Deutsche IT-Sicherheitsprodukte ohne versteckte Zugangsmöglichkeit

Die vom Bundesministerium für Wirtschaft und Technologie (BMWi) geförderte Exportinitiative „IT Security made in Germany“ und die darin engagierten ca. 40 Unternehmen setzen bewusst auf die weltweit positiv besetzte Marke „Made in Germany“.

Weltweit verbindet man mit Produkten aus Deutschland Eigenschaften wie Funktionsfähigkeit, Zuverlässigkeit, Benutzerfreundlichkeit, Normkonformität, Integrität und Sicherheit, kurz: hohe Qualität.

Dieses Qualitätsversprechen wird jetzt durch die in ITSMIG organisierte deutsche IT-Sicherheitsbranche in einem wesentlichen Punkt konkretisiert: ITSMIG-Mitglieder haben sich zur Erstellung von Software ohne versteckte Hintertüren verpflichtet.

Mit Hintertüren (engl. Backdoors) wird die Eigenschaft eines Computerprogramms bezeichnet, der es Dritten ermöglicht, die normalen Zugangsmöglichkeiten zu umgehen und dadurch verdeckt Zugang zum Computer zu erlangen.

Die Rechtslage in der Bundesrepublik Deutschland ermöglicht deutschen Unternehmen, IT-Sicherheitsprodukte mit beliebig starker Verschlüsselung und ohne verdeckte Zugangsmöglichkeiten herzustellen und zu vertreiben. Dies ist ein entscheidender Wettbewerbsvorteil im internationalen Vergleich für die ITSMIG-Mitglieder, die gerade derartige Produkte herstellen und international anbieten. Somit wird ein bedeutendes Qualitätsmerkmal der Exportinitiative aufgelegt, das den Kunden die Gewissheit bietet, IT-Sicherheitsprodukte zu erwerben, die keine Sicherheitsrisiken durch verdeckte Zugangsmöglichkeiten oder geschwächte Verschlüsselungsmechanismen enthalten.

Die Verpflichtungserklärung ist freiwillig und erfolgt in Form einer Selbstverpflichtung des Unternehmens gegenüber der Projektleitung der Initiative. Die Namen der Unternehmen, die diese Erklärung abgegeben haben, sowie der vollständige Text werden auf der ITSMIG-Website www.itsmig.de veröffentlicht und mit einem eigenen Logo gekennzeichnet.

Die Selbstverpflichtung im Wortlaut

Die Verpflichtung zur Erstellung von Software ohne versteckte Zugangsmöglichkeiten erstreckt sich insbesondere auf folgende Aspekte:

1. In unseren Produkten sind keine verdeckten Zugangskennungen und Zugangsmechanismen enthalten, die Dritten einen vom Kunden nicht kontrollierten Zugriff auf das Computersystem ermöglichen oder sicherheitsrelevante Funktionalitäten deaktivieren.

2. Unsere Zugangskontrollsysteme enthalten keine verdeckten Kennungen oder dem Unternehmen bekannte Umgehungswege, die einen vom Kunden nicht autorisierten Zugang Dritter zu dem Computersystem ermöglichen.

3. Sollten uns Sicherheitslücken oder Umgehungsmethoden für Zugangskontrollsysteme bekannt werden, so werden wir diese schnellstmöglich schließen, damit Dritten kein verdeckter Zugang ermöglicht wird.

4. Unsere Produkte bewirken keine verdeckte Übertragung von Kryptoschlüsseln oder Teilen von Schlüsseln oder Zugangskennungen.

5. Eine vorsätzliche Schwächung von Verschlüsselungsverfahren (z.B. durch künstlich verkürzte Schlüssel, inkorrekt implementierte Verschlüsselungsalgorithmen, geschwächte Zufallsgeneratoren, verdeckte Masterkeys oder im Datenstrom verdeckt übertragene Informationen, die eine Entschlüsselung erleichtern) wird in unseren Produkten nicht angewendet.

6. Wir weisen darauf hin, dass es uns aus Gründen der Befolgung von Rechtsvorschriften, gerichtlichen Entscheidungen oder Maßnahmen der Strafverfolgungsbehörden vorgegeben sein kann, Mechanismen für eine vollständige oder teilweise Aushändigung von Kommunikationsinhalten, Kryptoschlüsseln oder Zugangskennungen an die örtlichen Strafverfolgungsbehörden zu realisieren. Wir verpflichten uns, in solchen Fällen den Kunden hiervon in Kenntnis zu setzen, soweit dies gesetzlich zulässig ist.

7. Aus den Angaben zu Ziffer 1. bis 6. können keine eigenständigen Ansprüche, insbesondere Haftungsansprüche, abgeleitet werden. Zu einer rechtlich verbindlichen Verpflichtung bedarf es des Abschlusses einer entsprechenden Kauf-, Lizenz- oder werkvertraglichen Regelung, die beim Erwerb des jeweiligen Softwareprodukts abgeschlossen wird.

Über die Initiative IT Security made in Germany

In der Initiative IT Security made in Germany (ITSMIG) befinden sich derzeit ca. 40 führende Firmen der deutschen IT-Sicherheitswirtschaft. Thematisiert wird höherwertige IT-Sicherheit, wie z. B. Biometrische Verfahren, Smartcards, Verschlüsselungstechnologien und Public Key Infrastrukturen. Mitglieder sind Hersteller, Systemanbieter und Sicherheitsdienstleister, die den strengen Aufnahmekriterien gerecht wurden. Das Netzwerk agiert als Brückenbauer zwischen seinen Mitgliedern und ausländischen Kunden und Partnern. Die Initiative wird gefördert und unterstützt vom Bundesministerium für Wirtschaft und Technologie (BMWi) und arbeitet als Public Private Partnership (PPP). Das Management liegt beim ITSMIG Steuerkreis, das Projektbüro beim Fraunhofer-Institut für Sichere Informationstechnologie (SIT).

Sprecher der Initiative ITSMIG:
Frank Fuchs
c/o Softpro GmbH
Wilhelmstraße 34
71034 Böblingen
Mobil: +49(0)160/4788500
E-Mail: ffu@softpro.de