Press Release

Neue EVB-IT: "No backdoors"-Klausel für Hardware-Beschaffung der öffentlichen Hand / TeleTrusT – Bundesverband IT-Sicherheit e.V. begrüßt neues IT-Vergaberecht

Berlin, 23.03.2016 – Der IT-Planungsrat, das zentrale Gremium für die föderale Zusammenarbeit in der Informationstechnik, hat neue "Ergänzende Vertragsbedingungen" (EVB-IT) für die Beschaffung von Hardware beschlossen. Kernelement der neuen EVB-IT ist eine verpflichtende "No backdoors"-Klausel. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) begrüßt diese Präzisierung ausdrücklich.

Gemäß den neuen EVB-IT müssen IT-Dienstleister gewährleisten, dass die von ihnen zu liefernde Hardware frei von Funktionen ist, die die Integrität, Vertraulichkeit und Verfügbarkeit der Hardware, anderer Hard- und/oder Software oder von Daten gefährden und dadurch den Vertraulichkeits- oder Sicherheitsinteressen des Auftraggebers zuwiderlaufen. Die neuen Klauseln sind ein Beitrag zur digitalen Souveränität.

Die Vorgaben der EVB-IT richten sich an Lieferanten von IT-Anwendungen. Diese können die Gewährleistungserklärung ggf. an die Hersteller weitergeben. Damit dürfen nur noch Hardware-Produkte beschafft werden, für die vom IT-Dienstleister beziehungsweise dem Hardware-Hersteller eine entsprechende Gewährleistung übernommen wird. Die EVB-IT sind verpflichtend für Bundesbehörden, werden jedoch auch von Ländern und Kommunen angewendet.

TeleTrusT-Vorsitzender Prof. Dr. Norbert Pohlmann: "Die Implementierung von verdeckten Zugangsmöglichkeiten schwächt das Vertrauen in IT-Sicherheitslösungen und erhöht das Risiko eines Schadens enorm. Insbesondere IT-Sicherheitsprodukte 'made in Germany' müssen sich auch weiterhin durch besondere Vertrauenswürdigkeit auszeichnen, um in Zukunft den Digitalisierungsprozess verlässlich umsetzen zu können."

Die TeleTrusT-Initiative "IT Security made in Germany" (ITSMIG) und das darauf basierende Qualitätszeichen spiegeln diesen Vertrauenswürdigkeitsanspruch wider:

  • Der Unternehmenshauptsitz muss in Deutschland sein.
  • Das Unternehmen muss vertrauenswürdige IT-Sicherheitslösungen anbieten.
  • Die angebotenen Produkte dürfen keine versteckten Zugänge enthalten (keine "Backdoors").
  • Die IT-Sicherheitsforschung und -entwicklung des Unternehmens muss in Deutschland stattfinden.
  • Das Unternehmen muss sich verpflichten, den Anforderungen des deutschen Datenschutzrechtes zu genügen. 

(www.teletrust.de/itsmig)

Files:
PM-160323-TeleTrusT-EVB-IT.pdf117 Ki
<- Back to: Messages