Neue Vorschrift für Behörden
Hardware ohne Backdoor wird Pflicht
Der IT-Planungsrat hat während der CeBIT die Vertragsbedingungen für Bund und Länder für den Kauf von IT-Hardware ergänzt. In Zukunft muss der Hersteller oder der IT-Dienstleister garantieren, dass die Geräte frei von Schadsoftware und Hintertüren sind.
In seiner 19. Sitzung hat der IT-Planungsrat, das zentrale Steuerungsgremium für die IT von Bund und Ländern, während der CeBIT neue Ergänzende Vertragsbedingungen (EVB-IT) beim Kauf von neuer Hardware beschlossen. Beim Vertragsabschluss muss der Hersteller oder der IT-Dienstleister künftig versichern, dass seine Hardware frei von jeglicher Schadsoftware oder Hintertüren ist. Im Wortlaut heißt es, dass das Gerät »[…] frei von Funktionen ist, die die Integrität, Vertraulichkeit und Verfügbarkeit der Hardware, anderer Hard- und/oder Software oder von Daten gefährden und dadurch den Vertraulichkeits- oder Sicherheitsinteressen des Auftraggebers zuwiderlaufen […]«. Die EVB-IT sind verpflichtend für Bundesbehörden. Für die Länder gelten zum großen Teil identische oder ähnliche Anwendungsverpflichtungen.
»Die neuen Klauseln sind ein wesentlicher Meilenstein für mehr Digitale Souveränität unseres Landes«, begrüßt Lancom-Chef Ralf Koenzen die neue Regelung. Schließlich habe der NSA-Skandal gezeigt, dass eine backdoorfreie Hardware keine Selbstverständlichkeit sei und Netzwerke von Unternehmen und staatlichen Behörden gefährde. »Backdoors stellen eine reale Gefahr für die Integrität, Vertraulichkeit und Authentizität von Daten dar«, sagt Koenzen.
Bereits seit längeren gibt es Spekulationen darüber, ob der US-Geheimdienst NSA in der Lage ist, auf Firewalls von Cisco, Huawei und Juniper Networks zuzugreifen. Erst Ende 2015 hatte es in der »ScreenOS«-Software von Juniper Hinweise auf unautorisierten Code gegeben. Wer diese Hintertür in die Produkte des Netzwerkausrüsters eingebaut hatte, blieb im Dunkeln. Auch teilte der Hersteller nicht mit, ob die Sicherheitslücke ausgenutzt wurde.
Lesen Sie mehr zum Thema
