Der Umgang mit als geheim eingestuften Dokumenten im Rahmen von Vergabeverfahren stellt eine Herausforderung für Vergabestellen und Bieter dar. Dieser Artikel beantwortet die wesentlichen Fragen und gibt ein Update zum geplanten Auslaufen der in diesem Rahmen häufig eingesetzten Lösung Chiasmus.
Was ist Chiasmus?
Die Software Chiasmus ist das wohl am weitesten verbreitete Programm für die Verschlüsslung eingestufter Dokumente. Herausgegeben wurde die Lösung vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Lösung verliert allerdings zum Ende 2021 die Zulassung VS-NfD 1 eingestufter Dokumente.
Welche Lösungen können anstelle von Chiasmus eingesetzt werden?
Derzeit sind zwei weitere für VS-NfD zugelassene Produkte auf dem Markt erhältlich – „GnuPG VS-Desktop“ der Firma g10 Code sowie die Lösung „GreenShield“ der Firma cryptovision. Beide Produkte können Dateien mit einem symmetrischen Schlüssel, der aus einem Passwort abgeleitet wird, ver- und entschlüsseln.
Allerdings sind sie diesbezüglich untereinander nur teilweise kompatibel, da unterschiedliche Standards genutzt werden. Diese symmetrischen Verfahren entsprechen der Funktionsweise von Chiasmus, sind aber nicht mit dem in Chiasmus implementierten Verfahren interoperabel, sodass mit Chiasmus verschlüsselte Dateien mit den Ablöseprodukten nicht entschlüsselt werden können und umgekehrt.
Welche Rolle spielt der Geheimschutz in der E-Vergabe?
Wenn bei Vergabeverfahren eingestufte Dokumente (meist VS-NfD) etwa im Rahmen der Vergabe- oder Teilnahmeunterlagen übermittelt werden sollen, ist deren Vertraulichkeit sicherzustellen. Dies betrifft häufig Beschaffungen, die nach Maßgabe der Vergabeverordnung für die Bereiche Verteidigung und Sicherheit (VSVgV) durchgeführt werden, ist aber grundsätzlich nicht auf diese beschränkt.
Ist der Austausch eingestufter Unterlagen auch über den Vergabemarktplatz bzw. das Vergabemanagementsystem möglich?
In den Modulen Vergabemarktplatz bzw. Vergabemanagementsystem kann bei jedem Vergabeverfahren ausgewählt werden, ob (ausnahmsweise) die Vergabe- bzw. Teilnahmeunterlagen nicht per se veröffentlicht, sondern erst nach gesonderter Freischaltung eines Bewerbers (gegebenenfalls nach Übermittlung entsprechender Vertraulichkeitsvereinbarungen) zur Verfügung gestellt werden sollen.
Soweit einzelne Dokumente als VS-NfD eingestuft wurden, ist eine Nutzung der Module Vergabemarktplatz bzw. Vergabemanagementsystem möglich. In diesem Fall sind solche Dateien, bevor sie bereitgestellt werden, vorab zu verschlüsseln. Beide Lösungen erlauben die Übermittlung entsprechend verschlüsselter Dateien.
Wie funktioniert die Ver- und Entschlüsselung?
Im Kern können mithilfe eines zertifikatsbasierten Schlüsselpaars bestehend aus einem öffentlichen und einem privaten Schlüssel eingestufte Dokumente sicher ausgetauscht werden.
Der private Schlüssel dient der Vergabestelle insbesondere zur Verschlüsselung der Dokumente. Er kann ebenfalls eine Datei sein, oder hardware-gebunden bereitgestellt werden – etwa auf Smartcards. Er muss entsprechend sicher aufbewahrt werden. Mittels des korrespondierenden öffentlichen Schlüssels können so verschlüsselte Dateien entschlüsselt werden.
Die Übermittlung des verschlüsselten Dokuments kann im Regelfall über den Vergabemarktplatz erfolgen. Im Fall des öffentlichen Schlüssels, der es potenziell jedem ermöglicht, das Dokument zu entschlüsseln, ist hingegen ein von dem Dokument getrennter und gleichermaßen sicherer Übermittlungsweg außerhalb des Vergabemarktplatz zu wählen.
Was ist bei der Einstufung als Verschlusssache zu beachten?
Vor Weitergabe von Dokumenten mit der Einstufung VS-NfD sind Bieter im Regelfall von der ausschreibenden Behörde zu den Inhalten entsprechender Hinweise zu verpflichten.
Immer wieder werden auch Dokumente als Verschlusssache eingestuft, obwohl bei genauer Prüfung gar keine VS-Einstufung angezeigt gewesen wäre. Daher weisen die Erläuterungen des Landes auch auf die zum Teil erheblichen strafrechtlichen Folgen bei einem sachwidrigen Umgang mit entsprechend eingestuften Unterlagen hin.
Es wird empfohlen, in Abstimmung mit dem jeweiligen Geheimschutzbeauftragten des Auftraggebers eine Einzelfallprüfung, ob und gegebenenfalls welche Dokumente dergestalt einzustufen sind und ob dies für das Vergabeverfahren bzw. die Angebotslegung durch die Bieter überhaupt erforderlich ist oder bereitgestellt werden muss. Gleiches gilt, wenn angenommen wird, dass elektronische Angebote oder Teilnahmeanträge entsprechende Unterlagen enthalten und daher gesondert verschlüsselt werden sollten.
Wo erhalte ich weitere Informationen?
Die im Wesentlichen auf alle öffentlichen Auftraggeber übertragbaren Hinweise des Landes Nordrhein-Westfalen finden sich im Portal vergabe.NRW. Der Ablöseleitfaden des BSI rund um das Auslaufen der Pflege des Programms Chiasmus mit einer weitergehenden Vorstellung der oben genannten Alternativprodukte sowie Hinweise zur Migration ist auf Anfrage beim BSI erhältlich.
Verwandte Beiträge
Chiasmus ist ein klassischer Fall symetrischer Verschlüsselung. Die zeichnet sich dadurch aus, das es kein Paar aus privatem und öffentlichem Schlüssel gibt – sondern nur einen Schlüssel mit dem die Ver- und Entschlüsselung funktioniert.
Wurde bei den Nachfolgelösungen wirklich auf Asymetrische Verschlüsselung gewechselt?