Deutschland-Stack: Mit über 50 offenen Standards zur souveränen Verwaltung

Inhaltsverzeichnis

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Wer in Deutschland eine Verwaltungsleistung digital nutzen will, stößt schnell auf ein Grundproblem: 16 Bundesländer, hunderte Kommunen und der Bund betreiben jeweils eigene IT-Systeme, die oft nicht miteinander sprechen können. Unterschiedliche Formate, proprietäre Schnittstellen, gewachsene Insellösungen – die technische Fragmentierung der deutschen Verwaltung ist einer der Hauptgründe dafür, dass die Digitalisierung des Staates seit Jahren stockt.

Der IT-Planungsrat – das zentrale politische Steuerungsgremium für die Verwaltungsdigitalisierung von Bund und Ländern – hat nun einen Versuch unternommen, dieses Problem grundsätzlich anzugehen. Mit B-2026/03-IT hat der IT-Planungsrat für den Deutschland-Stack einen verbindlichen Standardrahmen beschlossen. Bund, Länder und Kommunen sollen die Stack-Lösungen bei Neu- und Weiterentwicklungen gemäß Portfolio nutzen.

Das Papier, vorgelegt vom Bundesministerium für Digitales und Staatsmodernisierung, gliedert die gesamte IT-Architektur der Verwaltung in sieben Schichten – von der virtualisierten Infrastruktur ganz unten bis zur künstlichen Intelligenz ganz oben. Für jede Schicht benennt es konkrete Standards, die als souverän gelten sollen: also offen, herstellerunabhängig und interoperabel. Gleichzeitig listet es in jeder Schicht explizit auf, wo noch Festlegungsbedarf bestehen – hier fehlen also Standards.

Im Ergebnis ist das Dokument in seiner Breite und seinem Detailgrad ungewöhnlich konkret für die sonst eher vorsichtige Standardisierungspolitik der deutschen Verwaltung. Es reicht von Dateiformaten wie ODF über Cloud-Standards wie OpenStack und Sovereign Cloud Stack bis hin zu KI-Agenten-Protokollen, die teils erst wenige Monate alt sind.

Daten und Dokumente: ODF statt MS Office

Den Kern des Stacks bildet die Schicht semantische Technologien, die den Umgang mit Daten und Dokumenten regelt. Hier finden sich die meisten Standards und einige bemerkenswerte Entscheidungen.

Bei den Dokumentenformaten setzt der IT-Planungsrat auf das Open Document Format (ODF), den offenen ISO-Standard für Textdokumente, Tabellen und Präsentationen. ODF wird nativ zum Beispiel von LibreOffice unterstützt und gilt seit Jahren als wichtigster Hebel gegen die Abhängigkeit von Microsoft Office. Dass ODF im Stack steht, ist keine Überraschung: Der IT-Planungsrat hatte bereits im März 2025 beschlossen, dass offene Formate wie ODF in der Verwaltung zunehmend verwendet und bis 2027 zum Standard für den Dokumentenaustausch werden sollen.

Auffällig ist die Wahl von PDF/UA statt PDF/A. PDF/UA ist der ISO-Standard 14289 für barrierefreie PDFs. Dass der Stack dieses Format nennt, passt zum regulatorischen Umfeld: Das BFSG setzt den European Accessibility Act um und ist grundsätzlich seit dem 28. Juni 2025 anzuwenden. Barrierefreiheit hat also Vorrang vor reiner Archivierungsfähigkeit.

Für den Datenaustausch setzt der Stack auf bewährte Web-Standards: JSON, XML und CSV als Formate, ergänzt um SQL sowie die offenen Datenbankschnittstellen ODBC und JDBC für herstellerunabhängigen Datenbankzugriff. Für die semantische Vernetzung von Daten kommen die W3C-Standards RDF, OWL, SPARQL, SKOS und DCAT zum Einsatz – das klassische Instrumentarium des Semantic Web, das unter anderem die Grundlage für das Open-Data-Portal GovData bildet. Das OAI-PMH-Protokoll ergänzt den Katalog für den Metadatenaustausch zwischen Archiven und Repositorien.

Was allerdings auffällt: Für modernere Formen der Datenhaltung – Vektordatenbanken, Graphdatenbanken, dokumenten- und objektorientierte Systeme – gibt es noch keine Festlegungen. Ebenso fehlen Standards für Datenmodellierung, -integration, -auswertung und -visualisierung sowie für harmonisierte Fachdatenräume. Gerade letztere wären entscheidend, um den Datenaustausch – beispielsweise von Personendaten – zwischen Fachverfahren verschiedener Behörden zu standardisieren.

Cloud und Infrastruktur: SCS als Fundament

Auf der Infrastrukturebene definiert der Stack zwei Schichten. Virtualisierte softwarebasierte Infrastruktur regelt als unterste Schicht die Netzwerkebene mit dem MEF-70-Standard für Software-Defined Wide Area Networks (SD-WAN) und Network Function Virtualization (NFV) nach ETSI-Standard. Beides zielt darauf ab, die Vernetzung von Behördenstandorten softwarebasiert und flexibel zu gestalten, statt auf proprietäre Hardware-Appliances zu setzen. Für Software-Defined Storage und die Verwaltung virtueller Maschinen fehlen allerdings noch Standards.

Die darüberliegende Cloud-Schicht benennt drei zentrale Pfeiler: die Standards der Deutschen Verwaltungscloud (DVC), OpenStack als Open-Source-Cloud-Plattform und den Sovereign Cloud Stack (SCS). Der Sovereign Cloud Stack, entwickelt von der Open Source Business Alliance (OSBA) und ehemals vom Bundeswirtschaftsministerium gefördert, baut auf OpenStack und Kubernetes auf und definiert einen vollständig offenen, interoperablen Cloud-Technologiestack.

Dass der SCS im Deutschland-Stack steht, lässt aufhorchen: Die Bundesförderung für das Projekt war ausgelaufen, was in der Open-Source-Community für erhebliche Kritik gesorgt hatte. Die Aufnahme in den verbindlichen Standardkatalog könnte dem Projekt neuen Rückenwind geben.

Ergänzt wird die Cloud-Schicht durch die EVB-IT – die Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen, also die Standardvertragsmuster der öffentlichen Hand. Allerdings fehlen noch standardisierte Service-Level-Vereinbarungen für praktisch alle relevanten Betriebsbereiche: Compute, Storage, Kommunikation, Logging, Backup, Support, Kostenberechnung und Performance Management.

Moderne Softwareentwicklung wird Verwaltungsstandard

Die umfangreichste Schicht des gesamten Stacks ist die des integrierten Lebenszyklus (DevSecOps) und Schnittstellenmanagements. Sie liest sich wie das Toolset eines modernen Software-Engineering-Teams.

Für die Softwareentwicklung werden Git als Versionskontrollsystem, CI/CD-Pipelines für automatisierte Build- und Deployment-Prozesse, Infrastructure as Code (IaC) und Policies as Code (PaC) als Standards festgelegt. Besonders hervorzuheben ist die Aufnahme von SBOM (Software Bill of Materials), also maschinenlesbare Stücklisten aller Softwarekomponenten, die für die Absicherung von Software-Lieferketten entscheidend sind. Ergänzt wird dies durch OWASP, das Open Web Application Security Project, als Rahmenwerk für Webanwendungssicherheit.

Für das Schnittstellenmanagement definiert der Stack ein breites API-Ökosystem: REST und OpenAPI als Basis, ergänzt um gRPC für hochperformante Service-to-Service-Kommunikation, GraphQL für flexible Datenabfragen und MQTT als leichtgewichtiges Messaging-Protokoll, das vor allem für IoT-Szenarien und Smart-City-Anwendungen relevant ist. Kubernetes wird als Standard für Container-Orchestrierung festgelegt.

Als vorausgesetzte Basisprotokolle nennt das Dokument IPv6, HTTPS, FTPS, SMTPS und QUIC. Das noch junge Transportprotokoll liegt HTTP/3 zugrunde, das sich im Internet zunehmend durchsetzt. Dass QUIC explizit als vorausgesetztes Protokoll genannt wird, ist für ein Verwaltungsdokument ungewöhnlich progressiv.

Auch hier gibt es offene Baustellen: Standards für Observability, Security-Tooling (SIEM, IDS, EDR), statische und dynamische Codeanalyse sowie für Package Management, Service Mesh und Service Discovery fehlen noch.

IT-Sicherheit: Post-Quanten-Kryptografie fest eingeplant

Die IT-Sicherheitsschicht kombiniert bewährte Rahmenwerke mit zukunftsgerichteten Kryptografiestandards. Als übergreifende Rahmenwerke dienen der BSI IT-Grundschutz, die Technischen Richtlinien des BSI und der C5-Katalog (Cloud Computing Compliance Criteria Catalogue). Hierbei handelt es sich komplett um etablierte Instrumente, die bereits heute den Sicherheitsrahmen der Verwaltungs-IT bilden.

Bei der Kryptografie setzt der Stack auf die klassische Trias aus AES (symmetrische Verschlüsselung), RSA und ECC (asymmetrische Verfahren). Die eigentliche Nachricht steckt jedoch in einem vierten Standard: ML-KEM – der Module-Lattice-based Key Encapsulation Mechanism ist ein Post-Quanten-Standard für den Schlüsselaustausch. Er soll klassische Public-Key-Verfahren wie RSA und ECC in diesem Einsatzfeld langfristig ergänzen oder ablösen. Dass die deutsche Verwaltung Post-Quanten-Kryptografie bereits jetzt in ihren Standardkatalog aufnimmt, ist ein deutliches Signal: Man will vorbereitet sein, bevor kryptografisch relevante Quantencomputer Realität werden.

Für das Identitäts- und Zugriffsmanagement definiert der Stack einen vollständigen Protokollstapel: OAuth für tokenbasierte Autorisierung, OpenID Connect (OIDC) für föderierte Authentifizierung, JSON Web Token (JWT) als Token-Format und OTP-basierte Multi-Faktor-Authentifizierung. Dieser Stack eignet sich als technische Grundlage für föderierte Identitätsdienste.

Was noch fehlt, ist ein Format für Krypto-Agilität, also die Fähigkeit, kryptografische Verfahren schnell und systematisch auszutauschen, wenn sie kompromittiert werden. Angesichts der Post-Quanten-Thematik ist das eine nicht triviale Lücke.

KI-Agenten-Protokolle: Die größte Überraschung

Die wohl unerwartetste Schicht des Deutschland-Stacks ist die oberste: künstliche Intelligenz. Hier definiert der IT-Planungsrat vier Protokolle als Standard, die allesamt noch ziemlich jung sind.

Das Model Context Protocol (MCP), ursprünglich von Anthropic entwickelt, standardisiert den Zugriff von KI-Modellen auf externe Datenquellen und Werkzeuge – es wird oft als „USB-C für KI“ beschrieben. Das Agent2Agent Protocol (A2A), von Google initiiert, regelt die direkte Kommunikation zwischen KI-Agenten verschiedener Hersteller. Das Agent Network Protocol (ANP) ermöglicht die Vernetzung autonomer Agenten in dezentralen Netzwerken, und das Agent-User Interaction Protocol (AG-UI) standardisiert die Schnittstelle zwischen KI-Agenten und menschlichen Nutzern.

Dass ausgerechnet die traditionell konservative Verwaltungsstandardisierung Protokolle aufnimmt, die teils erst wenige Monate alt sind und deren Reifegrad in der Industrie noch diskutiert wird, ist ungewöhnlich. Ziel mag sein, dass man KI nicht hinterherlaufen, sondern von Anfang an auf offene, interoperable Standards setzen will. Trotzdem sind die offenen Festlegungsbedarfe in dieser Schicht besonders umfangreich: Es fehlen Standards für die Auswahl von Sprachmodellen, für Retrieval-Augmented Generation (RAG), für Responsible AI und Nachvollziehbarkeit sowie für den Austausch von Modellen und Trainingsdaten.

Trotz allem Muts beschreibt der Stack hier eher eine Richtung als eine fertige Architektur.

Die Leerstellen: LowCode ohne Matrix

Eine Schicht fällt aus dem Rahmen: Workflowautomatisierung (LowCode). Sie ist die einzige Ebene des Deutschland-Stacks, für die kein einziger Standard festgelegt wurde. Das Dokument vermerkt an der Stelle der Standards lediglich „/.“ und listet ausschließlich offene Festlegungsbedarfe auf: Formate für die Integration externer Lösungen, für den Export und Import von Modellen sowie für die plattformübergreifende Ausführung. Auffällig ist auch, dass etablierte Modellierungsstandards wie BPMN (Business Process Model and Notation) nicht einmal erwähnt werden.

Mindestens ebenso aufschlussreich wie die enthaltenen Standards ist das, was fehlt. Das Matrix-Protokoll für föderierte Kommunikation, das zum Beispiel bereits beim BwMessenger der Bundeswehr im Einsatz ist, taucht nicht auf – eine eigene Schicht für Kommunikation und Zusammenarbeit gibt es im Stack nicht. TLS 1.3 als konkreter Transportverschlüsselungsstandard wird nicht genannt – die BSI-Richtlinien decken das zwar implizit ab, eine explizite Festlegung fehlt jedoch. Und die Open Container Initiative (OCI), der offene Standard für Container-Formate, der Kubernetes zugrunde liegt, bleibt ebenfalls unerwähnt, obwohl Kubernetes selbst im Stack steht.

Bauplan oder Wunschzettel?

Der Deutschland-Stack ist in seiner Breite und seinem ambitionierten Niveau zunächst ein bemerkenswertes Dokument. Erstmals versucht die deutsche Verwaltung, ihre gesamte technische Architektur schichtübergreifend auf offene Standards zu verpflichten – von der Netzwerkvirtualisierung bis zur KI-Agenten-Kommunikation.

Gleichzeitig wirft das Papier Fragen auf. Die Verbindlichkeit des Beschlusses wird sich in der Praxis beweisen müssen. Die Erfahrungen mit früheren Standardisierungsbeschlüssen stimmen nicht uneingeschränkt optimistisch. Die langen Listen offener Festlegungsbedarfe in praktisch jeder Schicht zeigen, dass der Stack in weiten Teilen eher einen Rahmen absteckt als eine fertige Architektur liefert. Und die Aufnahme extrem junger KI-Protokolle steht in einem gewissen Spannungsverhältnis zur Stabilität, die man von Verwaltungsstandards erwarten würde.

Entscheidend wird sein, ob und wie schnell die offenen Festlegungsbedarfe gefüllt werden – und ob die beschlossenen Standards tatsächlich in Ausschreibungen, Beschaffungen und Fachverfahren ankommen. Denn ein Standardkatalog entfaltet seine Wirkung nicht durch den Beschluss, sondern durch die Umsetzung.

Der vollständige Beschluss ist auf der Webseite des IT-Planungsrats verfügbar.

(fo)