Führen die no-spy-Regelungen in den EBV-IT zu mehr Sicherheit?

In den neuen AGB der „ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen“ (EVB) werden die aktuellen Anforderungen, die das BSI im no-spy-Erlass aus April 2014 formuliert hat, in den Allgemeinen Geschäftsbedingungen aufgenommen. Ein Auftragnehmer, der auf Basis der EVB-IT Überlassung Typ A den Kauf von Standardsoftware vertraglich vereinbart, muss sicherstellen, dass das Vertraulichkeits- und Sicherheitsinteresse des Auftraggebers nicht durch unerwünschte Funktionen in der Standardsoftware zuwider gehandelt wird. In den AGBs wird detailliert darauf verwiesen, dass beispielsweise das unerwünschte Absetzen oder Weiterleiten von Daten oder die Manipulation von Daten oder der Ablauflogik nicht zugelassen ist.

Eine solche vertragliche Regelung ist unstreitig im Sicherheitsinteresse der öffentlichen Hand und der ausschreibenden Behörden. Allerdings stellt sich in der Praxis die Frage, wie Beschaffungsstellen diesen vertraglichen Regelungen zur Durchsetzung verhelfen.

Nur wenn ein gewisses IT-Sicherheits-Know-how vorhanden ist, kann ein Auftraggeber beurteilen, ob eine Standardsoftware diese vertraglichen Anforderungen in die Praxis umsetzt. Und darüber hinaus stellt sich die Frage, ob es in Anbetracht der entsprechenden vertraglichen Verpflichtungen nunmehr auch Aufgabe der Behörde ist, zumindest stichprobenartig zu prüfen, ob die no-Spy-Regelungen eingehalten werden. Hier lässt sich noch nicht absehen, wie die Behördenpraxis sich entwickelt. Mehr Sicherheit in der IT kann aber nur erreicht werden, wenn die öffentliche Hand die Regelungen ernst nimmt und zumindest stichprobenartig no-spy-Prüfungen vornimmt.

Hier stellen sich auch an die Behörden neue Anforderungen mit Blick auf die IT-Sicherheit. Es wird nicht genügen, einfach nur entsprechende Vereinbarungen zu treffen. Wenn sich bei den Auftragnehmern das Wissen verfestigt und durchsetzt, dass letztendlich die öffentliche Hand und keine Behörde die Einhaltung der vertraglichen Regelungen überprüft, ist letztendlich keinem und auf jeden Fall nicht der IT-Sicherheit geholfen.

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*