IT-Planungsrat beschließt No-Spy-Klausel für Hardware-Beschaffungen
Aufgaben und Struktur des IT-Planungsrats
(Bild: it-planungsrat.de)
Auf seiner turnusmäßigen CeBIT-Sitzung hat der IT-Planungsrat die "Ergänzenden Vertragsbedingungen für den Kauf von Hardware" erweitert. Auftragnehmer müssen künftig versichern, dass ihre Hardware frei von Backdoors ist.
Nach der Mitte 2015 abgesegneten No Spy-Klausel für Standard-Software [1] hat der IT-Planungsrat auf seiner Frühjahressitzung [2] auf der CeBIT nun auch die entsprechende Regel für den Hardware-Kauf beschlossen und den neuen Vertragstext [3] veröffentlicht. Wer Hardware an Behörden verkauft, muss nach den neuen, ab heute geltenden "Ergänzenden Vertragsbedingungen für den Kauf von Hardware" (EVB-IT) garantieren, dass die ausgelieferte Hardware frei von Funktionen ist, die eine Backdoor enthalten können.
Diese "No-Spy-Klausel" soll die Integrität, Vertraulichkeit und Verfügbarkeit der angeschafften Hardware wie die anderer Hard- oder Software absichern, die eine Behörde einsetzt. Den Sicherheitsinteressen der Behörden zuwider laufen:
- Funktionen zum unerwünschten Absetzen/Ausleiten von Daten
- Funktionen zur unerwünschten Veränderung/Manipulation von Daten oder der Ablauflogik oder
- Funktionen zum unerwünschten Einleiten von Daten oder unerwünschte Funktionserweiterungen.
Ergänzend zum neuen Passus der Backdoor-Freiheit werden solche Funktionen selbst dann als "unerwünscht" deklariert, wenn sie von der ausschreibenden Behörde im Sinne einer Opt-in-Klausel "ausdrücklich autorisiert" wurden.
Die neue EVB-IT ist verpflichtender Bestandteil aller Hardware-Aufträge von Bundesbehörden, wird jedoch auch von vielen Bundesländern und Kommunen als Vertragsvorgabe übernommen. Zur verstärkten Einbindung der Bundesländer in übergreifende IT-Projekte will der Planungsrat eine neue Behörde gründen, die für den "Aufbau der Föderalen IT-Kooperation" (FITKO) zuständig ist und ihren Sitz in Frankfurt am Main haben soll. (anw [4])
URL dieses Artikels:
https://www.heise.de/-3141896
Links in diesem Artikel:
[1] https://www.heise.de/news/No-Spy-Regel-fuer-Softwarebeschaffung-der-oeffentlichen-Hand-in-Kraft-2752381.html
[2] http://www.it-planungsrat.de/SharedDocs/Pressemitteilungen/DE/2016/PM12_19_Sitzung.html
[3] http://www.cio.bund.de/SharedDocs/Publikationen/DE/IT-Beschaffung/EVB-IT_Vertragstypen/EVB-IT_Kauf/ergaenzende_vertragsbedinungen_version_2-0_v_17032016_pdf.pdf?__blob=publicationFile
[4] mailto:anw@heise.de
Copyright © 2016 Heise Medien