Nach der Mitte 2015 abgesegneten No Spy-Klausel für Standard-Software hat der IT-Planungsrat auf seiner Frühjahressitzung auf der CeBIT nun auch die entsprechende Regel für den Hardware-Kauf beschlossen und den neuen Vertragstext veröffentlicht. Wer Hardware an Behörden verkauft, muss nach den neuen, ab heute geltenden "Ergänzenden Vertragsbedingungen für den Kauf von Hardware" (EVB-IT) garantieren, dass die ausgelieferte Hardware frei von Funktionen ist, die eine Backdoor enthalten können.

Diese "No-Spy-Klausel" soll die Integrität, Vertraulichkeit und Verfügbarkeit der angeschafften Hardware wie die anderer Hard- oder Software absichern, die eine Behörde einsetzt. Den Sicherheitsinteressen der Behörden zuwider laufen:

Funktionen zum unerwünschten Absetzen/Ausleiten von Daten

Funktionen zur unerwünschten Veränderung/Manipulation von Daten oder der Ablauflogik oder

Funktionen zum unerwünschten Einleiten von Daten oder unerwünschte Funktionserweiterungen.

Ergänzend zum neuen Passus der Backdoor-Freiheit werden solche Funktionen selbst dann als "unerwünscht" deklariert, wenn sie von der ausschreibenden Behörde im Sinne einer Opt-in-Klausel "ausdrücklich autorisiert" wurden.

Die neue EVB-IT ist verpflichtender Bestandteil aller Hardware-Aufträge von Bundesbehörden, wird jedoch auch von vielen Bundesländern und Kommunen als Vertragsvorgabe übernommen. Zur verstärkten Einbindung der Bundesländer in übergreifende IT-Projekte will der Planungsrat eine neue Behörde gründen, die für den "Aufbau der Föderalen IT-Kooperation" (FITKO) zuständig ist und ihren Sitz in Frankfurt am Main haben soll. (anw)