17,090 --> 00:41:22,410
 erlauben, eigene Clouds aufzusetzen. Es gibt also wenige Gründe noch jetzt

496
00:41:22,410 --> 00:41:28,690
 irgendwelche anderen Clouds zu machen, außer die Politiker wollen das.

497
00:41:28,690 --> 00:41:33,970
 Das sind tatsächlich Sachen, die man beobachten muss.

498
00:41:33,970 --> 00:41:38,890
 Bianca ist hier, die hat für die Gesundheitsämter das Ganze schon

499
00:41:38,890 --> 00:41:43,690
 abgefeuert und der Talk war auch auf der FrostCon.

500
00:41:43,690 --> 00:41:47,370
 Wir haben da auch so ein bisschen gezeigt, dass man Container relativ

501
00:41:47,370 --> 00:41:53,530
 einfach signieren kann. Jetzt in der neueren Version mit Lukas.

502
00:41:53,530 --> 00:41:59,410
 Das ist also Software, die ist ausgerollt in 100 Gesundheitsämtern und Bianca

503
00:41:59,410 --> 00:42:03,250
 fragt natürlich, wie hätte das denn anders als mit Open Source gehen sollen.

504
00:42:03,250 --> 00:42:09,330
 Da ist alles drin, Zero Trust, Datenschutz, Betriebsmodelle und jetzt komme ich zum

505
00:42:09,330 --> 00:42:12,650
 Schluss, wenn noch Fragen sind. Ich bin hier noch die nächsten Tage. Fragt mich

506
00:42:12,650 --> 00:42:18,530
 halt, sonst schickt mir Mails und ich habe eine Konferenz organisiert im

507
00:42:18,530 --> 00:42:23,890
 September über Open Source Security in Berlin.

508
00:42:23,890 --> 00:42:36,130
 Vielen Dank für den Talk. Ich glaube, wir haben tatsächlich noch Zeit für ungefähr genau eine Frage.

509
00:42:36,130 --> 00:42:40,690
 Oder zwei oder drei, je nachdem wie lange antworten.

510
00:42:40,690 --> 00:42:46,410
 Die ist auch relativ kurz, aber sie ist aufgeladen. Wir steuern langsam aber sicher auf den

511
00:42:46,410 --> 00:42:50,850
 Cyber Resilience Act zu und in ihm sind verschiedene Implikationen, die dafür

512
00:42:50,850 --> 00:42:54,450
 sorgen könnten, dass Open Source Entwicklung auf jeder Ebene und auch auf

513
00:42:54,450 --> 00:42:57,890
 verwaltungsstrategischer in die Bredouille kommen könnte. Wenn wir in

514
00:42:57,890 --> 00:43:03,690
 kritischen Komponenten Stufe 2 landen, dann sind wir da, wo eine CE-Kennzeichnung

515
00:43:03,690 --> 00:43:08,890
 durch dritte Audits gemacht werden muss. Habt ihr bereits Mechanismen, mit denen ihr

516
00:43:08,890 --> 00:43:12,930
 dieser Bedrohung begegnen könnt? Ich treffe morgen Mirko Böhm von der

517
00:43:12,930 --> 00:43:16,610
 Lenox Foundation Europe, die sich da sehr intensiv darum kümmern. Das ist ein

518
00:43:16,610 --> 00:43:19,410
 europäisches Problem. Es geht im Wesentlichen um die

519
00:43:19,410 --> 00:43:23,970
 Definition des Begriffs Commercial. Das ist ein echter Watzlawick. Was heißt

520
00:43:23,970 --> 00:43:30,330
 Commercial in dem Zusammenhang? Die Juristen wollen jede Aktivität, auch

521
00:43:30,330 --> 00:43:33,290
 diese hier ist eigentlich kommerziell, weil ich bin Freiberufler, ich mache hier Werbung,

522
00:43:33,290 --> 00:43:37,650
 als Commercial deklarieren und das ist natürlich nicht im Sinne des Erfinders.

523
00:43:37,650 --> 00:43:41,610
 Ich weiß aber nicht, was da jetzt gerade raus ist. Ich hoffe, ich erfahre morgen

524
00:43:41,610 --> 00:43:46,290
 genaueres. Aber diese CAA, ich halte ihn, also ich schwanke inzwischen so zwischen,

525
00:43:46,290 --> 00:43:50,930
 ist eigentlich völlig harmlos, ist nur ein Missverständnis und es ist ein sehr

526
00:43:50,930 --> 00:43:55,570
 ernster Angriff auf Open Source. Ich weiß es halt nicht, wie die Kämpfe da

527
00:43:55,570 --> 00:43:58,610
 hinter den Kulissen sind. Hinter den Kulissen laufen manchmal sehr

528
00:43:58,610 --> 00:44:04,250
 unfaire Kämpfe. Danke, der Signal Angel hat noch eine Frage aus dem Internet.

529
00:44:04,250 --> 00:44:09,290
 Matthias möchte gerne wissen, was ist die Rolle der Bundes-Cloud in diesem

530
00:44:09,290 --> 00:44:12,930
 Konstrukt in Bezug auf OpenDesk, Hyperscaler und so weiter?

531
00:44:12,930 --> 00:44:18,030
 Er fragt hier, die wollen das ja selber hosten. Genau, das kann also, das ist

532
00:44:18,030 --> 00:44:21,170
 wahrscheinlich das ITDZ Bund, dass er selber hosten kann. Da müssen die

533
00:44:21,170 --> 00:44:25,170
 Kompetenzen aufbauen. Ein Kubernetes Cluster, dass ich da hinstelle, dann können die das

534
00:44:25,170 --> 00:44:29,170
 alles machen. Kubernetes Cluster hinstellen ist nicht die trivialste Arbeit, wenn ich

535
00:44:29,170 --> 00:44:33,930
 nicht einfach ganz klein auf meinem Laptop installiere. Das ist halt ein

536
00:44:33,930 --> 00:44:38,330
 richtiges Rechenzentrum. Also Kubernetes hat die Komplexität eines Rechenzentrums,

537
00:44:38,330 --> 00:44:42,890
 das müssen die dann machen. Dann haben die aber eine private Cloud und dann

538
00:44:42,890 --> 00:44:48,850
 müssen die richtig verwalten. Also die Security davon ist auch nicht ohne.

539
00:44:48,850 --> 00:44:54,410
 Was ich hier so leicht angedeutet habe, ist in der Realität eine ganze Menge Arbeit.

540
00:44:54,410 --> 00:44:59,890
 Und die letzte Frage aus dem Publikum. Es gibt ja so tausende kleine Projekte

541
00:44:59,890 --> 00:45:03,890
 und so Wimmelbilder von Dingen. Hast du den Eindruck, dass das im Ganzen

542
00:45:03,890 --> 00:45:07,210
 koordiniert wird als Open-Source-Strategie oder hat das Kanzleramt noch keinen

543
00:45:07,210 --> 00:45:11,490
 Überblick darüber? Also so Dinge wie Vergaberecht und die VBT und

544
00:45:11,490 --> 00:45:14,530
 Verwaltungsstrategie und Dinge, die müssen ja irgendwie miteinander

545
00:45:14,530 --> 00:45:18,450
 zusammenpassen, damit du halt dann nicht am Ende auf die Laufhälfte fährst.

546
00:45:18,450 --> 00:45:23,170
 Die Leute entdecken das gerade und da werden natürlich irgendwie

547
00:45:23,170 --> 00:45:27,450
 triviale Sachen landen neben ganz wichtigen Dingen. Das wird so

548
00:45:27,450 --> 00:45:32,730
 wie auf GitHub, aber im Grunde kann man sich darauf verlassen, dass es einfach

549
00:45:32,730 --> 00:45:36,050
 gewisse gesetzliche Regularien hat. Die Projekte dürfen auch nicht verwaist sein

550
00:45:36,050 --> 00:45:39,290
 oder so und da muss also auch jemand hinter stehen.

551
00:45:39,290 --> 00:45:43,850
 Es muss auch Bezug zur öffentlichen Verwaltung haben.

552
00:45:43,850 --> 00:45:50,210
 Also das findet sich gerade, das dauert halt. Ich bin da durchaus

553
00:45:50,210 --> 00:45:54,250
 optimistisch, aber manchmal frage ich mich auch, muss das jetzt auf Open Code stehen.

554
00:45:54,250 --> 00:46:00,690
 Aber es gibt keine zentrale Stelle, es gibt nur so einen Blick,

555
00:46:00,690 --> 00:46:05,330
 ist das jetzt aus der Verwaltung initiiert worden oder aus dem

556
00:46:05,330 --> 00:46:10,450
 verwaltungsnahen Umfeld. Mehr gibt es eigentlich nicht und irgendwann wird man

557
00:46:10,450 --> 00:46:16,010
 halt dieses Jaml-File verlangen, Public Code, dass man sagt,

558
00:46:16,010 --> 00:46:19,970
 wofür ist das gut, kann ich das einsetzen und dann hoffentlich danach suchen können.

559
00:46:19,970 --> 00:46:24,850
 Dann vielen Dank für den Talk, fragen gerne weiter dann draußen und gerne

560
00:46:24,850 --> 00:46:27,690
 noch mal eine Runde Applaus.

561
00:46:27,690 --> 00:46:41,490
 [Applaus]