Die Beschaffung von IT in der öffentlichen Verwaltung: wie die IT-Sicherheitsvorgaben anbieterseitig erfüllt werden können.

Von RA / Fachanwalt IT-Recht Dr. Jens Bücking, Stuttgart

 

Über das Bundesamt für Sicherheit in der Informationstechnik (BSI) sind Bund, Länder und Gemeinden und im Endeffekt der gesamte Bereich der Öffentlichen Verwaltung (nebst Beschaffungsabteilungen) darüber unterrichtet, in welchem Maße Privatwirtschaft und öffentliche Hand abhängig sind von der Verfügbarkeit und Sicherheit ihrer IT – dies gerade auch mit Blick auf Desaster, Angriffe, Spionage und sonstige externe und interne Bedrohungen:

IT-Schäden durch Desaster, Angriffe, Sicherheits- und Verfügbarkeitslücken

Der neue Lagebericht zur neuen Cyberkriminalität befasst sich insbesondere mit Methoden, die Schadcode über das Internet durch Webseiten und Dienste unbeteiligter Dritter verbreiten (u.a. Ransomware, wie sie bspw. dem WannaCry-Angriff aus dem Frühjahr 2017 zugrunde lag). Hierbei wird der Computer des Nutzers infiziert, während er Webseiten oder Dienste eines unbescholtenen Drittanbieters (z.B. auch Portale von Bund, Ländern, Gemeinden, Behörden) nutzt.

Nach dem Lagebericht resultiert aus solchen Attacken die größte Gefahr für Nutzer und Systeme, zumal 75 % der im Internet erreichbaren Webseiten grundsätzlich als verwundbar eingestuft wurden. Beim ungewollten Hosten von Malware auf Webseiten wird Deutschland derzeit an zweiter Stelle gesehen. Schätzungen zufolge belaufen sich Cybercrime-Schäden auf 400 Mrd. USD. Im Verhältnis zum BIP sind diese Schäden nirgends so hoch wie in Deutschland.

Abgesehen von einem (Spionage- oder Sabotage-) Angriff oder einem Desaster können Daten auch noch auf andere Art verloren gehen, so bspw. infolge von IT-Defekten, Userfehlern etc.
Europäische Organisationen mit mehr als 50 Mitarbeitern verlieren im Schnitt 552 Mitarbeiter-Zeitstunden jährlich durch Ausfallzeiten der IT und Wiederherstellungsmaßnahmen in Bezug auf ihre betrieblichen Daten.

Nach Umfragen hat bei 90% der betroffenen Organisationen der Verlust betriebskritischer Daten dazu geführt, dass innerhalb von 2 Jahren der Betrieb eingestellt werden musste.
Vermehrt werden auch Verwaltungen (siehe Bundestagshack 2015) angegriffen.

IT in der Öffentlichen Verwaltung

Demgemäß ist das Thema „Sicherheit der IT in der Öffentlichen Verwaltung“ von hoher Priorität und steht weit vorne auf der Agenda der Beschaffungsabteilungen. Eines der administrativen Planziele ist hierbei die Konsolidierung der IT-Landschaften durch Standardisierung, Qualitätssteigerung und Qualitätskontrolle bei gleichzeitiger Einsparung von Kosten durch zeitgemäße Systeme und Technologien wie bspw. Cloud-Computing und (Verwaltungs-) Plattformen.

Als strategisches Planziel steht in diesem Zusammenhang die Gewährleistung einer effizienten IT-Sicherheit an oberster Stelle. Dies gilt insbesondere vor dem o.g. Hintergrund der Zunahme des Cybercrime, der Wirtschaftsspionage, der Sabotage und allgemeiner Desaster-Risiken. Ziel ist, im kommunikativen Verkehr innerhalb der öffentlich-rechtlichen Institutionen, aber auch im Verhältnis zum Bürger über die Gewährleistung von Cybersicherheit, Datenschutz und ein angemessenes Risiko- und Notfallmanagement, das mittels bestimmter Normen und Standards erreicht, gehalten und fortentwickelt werden soll, Vertrauen aufzubauen und Vertrauen schützen zu können.

BSI und andere Entscheidungsgremien

Gerade im IT-Bereich greift die Öffentliche Verwaltung – nicht zuletzt aufgrund des Wirtschaftlichkeitsgebots – vorwiegend auf am Markt etablierte Normen und Standards zurück. Diese wiederum werden entwickelt oder empfohlen durch das BSI. Die IT-Koordinierung der verschiedenen Ressorts auf Bundesebene erfolgt durch den IT-Rat. Dieser setzt gemeinsame IT-Standards für den Bereich der Bundesverwaltung, die sich wiederum stützt auf Empfehlungen und Vorgaben des BSI (inkl. BSI-Normen bzw. BSI-empfohlene Normen, wie z.B. die standardisierte Zusammenstellung von Referenzen auf Spezifikationen und Methoden für Software-Systeme).

Dem BSI kommt mithin eine zentrale (Schlüssel-) Position für die IT-Landschaften und deren Beschaffung und Wartung zu. Das Amt bildet damit letztlich die Ausgangsstelle für sämtliche Anforderungen an die öffentliche und – mittelbar – auch die privatwirtschaftliche IT (dazu sogleich noch unten im Detail).

Das BSI hat folgende Entwicklungsaufgaben:

• Informationstechnische Verfahren für die Sicherheit in der IT,
• Kriterien, Verfahren und Werkzeuge

o für die Prüfung und Bewertung der Sicherheit von IT-Systemen oder Komponenten und für die Prüfung und Bewertung der Konformität im Bereich der IT-Sicherheit,
o sicherheitstechnische Anforderungen an die einzusetzende IT des Bundes.

In diesem Rahmen bearbeitet das BSI Aufgaben in allen Prozessen der Standardisierungsarchitektur.

Standards für die IT-Sicherheit im Allgemeinen

Für die IT-Sicherheit im Allgemeinen werden durch das BSI mit dem IT-Grundschutz (BSI-Standards 100-1, 100-2, 100-3, 100-4) und den Technischen Richtlinien (BSI TR) Standards entwickelt und veröffentlicht.

Rechtsverbindlichkeit

Die IT-Sicherheitsstandards des BSI haben zwar formal lediglich empfehlenden Charakter, sie können jedoch durch Gesetze, Verordnungen, Verwaltungsvorschriften und Verträge für bestimmte Bereiche auch verbindlich vorgegeben werden.

Mindeststandards der IT-Sicherheit

Für den Bereich des Bundes entwickelt das BSI zudem Mindeststandards für die IT-Sicherheit. Sie enthalten Anforderungen an Produkte, Dienstleistungen oder Methoden mit dem Ziel, einen Mindestschutz gegen Bedrohungen der IT-Sicherheit zu erreichen.

Das BMI kann nach Zustimmung des IT-Rats diese Anforderungen ganz oder teilweise als allgemeine Verwaltungsvorschriften für alle Stellen des Bundes erlassen und die Mindeststandards als gemeinsame Standards für den zur Aufgabenerfüllung zwischen dem Bund und den Ländern notwendigen Datenaustausch festlegen. Sie sind damit auch für Länder und Kommunen von Bedeutung und können überdies eine Wirkung für Privatwirtschaft und Bürger entfalten.

Cloud: Unzulässige Mischverwaltung und Datenschutzrisiko?

Bei der Beschaffung geht es zunehmend um Effizienz- und Kostensteigerungen durch „Cloudsourcing“. Dabei ist freilich in der Öffentlichen Verwaltung der Grundsatz des Verbots der Mischverwaltung zu beachten. Hiernach muss die unterschiedliche Verwaltungstätigkeit organisatorisch und funktionell – im Sinne in sich geschlossener Einheiten – prinzipiell voneinander getrennt sein. Eine Vermischung der Kompetenzen darf es nicht geben.

Problematisch ist dies bei e-Government, Shared Service Center mehrerer Verwaltungsbehörden, One-Stop-Behördenportale, Standards in der Infrastruktur etc., wenn hierfür Kompetenzen neu verteilt werden müssen.

Durch Projekte wie die „Bundescloud“ wird der Weg der Öffentlichen Verwaltung künftig im Bereich der IT vorgegeben: Die Konsolidierung der zersplitterten IT-Landschaften soll durch Outsourcing an externe Anbieter – und damit letztlich „in die Cloud“ – erfolgen. Hierbei ist eine unzulässige Mischverwaltung durch die skizzierte Trennung mittels geeigneter technischer und organisatorischer Maßnahmen auszuschließen.

In datenschutzrechtlicher Hinsicht wird aus Sicht der Entscheidungsträger und IT-Gremien vorgebracht, dass in der Regel ein ausreichendes Schutzniveau von der Öffentlichen Verwaltung lediglich mit dem Modell der Private Cloud zu erreichen ist.

Cloud ist Auftrags-Datenverarbeitung. Die Öffentliche Verwaltung ist folglich zur sorgfältigen Auswahl und Überwachung des Cloud-Anbieters verpflichtet und muss Auswahl-, Prüf- und Kontrollprozesse dokumentieren. Alle Aufträge müssen schriftlich erteilt, EDV-Prozesse, technische und organisatorische Maßnahmen und eventuelle Unterauftragsverhältnisse detailliert festgelegt werden.

Eine Datenverarbeitung und Übermittlung in Drittstaaten via „Auslands-Cloud“ kann, so die nahezu einhellige Ansicht, in den USA und in den meisten Staaten außerhalb EU/EWR mangels eines ausreichenden Schutzniveaus nicht (mehr) angenommen werden (vgl. hierzu die auf unserer Website erörterten Stichpunkte zur Problematik der EU-Standardvertragsklauseln, Binding Corporate Rules, des Safe Harbor-K.O. und der Fragilität des bereits gerichtshängig angefochtenen EU-/US-Datenaustauschabkommens Privacy Shield). Die Öffentliche Verwaltung muss daher vorab mit dem Cloud- (bzw. SaaS-, ASP-, Hosting- etc.) Anbieter vereinbaren, dass dieser nur innereuropäische (EU/EWR) Server nutzt und keine Unteraufträge schließt bzw. der (weisungsberechtigten und kontrollverpflichteten) Öffentlichen Verwaltung die Auswahl aller Subunternehmer obliegt.

Vergaberechtliche Ausschreibung

Möchte die Öffentliche Verwaltung Cloud-Computing implementieren, muss sie einen typengemischten Vertrag mit im Wesentlichen mietvertraglichen Elementen abschließen. Der Vertragsschluss muss sich an das Vergaberecht halten. Hierbei sind bestimmte Grundsätze zu beachten.

Grundsätzlich muss das wirtschaftlichste Angebot angenommen werden. Die Öffentliche Verwaltung muss sich schon bei der Entscheidung für das Cloud-Computing sicher sein, dass dieses wirtschaftlicher ist als die klassischen Möglichkeiten im Bereich der IT, bspw. der Kauf eines Servers und dessen eigenständiger Betrieb oder der Kauf von Software, statt diese Bedürfnisse mit Modellen des Cloud-Computing abzudecken.

Hierbei spielen Belange der IT-Sicherheit eine gewichtige Rolle: Erklärt sich etwa ein Anbieter bereit, die datenschutzrechtliche Absicherung durch die Öffentliche Verwaltung in den Vertrag zu implementieren, ein anderer jedoch nicht, so muss sich dies aktiv auf die Wirtschaftlichkeit des Angebotes auswirken, da negative Folgen für die öffentliche Verwaltung ebenfalls Bestandteil der Kosten-/Nutzen-Rechnung sein müssen.

Haftung des Staates und seiner Amtsträger für die Folgen von IT-Sicherheitslücken

Unbeschadet der zum Teil gravierenden zivilrechtlichen Haftungsfolgen für unmittelbare und mittelbare Schäden (siehe hierzu etwa die auf dieser Website bereitgestellten Links zu den White Papers Verne, Zerto und SEP) ist die Frage der IT-Sicherheit aber auch für die handelnden Personen in der Öffentlichen Verwaltung von erheblicher, unmittelbar-persönlicher Bedeutung:

Als Berufsgeheimnisträger i.S.d. § 203 StGB müssen u.a. Beamte und Angestellte der Öffentlichen Verwaltung einen Schutz ihrer „Kundendaten“ (Bürgerdaten) gegen Kenntnisnahme Dritter garantieren können. Sie sind insbes. strafrechtlich an folgende Vorschriften gebunden:

• § 201 Abs. 3 StGB – Verletzung der Vertraulichkeit des Wortes
• § 203 Abs. 2,4 und 5 StGB – Verletzung von Privatgeheimnissen
• § 204 StGB – Verwertung fremder Geheimnisse
• § 353b StGB – Verletzung des Dienstgeheimnisses

Strafbarkeitsbegründend ist das unbefugte Offenbaren eines fremden Geheimnisses durch einen Amtsträger. Die Tathandlung „Offenbaren“ kann auch durch pflichtwidrige Säumnis verwirklicht werden. Demnach ist auch die Unterlassung geeigneter technisch-organisatorischer Maßnahmen strafbewehrt. Im Bereich Cloud, so wird gefolgert, ist für Amts-/Berufsgeheimnisträger und die elektronische Buchführung eine (vollverschlüsselte) Inlandsverarbeitung damit fast ausnahmslos zwingend, dies unabhängig von dem Ort der Datenverarbeitung und dem Speicherort. Amts-/Berufsgeheimnisträger müssen zudem bereits aufgrund ihrer jeweiligen Verschwiegenheitspflichten ein effizientes IT-Sicherheitskonzept umsetzen und aktuell halten.

Im Bereich der öffentlichen Aufgabenwahrnehmung greift bei der Zivilhaftung zugunsten der handelnden Personen das beamtenrechtliche Haftungsprivileg. Verletzt hiernach ein Beamter die ihm obliegenden Amtspflichten, so haftet „nach außen“ gegenüber jedem hierdurch geschädigten „Dritten“ allein der Dienstherr, also nicht der Beamte persönlich. Der Geschädigte kann dabei übrigens auch eine andere Behörde sein, die z.B. ihre EDV in ein regionales Rechenzentrum ausgelagert hat. Dieses Privileg gilt jedenfalls solange der Beamte den Bereich der ihm anvertrauten Amtspflichten nicht überschritten hat. Liegt dem Schaden jedoch eine vorsätzliche oder grob fahrlässige Pflichtverletzung zugrunde, so ist der Beamte seinem Dienstherrn, dessen Aufgaben er wahrgenommen hat, zum Ersatz des daraus entstandenen Schadens verpflichtet, kann also „nach innen“ in Regress genommen werden

Schlüsselposition des BSI

Das BSI ist der zentrale IT-Sicherheitsdienstleister des Bundes und als solcher für die IT-Sicherheit in ganz Deutschland verantwortlich. Wie gesehen, fungiert das Amt de facto als Ausgangsstelle für sämtliche Anforderungen an die öffentliche – und mittelbar auch die privatwirtschaftliche – IT. Denn Kriterien, die über die Handlungsempfehlungen des BSI für die Bundesverwaltung aufgestellt werden, stellen zwar prinzipiell nur selbstbindende Eckpunkte im Anwendungsbereich der Bundesverwaltung dar und regeln damit noch nicht, wie die der Staat im Übrigen, seine Bürger oder Unternehmen bestimmte IT-Anwendungen nutzen können.

Gleichwohl darf nicht verkannt werden, dass hiervon (auch unter Haftungs- und Versicherbarkeitsgesichtspunkten) ein starkes Signal an die Wirtschaft dahingehend ausgeht, was die „Höchstinstanz“ BSI unter „IT-Compliance“ versteht:

Die Beschaffung und technisch-organisatorische Ausgestaltung von IT-Systemen ist wie gesehen im Bereich der Öffentlichen Verwaltung stark durch das BSI vorgegeben. Gleichzeitig gibt das BSI Hilfestellung für den technisch und rechtlich sicheren Einsatz von IT-Systemen, gerade auch in Bezug auf Outsourcing-Projekte (inkl. Cloud, wozu das BSI spezifische Anforderungen publiziert hat) und schafft dadurch zusätzliche Abhängigkeiten von sich im Entscheidungsprozess der Öffentlichen Verwaltung.

Adressaten des BSI sind die Nutzer und Hersteller von Informationstechnik. Dies sind in erster Linie die ÖV in Bund, Ländern und Kommunen, aber auch Unternehmen und Privatanwender.
Die Verlautbarungen des BSI sind somit wie das „Credo“ der Öffentlichen Verwaltung zu betrachten. Dies gilt auch unter Haftungsgesichtspunkten – und hier noch über den Bereich der Öffentlichen Verwaltung hinaus mit Ausstrahlungswirkung in die Privatwirtschaft:

Eine haftungsrechtliche Inanspruchnahme von Ressortchefs/Behördenleitungen im öffentlich-rechtlichen Bereich wie auch des Managements im Bereich der Privatwirtschaft ist beschränkt oder gar ausgeschlossen, wenn die technischen Empfehlungen des BSI befolgt werden.

Schon aus ureigenem Interesse wird sich der öffentlich-rechtliche Beschaffer von IT an BSI-Empfehlungen und Normen halten. Für die Beschaffung von IT gilt mehr denn je, dass die technischen Vorgaben und Hilfestellungen gleichsam „im Hintergrund“ jedes Beschaffungs-, Auswahl- und Betriebsprozesses mit IT-Bezug stehen und unmittelbar oder mittelbar (IT-Rat, IT-Planungsrat, ITZBund, Landeszentralen) vom BSI gesteuert werden. De facto setzt das BSI die Standards für den gesamten Bereich der ÖV.

Folgen für die IT-Anbieterseite

Für die IT-Anbieterseite bedeutet dies spiegelbildlich, dass die Eckpunkte, Empfehlungen und Positionspapiere des BSI (und „in dessen Gefolge“ des BMI, des Bundesbeauftragten für die IT-Sicherheit und weiterer Gremien wie des IT-Rats etc.) in den Angebotsunterlagen unter dem Gesichtspunkt der Konformität und Compliance abgedeckt sein sollten. Sie müssen daher recherchiert, vertrieblich ausgewertet und auf Produktebene das IT-Lösungsangebot ggf. entsprechend „nachgeschärft“ werden, um im Wettbewerb durch öffentlich-rechtliche „Compliance“ Vorteile zu schaffen und „den Fuß in die Tür“ der öffentlich-rechtlichen IT-Beschaffung zu bekommen.

Durch Kenntnis der Internabläufe im Vorfeld und bei der Beschaffung durch die Öffentliche Verwaltung können IT-Anbieter sich hier wertvolle Wettbewerbsvorteile verschaffen. Denn im Ausgangspunkt geschieht die IT-Beschaffung zunehmend zentralisiert und standardisiert.

Das BSI und seine Normen sind gewissermaßen Maßstab der „Compliance“. Demgemäß muss es das Ziel des Anbieters sein, eine seriöse Zusage hinsichtlich der Gewährleistung dieser öffentlich-rechtlichen Compliance bei seinen Produkten und Lösungen abgeben und alle Kriterien für die best practice, alle Audits und alle Zertifikate als erfüllt oder zumindest erfüllbar darlegen und dokumentieren zu können.

Im Vorfeld (Akquisition/Beratung) sollten die Fach- und Vertriebsteams der IT-Anbieter an alle relevanten Checkpunkte ein Häkchen setzen können. Dies setzt wiederum die Kenntnis bzw. das Vorhandensein voraus

• der Checklisten von TR, Eckpunktepapiere, Anforderungskataloge,
• der IT-SIG-Vorgaben,
• wichtiger Verwaltungsprinzipien wie Trennungsprinzip/Mischverbot, und Wirtschaftlichkeitsgebot,
• der von BSI & Co. referenzierten Zertifizierungen, Standards und Normen.