2018-10-05_bka-standardisierende-leistungsbeschreibungcleaned
Dieses Dokument ist Teil der Anfrage „Standardisierende Leistungsbeschreibung Quellen-TKÜ/Online-Durchsuchung“
Standardisierende Leistungsbeschreibung für Software zur Durchführung von Maßnahmen der Quellen- Telekommunikationsüberwachung und der Online- Durchsuchung (Stand 05. Oktober 2018) 1 Einführung 1.1 Zweck dieses Dokuments. Diese „Standardisierende Leistungsbeschreibung“ (SLB) konkretisiert die aus den rechtlichen Bestimmungen resultierenden Vorgaben und definiert Prozessabläufe für die Durchführung von Maßnahmen der Quellen-Telekommunikationsüberwachung (Q-TKÜ) bzw. der Onlinedurchsuchung (ODS). Sie dien! @eh in Deutschland durch- führenden Stellen von Q-TKÜ bzw. ODS sowie der. Aribiete'r, ‚der entsprechenden Software als Richtlinie, um die Entwicklung, die Beschas'ungsund den Einsatz derar- tiger Software in Deutschland in einem einhaitliöen Fiıa'imen sicherzustellen. 1.2 Versionsstand/Historie, Aktualisierung“ "Um einen einheitlichen nationaler Quaiilätsstandard bei der Entwicklung und dem Einsatz von Software zur Durchführung van Maßnahmen der Q-TKÜ für die Sicher- heitsbehörden in Deutschland zu e.ablieren, wurde im Jahr 2012 gemeinsam durch Sicherheitsbehörden wön Bund und Ländern die Standardisierende Leistungsbe- schreibung erarbeitet. Die Arbsitskreise Il und IV der Innenministerkonferenz haben in ihren jeweiligetı Herbetsitzungen 2012 die SLB in der Version vom 02.10.2012 zur Kenntnis genommen und den Sicherheitsbehörden des Bundes und der Länder emp- fohlen, die SL. bei der Beschaffung oder Erstellung von Q-TKÜ-Software zugrunde zu legen. Aufgrund der sich aus den kurzen Innovationszyklen moderner informationstechni- scher Systeme und deren Software ergebenden fortlaufenden Änderungen von tech- nischen Rahmenbedingungen sowie der mit Inkrafttreten des Gesetzes zur effektive- ren und praxistauglicheren Ausgestaltung des Strafverfahrens am 24.08.2017 geän- derten Gesetzeslage, war eine Modifizierung und technikoffenere Ausgestaltung der SLB erforderlich. Durch dieses Dokument wird die SLB vom 02.10.2012 fortgeschrie- ben und auf Maßnahmen der ODS erweitert. Auch zukünftig ist die SLB regelmäßig auf Aktualisierungsbedarf zu prüfen. Seite 1 von 8 Stand: 05. Oktober 2018
1.3 Rechtliche Rahmenbedingungen Die Durchführung von Maßnahmen der Q-TKÜ und ODS richtet sich nach den ent- sprechenden Normen der Strafprozessordnung, den gefahrenabwehrrechtlichen Normen des Bundes und der Länder sowie den Befugnissen des Bundesamtes für Verfassungsschutz und der Landesämter für Verfassungsschutz. Darüber hinaus ist die Rechtsprechung des BVerfG zur Q-TKÜ und ODS (z. B. BVerfG, Urteil v. 27. Februar 2008, 1 BvR 370/07, 1 BvR 595/07 und BVerfG, Urteil v. 20. April 2016, 1 BvR 966/09, 1 BvR 1140/09) zu beachten. 2 Architektur Systeme zur Durchführung von Q-TKÜ bzw. ODS-Maßnahmen bestehen in der Re-. gel aus verschiedenen Komponenten, die als ein Gesam'system zusammenarbeiten: Ausleitungssoftware: Software, die auf aem Zieisystem aufgebracht wird, dort Daten erfasst und an die durchführenug»Ste:)> ausleitet. Steuer- und Aufzeichnungsainn:@'*;.Software-Einheit, die von der durchführen- den Stelle genutzt wird, um ie Ausleitungssoftware zu steuern, die vom Be- schluss bzw. der Anördrüng umfassten Daten der Aufzeichnung und Auswer- tung zugänglic" zu (naöhen und sämtliche Aktivitäten zu protokollieren. Die Steuer- und Aulzeichüungseinheit kann je nach Anbieter in weitere Sub- Systeme aufgeteilt werden. Netzwerkverbindung: Die Funktion dieser Systemkomponente ist das Weiter- leiten der Kommunikation vom Zielsystem an die Steuer und Aufzeichnungs- einheit und zurück. Die Daten zur Steuerung der Ausleitungssoftware, sowie die maßnahmenbezogene Datenausleitung werden unter Gewährleistung von Authentizität, Integrität und Vertraulichkeit dieser Daten übertragen. Die Rück- verfolgbarkeit zur durchführenden Stelle muss soweit möglich verhindert wer- den. Sofern das Gesamtsystem auf externe Komponenten zugreift, müssen diese im Sicherheitskonzept berücksichtigt werden. Seite 2 von 8 Stand: 05. Oktober 2018
3 Schutzziele und Sicherheitsmaßnahmen zu deren Umsetzung Während sich die Steuer- und Aufzeichnungseinheit und somit die Systeme zur Datenverwaltung und Auswertung der erhobenen Daten sowie der Protokolle in der Infrastruktur der durchführenden Stellen befinden, erfordert die Kontrolle der Auslei- tungssoftware sowie der Netzwerkverbindung erhöhte Sicherheitsmaßnahmen, da diese sich auf dem zu überwachenden, von dem Betroffenen kontrollierten Zielsys- tem bzw. im Internet befinden. Im Weiteren wird daher ein Fokus auf die Beschrei- bung der Sicherheitsmaßnahmen für die Ausleitungssoftware, für die Netzwerkver- bindung sowie für den Teil der Steuer- und Aufzeichnungseinheit gelegt, welcher mit dem Internet in Verbindung steht. Im Hinblick auf das Aufzeichnungs- und Auswerte- system im engeren Sinne sowie die Sicherung der internen IT-Infrastruktur der durch- führenden Stellen gelten die dortigen, speziell dafür erarbeiteten Sicherheitskonzepte und Vorkehrungen. | Bee re Gemäß der Vorgaben des IT-Grundschutzes sind zur Fes!stel'uiig der Schutzbedarfe für Maßnahmen der Q-TKÜ und ODS die drei \resei ichori Grundwerte der IT- Sicherheit (Verfügbarkeit, Vertraulichkeit, ntegi#\) im Rahmen von IT- Sicherheitskonzepten zu analysieren und die Risiken festzustellen und zu bewerten. Als Spezialfall der Integrität ist auch die Auti\ontızität von Informationen in die Analy- sen und Bewertungen einzubeziehen. Im Zinzelnen: e Vertraulichkeit: Zur Wahrung ds‘ Vertraulichkeit auf dem Übertragungsweg ist sicherzustellen, dass !!e D2’en ‘d.h. z. B. auch Steuerungskommandos an das Zielsystem, Aktual'sierung der Überwachungssoftware auf dem Zielsystem, die Daten vom Zielsysiam), dis innerhalb des Q-TKÜ- bzw. ODS-Systems zwischen Zielsystem ind ce'sm Autzeichnungs- und Steuerungssystem der durchführenden Stelle übertragon werden, durch geeignete Verfahren gegen unbefugte Kenntnis- nahme gesc.\ützi werden. Darüber hinaus ist die Ausleitungssoftware vor Erken- nung und Offenlegung zu schützen. o Integrität/Authentizität: Die erhobenen Daten sind durch geeignete Verfahren ge- gen Veränderungen zu sichern. Eine Manipulation von Daten muss erkennbar sein. Es ist sicherzustellen, dass die Datenübermittlung bzw. -kommunikation ausschließlich zwischen der Ausleitungssoftware auf dem Zielsystem und der Aufzeichnungs- und Steuerungseinheit der durchführenden Stelle erfolgt. e Verfügbarkeit: Es sind geeignete Sicherheitsmaßnahmen zu treffen, um einen Verlust von ausgeleiteten Daten zu vermeiden und das Gesamtsystem gegen Ausfälle und Störungen zu schützen. Seite 3 von 8 Stand: 05. Oktober 2018
Zur Umsetzung o.g. Schutzziele sind die eingesetzten Programme und die zwischen ihnen übertragenen Daten nach dem Stand der Technik gegen unbefugte Kenntnis- nahme, Zugriff oder Manipulation zu schützen. Es ist durch technische Sicherheits- maßnahmen zu gewährleisten, dass die Ausleitungssoftware nicht durch unbefugte Dritte angesprochen oder zweckentfremdet genutzt werden kann und sich nicht auf andere als das definierte Zielsystem verbreitet. Bei der Auswahl der einzusetzenden kryptografischen Verfahren ist der aktuelle Stand der Technik heranzuziehen. Es sind geeignete Sicherheitsmaßnahmen zum Schutz vor dem Einspielen (Hinzufü- gen) zusätzlicher (gefälschter) Informationen, die die Funktion des Gesamtsystems beeinträchtigen oder die Integrität der erhobenen Informationen verletzen können, zu ergreifen. 4 Risikoanalyse/IT-Sicherheitskonzept Für die IT-Verfahren der Q-TKÜ bzw. OUS sind behördenspezifische IT- Sicherheitskonzepte auf der Basis der IT-Üunaschutzmethodik des BSI oder ver- gleichbarer in den Ländern angewandte Verfahren durch die durchführende Stelle zu erstellen und fortzuschreiben,_Die Einhaltung der dort festgelegten Sicherheits- _ maßnahmen ist durch den Anbieier nA die durchführende Stelle jeweils für ihren Verantwortungsbereich zu gewährle sten. Für ein IT-Sicherheitskonzept, das sich aus mehreren Teilkonzepter” zusarıinensetzt, ist sicherzustellen, dass die Teilkonzepte konsistent zusammenwirke‘; und alle Schnittstellen abdecken. Das IT-Sicherhe.iskonzept u.nfasst eine Risikoanalyse, in deren Rahmen die gefähr- deten Objelite einzugrenzen und die relevanten Gefährdungen, die auf ein IT- Verfahren einwirkei; können, herauszuarbeiten und ggf. existierende Restrisiken zu identifizieren sind. Es sind hierbei die innerhalb der IT-Verfahren Q-TKÜ bzw. ODS gefährdeten Objekte (Systemkomponenten, z. B. Hardware, Applikation bzw. organi-: satorische / personelle Bereiche, z. B. Zugangsschutz, Administration) zu beschrei- ben und in einem Sicherheitskonzept zu bewerten. Das IT-Sicherheitskonzept hat angemessene, aktuelle und dem Stand der Technik entsprechende Sicherheitsmaß- nahmen vorzusehen. Die Ergebnisse der Risikoanalyse und der Schutzbedarfsfeststellungen sowie der sich daraus ergebenden Konsequenzen sowie deren Umsetzung sind im IT- Sicherheitskonzept zu dokumentieren. Seite 4 von 8 Stand: 05. Oktober 2018
5 Prozesse/Abläufe Die Durchführung von Maßnahmen der Q-TKÜ bzw. ODS richtet sich grundsätzlich nach geltenden rechtlichen und organisatorischen Rahmenbedingungen sowie nach. gemeinsam zwischen den Sicherheitsbehörden des Bundes und der Länder erarbei- teten Konzepten zu ablauforganisatorischen Prozessen und zur Qualitätssicherung. Hierdurch werden übergreifende Standards geschaffen, die die Durchführung von Maßnahmen der Q-TKÜ bzw. ODS optimieren sowie das Entdeckungsrisiko minimie- ren. Die standardisierte und rechtskonforme Nutzung der Software wird somit sicher- gestellt. 5.1 Beschluss-/Anordnungsumfang und Kernbereichsschutz Durch geeignete technische und organisatorische Sicherheitsmaßnahmen ist zu ge- währleisten, dass die mit der Überwachung betrauten Mita:Seiterinnen und Mitarbei- ter der durchführenden Stellen. ausschließlich von dei von‘ ieweiligen Beschluss bzw. der Anordnung umfassten Inhalten Kenntnis eilarıyen. Dies ist entsprechend zu protokollieren bzw. zu dokumentieren. N. Der Kernbereich privater Lebensgestaltung wird bei Maßnahmen der Q-TKÜ bzw. der ODS besonders geschützt. Die Prozesse vrientieren sich an den jeweils ein- schlägigen gesetzlichen Vorgabem, 5.2 Rechte und Rollenkonzept Das Rechte- und Rollerixonzep! ıst so zu gestalten, dass jeder Benutzer ausschließ- lich die für seine Rolle notwentigen Rechte erhält. Auf dieser Grundlage sind ein da- tenschutzrechtlic": geeignete; Zugriffsschutz und eine entsprechende Protokollierung sowie insbesoriler& die Einhaltung der Vorgaben zum Kernbereichsschutz zu ge- währleisten. Lin konkrete Ausgestaltung des Rechte- und Rollenkonzepts obliegt der durchführenden (elle auf Grundlage der jeweiligen organisatorischen und rechtli- ‘chen Rahmenbedingungen. | 5.3 Veränderungen am Zielsystem Die Sicherheit und Stabilität des Zielsystems darf durch das Einbringen, den Betrieb und die Löschung der eingesetzten Ausleitungssoftware nicht mehr als erforderlich beeinträchtigt werden. Die Beeinträchtigung darf außerdem hinsichtlich des Ziels der Q-TKÜ-/ODS-Maßnahme nicht unangemessen sein. Beispielsweise dürfen Sicher- - heitsmaßnahmen, die das Zielsystem vor Zugriffen von außen schützen, nicht länger und nicht mehr als nötig eingeschränkt werden. Die von der Ausleitungssoftware be- nötigte Schnittstelle zur Ausleitung der Daten und Steuerung wird durch geeignete Sicherheitsmaßnahmen gegen unbefugte Nutzung geschützt. Seite 5 von 8 Stand: 05. Oktober 2018
Vor der Einbringung der Ausleitungssoftware ist zu überprüfen und zu dokumentie- ren, dass lediglich eine auf das Unvermeidbare begrenzte Beeinträchtigung des Ziel- systems zu erwarten ist. Spätestens mit Ablauf der angeordneten Q-TKÜ- bzw. ODS-Maßnahme ist die Aus- leitungssoftware unverzüglich zu löschen. Veränderungen an den System- und sons- tigen Dateien auf dem Zielsystem sind, soweit technisch möglich, rückgängig zu ma- chen. Dies hat auch zu erfolgen, wenn das Zielsystem zu diesem Zeitpunkt nicht durch die Steuer- und Aufzeichnungseinheit erreichbar ist. Hierzu hat die Auslei- _ tungssoftware über entsprechende Funktionen zu verfügen. 5.4 Schutz unbeteiligter Dritter Die Ausleitungssoftware darf ausschließlich auf dem von der Anordnung umfassten Zielsystem zum Einsatz kommen. Hierzu ist das Zielsystein &0 genau wie möglich zu identifizieren. Sollte die Software auf einem anderen als dem. Zieleys:cm gestartet werden, muss sichergestellt werden, dass — außer den im Rah.nen eier eindeutigen Identifizierung des Zielsystems übertragenen Daten — keine Ausieitung von Daten erfolgt und die Ausleitungssoftware, soweit technisch möglıch, umgehend gelöscht wird. Durch die Ausleitungssoftware verursachte \cränderisngen an den System- und sonstigen Da- teien auf dem System sind, soweit !eönnisch möglich, rückgängig zu machen. 5.5 Programm-Aktäüalisierungen / Schutz vor Offenlegung Für die Übertragung «ar Aktue',sierungen der Ausleitungssoftware gelten die in Kapi- tel 3 genannter Voroaben."Badurch ist gewährleistet, dass Aktualisierungen der Aus- leitungssoftware ausschließlich über die Aufzeichnungs- und Steuereinheit der durch- führenden Steı® eriölgen und ein Missbrauch der Updatefunktion durch Dritte aus- geschlossen wird. Durch Protokollierung bzw. Dokumentation kann jederzeit nach- vollzogen werden, wann und welche Aktualisierungen der Ausleitungssoftware durchgeführt worden sind. Eine Entdeckung und Rückverfolgung der laufenden Q-TKÜ- bzw. ODS-Maßnahme zur durchführenden Stelle ist durch geeignete Sicherheitsmaßnahmen soweit tech- nisch möglich auszuschließen. Insbesondere ist die Software gegen Erkennung und Reverse Engineering zu schützen. Wenn Sicherheitsmängel im Gesamtsystem erkannt werden (beispielsweise in der Ausleitungssoftware oder in der Aufzeichnungs- und Steuereinheit), ist der Anbieter verpflichtet, diese Mängel unverzüglich zu beheben und entsprechende Updates be- Seite 6 von 8 Stand: 05. Oktober 2018
reitzustellen. Die durchführenden Stellen spielen diese Updates gemäß den Vorga- ben des IT-Sicherheitskonzepts unverzüglich ein. 5.6 Nachvollziehbarkeit durch Protokollierung, Archivierung und Doku- mentation Bei der Q-TKÜ bzw. der ODS handelt es sich um verdeckte Maßnahmen. Der Nach- weis der Integrität und Authentizität der Daten ist dabei von besonderer Bedeutung. Insbesondere die Verwendung der Daten zur Strafverfolgung und Gefahrenabwehr setzt einen lückenlosen Nachweis von der Erhebung über die Bewertung und Weiter- verarbeitung der Daten innerhalb der durchführenden Stelle voraus. Die Prozesse zur Erkenntniserlangung müssen auch in einem späteren Stadium des Verfahrens zweifelsfrei nachvollzogen werden können. Die notwendige Protokollie- rung ergibt sich insbesondere aus den in Kapitel 1.3 genannten Normen. ca Protokollierung und Dokumentation dienen der Kontrolle der 'sschtmäßigkeit der Q- TKÜ-/ODS-Maßnahme und der Datenverarbeitung. der Oewähheistung eines effekti- ven Grundrechtschutzes der Betroffenen (z. B.'=uch «ch die Gewährleistung einer datenschutzrechtlichen Kontrolle), zugleich @ner auch der Gewährleistung der Ge- richtsfestigkeit der im Rahmen der Q-TKU bzw. UDS aufgezeichneten Daten. Insbe- sondere dient die Protokollierurg.dem iliachweis, dass die Daten tatsächlich vom Zielsystem stammen, vollständig "ine Und nicht verändert wurden. Um eine Nach- vollziehbarkeit zu gewährleisten, ‚su! außerdem eine Archivierung der eingesetzten Software umgesetzt werden. Die Dauer der Aufbewahrung üer Protokolldaten richtet sich nach den einschlägigen gesetzlichen Voischriften ues Bundes und der Länder. 6 Anbieter Anbieter von Software für Q-TKÜ bzw. ODS sind sorgfältig im Hinblick auf ihre Fach- kompetenz und Vertrauenswürdigkeit auszuwählen. Für die Anbieter ist im Inland die Geheimschutzbetreuung durch das BMWi bzw. bei ausländischen Firmen ein geeig- netes Verfahren anzustreben. Die Anbieter von Software für Q-TKÜ bzw. ODS sichern vertraglich die Einhaltung der Anforderungen und Rahmenbedingungen zu, die sich aus den gesetzlichen Normierungen sowie aus dieser SLB ergeben. Die Anbieter sichern darüber hinaus zu, e den Stand der Technik bei der sicheren Software-Entwicklung einzuhalten, Seite 7 von 8 Stand: 05. Oktober 2018
e den physischen Zutritt sowie den logischen Zugang und Zugriff auf die Entwick- lungsumgebung auf die hierzu jeweils berechtigten Personen einzuschränken, e externe Komponenten (z.B. Software-Bibliotheken) aus geprüften Quellen zu be- schaffen und vor ihrer Verwendung hinsichtlich ihrer Sicherheitseigenschaften zu überprüfen, e die durchführenden Stellen unverzüglich über Sicherheitsvorfälle, erkannte Si- cherheitsmängel oder andere Ereignisse zu informieren, die die sichere, recht- mäßige und ordnungsgemäße Durchführung von Q-TKÜ-/ODS-Maßnahmen ge- fährden. | Durch die durchführende Stelle selbst bzw. von einer durch diese bestimmten Stelle findet - z.B. im Rahmen des Beschaffungsprozesses — eine Überprüfung dieser An- forderungen und Rahmenbedingungen statt. N 7 Prüfung und Abnahme Die Abnahme der Software erfolgt auf Grundiose eines definierten Testverfahrens, dessen Ergebnisse im Rahmen des Gesarnınbnahmeprozesses dokumentiert wer- den. Vor jedem zielsystemspezifischen Einsatz Jer Software werden zur Einhaltung der rechtlichen Anforderungen auf die "“onkreten Einsatzbedingungen angepasste Prü- fungen durch die durchfi'hrende,Ste!e durchgeführt, z. B. Rechtmäßigkeit des Funk- tionsumfangs. Die Ergebnisse werden dokumentiert. Seite 8 von 8 Stand: 05. Oktober 2018