Der Deutschland-Stack: 50 offene Standards für eine souveräne Verwaltung

Thomas Kramer enthalten in IT

03.04.2026 800 Wörter (ungefähr) 4 Minuten

Inhalt

Wer in Deutschland eine Verwaltungsleistung digital nutzen will, stößt auf ein Grundproblem: 16 Bundesländer, hunderte Kommunen und der Bund betreiben eigene IT-Systeme, die oft nicht miteinander sprechen. Unterschiedliche Formate, proprietäre Schnittstellen, gewachsene Insellösungen. Die technische Fragmentierung ist einer der Hauptgründe dafür, dass die Digitalisierung des Staates seit Jahren stockt.

Der IT-Planungsrat hat nun mit Beschluss B-2026/03-IT einen verbindlichen Standardrahmen beschlossen: den Deutschland-Stack. Über 50 offene Standards, verteilt auf sieben Schichten, von der Netzwerkvirtualisierung bis zur KI-Agenten-Kommunikation.

Die sieben Schichten

Das Dokument des Bundesministeriums für Digitales und Staatsmodernisierung gliedert die gesamte IT-Architektur der Verwaltung in sieben Ebenen. Für jede Schicht benennt es konkrete Standards, die als souverän gelten sollen: offen, herstellerunabhängig und interoperabel.

Dokumente und Daten: ODF wird verpflichtend. Ab 2027 soll das Open Document Format der verbindliche Standard für den Dokumentenaustausch in der gesamten öffentlichen Verwaltung sein. Für barrierefreie PDFs setzt der Stack auf PDF/UA statt PDF/A. Datenaustausch über JSON, XML und CSV, semantische Vernetzung über RDF, OWL und SPARQL.

Cloud und Infrastruktur: Der Sovereign Cloud Stack (SCS) steht als Cloud-Fundament im Standardkatalog. Entwickelt von der Open Source Business Alliance und auf OpenStack und Kubernetes aufbauend, definiert er einen vollständig offenen Cloud-Technologiestack. Dass der SCS im Deutschland-Stack steht, ist bemerkenswert: Die Bundesförderung war ausgelaufen, was in der Open-Source-Community für Kritik gesorgt hatte. Die Aufnahme in den verbindlichen Standardkatalog könnte dem Projekt neuen Rückenwind geben.

Softwareentwicklung: Die umfangreichste Schicht liest sich wie das Toolset eines modernen Software-Engineering-Teams: Git, CI/CD-Pipelines, Infrastructure as Code, Policies as Code und SBOM (Software Bill of Materials) als Standard für die Absicherung von Software-Lieferketten. Kubernetes als Container-Orchestrierung, REST und OpenAPI für APIs, gRPC für Service-to-Service-Kommunikation. Sogar QUIC, das Transportprotokoll hinter HTTP/3, ist als vorausgesetztes Protokoll aufgenommen. Für ein Verwaltungsdokument ungewöhnlich progressiv.

IT-Sicherheit: Neben den bewährten BSI-Rahmenwerken setzt der Stack auf Post-Quanten-Kryptografie. ML-KEM, der Module-Lattice-based Key Encapsulation Mechanism, soll klassische Verfahren wie RSA und ECC langfristig ablösen. Dass die deutsche Verwaltung Post-Quanten-Standards bereits jetzt aufnimmt, bevor kryptografisch relevante Quantencomputer Realität werden, ist ein klares Signal.

Identität: OAuth, OpenID Connect, JSON Web Token und OTP-basierte Multi-Faktor-Authentifizierung bilden einen vollständigen Protokollstapel für föderierte Identitätsdienste.

Die größte Überraschung: KI-Agenten-Protokolle

Die oberste Schicht des Deutschland-Stacks ist die unerwartetste: Künstliche Intelligenz. Vier Protokolle sind als Standard festgelegt, allesamt noch jung:

MCP (Model Context Protocol): von Anthropic entwickelt, standardisiert den Zugriff von KI-Modellen auf externe Datenquellen. Oft als „USB-C für KI" beschrieben.
A2A (Agent2Agent Protocol): von Google initiiert, regelt die Kommunikation zwischen KI-Agenten verschiedener Hersteller.
ANP (Agent Network Protocol): ermöglicht die Vernetzung autonomer Agenten in dezentralen Netzwerken.
AG-UI (Agent-User Interaction Protocol): standardisiert die Schnittstelle zwischen KI-Agenten und menschlichen Nutzern.

Dass die traditionell konservative Verwaltungsstandardisierung Protokolle aufnimmt, die teils erst wenige Monate alt sind, ist bemerkenswert. Man will KI nicht hinterherlaufen, sondern von Anfang an auf offene Standards setzen.

Wo es hakt

Der Deutschland-Stack ist ambitioniert. Gleichzeitig zeigt das Dokument in fast jeder Schicht offene Festlegungsbedarfe, also Bereiche, für die noch keine Standards definiert sind.

Workflowautomatisierung: Die LowCode-Schicht ist die einzige Ebene ohne einen einzigen Standard. Nicht einmal BPMN, der etablierte Modellierungsstandard für Geschäftsprozesse, wird erwähnt.

Matrix fehlt: Das Matrix-Protokoll für föderierte Kommunikation, das bereits beim BwMessenger der Bundeswehr im Einsatz ist, taucht im Stack nicht auf. Es gibt schlicht keine Schicht für Kommunikation und Zusammenarbeit.

Container-Standard: Open Container Initiative (OCI), der offene Standard für Container-Formate, bleibt unerwähnt, obwohl Kubernetes selbst im Stack steht.

Krypto-Agilität: Die Fähigkeit, kryptografische Verfahren schnell auszutauschen, wenn sie kompromittiert werden, fehlt. Angesichts der Post-Quanten-Thematik ist das eine nicht triviale Lücke.

Meine Einschätzung

Der Deutschland-Stack ist ein Bauplan, kein Wunschzettel. Zum ersten Mal versucht die deutsche Verwaltung, ihre gesamte technische Architektur schichtübergreifend auf offene Standards zu verpflichten. Das ist historisch.

Aber die Erfahrungen mit früheren Standardisierungsbeschlüssen stimmen nicht uneingeschränkt optimistisch. Der Beschluss-Text selbst spricht von „anstreben", nicht von „umsetzen" oder „verpflichtend einführen". Es gibt keine Sanktionen, keine Audits, keine Berichtspflichten. Ein verbindlicher Standard ohne Durchsetzungsinstrument ist am Ende eine Empfehlung im Anzug.

Ein weiteres Beispiel: ODF steht seit Jahren auf den Wunschlisten der Verwaltung. Schleswig-Holstein stellt tatsächlich auf LibreOffice um, ein langwieriger und politisch umkämpfter Prozess. Bayern will hingegen dringend in die M365-Cloud. In solchen Rahmenbedingungen entfaltet ein weiterer ODF-Beschluss seine Wirkung nur, wenn er auch in Ausschreibungen und Beschaffungskonsequenzen mündet.

Was aber bleibt: Die Richtung stimmt. Offen, herstellerunabhängig, interoperabel. Ob daraus auch Realität wird, entscheidet sich nicht im IT-Planungsrat, sondern in den Vergabestellen.

Quellen: