D-Stack = TechStack + Arichtecture Decision Record + BestPratices + Prüfbefähigung

Erklärtes Ziel des D-Stack ist es, ein konkretes Angebot an für Bund, Länder und Kommunen zu schaffen.

Im Rahmen des Projekte IRIS connect - einer Lösung zur Kontaktnachverfolgung als Open Source Kommunikationsinfrastruktur im öffentlichen Gesundheistdienst die 2021/22 in 54 von 116 möglichen Ämter in NRW, Hessen, Thüringen und Sachsen betrieben wurde - haben wir mit einem sehr heterogenen Betriebsszenario von SaaS für ganze Bundesländer zu On-Premises Selfhosting in einzelnen Kommunen Erfahrung gesammelt.

Aus dieser Erfahrung heraus möchten wir vorschlagen, im Rahmen des D-Stack folgende Zielstellung anzustreben:

Der D-Stack bietet eine im Rahmen eines Architecture Decision Records (ADR) [1] - bspw. Arc42 [2] - dokumentierte Auswahl von Technologien die in sinnvollen einsetzbaren Bundels zusammengeführt werden. Die Auswahl im Rahmen des ADR stützt sich auf explizit benannte Leit- und Richtlinien (BSI-TR, IETF, W3C, CRA Standards (horizontal & vertikal), EGovG, etc.) und enthält neben der Nennung der Technologien sowohl Anforderungen an Implementation und operative Umsetzung, die sich ebenfalls auf explizit benannte Leit- und Richtlinien stützen. Diese werden aktiv gepflegt und die Nutzer*innen entsprechender Lösungen befähigt, aktiv über Updates und Übergangspflichten zu informieren. Weiterhin wird ein Angebot geschaffen, das Nutzenden ermöglicht, durch Dritte niedrigschwellig und vorzugsweise automatisiert zu prüfen, ob die Leit- und Richtlinien erfüllt sind. Referenzen für diesen Ansatz bietet das Projekt GovStack [3][4], das OZG-Security Challenge [5][6] und dem Servicestandard für UX/UI und Barrierefreiheit [7]. Ein nicht unerheblicher Teil sollte im Rahmen von DevGuard [8] abbildbar sein.

[1] https://www.heise.de/hintergrund/Gut-dokumentiert-Architecture-Decision-Records-4664988.html [2] https://github.com/joelparkerhenderson/architecture-decision-record [3] https://testing.govstack.global/en/requirements [4] #163 [5] https://www.digitale-verwaltung.de/Webs/DV/DE/onlinezugangsgesetz/rahmenarchitektur/standardisierung/ozg-security-challenge/ozg-security-challenge-node.html [6] https://badges.opencode.de/official-badges/security-badge/ [7] https://servicestandard.gov.de/ [8] https://opencode.de/de/aktuelles/sicherheit-im-entwicklungsalltag-verankern-mit-devguard-5300