Python hat einen Förderbetrag von über 1,5 Millionen USD abgelehnt. Grund war die Bedingung, Programme zur Gleichberechtigung zu streichen.
Die Python Software Foundation hat einen Förderbetrag von über 1,5 Millionen US-Dollar der US-Regierung abgelehnt. Grund dafür sind neue Bedingungen, die der Non-Profit-Organisation vorschreiben, keine Programme zur Förderung von Diversität, Gleichberechtigung und Inklusion (DEI) zu betreiben. Diese Klausel stand in direktem Widerspruch zu den Werten der Stiftung.
Geld für Sicherheit, aber mit politischem Haken
Die Python Software Foundation (PSF) hatte sich bei der National Science Foundation (NSF) um 1,5 Millionen Dollar aus dem Programm „Safety, Security, and Privacy of Open-Source Ecosystems“ beworben. Das Geld sollte genutzt werden, um die Sicherheit von Python und dem Paketmanager PyPI zu stärken. PyPI ist, ähnlich wie npm, ein häufiges Ziel von Supply-Chain-Angriffen.
Kurz erklärt: Paketmanager wie PyPI sind „App-Stores“ für Code-Bausteine (Pakete). Bei einem Supply-Chain-Angriff wird ein solches Paket infiziert. Entwickler, die es nutzen, bauen die Schadsoftware unwissentlich in ihre eigenen Programme ein und infizieren so ihre Nutzer.
Erst Ende letzten Jahres zeigte der Angriff auf das „ultralytics“-Projekt bei PyPI, wie verwundbar diese Lieferkette ist. Und wie kritisch die Lage auch bei anderen Paketmanagern ist, zeigte sich erst letzten Monat: Hier wurde bekannt, dass bei npm Pakete infiziert waren, die wöchentlich über 2,6 Milliarden Mal heruntergeladen werden.
Das Programm der Regierung war zur Verhinderung von genau solchen Sicherheitsrisiken gedacht. Die 1,5 Millionen Dollar für PyPI sind dringend nötig, um die Infrastruktur abzusichern, von der unzählige US-Firmen und kritische Systeme abhängen. Dass die Regierung diese wichtigen Gelder nun an politische Bedingungen gegen „Diversität“ knüpft, ist daher besonders problematisch. Am Ende schießt sich die Trump-Regierung damit selbst ins Knie: Sie blockiert aktiv die Absicherung ihrer eigenen digitalen Infrastruktur.
Der Antrag der PSF war zunächst erfolgreich: Ein Erfolg, da nur 36% der Erstanträge angenommen werden. Die Bewilligung kam jedoch mit einer entscheidenden Bedingung: In den zugesandten Unterlagen fand sich die Klausel, die der PSF vorschrieb zu bestätigen, dass sie „keine Programme durchführen […] die DEI […] fördern oder unterstützen“.
Trumps Kampf gegen Diversität
Diese Bedingung ist Teil der neuen US-Politik. DEI steht für „Diversity, Equity and Inclusion“ (Vielfalt, Gerechtigkeit und Inklusion). Das sind Programme, die unterrepräsentierte Gruppen aktiv fördern und einbeziehen sollen.
US-Präsident Trump hat diesen Programmen jedoch kurz nach seinem Amtsantritt im Januar 2025 den Kampf angesagt. Er unterzeichnete ein Dekret, das eine Untersuchung von DEI-Programmen in Behörden und der Privatwirtschaft anordnete, da man diese als „diskriminierend“ einstufen würde.
Genau diese Politik steckt hinter der Klausel im Förderantrag der Python Software Foundation. Das Problem für die PSF: Die Klausel bezog sich nicht nur auf das geförderte Sicherheitsprojekt, sondern auf die gesamte Arbeit der Organisation.
Zusätzlich beinhalteten die Bedingungen ein enormes finanzielles Risiko. Hätte die NSF entschieden, dass die Foundation gegen die Anti-DEI-Vorgabe verstößt, hätte die Behörde bereits ausgezahltes Geld zurückfordern können. Für eine Non-Profit-Organisation mit einem Jahresbudget von rund 5 Millionen Dollar war dies ein untragbares Risiko.
Werte und Gleichberechtigung steht über den Fördergeldern
Die Python Software Foundation (PSF) stellte sich damit klar gegen die von der Regierung vorgegebenen Bedingungen. Für die Stiftung war die Annahme der Klausel nicht möglich. Der Grund: In ihrem offiziellen Mission-Statement ist explizit verankert, „das Wachstum einer vielfältigen und internationalen Gemeinschaft von Python-Programmierern zu unterstützen„.
Dieses Engagement ist bei der PSF auch in der Struktur verankert. Tatsächlich unterhält die Stiftung eine eigene „Diversity and Inclusion Working Group“. Diese Arbeitsgruppe aus Freiwilligen hat den klaren Zweck, „die Mission der PSF zu fördern […] und […] das Wachstum einer vielfältigen und internationalen Gemeinschaft zu unterstützen“. Die Gruppe berät den Vorstand, sammelt Feedback aus der Community, misst den Fortschritt von Initiativen über Diversität und beantragt dafür ein kleines Jahresbudget von 5.000 Dollar.
Weil das Thema also so tief in der Organisationsstruktur verankert ist, kam die Stiftung zu dem Schluss, dass die Annahme der Gelder nicht mit ihrer Mission vereinbar ist.
Politische Ideologie blockiert Sicherheit
Dass die PSF durchaus an der Finanzierung von Sicherheitsprojekten interessiert ist, zeigt die Vergangenheit. Im Juni 2022 erhielt die Stiftung 400.000 US-Dollar von der Open Source Security Foundation (OpenSSF), ganz ohne politische Klauseln.
Die Weigerung der US-Regierung, Geld ohne ideologische Bedingungen bereitzustellen, gefährdet damit am Ende die eigene digitale Infrastruktur, die sie eigentlich schützen wollte. Die dringend benötigten 1,5 Millionen Dollar für die Sicherheit von PyPI bleiben blockiert. Und auch die Schwachstellen, die die Regierung eigentlich beheben möchte, bleiben offen.
