Dieses Dokument ist ein früher Entwurf (Early Draft) und befindet sich noch in der aktiven Bearbeitung und Abstimmung bezüglich des D-Stacks.
Erstellt am: 12. März 2026 | Zuletzt geändert: 17. März 2026 | Autor: Matthias, Enrico (GitLab) | Quelle: GovStack-Analyse (Sopra Steria)
Management Summary zur GovStack- und SCS-Analysefeedback
Dieses Dokument fasst die strategische Bewertung von GovStack, Sovereign Cloud Stack (SCS) und der Deutschen Verwaltungscloud (DVC) zur Etablierung eines leistungsfähigen IT-Architekturrahmens ("Deutschland-Stack" / "D-Stack") zusammen. Im Auftrag des BMDS wurde geprüft, inwiefern bestehende Bausteine für die Zielarchitektur der öffentlichen Verwaltung adaptierbar sind.
groups Zielgruppenfeedback
- Enterprise-Architekten
- CISOs & IT-Sicherheit
- CIOs & IT-Leitung
- Entwickler & DevOps
- Beschaffung & Vergabe
Architekten und Lösungsdesigner nutzen dieses Dokument als strategischen Kompass für die Auswahl und Bewertung von Plattformkomponenten im D-Stack. Es liefert die Entscheidungsgrundlage für Technologie-Radar, PoC-Planung und Standardisierungsfragen.
CISOs und Sicherheitsverantwortliche finden hier die Lückenanalyse der GovStack-Spezifikationen im Bereich Zero Trust, BSI C5 und eIDAS 2.0 sowie konkrete Handlungsempfehlungen zum Aufbau einer behördlichen Sicherheitsarchitektur.
CIOs und IT-Entscheider erhalten einen kompakten Überblick über den Reifegrad aktueller EU-Initiativen (GovStack, SCS, EuroStack, Gaia-X) und die daraus ableitbare Investitions- und Migrationsstrategie.
Entwickler und DevOps-Teams finden technische Bewertungen der IaaS-Optionen (OpenStack, KubeVirt, Proxmox), Container-Plattformen und CI/CD-Integrationsmuster für den D-Stack.
Beschaffungsverantwortliche erhalten Einordnungen zu Marktreife, Lizenzmodellen und Zertifizierungsstatus der bewerteten Plattformen, relevant für EVB-IT-konforme Vergabeverfahren.
summarize Executive Summaryfeedback
| Nr. | Kernaussage |
|---|---|
| 01 | GovStack Specs bilden die erweiterbare Basis für den D-Stack TechStack und alle D-Stack-Lösungen/-Angebote, nicht nur einen von vielen Inputs |
| 02 | Es fehlen 35+ kritische Building Blocks für Zero Trust, PKI, DevSecOps und souveräne Datendienste; diese werden systematisch im D-Stack-Kontext ergänzt |
| 03 | Die restriktiven GovMarket-Bewertungskriterien werden für den D-Stack-Kontext substantiell geöffnet (Reifegradmodell statt Binärlogik); parallel wird ein DVC-Marktplatz mit eigenem Qualifizierungsrahmen aufgebaut |
| 04 | Anbieter erhalten Guidance durch drei Instrumente: D-Stack/GovStack Specs, Technologie-Radar und DVC-Marktplatz-Support |
| 05 | Für den deutschen Kontext müssen BSI C5, eIDAS 2.0 und Gaia-X-Anforderungen ergänzt werden |
construction Implementierungsstatus (Live-Board)feedback
Die folgenden Kennzahlen machen den Umsetzungsfortschritt transparent. Stand: initial, manuell gepflegt.
| Kennzahl | Stand | Hinweis |
|---|---|---|
| Best-Practice-Referenzen | 43+ | Aus Analyseberichten und Projektbeispielen abgeleitet |
| Fehlende GovStack Building Blocks | 35+ | Lücken in Zero Trust, DevSecOps, Datenräumen, Collaboration |
Fehlende Building Blocks (Auszug):
| Bereich | Status | Nächster Schritt |
|---|---|---|
| Zero Trust Policy Engine | Offen | Policy-as-Code Templates bereitstellen |
| DevSecOps / GitOps | Teilweise | Referenzpipeline + Security Gates standardisieren |
| Datenräume / Interoperabilität | Offen | Referenzbaustein definieren |
| Collaboration / Workplace | Offen | Produktkatalog und Standards aufnehmen |
folder Digitale Assets statt PPTXfeedback
Um den Sprung von Dokumenten zu maschinenlesbaren Artefakten zu schaffen, werden folgende Assets priorisiert:
- OSCAL-Exports für Compliance Mapping (BSI C5)
- Policy-Bundles (OPA/Kyverno) für Zero Trust
- Helm Charts und IaC-Module für Referenzarchitekturen
- SBOM-Templates und Signier-Workflows für die Supply Chain
Siehe auch: BSI-C5-Tooling.
history Ausgangslagefeedback
Öffentliche Verwaltungen stehen vor der Herausforderung, ihre IT-Architekturen zu modernisieren. Mehrere Initiativen (GovStack, SCS, openDesk, Gaia-X, EuroStack) bieten Bausteine an. Die Kernfrage: Inwieweit genügen GovStack-Spezifikationen und Sovereign Cloud Stack (SCS) den Anforderungen des deutschen Verwaltungsmarktes?
GovStack im Überblickfeedback
GovStack wurde 2020 durch Estland, Deutschland (BMZ), ITU und DIAL gegründet. Primäres Ziel ist die Unterstützung von Ländern des Globalen Südens beim Aufbau kostengünstiger digitaler Behördendienste auf Basis einer interoperablen digitalen öffentlichen Infrastruktur (DPI).
Federführend innerhalb der BReg ist das BMZ. Das BMDS ist bisher nicht an GovStack beteiligt. Für den D-Stack-Aufbau ist eine Abstimmung mit dem BMZ notwendig, um GovStack als gemeinsame Basis zu legitimieren.
| Fakt | Stand |
|---|---|
| Federführung BReg | BMZ (Leuchtturmprojekt Digitalstrategie) |
| Gründungsjahr | 2020 (Estland, Deutschland/BMZ, ITU, DIAL) |
| Primärzielgruppe | Globaler Süden |
| Reichweite | 25 Länder, über 4 Mio. Nutzer |
| Expert*innen-Community | 160+ internationale Expert*innen |
| Laufzeit | Bis Ende 2026 (Ausgründung in eigenständige Organisation geplant) |
| Ausgründungsplanung | Finnland + BMZ; neue Organisation mit Deutschland, Estland, ITU (Stiftung in Prüfung) |
Souveräne Cloud-Initiativen im Vergleichfeedback
Die Vergleichskarten geben einen schnellen Überblick über Initiativen und ihre Schwerpunkte. Sie zeigen, welche Lücken der D-Stack schließen muss.
EuroStack / EU
- EuroStack: EU-weiter Hyperscaler-Gegenentwurf, volle Souveränität
- EU Cloud Rulebook: Regulatorischer Rahmen, keine Implementierung
BSI C5 Compliance Katalog
- Standard für öffentliche Beschaffung
- Attestation, keine Zertifizierung
D-Stack / GovStack / SCS
- D-Stack: Deutsche Verwaltungscloud (BMI), Architektur + Standards
- GovStack: ITU/DIAL/BMZ-Initiative, globaler BB-Katalog für E-Gov
- SCS: Open-Source-Referenz auf OpenStack, standardisiert IaaS + Kubernetes
IPCEI-CIS / 8ra
- 7 EU Länder, Federated Edge Cloud
- 1,2 Mrd EUR Förderung, Live Demo 2026
- Telco fokussiert
Source: EuroStack, SCS, D-Stack
SUSE / Schwarz IT
- SUSE Sovereign Stack: Harvester + Rancher für EU-Clouds (evroc)
- Schwarz/StackIT: Private Cloud, Lidl/Kaufland-Infrastruktur
IONOS / OVHcloud
- IONOS Cloud: Dt. Rechenzentren, BSI-C5-zertifiziert
- OVHcloud: Französischer Anbieter, SecNumCloud + Gaia-X-kompatibel
compare Vergleichsmatrix: Feature Coveragefeedback
Die Matrix stellt den Abdeckungsgrad der wichtigsten Initiativen gegenüber. Sie hilft, Prioritäten für die Architekturarbeit zu setzen.
Die folgende Matrix vergleicht den Abdeckungsgrad der wichtigsten EU-Initiativen auf Basis der Sopra Steria Analyse:
Legende: ● vorhanden/stark · ◔ teilweise · ○ fehlend
| Feature | GovStack | D-Stack | SCS | Gaia-X | X-Road | EuroStack |
|---|---|---|---|---|---|---|
| Cloud Infra | ◔ | ● | ● | ○ | ○ | ● |
| Identity / IAM | ◔ | ◔ | ○ | ◔ | ◔ | ● |
| Interoperabilität | ◔ | ● | ● | ● | ● | ● |
| Security / Zero Trust | ○ | ◔ | ◔ | ◔ | ● | ● |
| Wallet / eID | ◔ | ◔ | ○ | ○ | ○ | ● |
| Data Spaces | ○ | ◔ | ○ | ● | ● | ● |
| Workplace / Collab | ○ | ● | ○ | ○ | ○ | ● |
| Compliance Framework | ○ | ● | ● | ● | ○ | ● |
| Open Source | ● | ● | ● | ● | ● | ● |
| Produktionsreife | ○ | ○ | ● | ◔ | ● | ○ |
Erkenntnis: Kein einzelnes Framework deckt alle Anforderungen ab. Die Kunst liegt in der intelligenten Kombination. Der D-Stack übernimmt diese Integrationsaufgabe.
star Kernaspekte der Untersuchungfeedback
1. GovStack Spezifikationen (GovSpecs)feedback
- Primärfokus: Globaler Süden. GovStack ist als digitale öffentliche Infrastruktur (DPI) für Entwicklungsländer konzipiert
- Federführung: BMZ (BMDS bisher nicht beteiligt → Abstimmungsbedarf für D-Stack-Legitimierung)
- Community: 160+ internationale Expert*innen, 25 Länder, 4 Mio. Nutzer GovStack-angepasster Produkte
- Neue Positionierung: GovSpecs dienen als erweiterbare Basis für den D-Stack; Konzepte werden adaptiert und um deutsche Anforderungen ergänzt
- Problem der Bewertungskriterien: In Teilen zu restriktiv (vorgegebene Datenmodelle/API-Aufrufe), was etablierte Standardsoftware systematisch ausschließen kann. Für den D-Stack wird ein mehrstufiges Reifegradmodell (Bronze/Silber/Gold) statt binärer Konformität eingeführt
- Beispiel IAM: Die Anforderungsspezifikation entspricht eher komplexen Enterprise-IGA-Systemen; Keycloak fällt durch das Raster
- 35+ fehlende Building Blocks in den Bereichen Zero Trust, PKI, DevSecOps, Datenräume und Collaboration
- Markt-Steuerung: Anbieter erhalten Guidance durch D-Stack/GovStack Specs, Technologie-Radar und DVC-Marktplatz-Support
2. Compliance und eIDAS 2.0feedback
- Widersprüche zwischen GovStack Wallet-BB und eIDAS 2.0 ARF sind virulent
- Kein EU Digital Identity Wallet BB, keine Verifiable-Credentials-Infra
- eIDAS-Konformität ist zwingend ab Mai 2026 (EU-Verordnung)
- Handlungsbedarf: Keycloak + EUDIW-Plugin als IAM-Referenzimplementierung pilotieren
3. Zero Trust Architekturfeedback
- Wesentliche Elemente nach BSI Zero Trust oder NIST 1800-35 fehlen in den GovSpecs gänzlich
- Fokus liegt fast nur auf IAM und API-Gateway
- Details: Zero Trust Architektur
4. SCS und die Deutsche Verwaltungscloud (DVC)feedback
- SCS ist De-facto-Referenzimplementierung für IaaS (OpenStack) und CaaS (Kubernetes)
- Diskrepanz zwischen Infrastruktur-Bereitstellung und dem Bedarf nach PaaS
- Komplexe Betriebsmodelle und Fachkräftemangel stellen Risiken dar
- Details: SCS & DVC
GovStack / D-Stack: Verbindungskettefeedback
Beschreibung: Die Kette zeigt, wie GovStack-Spezifikationen in den D-Stack übergehen und über SCS/Gaia-X zur Verwaltungscloud führen.
GovStack liefert die globale Spezifikation der Building Blocks. Der D-Stack übersetzt diese in eine deutsche Referenzarchitektur mit nationalen Anforderungen (BSI C5, eIDAS, OZG). Die technische Umsetzung erfolgt auf SCS-konformer Infrastruktur, eingebettet in Gaia-X-konforme Datenräume. Erst die Kombination aller Schichten ergibt eine vollständige souveräne Verwaltungscloud.
recommend Handlungsempfehlungenfeedback
Die Empfehlungen verdichten die Analyse in konkrete Handlungsfelder. Sie dienen als Startpunkt für Priorisierung und Umsetzung.
Beschreibung: Das Diagramm verdeutlicht, wie externe Spezifikationen in die D-Stack-Auswahl einfliessen und in Zielarchitektur-Bausteine umgesetzt werden.
| Nr. | Empfehlung | Beschreibung |
|---|---|---|
| 01 | GovSpecs als erweiterbare Basis nutzen | GovStack Specs werden erweitert und dienen als Basis für D-Stack TechStack und Lösungen; ergänzt um BSI C5, eIDAS 2.0, Gaia-X |
| 02 | D-Stack als Leitrahmen | Integriert GovStack, SCS, DVC, zugeschnitten auf deutsche Anforderungen |
| 03 | Zero Trust als separate Schicht | BSI Zero Trust Reifegradmodell als Basis, nicht auf GovStack warten |
| 04 | DVC-Marktplatz aufbauen | Konkreter Marktplatz mit DVC-Ökosystem, Technologie-Radar und Anbieter-Guidance; GovMarket-Kriterien für D-Stack-Kontext öffnen |
recommend Empfehlung: Hybride Strategiefeedback
Kurzfristig (2025–2026)
- D-Stack + SCS als Basis nutzen
- GovStack-BB-Katalog erweitern (IAM, Datenräume, Zero Trust)
- eIDAS-2.0-Konformität sichern
- Keycloak + EUDIW-Plugin als IAM-Referenz pilotieren
- SUSE Harvester evaluieren
Mittelfristig (2026–2028)
- K8s-native IaaS parallel aufbauen (KubeVirt + Metal³ + Cluster API)
- Multi-Tenancy mit Kamaji/Capsule
- 2–3 Kommerzielle K8s Anbieter mit Support
- Cilium als Netzwerk-Standard
- EuroStack begleiten und Anforderungen einbringen
Langfristig (2028+)
- Vollständiger K8s-native Stack als primäre IaaS-Plattform
- OpenStack-Workloads migrieren
- EuroStack als EU-Hyperscaler für souveräne Workloads
- Eclipse Dataspace Standards produktiv für Verwaltungsdaten nutzen
Vorschlag für die Roadmapfeedback
Die Roadmap strukturiert die Umsetzung in klaren Phasen. So können Abhängigkeiten und Risiken besser gesteuert werden.
Der Vorschlag ist bewusst in drei Umsetzungsphasen gegliedert, damit die öffentliche Verwaltung nicht auf einen vollständigen Zielzustand warten muss, sondern mit einer realistischen Hybridstrategie schrittweise migrieren kann.
1. Kurzfristig: Stabilisieren und regulatorisch absichernfeedback
Diese Phase adressiert die dringendsten Lücken und schafft eine belastbare Ausgangsbasis. Der Schwerpunkt liegt auf Compliance und Stabilität.
In der ersten Phase wird bewusst auf das gesetzt, was heute bereits tragfähig ist: D-Stack + SCS als belastbare Ausgangsbasis. Ziel ist nicht der komplette Neubau, sondern die sofort nutzbare Konsolidierung der vorhandenen Architektur. Parallel dazu werden die größten Lücken aus der GovStack-Welt geschlossen.
Schwerpunkte dieser Phase:
- D-Stack + SCS als Basis nutzen
- Erweiterung des GovStack-BB-Katalogs um für Deutschland kritische Bausteine (IAM, Datenräume, Zero Trust)
- Herstellung der eIDAS-2.0-Konformität
- Pilotierung von Keycloak + EUDIW-Plugin als praxisnahe IAM-Referenz
- Bewertung von SUSE Harvester als möglicher Baustein für vereinfachte Betriebsmodelle
Zielbild: Eine belastbare, compliant-fähige Ausgangsplattform, auf der spätere Modernisierungsschritte sicher aufsetzen können.
2. Mittelfristig: Parallel neue Plattformfähigkeiten aufbauenfeedback
In dieser Phase wird die Zielarchitektur parallel aufgebaut, ohne Bestandsbetrieb zu gefährden. Das reduziert Migrationsrisiken.
In der zweiten Phase wird nicht alles auf einmal ersetzt. Stattdessen entsteht parallel zur bestehenden OpenStack-/SCS-Welt eine stärker Kubernetes-native Infrastruktur. Dadurch sinkt das Migrationsrisiko, weil neue Workloads bereits auf der Zielarchitektur erprobt werden können, während Bestandslasten weiterlaufen.
Schwerpunkte dieser Phase:
- Aufbau einer Kubernetes-nativen IaaS/CaaS-Schicht (KubeVirt + Metal³ + Cluster API)
- Einführung von Multi-Tenancy mit Kamaji / Capsule
- Auswahl von 2–3 kommerziellen K8s-Anbietern mit Enterprise-Support
- Etablierung von Cilium als Standard für Netzwerk und Security
- EuroStack aktiv begleiten und deutsche Anforderungen einbringen
Zielbild: Eine zweigleisige Architektur, in der Bestandsplattform und neue Zielplattform kontrolliert nebeneinander existieren.
3. Langfristig: Konsolidieren und europäisch einbettenfeedback
Diese Phase beschreibt die endgültige Konsolidierung und die europäische Einbettung. Ziel ist eine langfristig tragfähige Souveränitätsarchitektur.
In der letzten Phase erfolgt die eigentliche Konsolidierung auf den Zielzustand. Dann können Workloads aus klassischen OpenStack-Betriebsmodellen schrittweise in einen vollständig Kubernetes-nativen Stack überführt werden. Gleichzeitig wird die Architektur in größere europäische Initiativen eingebettet.
Schwerpunkte dieser Phase:
- Vollständiger K8s-native Stack als primäre IaaS-Plattform
- Migration bestehender OpenStack-Workloads
- Positionierung von EuroStack als EU-Hyperscaler für souveräne Workloads
- Produktiver Einsatz von Eclipse Dataspace Standards für Verwaltungsdaten
Zielbild: Eine souveräne, europäisch anschlussfähige Zielarchitektur mit hoher Automatisierung, Interoperabilität und Zukunftsfähigkeit.
Warum dieser Roadmap-Vorschlag sinnvoll istfeedback
Der Vorschlag vermeidet einen riskanten Big-Bang-Ansatz. Stattdessen verbindet er:
- kurzfristige Umsetzbarkeit,
- mittelfristigen Plattformumbau und
- langfristige strategische Souveränität.
Damit passt die Roadmap sowohl zu den technischen Realitäten in Behörden als auch zu regulatorischen Fristen und zum erwartbaren Reifegrad europäischer Open-Source-Ökosysteme.
Nächste Schritte: Die folgenden Seiten gehen detailliert auf die GovStack-Spezifikationen, die kritische Cloud-Schicht (SCS) und die Zero-Trust-Grundsätze für Behörden ein.