No backdoors: TeleTrusT begrüßt neue Klausel für Hardware-Beschaffung der Öffentlichen Hand

Nur noch Hardware, für die vom IT-Dienstleister oder Hersteller eine Gewährleistung vorliegt

[datensicherheit.de, 24.03.2016] Der IT-Planungsrat, das zentrale Gremium für die föderale Zusammenarbeit in der Informationstechnik, hat laut TeleTrusT neue „Ergänzende Vertragsbedingungen“ (EVB-IT) für die Beschaffung von Hardware beschlossen. Kernelement der neuen EVB-IT sei eine verpflichtende „No backdoors“-Klausel.

Beitrag zur Digitalen Souveränität

Gemäß den neuen EVB-IT müssten IT-Dienstleister gewährleisten, dass die von ihnen zu liefernde Hardware frei von Funktionen ist, welche die Integrität, Vertraulichkeit und Verfügbarkeit der Hardware, anderer Hard- und/oder Software oder von Daten gefährden und dadurch den Vertraulichkeits- oder Sicherheitsinteressen des Auftraggebers zuwiderlaufen. Die neue Klausel sei ein Beitrag zur Digitalen Souveränität.

Anwendung in Bund, Ländern und Gemeinden

Diese Vorgaben der EVB-IT richteten sich an Lieferanten von IT-Anwendungen. Diese könnten die Gewährleistungserklärung ggf. an die Hersteller weitergeben. Damit dürften nur noch Hardware-Produkte beschafft werden, für die vom IT-Dienstleister beziehungsweise dem Hardware-Hersteller eine entsprechende Gewährleistung übernommen wird. Die EVB-IT seien verpflichtend für Bundesbehörden, würden jedoch auch von Ländern und Kommunen angewendet.

IT-Sicherheitsprodukte „made in Germany“ mit besonderer Vertrauenswürdigkeit

Die Implementierung von verdeckten Zugangsmöglichkeiten schwächten das Vertrauen in IT-Sicherheitslösungen und erhöhten das Risiko eines Schadens enorm, betont der TeleTrusT-Vorsitzende, Prof. Dr. Norbert Pohlmann. Insbesondere IT-Sicherheitsprodukte „made in Germany“ müssten sich auch weiterhin durch besondere Vertrauenswürdigkeit auszeichnen, um in Zukunft den Digitalisierungsprozess verlässlich umsetzen zu können.

TeleTrusT-Initiative „IT Security made in Germany“

Die TeleTrusT-Initiative „IT Security made in Germany“ (ITSMIG) und das darauf basierende Qualitätszeichen spiegelten diesen Vertrauenswürdigkeitsanspruch wider:

• Der Unternehmenshauptsitz muss in Deutschland sein.
• Das Unternehmen muss vertrauenswürdige IT-Sicherheitslösungen anbieten.
• Die angebotenen Produkte dürfen keine versteckten Zugänge enthalten (keine „Backdoors“).
• Die IT-Sicherheitsforschung und -entwicklung des Unternehmens muss in
  Deutschland stattfinden.
• Das Unternehmen muss sich verpflichten, den Anforderungen des
  deutschen Datenschutzrechtes zu genügen.

Weitee Informationen zum Thema:

TeleTrusT
SecurITy made in Germany