Neue Bewertung der Digitalen Souveränität und IT-Infrastruktur der LHM

Neue Bewertung der Digitalen Souveränität und IT-Infrastruktur der
LHM
Anfrage Stadträte Delija Balidemaj, Hans Hammer und Hans-Peter Mehling (Stadtratsfraktion der CSU mit FREIE WÄHLER) vom 5.12.2025

Antwort IT-Referentin Laura Dornheim:

Ihrer Anfrage haben Sie folgenden Sachverhalt vorausgeschickt:

„Die Digitalisierung der öffentlichen Verwaltung stellt nicht nur neue Anforderungen an Leistungsfähigkeit und Nutzerfreundlichkeit von IT-Systemen, sondern zunehmend auch an Sicherheit und Unabhängigkeit. Gerade in Zeiten geopolitischer Spannungen und wachsender regulatorischer Anforderungen¹ gewinnt die digitale Souveränität öffentlicher Institutionen an strategischer Bedeutung. In diesem Zusammenhang hat das IT-Referat am 15.10.25 im Anschluss an die Sitzung des IT-Ausschusses eine Präsentation zum Thema digitale Souveränität gehalten, der aus unserer Sicht einige Fragen aufgeworfen bzw. unbeantwortet gelassen hat.“
¹ https://digital-strategy.ec.europa.eu/de/policies/nis2-directive

Zu Ihren im Einzelnen gestellten Fragen kann ich Ihnen Folgendes mitteilen:

Frage 1:
Welches konkrete Bewertungsschema wurde im RIT herangezogen, um eingesetzte IT-Lösungen hinsichtlich ihrer digitalen Souveränität zu bewerten?

Antwort:
Das Bewertungsschema baut auf dem Schema² von Prof. Dr. Harald Wehnes, Professor für Informatik an der Universität Würzburg, auf, das durch das IT-Referat gemeinsam mit Prof. Jürgen Pfeffer, Lehrstuhl für Computational Social Science an der TU München und Mitglied des Digitalrates der LHM, konkretisiert wurde. Diesem Schema liegt die auch für den IT-Planungsrat und die Landeshauptstadt München gültige Definition von digitaler Souveränität³ des Fraunhofer-Instituts zugrunde. Hiernach richtet sich die Bewertung maßgeblich nach folgenden drei Kriterien:

- Selbstständigkeit: unabhängig von Anderen mit eigenen Fähigkeiten handeln können
- Selbstbestimmtheit: eigenständige Entscheidungen treffen können
- Sicherheit: Services und Daten sicher zur Verfügung stellen könnenDie daraus abgeleiteten Anforderungen sind:

- Wechselmöglichkeit: frei zwischen IT-Lösungen, IT-Komponenten und Anbieter wechseln können
- Gestaltungsfähigkeit: selbst über die Fähigkeiten und Kompetenzen verfügen, um IT-Lösungen zu verstehen und zu bewerten
- Einfluss auf Anbieter: durch Vergaberichtlinien und Partnermanagement Einfluss auf Lizenzmodelle und die Produkt-Roadmap nehmen können

Frage 2:
Welche rechtlichen und sicherheitstechnischen Vorgaben wurden bei der Bewertung und Auswahl von Kommunikationsdiensten berücksichtigt?

Antwort:
Bei der Einführung der aktuell im Einsatz befindlichen Kollaborations- und Videokonferenzplattform Webex im Jahr 2020 wurde ein IT-Security Assessment durchgeführt und auf die Einhaltung der gängigen Standards durch entsprechende Zertifizierungen wie BSI C5 oder ISO 27001 geachtet. Rechtlich wurden alle Verträge durch die Rechtsabteilung geprüft und es wurde eine AVV⁴ unter Beachtung der DSGVO abgeschlossen.
Aktuell befindet sich die Kollaborations- und Videokonferenzplattform in einer Neuausschreibung, die produktneutral und offen für Open Source ist.

Frage 3:
Welche Abhängigkeiten bestehen derzeit bei der Landeshauptstadt München in Bezug auf Software- und Hardwareanbieter (Hersteller, Cloud-Betreiber, Dienstleister)?

Antwort:
In einer vernetzten Welt lassen sich Abhängigkeiten nicht gänzlich vermeiden, denn die Digitalisierung kann nur mit Arbeitsteilung und Partnerschaften vorankommen – und diese implizieren zwangsläufig Abhängigkeiten. Diese Abhängigkeiten sind im Einzelfall zu identifizieren und risikobasiert zu bewerten. Eine Methodik zur Durchführung dieser Bewertung ist bereits erarbeitet (siehe Sitzungsvorlage Nr. 20-26/V 18562).

Frage 4:
Wie werden die Software- und Hardwareanbieter bewertet und gibt es ggf. die Notwendigkeit, die Abhängigkeit von einzelnen Anbietern zu reduzieren oder beenden?

Antwort:
Die Bewertung von Softwarelösungen erfolgt auf Grundlage der in Frage 1 angesprochenen Bewertungsmethodik. Diese Methodik wird aktuell in die Fachprozesse des IT-Servicemanagements integriert, um eine konsistente Anwendung bei relevanten IT-Services sicherzustellen.
Aus der Bewertung können Konstellationen resultieren, bei denen zu hohe Einschränkungen im Sinne der digitalen Souveränität bestehen. In diesem Fall werden die spezifischen Gegebenhei-ten (z.B. Business Impact der Lösung, Geschäftsbeziehung zum Hersteller, technische und wirtschaftliche Aspekte usw.) detailliert, um aus einer gesamtheitlichen Perspektive die Möglichkeiten zur Reduktion der Abhängigkeiten zu identifizieren und ggfs. Maßnahmen einzuleiten.

Frage 5:
Wie bewertet die Verwaltung diese bestehenden Abhängigkeiten in Bezug auf Kritikalität und langfristige Tragbarkeit?

Antwort:
Die IT-Services der Landeshauptstadt München werden im Kontext der Business Impact-Analyse auf ihre Business-Kritikalität bewertet. Diese Einschätzung ist ein Standardbestandteil beim Aufbau von neuen Services. Die Bewertung erfolgt mit Blick auf ISO 22301 und auf den Standard 200-4. Hierdurch wird der Entstehung neuer unerwünschter Abhängigkeiten entgegengewirkt. Bezüglich bereits bestehender Abhängigkeiten s.o. Frage 4.

Frage 6:
Wurde die NIS2-Richtlinie berücksichtigt und wenn ja, wie?

Antwort:
NIS-2 hat das primäre Ziel, die Cybersicherheit in der EU zu stärken und wurde Ende letzten Jahres in deutsches Recht überführt.

Aus den Inhalten lassen sich nur vereinzelt Auswirkungen auf den Themenkomplex der digitalen Souveränität ableiten. Explizit ergeben sich auf Grundlage von NIS-2 diesbezüglich keine konkreten Anforderungen an die LHM.

Frage 7:
Welche Maßnahmen plant die Verwaltung mittelfristig, um digitale Souveränität zu stärken und kritische Abhängigkeiten zu reduzieren (z.B. Open- Source-Initiativen, Vertragsgestaltung, Multi-Stack-Ansätze)?

Antwort:
Eine starke Ausrichtung auf Open Source-Software ist bereits jetzt die Linie des IT-Referats. Vertragliche Regelungen zur Vermeidung von Lock-in-Effekten, also besonders schwer auflösbaren Abhängigkeiten, sind schon länger Standard. Im Kontext der weitergehenden Analyse und Entwicklung eines Multistack-Ansatzes mit Blick auf Cloud-Provider startet aktuell im IT-Referat ein Projekt zur systematischen Marktanalyse von Cloud-Providern in Europa. Für Herbst 2026 werden die Ergebnisse der Analyse erwartet, auf deren Grundlage entschieden werden soll, ob und wenn ja welche europäische Cloud als Plattform in die IT der Landeshauptstadt München integriert werden soll.

Frage 8:
Wie erfolgt die regelmäßige Evaluierung der eingesetzten Systeme hinsichtlich technischer, rechtlicher und strategischer Risiken im Sinne digitaler Souveränität?

Antwort:
Generell prüft das IT-Referat im Rahmen des regulären Prozesses der Produkteinführung und bei umfassenden Lifecycle-Maßnahmen die Risiken, die mit einem IT-Service einhergehen, und wägt sie gegen Kosten und Nutzen ab.
Der Check auf digitale Souveränität laut aktueller Stadtratsbeschlussvorlage 20-26/V 18562 soll wie vorgeschlagen jährlich erfolgen. Die Methoden, Kriterien und Metriken des Checks sollen fortlaufend weiterentwickelt werden.