2018-10-05_bka-standardisierende-leistungsbeschreibungcleaned

Dieses Dokument ist Teil der Anfrage „Standardisierende Leistungsbeschreibung Quellen-TKÜ/Online-Durchsuchung

Standardisierende Leistungsbeschreibung für
Software zur Durchführung von Maßnahmen der Quellen-
Telekommunikationsüberwachung und der Online-
Durchsuchung (Stand 05. Oktober 2018)

1 Einführung

1.1 Zweck dieses Dokuments.

Diese „Standardisierende Leistungsbeschreibung“ (SLB) konkretisiert die aus den
rechtlichen Bestimmungen resultierenden Vorgaben und definiert Prozessabläufe für
die Durchführung von Maßnahmen der Quellen-Telekommunikationsüberwachung
(Q-TKÜ) bzw. der Onlinedurchsuchung (ODS). Sie dien! @eh in Deutschland durch-
führenden Stellen von Q-TKÜ bzw. ODS sowie der. Aribiete'r, ‚der entsprechenden
Software als Richtlinie, um die Entwicklung, die Beschas'ungsund den Einsatz derar-
tiger Software in Deutschland in einem einhaitliöen Fiıa'imen sicherzustellen.

1.2 Versionsstand/Historie, Aktualisierung“

"Um einen einheitlichen nationaler Quaiilätsstandard bei der Entwicklung und dem
Einsatz von Software zur Durchführung van Maßnahmen der Q-TKÜ für die Sicher-
heitsbehörden in Deutschland zu e.ablieren, wurde im Jahr 2012 gemeinsam durch
Sicherheitsbehörden wön Bund und Ländern die Standardisierende Leistungsbe-
schreibung erarbeitet. Die Arbsitskreise Il und IV der Innenministerkonferenz haben
in ihren jeweiligetı Herbetsitzungen 2012 die SLB in der Version vom 02.10.2012 zur
Kenntnis genommen und den Sicherheitsbehörden des Bundes und der Länder emp-
fohlen, die SL. bei der Beschaffung oder Erstellung von Q-TKÜ-Software zugrunde
zu legen.

Aufgrund der sich aus den kurzen Innovationszyklen moderner informationstechni-
scher Systeme und deren Software ergebenden fortlaufenden Änderungen von tech-
nischen Rahmenbedingungen sowie der mit Inkrafttreten des Gesetzes zur effektive-
ren und praxistauglicheren Ausgestaltung des Strafverfahrens am 24.08.2017 geän-
derten Gesetzeslage, war eine Modifizierung und technikoffenere Ausgestaltung der
SLB erforderlich. Durch dieses Dokument wird die SLB vom 02.10.2012 fortgeschrie-
ben und auf Maßnahmen der ODS erweitert. Auch zukünftig ist die SLB regelmäßig
auf Aktualisierungsbedarf zu prüfen.

Seite 1 von 8
Stand: 05. Oktober 2018
1.3 Rechtliche Rahmenbedingungen

Die Durchführung von Maßnahmen der Q-TKÜ und ODS richtet sich nach den ent-
sprechenden Normen der Strafprozessordnung, den gefahrenabwehrrechtlichen
Normen des Bundes und der Länder sowie den Befugnissen des Bundesamtes für
Verfassungsschutz und der Landesämter für Verfassungsschutz. Darüber hinaus ist
die Rechtsprechung des BVerfG zur Q-TKÜ und ODS (z. B. BVerfG, Urteil v. 27.
Februar 2008, 1 BvR 370/07, 1 BvR 595/07 und BVerfG, Urteil v. 20. April 2016, 1
BvR 966/09, 1 BvR 1140/09) zu beachten.

2 Architektur
Systeme zur Durchführung von Q-TKÜ bzw. ODS-Maßnahmen bestehen in der Re-.
gel aus verschiedenen Komponenten, die als ein Gesam'system zusammenarbeiten:

Ausleitungssoftware: Software, die auf aem Zieisystem aufgebracht wird, dort
Daten erfasst und an die durchführenug»Ste:)> ausleitet.

Steuer- und Aufzeichnungsainn:@'*;.Software-Einheit, die von der durchführen-
den Stelle genutzt wird, um ie Ausleitungssoftware zu steuern, die vom Be-
schluss bzw. der Anördrüng umfassten Daten der Aufzeichnung und Auswer-
tung zugänglic" zu (naöhen und sämtliche Aktivitäten zu protokollieren. Die
Steuer- und Aulzeichüungseinheit kann je nach Anbieter in weitere Sub-
Systeme aufgeteilt werden.

Netzwerkverbindung: Die Funktion dieser Systemkomponente ist das Weiter-
leiten der Kommunikation vom Zielsystem an die Steuer und Aufzeichnungs-
einheit und zurück. Die Daten zur Steuerung der Ausleitungssoftware, sowie
die maßnahmenbezogene Datenausleitung werden unter Gewährleistung von
Authentizität, Integrität und Vertraulichkeit dieser Daten übertragen. Die Rück-
verfolgbarkeit zur durchführenden Stelle muss soweit möglich verhindert wer-
den.

Sofern das Gesamtsystem auf externe Komponenten zugreift, müssen diese
im Sicherheitskonzept berücksichtigt werden.

Seite 2 von 8
Stand: 05. Oktober 2018
3 Schutzziele und Sicherheitsmaßnahmen zu deren Umsetzung
Während sich die Steuer- und Aufzeichnungseinheit und somit die Systeme zur
Datenverwaltung und Auswertung der erhobenen Daten sowie der Protokolle in der
Infrastruktur der durchführenden Stellen befinden, erfordert die Kontrolle der Auslei-
tungssoftware sowie der Netzwerkverbindung erhöhte Sicherheitsmaßnahmen, da
diese sich auf dem zu überwachenden, von dem Betroffenen kontrollierten Zielsys-
tem bzw. im Internet befinden. Im Weiteren wird daher ein Fokus auf die Beschrei-
bung der Sicherheitsmaßnahmen für die Ausleitungssoftware, für die Netzwerkver-
bindung sowie für den Teil der Steuer- und Aufzeichnungseinheit gelegt, welcher mit
dem Internet in Verbindung steht. Im Hinblick auf das Aufzeichnungs- und Auswerte-
system im engeren Sinne sowie die Sicherung der internen IT-Infrastruktur der durch-
führenden Stellen gelten die dortigen, speziell dafür erarbeiteten Sicherheitskonzepte
und Vorkehrungen. | Bee re

Gemäß der Vorgaben des IT-Grundschutzes sind zur Fes!stel'uiig der Schutzbedarfe
für Maßnahmen der Q-TKÜ und ODS die drei \resei ichori Grundwerte der IT-
Sicherheit (Verfügbarkeit, Vertraulichkeit, ntegi#\) im Rahmen von IT-
Sicherheitskonzepten zu analysieren und die Risiken festzustellen und zu bewerten.
Als Spezialfall der Integrität ist auch die Auti\ontızität von Informationen in die Analy-
sen und Bewertungen einzubeziehen. Im Zinzelnen:

e Vertraulichkeit: Zur Wahrung ds‘ Vertraulichkeit auf dem Übertragungsweg ist
sicherzustellen, dass !!e D2’en ‘d.h. z. B. auch Steuerungskommandos an das
Zielsystem, Aktual'sierung der Überwachungssoftware auf dem Zielsystem, die
Daten vom Zielsysiam), dis innerhalb des Q-TKÜ- bzw. ODS-Systems zwischen
Zielsystem ind ce'sm Autzeichnungs- und Steuerungssystem der durchführenden
Stelle übertragon werden, durch geeignete Verfahren gegen unbefugte Kenntnis-
nahme gesc.\ützi werden. Darüber hinaus ist die Ausleitungssoftware vor Erken-
nung und Offenlegung zu schützen.

o Integrität/Authentizität: Die erhobenen Daten sind durch geeignete Verfahren ge-
gen Veränderungen zu sichern. Eine Manipulation von Daten muss erkennbar
sein. Es ist sicherzustellen, dass die Datenübermittlung bzw. -kommunikation
ausschließlich zwischen der Ausleitungssoftware auf dem Zielsystem und der
Aufzeichnungs- und Steuerungseinheit der durchführenden Stelle erfolgt.

e Verfügbarkeit: Es sind geeignete Sicherheitsmaßnahmen zu treffen, um einen
Verlust von ausgeleiteten Daten zu vermeiden und das Gesamtsystem gegen

Ausfälle und Störungen zu schützen.

Seite 3 von 8
Stand: 05. Oktober 2018
Zur Umsetzung o.g. Schutzziele sind die eingesetzten Programme und die zwischen
ihnen übertragenen Daten nach dem Stand der Technik gegen unbefugte Kenntnis-
nahme, Zugriff oder Manipulation zu schützen. Es ist durch technische Sicherheits-
maßnahmen zu gewährleisten, dass die Ausleitungssoftware nicht durch unbefugte
Dritte angesprochen oder zweckentfremdet genutzt werden kann und sich nicht auf
andere als das definierte Zielsystem verbreitet.

Bei der Auswahl der einzusetzenden kryptografischen Verfahren ist der aktuelle
Stand der Technik heranzuziehen.

Es sind geeignete Sicherheitsmaßnahmen zum Schutz vor dem Einspielen (Hinzufü-
gen) zusätzlicher (gefälschter) Informationen, die die Funktion des Gesamtsystems
beeinträchtigen oder die Integrität der erhobenen Informationen verletzen können, zu
ergreifen.

4 Risikoanalyse/IT-Sicherheitskonzept

Für die IT-Verfahren der Q-TKÜ bzw. OUS sind behördenspezifische IT-
Sicherheitskonzepte auf der Basis der IT-Üunaschutzmethodik des BSI oder ver-
gleichbarer in den Ländern angewandte Verfahren durch die durchführende Stelle
zu erstellen und fortzuschreiben,_Die Einhaltung der dort festgelegten Sicherheits-
_ maßnahmen ist durch den Anbieier nA die durchführende Stelle jeweils für ihren
Verantwortungsbereich zu gewährle sten. Für ein IT-Sicherheitskonzept, das sich aus
mehreren Teilkonzepter” zusarıinensetzt, ist sicherzustellen, dass die Teilkonzepte
konsistent zusammenwirke‘; und alle Schnittstellen abdecken.

Das IT-Sicherhe.iskonzept u.nfasst eine Risikoanalyse, in deren Rahmen die gefähr-
deten Objelite einzugrenzen und die relevanten Gefährdungen, die auf ein IT-
Verfahren einwirkei; können, herauszuarbeiten und ggf. existierende Restrisiken zu
identifizieren sind. Es sind hierbei die innerhalb der IT-Verfahren Q-TKÜ bzw. ODS
gefährdeten Objekte (Systemkomponenten, z. B. Hardware, Applikation bzw. organi-:
satorische / personelle Bereiche, z. B. Zugangsschutz, Administration) zu beschrei-
ben und in einem Sicherheitskonzept zu bewerten. Das IT-Sicherheitskonzept hat
angemessene, aktuelle und dem Stand der Technik entsprechende Sicherheitsmaß-
nahmen vorzusehen.

Die Ergebnisse der Risikoanalyse und der Schutzbedarfsfeststellungen sowie der
sich daraus ergebenden Konsequenzen sowie deren Umsetzung sind im IT-
Sicherheitskonzept zu dokumentieren.

Seite 4 von 8
Stand: 05. Oktober 2018
5 Prozesse/Abläufe

Die Durchführung von Maßnahmen der Q-TKÜ bzw. ODS richtet sich grundsätzlich
nach geltenden rechtlichen und organisatorischen Rahmenbedingungen sowie nach.
gemeinsam zwischen den Sicherheitsbehörden des Bundes und der Länder erarbei-
teten Konzepten zu ablauforganisatorischen Prozessen und zur Qualitätssicherung.
Hierdurch werden übergreifende Standards geschaffen, die die Durchführung von
Maßnahmen der Q-TKÜ bzw. ODS optimieren sowie das Entdeckungsrisiko minimie-
ren. Die standardisierte und rechtskonforme Nutzung der Software wird somit sicher-
gestellt.

5.1 Beschluss-/Anordnungsumfang und Kernbereichsschutz

Durch geeignete technische und organisatorische Sicherheitsmaßnahmen ist zu ge-
währleisten, dass die mit der Überwachung betrauten Mita:Seiterinnen und Mitarbei-
ter der durchführenden Stellen. ausschließlich von dei von‘ ieweiligen Beschluss
bzw. der Anordnung umfassten Inhalten Kenntnis eilarıyen. Dies ist entsprechend zu
protokollieren bzw. zu dokumentieren. N.

Der Kernbereich privater Lebensgestaltung wird bei Maßnahmen der Q-TKÜ bzw.
der ODS besonders geschützt. Die Prozesse vrientieren sich an den jeweils ein-
schlägigen gesetzlichen Vorgabem,

5.2 Rechte und Rollenkonzept
Das Rechte- und Rollerixonzep! ıst so zu gestalten, dass jeder Benutzer ausschließ-
lich die für seine Rolle notwentigen Rechte erhält. Auf dieser Grundlage sind ein da-
tenschutzrechtlic": geeignete; Zugriffsschutz und eine entsprechende Protokollierung
sowie insbesoriler& die Einhaltung der Vorgaben zum Kernbereichsschutz zu ge-
währleisten. Lin konkrete Ausgestaltung des Rechte- und Rollenkonzepts obliegt der
durchführenden (elle auf Grundlage der jeweiligen organisatorischen und rechtli-
‘chen Rahmenbedingungen. |

5.3 Veränderungen am Zielsystem

Die Sicherheit und Stabilität des Zielsystems darf durch das Einbringen, den Betrieb
und die Löschung der eingesetzten Ausleitungssoftware nicht mehr als erforderlich
beeinträchtigt werden. Die Beeinträchtigung darf außerdem hinsichtlich des Ziels der
Q-TKÜ-/ODS-Maßnahme nicht unangemessen sein. Beispielsweise dürfen Sicher-
- heitsmaßnahmen, die das Zielsystem vor Zugriffen von außen schützen, nicht länger
und nicht mehr als nötig eingeschränkt werden. Die von der Ausleitungssoftware be-
nötigte Schnittstelle zur Ausleitung der Daten und Steuerung wird durch geeignete
Sicherheitsmaßnahmen gegen unbefugte Nutzung geschützt.

Seite 5 von 8
Stand: 05. Oktober 2018
Vor der Einbringung der Ausleitungssoftware ist zu überprüfen und zu dokumentie-
ren, dass lediglich eine auf das Unvermeidbare begrenzte Beeinträchtigung des Ziel-
systems zu erwarten ist.

Spätestens mit Ablauf der angeordneten Q-TKÜ- bzw. ODS-Maßnahme ist die Aus-
leitungssoftware unverzüglich zu löschen. Veränderungen an den System- und sons-
tigen Dateien auf dem Zielsystem sind, soweit technisch möglich, rückgängig zu ma-
chen. Dies hat auch zu erfolgen, wenn das Zielsystem zu diesem Zeitpunkt nicht
durch die Steuer- und Aufzeichnungseinheit erreichbar ist. Hierzu hat die Auslei-
_ tungssoftware über entsprechende Funktionen zu verfügen.

5.4 Schutz unbeteiligter Dritter

Die Ausleitungssoftware darf ausschließlich auf dem von der Anordnung umfassten
Zielsystem zum Einsatz kommen. Hierzu ist das Zielsystein &0 genau wie möglich zu
identifizieren.

Sollte die Software auf einem anderen als dem. Zieleys:cm gestartet werden, muss
sichergestellt werden, dass — außer den im Rah.nen eier eindeutigen Identifizierung
des Zielsystems übertragenen Daten — keine Ausieitung von Daten erfolgt und die
Ausleitungssoftware, soweit technisch möglıch, umgehend gelöscht wird. Durch die
Ausleitungssoftware verursachte \cränderisngen an den System- und sonstigen Da-
teien auf dem System sind, soweit !eönnisch möglich, rückgängig zu machen.

5.5 Programm-Aktäüalisierungen / Schutz vor Offenlegung

Für die Übertragung «ar Aktue',sierungen der Ausleitungssoftware gelten die in Kapi-
tel 3 genannter Voroaben."Badurch ist gewährleistet, dass Aktualisierungen der Aus-
leitungssoftware ausschließlich über die Aufzeichnungs- und Steuereinheit der durch-
führenden Steı® eriölgen und ein Missbrauch der Updatefunktion durch Dritte aus-
geschlossen wird. Durch Protokollierung bzw. Dokumentation kann jederzeit nach-
vollzogen werden, wann und welche Aktualisierungen der Ausleitungssoftware
durchgeführt worden sind.

Eine Entdeckung und Rückverfolgung der laufenden Q-TKÜ- bzw. ODS-Maßnahme
zur durchführenden Stelle ist durch geeignete Sicherheitsmaßnahmen soweit tech-
nisch möglich auszuschließen. Insbesondere ist die Software gegen Erkennung und
Reverse Engineering zu schützen.

Wenn Sicherheitsmängel im Gesamtsystem erkannt werden (beispielsweise in der
Ausleitungssoftware oder in der Aufzeichnungs- und Steuereinheit), ist der Anbieter
verpflichtet, diese Mängel unverzüglich zu beheben und entsprechende Updates be-

Seite 6 von 8
Stand: 05. Oktober 2018
reitzustellen. Die durchführenden Stellen spielen diese Updates gemäß den Vorga-
ben des IT-Sicherheitskonzepts unverzüglich ein.

5.6 Nachvollziehbarkeit durch Protokollierung, Archivierung und Doku-
mentation
Bei der Q-TKÜ bzw. der ODS handelt es sich um verdeckte Maßnahmen. Der Nach-
weis der Integrität und Authentizität der Daten ist dabei von besonderer Bedeutung.
Insbesondere die Verwendung der Daten zur Strafverfolgung und Gefahrenabwehr
setzt einen lückenlosen Nachweis von der Erhebung über die Bewertung und Weiter-
verarbeitung der Daten innerhalb der durchführenden Stelle voraus.
Die Prozesse zur Erkenntniserlangung müssen auch in einem späteren Stadium des
Verfahrens zweifelsfrei nachvollzogen werden können. Die notwendige Protokollie-
rung ergibt sich insbesondere aus den in Kapitel 1.3 genannten Normen. ca
Protokollierung und Dokumentation dienen der Kontrolle der 'sschtmäßigkeit der Q-
TKÜ-/ODS-Maßnahme und der Datenverarbeitung. der Oewähheistung eines effekti-
ven Grundrechtschutzes der Betroffenen (z. B.'=uch «ch die Gewährleistung einer
datenschutzrechtlichen Kontrolle), zugleich @ner auch der Gewährleistung der Ge-
richtsfestigkeit der im Rahmen der Q-TKU bzw. UDS aufgezeichneten Daten. Insbe-
sondere dient die Protokollierurg.dem iliachweis, dass die Daten tatsächlich vom
Zielsystem stammen, vollständig "ine Und nicht verändert wurden. Um eine Nach-
vollziehbarkeit zu gewährleisten, ‚su! außerdem eine Archivierung der eingesetzten
Software umgesetzt werden.

Die Dauer der Aufbewahrung üer Protokolldaten richtet sich nach den einschlägigen
gesetzlichen Voischriften ues Bundes und der Länder.

6 Anbieter

Anbieter von Software für Q-TKÜ bzw. ODS sind sorgfältig im Hinblick auf ihre Fach-
kompetenz und Vertrauenswürdigkeit auszuwählen. Für die Anbieter ist im Inland die
Geheimschutzbetreuung durch das BMWi bzw. bei ausländischen Firmen ein geeig-
netes Verfahren anzustreben.

Die Anbieter von Software für Q-TKÜ bzw. ODS sichern vertraglich die Einhaltung
der Anforderungen und Rahmenbedingungen zu, die sich aus den gesetzlichen
Normierungen sowie aus dieser SLB ergeben.

Die Anbieter sichern darüber hinaus zu,

e den Stand der Technik bei der sicheren Software-Entwicklung einzuhalten,

Seite 7 von 8
Stand: 05. Oktober 2018
e den physischen Zutritt sowie den logischen Zugang und Zugriff auf die Entwick-
lungsumgebung auf die hierzu jeweils berechtigten Personen einzuschränken,

e externe Komponenten (z.B. Software-Bibliotheken) aus geprüften Quellen zu be-
schaffen und vor ihrer Verwendung hinsichtlich ihrer Sicherheitseigenschaften zu
überprüfen,

e die durchführenden Stellen unverzüglich über Sicherheitsvorfälle, erkannte Si-
cherheitsmängel oder andere Ereignisse zu informieren, die die sichere, recht-
mäßige und ordnungsgemäße Durchführung von Q-TKÜ-/ODS-Maßnahmen ge-
fährden. |

Durch die durchführende Stelle selbst bzw. von einer durch diese bestimmten Stelle
findet - z.B. im Rahmen des Beschaffungsprozesses — eine Überprüfung dieser An-
forderungen und Rahmenbedingungen statt. N

7 Prüfung und Abnahme

Die Abnahme der Software erfolgt auf Grundiose eines definierten Testverfahrens,
dessen Ergebnisse im Rahmen des Gesarnınbnahmeprozesses dokumentiert wer-
den.

Vor jedem zielsystemspezifischen Einsatz Jer Software werden zur Einhaltung der
rechtlichen Anforderungen auf die "“onkreten Einsatzbedingungen angepasste Prü-
fungen durch die durchfi'hrende,Ste!e durchgeführt, z. B. Rechtmäßigkeit des Funk-
tionsumfangs. Die Ergebnisse werden dokumentiert.

Seite 8 von 8
Stand: 05. Oktober 2018