Aus Linux-Magazin 03/2016

Deutsche Behörden dürfen No-Spy-Klauseln in Ausschreibungen einbauen

© Aaron Amat, 123RF

Der USA Patriot Act ermöglicht geheime Backdoors in US-Software. Das ist nicht mit deutschem Datenschutz vereinbar. Jetzt hat ein OLG bestätigt: Behörden dürfen Unternehmen dazu verpflichten, nicht zu spionieren. US-Firmen dürfen nur mitspielen, wenn sie ein Versprechen abgeben.

Nach dem NSA-Skandal versuchen Behörden in Ausschreibungen den Bewerbern so genannte No-Spy-Erklärungen abzuringen. Das Oberlandesgericht Düsseldorf hat sich zu Voraussetzungen geäußert, unter denen staatliche Stellen Anbietern diese Erklärungen auch für Software abfordern dürfen. Problematisch ist dies, wenn etwa amerikanische Unternehmen gemäß dem Patriot Act Offenbarungspflichten gegenüber Dritten haben.

Echte Patrioten

Im Falle des nach dem 11. September 2001 erlassenen “Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act”, kurz USA Patriot Act [1], dürfen US-Geheimdienste Firmen zur Kooperation zwingen und ihnen via National Security Letter [2]) auch noch untersagen, Kunden und Dritten Auskunft darüber zu erteilen, dass ihre Daten abgegriffen wurden. Mit deutschem und europäischem Datenschutzrecht und Informationsfreiheitsgesetz(en) scheint das schwer vereinbar. Und das kann auf die Auftragsvergabe von Unternehmen Auswirkungen haben, die ihre Software unter einer Open-Source-Lizenz vertreiben. Backdoors lassen sich bei offenem Code schlechter verschleiern.

Abbildung 1: Der NSA-Skandal und die Snowden-Enthüllungen erzeugten politischen Druck.

Abbildung 1: Der NSA-Skandal und die Snowden-Enthüllungen erzeugten politischen Druck. ©Konstantin-Kirillov 123RF

Jetzt hat dazu ein höchstinstanzliches Gericht Stellung bezogen: Mit Beschluss vom 21. Oktober 2015 unterbrach der Vergabesenat des Oberlandesgerichts Düsseldorf (Aktenzeichen VII-Verg 28/14, [3]) die Vergabe eines Auftrags für Virenschutz für die Bundesverwaltung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI, [4]).

Die Ausschreibung

Die Vergabe des Auftrags hatte das BSI auf dem Wege eines Verhandlungsverfahrens nach vorherigem Teilnahmewettbewerb ausgeschrieben, um aktuelle Virenschutzsoftware für die Bundesverwaltung zu erwerben. Dabei sollte jeder Datenverkehr von Rechnern innerhalb der Bundesverwaltung (also im so genannten “Virenschutzprogramm Bund-Nutzer”, kurz “VSP-Bund-Nutzer”) zu Fremdsystemen ausgeschlossen bleiben.

Das zu erreichen oblag einem lokalen Reputationsdienst unter Verantwortung und Kontrolle des BSI oder eines Rechenzentrums des Bundes. Der Reputationsdienst sollte durch technische Ausgestaltung sicherstellen, dass Anfragen von Endgeräten der Bundesverwaltung nicht mehr beim Clouddienst des Herstellers im Internet, sondern ausschließlich bei einem lokalen Reputationsdienst landen.

Zur Wahrung der Sicherheitsinteressen des Bundes forderte das BSI auch die Abgabe einer “No-Spy-Erklärung” dieses Inhalts: “Der Auftragnehmer gewährleistet, dass er keinerlei Informationen der VSP-Bund-Nutzer an fremde Nachrichtendienste übermittelt oder die Übermittlung wissentlich duldet. Sollte er Kenntnis davon erlangen, dass Daten der VSP-Bund-Nutzer an fremde Nachrichtendienste oder unbefugte Dritte gelangen, muss er dies unverzüglich dem BSI per E-Mail sowie telefonisch an das Computer Emergency Response Team des Bundes (CERT-Bund) melden.”

Nachprüfungsantrag

Den Teilnahmewettbewerb für den Auftrag bestanden drei Unternehmen, von denen eines – im Folgenden Unternehmen A – den Zuschlag erhalten sollte. Dagegen wehrte sich einer der Mitbieter – im Folgenden Unternehmen B genannt. Unternehmen B hatte mit einem Nachprüfungsantrag insbesondere moniert, dass das Angebot von A ungeeignet sei, um die Vorgaben zu erfüllen, die an den lokalen Reputationsdienst gestellt würden. Unternehmen A verwende – so mutmaßte Unternehmen B – die Virenschutzsoftware eines US-amerikanischen Herstellers, sodass US-Nachrichtendienste jedenfalls mittelbar auf die Software zugreifen könnten und Auskunftspflichten – etwa nach dem US Patriot Act – zu erfüllen seien. Die geforderte Erklärung könne Unternehmen A daher gar nicht abgeben.

Der Nachprüfungsantrag, mit dem Unternehmen B vor der Vergabekammer des Bundes diesen und zahlreiche Fehler des Vergabeverfahrens rügte, blieb erfolglos (VK 2-63/14). Auf die sofortige Beschwerde hin, die Unternehmen B gegen die Entscheidung der 2. Vergabekammer einlegte, untersagte der Vergabesenat des OLG Düsseldorf die Vergabe einer Rahmenvereinbarung Virenschutz für die Bundesverwaltung mit der Begründung, das BSI habe die in den Vergabeunterlagen festgelegten Bewerbungsbedingungen nicht eingehalten und auch sonst leide das Vergabeverfahren an Transparenzmängeln.

Die No-Spy-Klausel

Als No-Spy-Klausel oder auch eine No-Spy-Garantie [5] wird eine Eigenerklärung im Vergabeverfahren und eine Vertragsklausel in öffentlichen Aufträgen bezeichnet, durch die Vertragspartner der öffentlichen Hand versichern, dass sie rechtlich nicht verpflichtet sind, vertrauliche Informationen an ausländische Geheimdienste oder Sicherheitsbehörden weiterzugeben. Eigenerklärung und Vertragsklausel verhindern zwar die Datenweitergabe nicht, erleichtern der öffentlichen Hand jedoch die Beweisführung und die Beendigung des Vertrags im Fall des Verstoßes.

Die Anforderung der Eigenerklärung und die Ergänzung von Vertragsmustern für öffentliche Aufträge um die No-Spy-Klausel hatte das Bundesministerium des Innern mit Erlass vom 30. April 2014 für öffentliche Aufträge des Bundes angewiesen [6]. Die Bundesländer schlossen sich dieser Forderung bei Neuverträgen mit IT-Unternehmen sukzessive an, Anlass dafür waren der NSA-Skandal und die Enthüllungen von Edward Snowden, die den Abfluss von Informationen über IT-Partner der öffentlichen Hand möglich erscheinen ließen.

Virenschutz als Trojaner?

Das rückt nicht nur die IT-Verträge der öffentlichen Hand ins Visier, sondern verdeutlicht auch die Relevanz von Eigenerklärung und Vertragsklausel bei der Beschaffung von Antivirensoftware. Denn gerade Antivirensoftware ist technisch ein geeignetes Einfallstor zum Abfangen von Informationen. Um ihre Funktion zu erfüllen, muss die Software nicht nur sämtliche Dateien scannen, sie benötigt auch fortwährend Updates, die in der Regel online bezogen werden.

Im Falle Cloud-basierter Antivirenscans lassen sich die Kriterien, die zur Auswahl der hochgeladenen Dateien führen, häufig nicht nachvollziehen, sodass Informationen auch auf diesem Weg unbemerkt abfließen können. Auch Backdoors sind nicht auszuschließen.

Selbst der Upload einfacher Hashes kann problematisch sein, denn wer immer Zugriff auf den Reputationsserver hat, kann feststellen, wer wann im Besitz einer bestimmten Datei ist oder war. Das stellt ein großes Problem in Sachen Datenschutz, für die Pressefreiheit oder auch für die grundgesetzlich garantierten Freiheiten anderer Personengruppen dar. Es erscheint denkbar, über die Auswertung dieser Metadaten an den genauen Lauf- und Verteilungsweg von Dateien zu gelangen – also wer hat geleakt, an wen, wer hat kooperiert, wer hat Korrektur gelesen?

No-Spy und Safe Harbor

Nicht verwechseln sollte man No-Spy-Klauseln mit dem No-Spy-Abkommen, das die deutsche Bundesregierung in den politischen Diskurs brachte. Dieser bilaterale Verzicht auf Spionage sei, so die Regierung, Ergebnis von Verhandlungen zwischen Deutschland und den USA gewesen. Immer wieder berichteten Medien über den Abschluss eines solchen Abkommens, bis im Mai 2015 bekannt wurde, dass von US-Seite nie die Aussicht auf den Abschluss eines solchen Abkommens bestanden hatte [7].

Ebenso wenig hat die No-Spy-Klausel mit dem oft zitierten “Safe-Harbor-Abkommen” zu tun. Dies bezeichnet eine Entscheidung der EU-Kommission im Jahr 2000 [8], in der die Angemessenheit des Schutzniveaus anerkannt wird, das die Grundsätze des “sicheren Hafens” für personenbezogene Daten bietet, die in die USA übermittelt wurden. Die Entscheidung der EU-Kommission ermöglichte die Übermittlung personenbezogener Daten in die USA, ohne dass es besonderer Garantien bedurfte.

Der Europäische Gerichtshof (EuGH) erklärte mit Urteil vom 6. Oktober 2015 (C-362/14 – Schrems) das Abkommen für ungültig. Der EuGH führt in seiner Entscheidung aus, dass “insbesondere (…) eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Artikel 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens (Urteil Digital Rights Ireland C-293/12 und C-594/12, EU:C:2014:238, Rn. 39)” verletze [9].

Bürgerrechte

Desgleichen verletze “eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz”. Dieses Recht gewähre die Charta jeder Person.

Eine zur Gewährleistung der Einhaltung des Unionsrechts dienende gerichtliche Kontrolle sei dem Wesen eines Rechtsstaats inhärent [10]. Es werde unterlaufen, wenn EU-Bürger sich gegen die Nutzung ihrer Daten durch US-Unternehmen nicht gerichtlich wehren könnten.

Eine faire Ausschreibung

Die Forderung einer No-Spy-Erklärung hat das OLG Düsseldorf als zulässig angesehen. Es handele sich um besondere Anforderungen an die Auftragsausführung im Sinne des § 97 Abs. 4 S. 2 GWB. Unternehmen in EU-Mitgliedsstaaten würden so nicht diskriminiert. Der öffentliche Auftraggeber verfolge mit der Forderung den Schutz sensibler, für den Schutz des Staates relevanter Daten.

Auch würden dieselben Anforderungen an alle Unternehmen gestellt, unabhängig davon, ob sie in Deutschland, im EU-Ausland, im europäischen Wirtschaftsraum oder in einem Drittstaat ansässig seien. Dass Unternehmen außerhalb Deutschlands möglicherweise die Pflicht träfe, Dritten Informationen preiszugeben, ohne dass sie sich dieser Pflicht entziehen könnten, führe nicht dazu, dass der öffentliche Auftraggeber auf die Forderung einer No-Spy-Erklärung verzichten müsse.

Lüge oder nicht?

Die No-Spy-Erklärung hätte – so das OLG Düsseldorf – vom Unternehmen A abgegeben werden können. Als in Deutschland ansässiges Unternehmen unterliege es keinen Offenbarungspflichten im Sinne der No-Spy-Erklärung. Eine andere Wertung sei auch dann nicht geboten, weil man Antivirensoftware eines US-Herstellers verwende. US-Unternehmen waren wegen des Patriot Act ins Visier der No-Spy-Erklärungen gerückt, weil gemäß diesem Gesetz US-Behörden unter anderem auch der Zugriff auf Server von US-Unternehmen freisteht, und zwar ohne richterliche Anordnung und ohne Informationspflicht.

Das OLG Düsseldorf führt aus, in seinem Angebot habe Unternehmen A dargestellt, wie der lokale Reputationsdienst unter Einhaltung der geforderten Bedingungen realisiert werden solle. Den Realisierungsvorschlag habe das BSI mit positivem Ergebnis geprüft. Eine Kommunikation mit dem Hersteller der Software erfolge nicht. Das BSI habe insbesondere auch Einsicht in den Quellcode erhalten. Daher könne ausgeschlossen werden, dass die angebotene Antivirensoftware so genannte Backdoors oder ähnliche Bestandteile enthalte, welche die Datensicherheit gefährde.

Einsicht in den Quelltext

Eine andere Beurteilung des Sachverhalts sei auch nicht geboten, weil Sicherheitslücken durch Updates erst nachträglich in die Virenschutzsoftware gelangen könnten. Derartige nachträgliche Sicherheitslücken seien zwar nicht per se ausgeschlossen. Müssten Updates jedoch vorab angezeigt werden und erfolge vor der Aktualisierung der Software eine Überprüfung der Software, seien die No-Spy-Verpflichtungen auch insoweit erfüllbar. Einsicht in den Quellcode erscheint dabei als relevantes Kriterium.

Linuxer und Open-Source-Anhänger sollten dennoch nicht zu früh jubeln. Der Beschluss des Düsseldorfer Gerichts betrifft in erster Linie Antivirensoftware – unabhängig von der Art ihrer Lizenzierung. Dass das BSI (einmalig!) Einblick in den Quellcode bekam und das auch bei Updates möglich ist, reichte dem Gericht. Dennoch stellt das Urteil einen wichtigen Schritt dar: Die in der Entscheidung skizzierten Bedingungen für IT-Unternehmen und Software sowie die grundsätzlichen Offenbarungspflichten im Sinne der No-Spy-Erklärung lassen sich mit Open-Source-basierten Geschäftsmodellen deutlich besser in Einklang bringen.

Ein guter Anfang

Die geforderte Möglichkeit der Einsichtnahme und Überprüfbarkeit des Quellcodes auf Sicherheitslücken in Form von Backdoors ist bei Open-Source-Software naturgemäß gegeben. Eine Überprüfung ist zudem nicht nur durch die öffentliche Hand, spezielle Stellen oder in speziellen Umgebungen oder nur zu bestimmten Terminen möglich, sondern durch jeden Anwender mit entsprechender Sachkunde.

Wer gängige Sicherheitszertifizierungen für den Einsatz in Hochsicherheitsumgebungen gemäß Federal Information Processing Standard (FIPS) oder Common Criteria (CC) kennt, der weiß, dass punktuelle Stichproben bestenfalls als zusätzliche Kontrolle dienen können, nur transparente Kontrollmöglichkeiten machen die Sicherheit nachvollziehbar und glaubwürdig. Im Falle von FIPS und CC geht das ja sogar bis zu Compilern und Build-Umgebungen.

Code-Audits und definierte Builds entfalten ihre Wirkung aber nur, wenn tatsächlich der geprüfte Quelltext zum Binary wird und kein anderer (Stichwort “Trusted Builds”). Zudem muss sichergestellt sein, dass Updates und Upgrades mit der gleichen Sorgfalt behandelt werden wie die ursprüngliche Software.

Klar ist: Höchste Sicherheit ist nur mit Open-Source-Software verifizierbar. Der Umkehrschluss dagegen ist nicht zulässig: Allein die Tatsache, dass man quelloffene Software verwendet, garantiert noch lange keine Sicherheit. Das zeigen auch über lange Zeit bestehende Sicherheitslücken wie der berechenbare Zufallsgenerator in Debians Open SSL, der allgemein großes Aufsehen erregte [11].

Anders als proprietäre Software lässt sich Open-Source-Software jedoch unabhängig und in offenen Verfahren auditieren [12], sodass Hintertüren, die Regierungen im Einflussbereich ihres Rechtsraums erzwingen, leichter auffliegen als bei Closed Software.

Die Autoren

Miriam Ballhausen berät Unternehmen der IT-Branche und Software-Entwickler in Fragen des Software-, Urheber- und Lizenzvertragsrecht. Die Beratung ihrer Mandanten im Bereich des Open-Source-Software-Rechts und des Datenschutzrechts zählt ebenfalls dazu.

Markus Feilner ist ein Linux-Spezialist aus Regensburg, der seit 1994 mit dem freien Betriebssystem als Autor, Trainer, Security Consultant und Journalist arbeitet. Der Conch-Diplomat, Minister der Universal Life Church, Jedi-Ritter und ehemaliger stellv. Chefredakteur des Linux-Magazins leitet heute das Dokumentationsteam bei Suse in Nürnberg.

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 4 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben