No-Spy-Regeln in neuen EVB-IT-Verträgen

No Spy Polizei und Verfassungsschutz
Helle Aufregung herrschte vor zwei Jahren in den Beschaffungsstellen für Behörden von Bund und Ländern. Hatte die NSA-Affäre doch sensibilisiert dafür, dass die Möglichkeit des heimlichen Abflusses von Regierungswissen an fremde Mächte, gemeinhin Spionage genannt, ein reales Risiko für Behörden darstellt. Und zwar insbesondere dann, wenn Auftragnehmer mit amerikanischen Konzernmüttern mit IT-Aufträgen für deutsche Behörden betraut werden. Denn nach dem amerikanischem Patriot Act können diese Unternehmen verpflichtet sein, heimlich Informationen z.B. aus dem deutschen Polizeisystem zu besorgen und an amerikanische Dienste weiterzugeben, was nicht nur deutschen Recht widerspricht, sondern auch deutschen Staatsinteressen. Was also tun, fragt man sich damals.

Das Bundesministerium des Innern ist die zuständige Behörde für die Ausarbeitung und Vorgabe von Vertragsbedingungen und Vertragsmustern für die Beschaffung von Software und Hardware, für Pflege- und Wartungsleistungen, sonstige Dienstleistungen und die Individualentwicklung von Software. Diese EVB-IT-Vertragsbedingungen müssen von den Bundesbehörden zwingend verwendet werden und auch die meisten Länderbehörden verwenden diese Standard-Vertragsmuster. Da ein so umfangreiches Vertragswerk nicht innerhalb kurzer Zeit zu ändern war, hatte das BMI im Frühjahr 2014 den so genannten No-Spy-Erlass veröffentlicht. Damit sollten Bieter in einem neuen Beschaffungsprojekt verpflichtet werden, eine Eigenerklärung abzugeben

„dass er rechtlich und tatsächlich in der Lage ist, im Falle eines Zuschlages die dann im Vertrag enthaltene Verpflichtung einzuhalten, alle im Rahmen des Vertragsverhältnisses erlangten vertraulichen Informationen, Geschäfts- und Betriebsgeheimnisse vertraulich zu behandeln, insbesondere nicht an Dritte weiterzugeben oder anders als zu vertraglichen Zwecken zu verwerten. …“

Nur wenige Monate später war der Erlass vom obersten deutschen Gericht für Vergaberechtsfragen kassiert. Die Vergabekammer des Bundes, angerufen von einem betroffenen Unternehmen, erklärte ihn für rechtswidrig. Und im BMI ging die Suche weiter nach einer tragfähigen Lösung: Zur Überarbeitung der Standard-Vertragsbedingungen setzte man sich, wie üblich, mit Vertretern der Anbieterseite zusammen, z.B. BITKOM und gab schließlich ein Jahr später überarbeitete Standards heraus für einige Vertragstypen, nämlich den Lizenzvertrag für Standardsoftware (EVB-IT Überlassung) und den Software-Pflegevertrag (EVB-IT Pflege S). Bei der Vorstellung im Juli 2015 erklärte die Beauftragte der Bundesregierung für Informationstechnik (im BMI) dann stolz und selbstbewusst zugleich: „Die neuen Musterverträge der öffentlichen Hand für die Überlassung von Standardsoftware und die Softwarepflege enthalten Vertragsklauseln, die „ausschließen, dass in gelieferter Software verdeckte oder unerwünschte Funktionen enthalten sind“.

Diese Aussage ist vollmundig geraten. Wir haben uns mal angesehen, was die neue Formulierungen aus praktischer und technischer Sicht bedeuten. Und kommen zu dem Ergebnis, dass die neu überarbeiteten Vertragsbedingungen keineswegs geeignet sind, um unerwünschte Funktionen und versteckte Hintertüren zu verhindern. Ja dass, gerade für die IT-Beschaffung der Sicherheitsbehörden, noch überhaupt keine No-Spy-Regelungen in den EVB-IT-Verträgen enthalten sind. Jedenfalls nicht in den Vertragstypen, die das Beschaffungsamt des BMI aktuell einsetzt, wenn für Bundeskriminalamt, Bundespolizei oder Bundesamt für Verfassungsschutz Informationstechnik beschafft wird. Doch der Reihe nach …

EVB-IT Überlassung von Standardsoftware

Die neuen EVB-IT-Überlassungsbedingungen verlangen, dass der Auftragnehmer vor der Lieferung „mit aktueller Scan-Software“ zu prüfen hat, dass die Standardsoftware frei ist von Schaden stiftender Software. [Der durchaus reizvollen Frage nachzugehen, was eine „Schaden stiftende Software“ ist – gerade im behördlichen Umfeld – verkneifen wir uns an dieser Stelle.] Und leider wird auch nicht erläutert, was ‚aktuelle Scan-Software‘ eigentlich sein soll.

Virenscanner?!

Sofern sich die Macher der neuen Regelung darunter handelsübliche Virenscanner vorstellten, ist der Vorschlag unzureichend. Verwiesen sei insbesondere auf Standardsoftwareprodukte im Rahmen behördlicher Informationssysteme, wie sie z.B. bei den Arbeitsagenturen, den Finanzbehörden oder den Sicherheitsbehörden im Einsatz sind. Solche Pakete werden im vertraglichen Kontext als ‚Standardsoftware‘ bezeichnet, bestehen jedoch technisch (mindestens) aus einem oder mehreren Anwendungsprogrammen (, mit denen der Anwender arbeitet) und einem Informationssystem / einer Datenbank, in der die vom Anwender erfassten und bearbeiteten Daten gespeichert werden und aus dem sie abgefragt werden. Es lassen sich in solchen Paketen Hintertüren einbauen, die erheblichen Schaden stiften können: Zum Beispiel dadurch, dass ein Verwender, der um diese Hintertüre und ihre Bedienung weiß, damit Zugriff nehmen oder Dritten einräumen kann auf das Informationssystem und die darin gespeicherten Daten – und zwar ohne dass dies einer Authentifizierung durch Nutzerkennung und Passwort bedürfte und ohne dass dies am System protokolliert würde. Ganz zu schweigen davon, dass ein ‚Virenscanner‘ rein gar nichts mit dieser, vermutlich nahe am Datenbankserver eingebauten Hintertür anfangen kann, weil der Virenscanner darauf ausgelegt ist, Anwendungssoftware (bzw. Systemkomponenten) auf dem Desktop des Anwenders zu untersuchen, nicht aber datenbanknahe Systemsoftware. Ein solcher Scanner wird Hintertüren dieser Art daher auch nicht bemerken und anzeigen können. Wobei das dargestellte Beispiel nur eines und keineswegs das einzig Mögliche sein soll, das belegt, dass der Scanner-Ansatz unzureichend ist.

Individuell an die Standardsoftware angepasste Scan-Software?!

Sollte mit dem unbestimmten Begriff der Scan-Software etwas anderes als ein Virenscanner gemeint sein, so ist anzunehmen, dass die entsprechende Scan-Software angepasst sein muss auf den Funktionsumfang und die technische Realisierung der durch sie zu untersuchenden Standardsoftware. Das allerdings wirft die Frage auf, wer – neben dem Hersteller der Standardsoftware – eine solche Scan-Software erstellen, testen und ggf. auch zertifizieren sollte. Wollte man diese Regelung ernst nehmen, würde sie Standardsoftware erheblich verteuern, weil neben der eigentlichen Standardsoftware auch noch deren Prüf-/Scan-Software zu entwickeln wäre. Und es wäre dann zusätzlich der Test und die Zertifizierung dieser Prüfsoftware durch eine objektive Prüfinstanz vorzusehen. Alles Dinge, von denen in den neuen Vertragsbedingungen und ihrer (spärlichen) Diskussion in Fachkreisen bisher keine Rede ist.

Der Praxisfall der neuen Regelung dürfte darin bestehen, dass der Auftragnehmer (, der ja den Auftrag haben möchte,) die geforderte Erklärung abgibt, womit lediglich einer Formalie Genüge getan ist. Keine Rede kann davon sein, dass dadurch ausgeschlossen wäre, dass in gelieferter Software verdeckte oder unerwünschte Funktionen enthalten sind, wie dies in der Pressemitteilung des BMI dargestellt wurde.

Technische No-Spy-Regeln für die Erstellung von Individualsoftware (EVB-IT Erstellung) fehlen völlig

Der EVB-Vertragstyp für die Erstellung von Individualsoftware enthält bisher noch gar keine technische No-Spy-Regel. Bei der Erstellung von Individualsoftware für einen öffentlichen Auftraggeber, für den dieser Vertragstyp ausgelegt ist, wäre eine solche Vorkehrung jedoch noch weitaus dringender als bei z.B. bei der oen diskutierten Beschaffung handelsüblicher Standardsoftware druch den Vertragstyp EVB-IT Überlassung. Denn letztere Standardsoftware wird ja häufig auch von anderen Anwendern, außerhalb von Behörden, eingesetzt, sodass die Zahl der Nutzer per se größer ist, denen eventuelle Schadfunktionen auffallen könnten.

IT-Beschaffungen für Polizei- und Sicherheitsbehörden nach wie vor ohne No-Spy-Regeln

Für einen wesentlichen Bereich großbehördlicher IT-Aufträge greifen die beschriebenen Regelungen allerdings überhaupt nicht, nämlich für die IT-Systeme der Sicherheitsbehörden: Es sei daran erinnert, dass die No-Spy-Diskussion ja veranlasst wurde durch die Frage, ob deutsche Tochterunternehmen amerikanischer Mütter als Auftragnehmer in Sicherheitsbehörden unerwünschte Einsicht in Informationen erlangen können, wie sie z.B. beim Bundeskriminalamt, der Bundespolizei oder dem Bundesamt für Verfassungsschutz gespeichert und verarbeitet werden. Gerade für das Bundeskriminalamt und die Bundespolizei verwendet das zuständige Beschaffungsamt des Bundesministeriums des Innern in den letzten Jahren nahezu ausschließlich den Vertragstyp der IT-Dienstleistung. Was sich zumindest für die Beschaffungsprojekte sagen lässt, die überhaupt öffentlich geworden sind. Die aktuelle Fassung der EVB-IT- Vertragsbedingungen für die Beschaffung von Dienstleistungen stammt aus dem Jahr 2002. Gerade also für die in der Öffentlichkeit am meisten diskutierten Fälle der Sicherheitsbehörden greifen diese „technischen No-Spy-Regelungen“ somit überhaupt nicht.

Was zu der Feststellung führt: Für’s Schaufenster wurden einige Regelungen geschaffen. Wirksame Maßnahmen gegen den Abfluss sensitiver Informationen – vor allem aus Polizeibehörden – gibt es nach wie vor noch nicht. Ist das nur Inkompetenz? Oder schon Absicht?!

__________________________________________________________________________________________________

Quellen zu diesem Artikel

[1]   Neue Einkaufsbedingungen der öffentlichen Hand
für die Beschaffung von Standardsoftware veröffentlicht, 16.07.2015, Pressemitteilung, Bundesministerium des Innern
http://www.cio.bund.de/SharedDocs/Kurzmeldungen/DE/2015/mitMS/20150716_pm_evb-it.html

[2]   ZUm Download-Verzeichnis für die EVB-IT-Vertragsbedingungen
http://www.cio.bund.de/Web/DE/IT-Beschaffung/EVB-IT-und-BVB/Aktuelle_EVB-IT/aktuelle_evb_it_node.html

Verwandte Beiträge auf diesem Blog

Sammlung von Artikeln zum Thema ‚No-Spy‘ auf diesem Blog:
https://police-it.net/category/pit/beschaffung_vergabe/nospy