Deutsche IT-Sicherheitsprodukte ohne versteckte Zugangsmöglichkeit

Hersteller unterzeichnen Selbstverpflichtung zur Sicherheit ohne Hintertüren

10.09.2007 | Redakteur: Peter Schmitz

Die rund 40 Mitglieder der vom Bundesministerium für Wirtschaft und Technologie geförderten Exportinitiative „IT Security made in Germany“ bekräftigen durch eine Selbstverpflichtung: „Unsere IT-Sicherheitslösungen enthalten keine versteckten Zugangsmöglichkeiten“.

Weltweit verbindet man mit Produkten aus Deutschland Eigenschaften wie Funktionsfähigkeit, Zuverlässigkeit, Benutzerfreundlichkeit, Normkonformität, Integrität und Sicherheit, kurz: hohe Qualität. Auf diese Werte setzt nun die vom Bundesministerium für Wirtschaft und Technologie (BMWi) geförderte Initiative „IT Security made in Germany“.

Dieses Qualitätsversprechen wird jetzt durch die in der Initiative engagierten ca. 40 Unternehmen der deutschen IT-Sicherheitsbranche in einem wesentlichen Punkt konkretisiert: ITSMIG-Mitglieder haben sich zur Erstellung von Software ohne versteckte Hintertüren verpflichtet, sprich keinerlei Backdoor-Zugänge für Behörden zu implementieren, mit denen Schutzmechanismen umgangen werden können.

Die Rechtslage in der Bundesrepublik Deutschland ermöglicht deutschen Unternehmen, IT-Sicherheitsprodukte mit beliebig starker Verschlüsselung und ohne verdeckte Zugangsmöglichkeiten herzustellen und zu vertreiben. Dies ist ein entscheidender Wettbewerbsvorteil im internationalen Vergleich für die ITSMIG-Mitglieder, die gerade derartige Produkte herstellen und international anbieten. Somit wird ein bedeutendes Qualitätsmerkmal der Exportinitiative aufgelegt, das den Kunden die Gewissheit bietet, IT-Sicherheitsprodukte zu erwerben, die keine Sicherheitsrisiken durch verdeckte Zugangsmöglichkeiten oder geschwächte Verschlüsselungsmechanismen enthalten.

Die Verpflichtungserklärung ist freiwillig und erfolgt in Form einer Selbstverpflichtung des Unternehmens gegenüber der Projektleitung der Initiative. Die Namen der Unternehmen, die diese Erklärung abgegeben haben, sowie der vollständige Text werden auf der ITSMIG-Website www.itsmig.de veröffentlicht und mit einem eigenen Logo gekennzeichnet.

Die Selbstverpflichtung im Wortlaut

Die Verpflichtung zur Erstellung von Software ohne versteckte Zugangsmöglichkeiten erstreckt sich insbesondere auf folgende Aspekte:

  • In unseren Produkten sind keine verdeckten Zugangskennungen und Zugangsmechanismen enthalten, die Dritten einen vom Kunden nicht kontrollierten Zugriff auf das Computersystem ermöglichen oder sicherheitsrelevante Funktionalitäten deaktivieren.
  • Unsere Zugangskontrollsysteme enthalten keine verdeckten Kennungen oder dem Unternehmen bekannte Umgehungswege, die einen vom Kunden nicht autorisierten Zugang Dritter zu dem Computersystem ermöglichen.
  • Sollten uns Sicherheitslücken oder Umgehungsmethoden für Zugangskontrollsysteme bekannt werden, so werden wir diese schnellstmöglich schließen, damit Dritten kein verdeckter Zugang ermöglicht wird.
  • Unsere Produkte bewirken keine verdeckte Übertragung von Kryptoschlüsseln oder Teilen von Schlüsseln oder Zugangskennungen.
  • Eine vorsätzliche Schwächung von Verschlüsselungsverfahren (z.B. durch künstlich verkürzte Schlüssel, inkorrekt implementierte Verschlüsselungsalgorithmen, geschwächte Zufallsgeneratoren, verdeckte Masterkeys oder im Datenstrom verdeckt übertragene Informationen, die eine Entschlüsselung erleichtern) wird in unseren Produkten nicht angewendet.
  • Wir weisen darauf hin, dass es uns aus Gründen der Befolgung von Rechtsvorschriften, gerichtlichen Entscheidungen oder Maßnahmen der Strafverfolgungsbehörden vorgegeben sein kann, Mechanismen für eine vollständige oder teilweise Aushändigung von Kommunikationsinhalten, Kryptoschlüsseln oder Zugangskennungen an die örtlichen Strafverfolgungsbehörden zu realisieren. Wir verpflichten uns, in solchen Fällen den Kunden hiervon in Kenntnis zu setzen, soweit dies gesetzlich zulässig ist.
  • Aus den Angaben zu Ziffer 1. bis 6. können keine eigenständigen Ansprüche, insbesondere Haftungsansprüche, abgeleitet werden. Zu einer rechtlich verbindlichen Verpflichtung bedarf es des Abschlusses einer entsprechenden Kauf-, Lizenz- oder werkvertraglichen Regelung, die beim Erwerb des jeweiligen Softwareprodukts abgeschlossen wird.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2007456)