"No backdoors"-Klausel für Hardware-Beschaffung der öffentlichen Hand

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Quelle: TeleTrusT
Veröffentlicht von It-sa Benefiz am 25. März 2016.

Berlin, 23.03.2016. Der IT-Planungsrat, das zentrale Gremium für die föderale Zusammenarbeit in der Informationstechnik, hat neue "Ergänzende Vertragsbedingungen" (EVB-IT) für die Beschaffung von Hardware beschlossen. Kernelement der neuen EVB-IT ist eine verpflichtende "No backdoors"-Klausel". Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) begrüßt diese Präzisierung ausdrücklich.
 
Gemäß den neuen EVB-IT müssen IT-Dienstleister gewährleisten, dass die von ihnen zu liefernde Hardware frei von Funktionen ist, die die Integrität, Vertraulichkeit und Verfügbarkeit der Hardware, anderer Hard- und/oder Software oder von Daten gefährden und dadurch den Vertraulichkeits- oder Sicherheitsinteressen des Auftraggebers zuwiderlaufen. Die neuen Klauseln sind ein Beitrag zur digitalen Souveränität.
 
Die Vorgaben der EVB-IT richten sich an Lieferanten von IT-Anwendungen. Diese können die Gewährleistungserklärung ggf. an die Hersteller weitergeben. Damit dürfen nur noch Hardware-Produkte beschafft werden, für die vom IT-Dienstleister beziehungsweise dem Hardware-Hersteller eine entsprechende Gewährleistung übernommen wird. Die EVB-IT sind verpflichtend für Bundesbehörden, werden jedoch auch von Ländern und Kommunen angewendet.
 
TeleTrusT-Vorsitzender Prof. Dr. Norbert Pohlmann: "Die Implementierung von verdeckten Zugangsmöglichkeiten schwächen das Vertrauen in IT-Sicherheitslösungen und erhöhen das Risiko eines Schadens enorm. Insbesondere IT-Sicherheitsprodukte 'made in Germany' müssen sich auch weiterhin durch besondere Vertrauenswürdigkeit auszeichnen, um in Zukunft den Digitalisierungsprozess verlässlich umsetzen zu können."
 
Die TeleTrusT-Initiative "IT Security made in Germany" (ITSMIG) und das darauf basierende Qualitätszeichen spiegeln diesen Vertrauenswürdigkeitsanspruch wider:
 
- Der Unternehmenshauptsitz muss in Deutschland sein.
- Das Unternehmen muss vertrauenswürdige IT-Sicherheitslösungen anbieten.
- Die angebotenen Produkte dürfen keine versteckten Zugänge enthalten (keine "Backdoors").
- Die IT-Sicherheitsforschung und -entwicklung des Unternehmens muss in Deutschland stattfinden.   
- Das Unternehmen muss sich verpflichten, den Anforderungen des deutschen Datenschutzrechtes zu genügen.
 
(www.teletrust.de/itsmig)
 


 

Kategorien E-Mail Service konfigurieren

  • Sicherheitspolitik, Polizei, Geheimdienste, Recht und Justiz
  • Verbandsnachrichten/Personalien

Benutzergruppe

  • Alle Benutzer