EVB-IT mit No-backdoors-Klausel: Wie Behörden Hardware ohne Hintertür beschaffen

Der IT-Planungsrat hat nicht nur neue Ergänzende Vertragsbedingungen (EVB-IT) für die Beschaffung von Hardware beschlossen, sondern auch eine No-backdoors-Klausel vorgesehen: Hersteller müssen zusichern, dass sie keine Hintertüren eingebaut haben. Sichere Hardware ist dadurch jedoch nicht garantiert.

Hardware ohne (absichtliche) Hintertür

Von Oliver Schonschek

Es klingt beruhigend, wenn man an den NSA-Skandal denkt: Der deutsche IT-Planungsrat, das zentrale Steuerungsgremium für die IT von Bund und Ländern, hat neue Ergänzende Vertragsbedingungen (EVB-IT) für die Beschaffung von Hardware beschlossen. Wesentliches Kernelement der neuen EVB-IT ist eine verpflichtende No-backdoors-Klausel, auch „technische No-spy-Klausel“ genannt, in den AGB.

Laut dieser Klausel dürfen Bundesbehörden nur noch Hardware-Produkte beschaffen, für die der IT-Dienstleister bzw. der Hardware-Hersteller eine entsprechende Gewährleistung übernimmt, dass es keine „Hintertüren“ gibt. Backdoors in Rechnern von Bundesbehörden sind zweifellos eine große Gefahr für die Integrität, Vertraulichkeit und Authentizität von Daten. Sie können Abhören, Manipulation und Sabotage ermöglichen, denn sie bilden Zugangsmöglichkeiten für unbefugte Dritte. Deshalb ist eine No-backdoors-Klausel nicht nur wichtig, sondern absolut notwendig.

Anbieter und Verbände reagieren positiv

„Dass IT-Hersteller und Händler solche Zusagen abgeben, war am Markt bisher nicht immer selbstverständlich – obwohl es das eigentlich hätte sein müssen“, so der Beauftrage der Bundesregierung für Informationstechnik, Staatssekretär Klaus Vitt. Verschiedene Anbieter haben in den letzten Wochen nun auch erklärt, sie würden die neue No Backdoors Policy seit jeher erfüllen. So schreibt zum Beispiel Clavister: „Wir bestätigen unseren Kunden seit 2003 schriftlich, dank kompletter Eigenentwicklung 100-prozentig gewährleisten zu können, frei von Hintertüren zu sein.“

Anders ausgedrückt: Wirklich neu sind nur die Verpflichtung der Einkäufer und die notwendige Erklärung der Anbieter, dass die Prüfung des jeweiligen Auftragnehmers keinen Hinweis auf Schaden stiftende Software ergeben hat und dass er darüber hinaus gewährleistet, dass die von ihm zu liefernde Hardware frei von Funktionen ist, die die Integrität, Vertraulichkeit und Verfügbarkeit der Hardware, anderer Hard- und/oder Software oder von Daten gefährden und dadurch den Vertraulichkeits- oder Sicherheitsinteressen des Auftraggebers zuwiderlaufen. Eine entsprechende Erklärung geben zum Beispiel alle Mitglieder der TeleTrusT-Initiative „IT Security made in Germany“ (ITSMIG) ab, denn deren Produkte dürfen keine versteckten Zugänge, keine Backdoors enthalten.

Von uns ist sie jedenfalls nicht

Es stellt sich die Frage: Kann man nun davon ausgehen, dass es tatsächlich keine Backdoors in neu beschaffter Hardware der Bundesbehörden mehr gibt? Leider lautet die Antwort: Nein.

Zum einen sieht die No-backdoors-Klausel eine Prüfung und Erklärung durch den Anbieter selbst vor. Zum anderen kann selbst der vertrauenswürdigste Anbieter keine absolut zuverlässige Aussage treffen, dass seine Hardware-Lösungen frei von Backdoors sind. Er kann lediglich bestätigen, dass er selbst keine eingefügt hat, dass seine Zulieferer ihm bestätigt haben, dass sie keine eingebaut haben, und dass seine Prüfungen nichts Gegenteiliges ergeben haben.

Eine No-backdoors-Klausel genügt nicht

Ein Blick auf die Warnmeldungen von CERT-Bund, dem Warn- und Informationsdienst der Bundesverwaltung, zeigt, wie viele Sicherheitslücken es gegenwärtig in Hardware gibt. Alleine durch eine No-backdoors-Klausel lassen sich Backdoors nicht verhindern. Technische Hintertüren müssen auf rechtlicher Ebene thematisiert werden, doch sie brauchen auch eine technisch-organisatorische Lösung. Security by Design und damit mehr Sicherheit in der Produktentwicklung ist deshalb eine Forderung, die bei der Beschaffung ebenfalls eine zentrale Bedeutung haben muss. Dazu braucht es aber mehr als eine Einkaufsbedingung namens Security by Design. Erforderlich sind Anstrengungen aller Beteiligten für mehr Sicherheit in der Produktentwicklung und zusätzlich unabhängige Tests und Zertifizierungen für die IT-Sicherheit. Klauseln schützen keine Daten.

News Analyst Oliver Schonschek.JPG

Oliver Schonschek bewertet als News Analyst auf MittelstandsWiki.de aktuelle Vorfälle und Entwicklungen. Der Fokus liegt auf den wirtschaftlichen Aspekten von Datenschutz und IT-Sicherheit aus dem Blickwinkel des Mittelstands. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen, insbesondere in seinem Spezialgebiet Datenschutz und Datensicherheit.


Oliver Schonschek, Tel.: 02603-936116, www.schonschek.de

Nützliche Links