Schedule FrOSCon 2026

Lecture

Public Money, Public Containers

Gehärtete Open-Source-Container-Images aus der Öffentliche Verwaltung für alle

August 16, 2026 HS 1/2 de It’s the end of the world as we know it – Prepping for crisis with FLOSS

Moderne digitale Verwaltungsinfrastruktur wird auf einer containerbasierten Infrastruktur betrieben – aber woher kommen die sicheren Container-Images? Aktuell überwiegend von US-amerikanischen Anbietern, mit allen bekannten Lock-in-, Datenhoheits- und Lieferkettenrisiken. In Zeiten, in denen sich geopolitische Verhältnisse innerhalb weniger Wochen ändern können und Software-Supply-Chain-Angriffe (Shai-Hulud, npm-Würmer, kompromittierte Basis-Images) zur Normalität geworden sind, ist das ein strategisches Problem.
Mit der Secure Government Container Initiative (SGCI) und der Plattform container.gov.de stellen ZenDiS auf openCode geprüfte, gehärtete Container-Images für Bund, Länder und öffentliche IT bereit – als offene Bausteine, gemeinsam mit der Community. Als technischer Umsetzungspartner berichten wir aus erster Hand: Wie härten wir Container nach BSI-Standards und NIST SP 800-190? Welche Toolchain entsteht dabei? Wo stehen wir nach der ersten Aufbauphase – und was kann noch getan werden, damit dieses Projekt am Ende erfolgreich ist?

Warum gehärtete Container aus Europa?

Container sind die Basistechnologie moderner Verwaltungs-IT – von der Bundes-Cloud PLAIN bis zur Office-Suite openDesk. Wer die Container kontrolliert, kontrolliert einen erheblichen Teil der digitalen Infrastruktur. Heute ist diese Kontrolle stark konzentriert: Wenige (überwiegend US-amerikanische) Anbieter dominieren den Markt für gehärtete Container-Images, oft hinter proprietären Subscription-Modellen.

Für die öffentliche Verwaltung ist das aus mehreren Gründen problematisch:
- Datenhoheit & Lieferkette: Kompromittierte oder politisch motiviert manipulierte Basis-Images sind ein realer Angriffsvektor – die Software-Supply-Chain-Wellen 2025/26 (Shai-Hulud, Mini Shai-Hulud) haben das schmerzhaft gezeigt.
- Lock-in: Proprietäre Härtungslösungen erzeugen Migrationsbarrieren und Abhängigkeiten, die der IT-Planungsrat in seiner Souveränitätsstrategie explizit als strategisches Risiko benennt.
- Compliance: BSI IT-Grundschutz, CRA, NIS2 – die regulatorischen Anforderungen an Container in regulierten Umgebungen steigen, während die operativen Ressourcen der Verwaltung knapp bleiben.

container.gov.de und die SGCI

container.gov.de ist das zentrale Verzeichnis für geprüfte und gehärtete Container-Images der öffentlichen Verwaltung. Der Rahmen ist die SGCI von ZenDiS und openCode im Auftrag des Bundesministeriums für Digitales und Staatsmodernisierung (BMDS). Alle Images sind quelloffen, alle bekannten Schwachstellen mit hohem oder kritischem Schweregrad müssen explizit per VEX bewertet sein, jedes Image durchläuft eine automatische Compliance-Prüfung.

Public Money, Public Code – ganz konkret

Die SGCI ist eine direkte Anwendung des "Public Money, Public Code"-Prinzips: öffentlich finanzierte Härtungsarbeit fließt nicht in proprietäre Subscription-Produkte, sondern als Open-Source-Code zurück in die Allgemeinheit. Jede:r kann die Images nutzen, weiterentwickeln und auditieren – Verwaltung, Wirtschaft, Open-Source-Projekte. Die Community wird so nicht nur Konsument, sondern Mitbauer:in einer souveränen, europäischen Container-Lieferkette.

Praxisbericht: Was wir gelernt haben

Als technischer Umsetzungspartner von ZenDiS härten wir Container und bauen die zugehörige Toolchain auf – CI/CD-Komponenten für Multi-Stage-, Distroless-, Nix- und Deb2Scratch-Builds, integriert mit DevGuard für das kontinuierliche Vulnerability- und VEX-Management.

Was wir mit euch diskutieren wollen

Die SGCI ist im Aufbau – wir suchen aktiv Community-Input.

Über das Projekt

Website: container.gov.de · Dokumentation: container.gov.de/docs · GitLab: gitlab.opencode.de/oci-community.