Maßnahmen gegen Spionageschnittstellen in Computerhardware der Bundesverwaltung: Beim Einkauf von Computerhardware wird ,,jeweils individuell geprüft, welche Anforderungen an die Hardware, den Bieter oder an zum Beispiel Datenschutz oder Vertraulichkeit/ Geheimhaltung gestellt werden“. Diese Anforderungen würden dann Bestandteil der Leistungsbeschreibung, der Eignungskriterien, des Vertrages oder organisatorischer Regelungen, so die Antwort die Bundesregierung.

In sicherheitsrelevanten Bereichen beziehungsweise Bereichen, in denen Verschlusssachen verarbeitet werden, werden den Angaben zufolge ausschließlich vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zuvor zugelassene Produkte eingesetzt, die nur bei vertrauenswürdigen Lieferanten beschafft werden. Die Angemessenheit der IT-Sicherheitsfunktionen bestätige das BSI durch eine Zulassung, in welcher der maximale Geheimhaltungsgrad der durch das Produkt geschützten Verschlusssache genannt wird.

Im Rahmen von Vergabeverfahren, die vom Beschaffungsamt des Bundesministeriums des Innern, für Bau und Heimat beziehungsweise der Zentralstelle für IT-Beschaffungen (ZIB) durchgeführt werden und bei denen der Bedarfsträger eine besondere Sicherheitsrelevanz in seiner Bedarfsmeldung angibt, erfolgt laut Vorlage am Ende die Aufnahme einer ,,No-Spy-Klausel“ in den jeweiligen Rahmenvertrag. Darüber hinaus seien die BSI-Richtlinien, die ,,zwingend bei der Ausschreibung von Rahmenverträgen zu berücksichtigen sind, Grundlage der Ausschreibungen“ durch das Beschaffungsamt beziehungsweise die ZIB.

„Beim Abschluss eines EVB-IT-Vertrages ist von Seiten des Auftragnehmers zusätzlich noch eine weitere technische No-Spy-Klausel zu unterzeichnen, mit der der Auftragnehmer unter anderem zusichern muss, dass die gelieferten Produkte keine Funktionalitäten enthalten, die so weder vom Auftraggeber in seiner Leistungsbeschreibung gefordert, noch im Einzelfall vom Auftraggeber ausdrücklich autorisiert wurden“, heißt es in der Antwort weiter. Eine weitere Prüfung der Vertrauenswürdigkeit des Bieters finde „durch die Aufnahme von Eignungsanforderungen (Eigenerklärungen, Referenzen etc.) in den Vergabeprozess statt“.

Eine darüber hinausgehende, regelmäßig stattfindende tiefergehende Prüfung der Hardware ist laut Bundesregierung nicht möglich. In besonderen Einzelfällen würden stichprobenartig Überprüfungen der eingekauften Hardwarekomponenten durchgeführt, „soweit dies aus Sicherheitsgründen erforderlich erscheint und unter Berücksichtigung der zur Verfügung stehenden Ressourcen geleistet werden kann“.

Quelle: Heute im Bundestag (hib/STO)