Die Bundesministerien arbeiten überwiegend mit Microsoft-Produkten, und das ist teuer: 205 Millionen Euro kosteten die Lizenzen und Dienstleistungen im Jahr 2021 – 15 Prozent mehr als 2020. Doch nicht nur die Kostensteigerung ist problematisch, auch Datenschutzbestimmungen sind mit Windows 10 nicht leicht einzuhalten.
Insgesamt hat der Bund im Jahr 2021 rund 205 Millionen Euro für Microsoft-Lizenzen und Dienstleistungen ausgegeben
Die Bundesbehörden setzen auf Microsoft-Produkte. In welchem Umfang, zeigt jedoch erst die Kostenaufstellung des Bundes im Haushaltsjahr 2021: Insgesamt kam für Softwarelizenzen und Dienstleistungen wie Beratung, Wartung, Cloud- oder Serverdienste die stolze Summe von 205.137.280 Euro zusammen. Rund 73,5 Millionen entfallen dabei auf unbefristete Lizenzen, 13,5 Millionen Euro auf befristete Lizenzen wie Abo-Modelle und knapp 23 Millionen auf weitere Leistungen und Produkte von Microsoft.
Zum Vergleich: Im Jahr 2020 beliefen sich die Kosten noch auf 178 Millionen Euro – 15 Prozent weniger als im vergangenen Jahr. Im Haushaltsjahr 2015 waren sogar nur 43,5 Millionen Euro fällig.
„Microsoft nutzt seine Monopolstellung aus und diktiert der Bundesregierung die Preise. 2021 hat der Bund über 205 Millionen an die Firma gezahlt – fast fünfmal so viel wie 2015. Weder die zentrale IT-Beschaffung noch mehr quelloffene Software haben die Kostenexplosion stoppen können“, kritisiert Victor Perli, Umverteilungspolitischer Sprecher der Linken im Bundestag und Mitglied des Haushaltsausschusses. Ein Sprecher des Bundesinnenministeriums (BMI) widerspricht ihm jedoch: „Bei den Lizenzkosten für Microsoft-Produkte gibt es keine wesentliche Kostensteigerung. Mit Abschluss der im Jahr 2021 veröffentlichten Konditionenverträge werden der Bundesverwaltung Microsoft-Software-Produkte weitgehend zu den bisherigen finanziellen Konditionen gewährt.“ Zudem weist das Bundesinnenministerium darauf hin, dass vergangene parlamentarische Fragen zu dem Thema voneinander abweichen und daher die gemeldeten Summen nicht direkt vergleichbar sind.
Microsoft oder nationaler Hyperscaler?
Souveräne Bundescloud
SAP und Arvato Systems haben kürzlich verkündet, bis 2024 eine souveräne Cloud-Plattform speziell für die deutsche Verwaltung realisieren zu wollen. Den Plänen zufolge wäre auch hier Microsoft mit involviert, denn die geplante Cloud soll auf Microsoft Azure basieren. Damit der U.S. Cloud Act, wonach Daten nicht ins Ausland transferiert werden dürfen, nicht greift, soll dafür ein neues, deutsches Unternehmen gegründet werden. SAP und Arvato wollen dabei als Betreibergruppe fungieren.
Doch auch bei diesem Vorstoß wurde schnell die monopolartige Stellung Microsofts kritisiert. Die Entscheidung für eine entsprechende Bundescloud würde laut Open Source Business Alliance ohne die Definition angemessener Regeln und Rahmenbedingungen die Festlegung nicht nur des Bundes, sondern auch von Ländern und Kommunen auf die Cloud-Angebote von Microsoft und die dahinterstehende, ausschließlich von Microsoft kontrollierte Technologie bedeuten. „Beim Aufbau der neuen Bundescloud muss ausgeschlossen werden, dass US-Geheimdienste über Microsoft Zugriff auf Daten der Bundesbürger haben“, fordert daher Victor Perli (Die Linke). „Mehr Datensouveränität erreicht man nur mit mehr eigener quelloffener Software, die häufig qualitativ gleichwertig oder sogar besser ist – und natürlich günstiger.“
Dazu benötigt es jedoch einen nationalen Hyperscaler. Dafür kommt etwa Ionos in Frage. Das Unternehmen, das aus einem Zusammenschluss von 1&1 und ProfitBricks entstand, beteiligt sich auch an der Initiative Gaia X für eine europäische Cloud.
Dieses Vorgehen entspräche auch der Deutschen Verwaltungscloud-Strategie, wonach Bund, Länder und Kommunen unabhängiger von einzelnen Anbietern werden und einfach zwischen diesen wechseln können sollen.
Spannungsfeld: Datenschutz und Windows 10
Die Kosten sind allerdings nur ein Kritikpunkt, der mit der Nutzung von Microsoft-Produkten zusammenhängt: Noch immer senden „hunderte Bundes-Rechner über Windows 10 Daten in die USA, obwohl dies gegen die Vorgaben des Bundesdatenschutzbeauftragten verstößt“, so Perli. Einer aktuellen Aufstellung zufolge, sind es etwa 607 im Bundesinnenministerium, 120 im Ministerium für Ernährung und Landwirtschaft sowie 40 weitere Rechner im Ministerium für Digitales und Verkehr, die die Vorgaben des Bundesdatenschutzbeauftragten nicht erfüllen. Bis Mitte des Jahres – Stichtag ist der 31. Juli 2022 – sollen immerhin 577 Rechner des Bundesamtes für Kartografie und Geodäse, welches Teil des BMI ist, sowie die 40 Rechner des BMDV (Stichtag: 1. Juni 2022) den Anforderungen angepasst werden. „Der Bundesdatenschutzbeauftragte wird bei Entwicklung und Freigabe des Bundesclients eng eingebunden. Der Einsatz wird unter Einhaltung der Datenschutzvorgaben und vollumfänglicher IT-Sicherheit erfolgen“, so ein Sprecher des BMI.
Bereits im Juni vergangenen Jahres wandte sich der Bundesdatenschutzbeauftragte diesbezüglich an die Behördenleiter der obersten Bundesbehörden. In einem Schreiben weist er darauf hin, dass beim Einsatz der Enterprise-Edition mit dem Telemetrielevel Security die Übermittlung personenbezogener Telemetriedaten systemseitig nicht unterbunden seien. Somit sei es für Microsoft möglich, „einen individuellen Nutzer auf einem individuellen Gerät und dessen Nutzungsmuster“ wiederzuerkennen. Da Microsoft für die Telemetriedatenverarbeitung die notwendige Rechtsgrundlage fehle, verstoße der Einsatz von Windows 10 ohne weitere technische Maßnahmen daher gegen die Datenschutzgrundverordnung. Darüber hinaus verweist das Schreiben auf die Anforderungen der Schrems-II-Entscheidung des Europäischen Gerichtshofs. „Der EuGH hat in seinem Urteil klargestellt, dass personenbezogene Daten von EU-Bürgern nur an Drittstaaten außerhalb des Europäischen Wirtschaftsraums übermittelt werden dürfen, wenn sie in diesem Drittland einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU.“
Um Windows 10 datenschutzkonform zu verwenden, werden die Behörden daher aufgefordert, mindestens
die Enterprise-Edition des Betriebssystems zu verwenden und das Telemetrielevel auf „Security“ zu setzen;
Zudem empfiehlt der Bundesdatenschutzbeauftragte, Windows 10 nicht mit dem Internet zu verbinden. Dadurch soll verhindert werden, dass sich durch Aktualisierungen des Herstellers, Einstellungen und Konfigurationen ändern und regelmäßige Überprüfungen des Übermittlungsverhaltens notwendig werden. Programme, die Internetzugriff brauchen, sollen die Verbindung dann über einen Proxyserver aufbauen.
„Falls Programme auf Internet-Zugangsinformationen des Windows-10-Systems angewiesen sind, sind die Zugriffsmöglichkeiten auf das zwingend erforderliche Maß zu minimieren („Whitelisting“)“, heißt es weiter. „Um eine über die netztechnische Trennung des Windows-10-Systems vom Internet hinausgehende Kapselung von exponierten Anwendungen wie Web-Browser oder Bürokommunikationsanwendungen zu erreichen, können Virtualisierungstechniken genutzt werden.“
Der Weg zu Open Source
Der Einsatz von Microsoft-Produkten ist also heikel und mit vielerlei Hemmnissen verbunden. Daher ist es nicht verwunderlich, dass das BMI eine digital souveräne Verwaltung, die unabhängig von einzelnen Anbietern ist, erarbeiten möchte. „Dies ist ein langfristiger Prozess, der in mehreren Schritten erfolgt. Der Koalitionsvertrag gibt dem Vorhaben neuen Rückenwind“, so ein Sprecher des BMI. „So sollen unter anderem für öffentliche IT-Projekte offene Standards festgeschrieben werden, Entwicklungsaufträge in der Regel als Open Source beauftragt und die entsprechende Software grundsätzlich öffentlich gemacht werden. Das BMI verfolgt diese Ziele mit mehreren Projekten. Zum Beispiel soll ab 2023 ein vollständig auf Open-Source-Software basierender Arbeitsplatz als Alternative für die Verwaltung zur Verfügung stehen.“ Dafür habe man die benötigten Haushaltsmittel und Stellenbedarfe für 2022 sowie die Folgejahre angemeldet.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Diese Alternative ist auch notwendig, denn Microsoft hat angekündigt, die bisher von der Verwaltung genutzte und lokal betriebene Software ab 2025 nicht mehr zu unterstützen. Stattdessen will das Unternehmen ein Cloud-Modell forcieren. Infolgedessen läuft auch die aktuell genutzte Windows 10 Enterprise Edition zum 14. Oktober 2025 aus. „Zwangsläufige Folge ist, dass die von Bund, Ländern und Kommunen genutzte Software für Büroarbeit und Kommunikation zukünftig nicht mehr von den Verwaltungen selbst beziehungsweise von ihren Dienstleistern bereitgestellt und betrieben werden kann“, so die Open Source Business Alliance. „Fortan müssten an Stelle dessen die hinsichtlich Datenflüssen (Telemetrie) und Datenschutz höchst bedenklichen Cloud-Angebote von Microsoft genutzt werden.“ Peter Ganten, Vorstandsvorsitzender der OSB Alliance, ergänzt: „Wir stehen in Deutschland in diesem Moment am Scheideweg und haben es in der Hand, ob wir bestehende Abhängigkeiten von einzelnen Anbietern zementieren wollen oder ob wir die Digitalisierung in Deutschland souverän und nachhaltig aufstellen – zum Wohle einer besseren, agileren und am Ende auch wirtschaftlicheren Digitalisierung des Staates, aber auch zum Wohle der europäischen Wirtschaft und aller Bürgerinnen und Bürger. Die Ampel-Koalition muss jetzt deutliche Signale setzen, dass sie es mit der digitalen Souveränität und dem im Koalitionsvertrag angekündigten Schwerpunkt auf Open Source tatsächlich ernst meint. Hierbei darf nicht noch mehr Zeit verloren werden.“
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/b7/ee/b7ee92e5e1ad3717076bc2b4dfd3d61b/0127931373v1.jpeg "Die Lizenzkosten für Microsoft-Produkte verschlingen laut CII inzwischen über 200 Millionen Euro pro Jahr beim Bund. Diese starke finanzielle und technologische Abhängigkeit drängt die Verwaltung in ein Quasi-Monopol mit eingeschränkter Wahlfreiheit, Lock-in-Effekten und erhöhten Sicherheitsrisiken. (Bild: © fotomek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ed/da/eddab9c2c2d94a6cd4c9dd94e3e3cb9d/0127551036v1.jpeg "Delos Cloud soll die digitale Verwaltung auf eine souveräne Infrastruktur heben. Doch die US-Gesetzgebung bleibt ein Unsicherheitsfaktor für die Datensouveränität europäischer Behörden. (Bild: Landtag, Stuttgart / Till Westermayer (tillwe) / CC BY-SA 2.0 / flickr.com)")