Nach seiner zweiten Konsultation wertet das BMDS die Rückmeldungen aus Wirtschaft und Forschung aus, um den Deutschland-Stack umzusetzen. Teletrust zufolge geht das Konzept in die richtige Richtung, doch es fehle eine klare Architektur und Sicherheitsstandards, für die Umsetzung bis 2028.
Der Deutschland-Stack ist eine nationale, souveräne Technologie-Plattform, die als Grundlage für die digitale Modernisierung von Bund, Ländern und Kommunen in Deutschland dient und bis 2028 ein sicheres, interoperables Ökosystem für digitale Anwendungen schaffen soll.
Was den Deutschland-Stack angeht, macht das Bundesministerium für Digitalisierung und Staatsmodernisierung (BMDS) scheinbar schon vieles richtig. So begrüßt zum Beispiel der Bundesverband IT-Sicherheit e.V. (Teletrust) das Vorgehensmodell des Stacks ausdrücklich. Allerdings gleiche der Deutschland-Stack in seiner aktuellen Ausprägung noch zu stark einer technischen Bausteinliste. Kurz nach Ende der zweiten Konsultation zum Deutschland-Stack hat der Teletrust-Verband eine Analyse der Technologie-Plattform vorgenommen und eine Stellungnahme veröffentlicht.
Was ist der Deutschland-Stack?
Der Deutschland-Stack ist eine nationale, souveräne Technologie-Plattform, die als Grundlage für die digitale Modernisierung von Bund, Ländern und Kommunen in Deutschland dient. Ziel des Deutschland-Stacks ist es, bis 2028 eine sichere, interoperable und europäisch anschlussfähige Plattform zu schaffen, die ein offenes Ökosystem für digitale Anwendungen ermöglicht. Angestoßen wurde das Projekt vom Bundesministerium für Digitalisierung und Staatsmodernisierung, um die Effizienz und Handlungsfähigkeit der öffentlichen Verwaltung zu steigern.
Die erste Konsultation zum Deutschland-Stack fand zwischen dem 1. Oktober und 30. November 2025 statt. Diese ersten Gespräche ermöglichten es verschiedenen Akteuren, dem BMDS ihre Meinungen und Vorschläge zu einem initialen Konzept mitzuteilen. Die zweite Konsultation fand vom 16. Januar bis 15. Februar 2026 statt, um weitere Rückmeldungen zu technischen Standards und Governance zu sammeln. An beiden Konsultationen nahmen eine Vielzahl von Stakeholdern teil, darunter Vertreter aus der IT- und Digitalwirtschaft, wissenschaftlichen Institutionen, Start-ups, sowie Fachdienstleistern der öffentlichen Verwaltung. Der Zweck dieser Konsultationen liegt darin, ein breites Spektrum an Expertise einzuholen, um die technologischen Prioritäten und Umsetzungsmöglichkeiten des Deutschland-Stacks zu schärfen und sicherzustellen, dass die Plattform den Anforderungen der digitalen Transformation gerecht wird.
Während nun nach Abschluss der zweiten Konsultationsrunde auf eine Auswertung der eingegangenen Rückmeldungen gewartet wird, hat der Teletrust-Verband bereits eine eigene Analyse des Deutschlands-Stacks veröffentlicht. Darin bestätigt der Verband, dass der Deutschland-Stack eine „strategisch richtige und notwendige Initiative“ sei, um die digitale Handlungsfähigkeit des Staates langfristig zu sichern. Dennoch sei er noch ausbaufähig, denn für eine belastbare Wirkung im öffentlichen Sektor sei ein klar geführtes Gesamtbetriebsmodell aus Architektur, Governance, Sicherheit und Verantwortung erforderlich. Der Stack müsse mehr sein als eine reine Ansammlung technischer Standards, Module und Services. Als Lücken in der aktuellen Konzeption sieht Teletrust folgende:
Zu starke Technologiekatalog-Logik Es fehle ein verbindliches Target Operating Model aus Architektur, Governance, Betrieb und Verantwortung.
Sicherheitsrahmen nicht durchgängig genug Einzelstandards würden nicht reichen. Nötig sei ein lifecycle-basiertes Sicherheitsmanagement mit Risiko-, Audit- und Verbesserungszyklus.
Teilweise unklare/inkonsistente Standardreferenzen Insbesondere bei Kryptografie weist Teletrust auf bessere Anbindung an aktuelle BSI-Vorgaben wie TR-02102 hin.
Komplexitätsrisiko Ohne ganzheitliche Infrastruktur drohe ein „Flickenteppich“, der Sicherheit, Betrieb und Skalierung verschlechtere.
Cloud/Managed Services missverstanden TeleTrusT betont zudem, das der Deutschland-Stack Betriebsmodelle umfasse, aber keine Sicherheitsgarantie gebe. Sicherheit entstehe durch Architektur und technische Kontrollpunkte.
Die priorisierten Technologiefelder seien bereits in Teilen mit relevanten Technologien und Standards unterlegt, vor allem Infrastruktur, Betriebsmodelle, Sicherheitsprinzipien, aber noch nicht vollständig. Es würden noch zentrale Security- und Betriebsbausteine fehlen, eine konsolidierte Standardreferenz, insbesondere Kryptografie nach BSI, und eine durchgängige, verbindliche Methodik statt punktueller Nennungen. Teletrust empfiehlt eine Klärung der Umsetzungsverbindlichkeit der Vorgaben des Deutschland-Stack für die verschiedenen Stakeholder, insbesondere Bund, Länder und Kommunen. Dabei sei die Verbindlichkeit der Vorgaben des Deutschland-Stack zur Informations- und Cyber-Sicherheit von besonderer Relevanz und Bedeutung.
Nach der zweiten Konsultation zum Deutschland-Stack wird das Bundesministerium für Digitalisierung und Staatsmodernisierung die eingegangenen Rückmeldungen und Vorschläge auswerten. Diese Auswertung soll dazu dienen, die technische und organisatorische Grundlage für die digitale Modernisierung der Verwaltung zu stärken und die in der föderalen Modernisierungsagenda in Kapitel vier, Nummer 205 festgelegten Anforderungen für Standards und Governance bis zum 31. März 2026 zu erfüllen.
Die föderale Modernisierungsagenda zielt darauf ab, die öffentliche Verwaltung effizienter und digitaler zu gestalten. Indem die gesammelten Erkenntnisse in die Weiterentwicklung des Deutschland-Stacks einfließen, soll sichergestellt werden, dass die Plattform nicht nur den gesetzlichen Vorgaben entspricht, sondern auch den aktuellen Bedürfnissen und Herausforderungen gerecht wird.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Im weiteren Verlauf dieser Entwicklung hat das BMDS angekündigt, weiterhin mit verschiedenen Stakeholdern zusammenarbeiten, um sicherzustellen, dass der Deutschland-Stack die Bedürfnisse der Öffentlichkeit und der Verwaltung erfüllt. Ziel ist es, bis zum Jahr 2028 eine voll funktionsfähige Plattform bereitzustellen, die ein sicheres, interoperables und europäisch kompatibles Ökosystem für digitale Anwendungen bietet. Die nächsten Schritte beinhalten zudem die enge Zusammenarbeit mit der Industrie und wissenschaftlichen Instituten, um technologische Fortschritte zu integrieren und die Plattform auf die aktuellen Herausforderungen der Digitalisierung auszurichten.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/19/1d1934d9186ce6069c917f0ec4b52751/0129652501v2.jpeg "Bankverbindungen, Identitäten von Kontoinhabern, Adressen und teilweise auch Steueridentifikationsnummern sind von dem Cyberangriff auf die FICOBA betroffen. Den Kontostand einzusehen oder Überweisungen zu tätigen war dem Angreifer nicht möglich. (Bild: Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/34/30342a01b707cd031089a6d56360e41c/0129495534v2.jpeg "Stromnetze, Flughäfen, Krankenhäuser und Kommunen – die kritische Infrastruktur sowie sensible Daten müssen im Fall eines Angriffs besser geschützt werden. (Bild: © Robert – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/b5/afb53acb0b4d5f5e9a530bcb05955e38/0129543109v2.jpeg "KI-Cyberbedrohungen werden oft überschätzt. Die wahre Gefahr liegt im Versagen der internen KI-Governance, wo unsichere API-Zugänge und fehlende Regelwerke Angreifern Tür und Tor öffnen. (Bild: © btiger - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2d/12/2d126cbfb75d9abf36155c26074161d9/0129581148v2.jpeg "Der Deutschland-Stack ist eine nationale, souveräne Technologie-Plattform, die als Grundlage für die digitale Modernisierung von Bund, Ländern und Kommunen in Deutschland dient und bis 2028 ein sicheres, interoperables Ökosystem für digitale Anwendungen schaffen soll. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/32/db/32db04cde917090220c3ae1c95ba38d2/0129686939v2.jpeg "Das Hamburger E-Mail-Security-Startup Conbool wurde ins Karlsruher CyberLab-Accelerator-Programm aufgenommen und will dort seine KI-basierte Erkennungstechnologie gegen Phishing und Betrugsversuche weiterentwickeln. (Bild: © DAYA-DAKSH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/7d/f77d84bf02341e583eeeebf21c83cf83/0129549300v2.jpeg "Tails 7 ist ein anonymes Live-System mit Zwangsrouting über Tor. Es läuft auf dedizierter Hardware oder virtualisiert unter Windows und verwirft ohne Persistent Storage alle Änderungen beim Neustart. (Bild: © igor.nazlo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/76/c4/76c4fb4c615fdfbda2b123cd7700352f/0129488424v1.jpeg "Der Q-Day kommt zwischen 2029 und 2035. Harvest Now Decrypt Later-Angriffe gefährden Daten aber schon heute. Das neue eBook „Die Quanten-Bedrohung“ zeigt die Migration zu quantensicherer Verschlüsselung. (Bild: © Patrick Helmholz - AdobeStock / Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/ef/b1/efb1dc214240ce7ebf411b8d8a059a75/0128892977v1.jpeg "Die 6G-Forschungsroadmap positioniert 6G nicht als evolutionären Mobilfunkstandard, sondern als Plattform für KI-basierte, sicherheitskritische und industriell relevante Echtzeitsysteme. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7a/51/7a51d905d808a02460533d637b082fa0/0128408277v1.jpeg "Verantwortung statt Blindflug. Wer Zuständigkeiten klärt, sichert Sicherheit, Compliance und Performance – und gewinnt Sichtbarkeit. Professionelle Administration kann aus Websites belastbare, wachstumsfähige Infrastrukturen machen. (Bild: © InfiniteFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/9f/b19f3051a921c1675f978918eb036c8f/0128401345v1.jpeg "Tanja Göbel, Commercial Director bei RETN in der DACH-Region, erlebt täglich, wie Betreiber in Europa ihre Routen, Strategien und Partnerschaften neu denken, um in einer veränderten geopolitischen Landschaft verbunden zu bleiben. (Bild: Retn)")
:quality(80)/p7i.vogel.de/wcms/63/a0/63a08ef8cf2f357846891924a0c362b5/0129422042v1.jpeg "Active Directory Passwort-Resets explodieren insbesondere bei hybrider Arbeit. Sichere Self-Service-Passwort-Reset-Tools steuern dem entgegen. (Bild: Specops)")
:quality(80)/p7i.vogel.de/wcms/9f/4c/9f4c8b769319bae704bc65017a4ada98/0129424999v2.jpeg "Cyber-Resilienz 2026 bedeutet Handlungsfähigkeit unter laufendem Angriff, aber unkontrollierte Identitäten untergraben genau diese Fähigkeit und machen Systeme unsteuerbar. (Bild: © AminaDesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/3f/5b/3f5bdace5d8e42b41979b918d1248725/0127869997v2.jpeg "Martin Hullin, Director, Network for Technological Resilience & Sovereignty bei der Bertelsmann Stiftung, stellte bei der Fachkonferenz des Nationalen Koordinierungszentrums für Cybersicherheit den „Eurostack“ vor. (Bild: NKCS)")
:quality(80)/p7i.vogel.de/wcms/49/68/4968cfb619f90613cca8ba77511df54d/0129472744v2.jpeg "Das BSI empfiehlt, klassische asymmetrische Verschlüsselungsverfahren bis Ende 2031 nicht mehr zu verwenden, da sie aufgrund der Entwicklungen im Quantencomputing nicht sicher sind, was einen dringenden Umstieg auf hybride Verfahren, die quantensichere Algorithmen integrieren, erforderlich mache. (Bild: Alex - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/34/1d/341d2ec96cf12f54d5baa76cda2ffba7/0129424332v2.jpeg "Der EU AI Act macht Cybersicherheit zur Compliance-Pflicht für KI-Systeme. Gerade Hochrisiko-KI-Systeme sind besonders schutzbedürftig. Ein risikobasierter Rechtsrahmen soll helfen. (Bild: © Franklin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/7a/e67a7abbd3f38d0406d62ae7d832d292/0126269523v2.jpeg "Für den Haushalt 2026 stehen große Summen für die Cybersicherheit und Datenschutz an: zum Beispiel ein BSI-Etat mit 379 Millionen Euro, 89 Millionen Euro für die ZITiS und 189 Millionen Euro für ein Sofortprogramm für den Gesundheitssektor. (Bild: tippapatt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e0/d7/e0d799472b50691077cac4d86af083cb/0126173703v1.jpeg "Unser Land braucht dringend einen Chief Resilience Officer, sagt Kai Grunwitz, Präsident von Kyndryl Deutschland. (Bild: Kyndryl)")