Prüfung von Kommunikationssoftware durch das Bundesamt für Sicherheit in der Informationstechnik im Allgemeinen und bei Virtual Solution

Welche Prüfungshandlungen nimmt das Bundesamt für Sicherheit in der Informationstechnik bei initialen Zertifizierungsverfahren für Kommunikationslösungen (Software) vor, die in der Bundesverwaltung eingesetzt wird, etwa zur Sicherung von Kommunikation auf mobilen Geräten?

Welche Prüfungshandlungen nimmt das BSI bei der Zulassung von Updates bzw. Folgeversionen solcher Kommunikationslösungen bzw. bei der Verlängerung der Zulassung vor?

Trifft es zu, dass über die Zulassung von Upgrades nur nach Aktenlage entschieden wird?

Welche der in den Fragen 1 und 2 genannten Schritte im Zertifizierungsverfahren werden durch externe Dienstleister durchgeführt, und welche weiteren Prüfungsschritte schließen sich im BSI an die Vorlag der Ergebnisse an?

In welchen Fällen in derartigen Zertifizierungsverfahren müssen Anbieter von Kommunikationslösungen dem BSI die Namen von Mitarbeitern bzw. Programmierern mitteilen, die mit der Entwicklung bzw. Weiterentwicklung der Software befasst sind?

Wie überprüft das BSI, dass ausschließlich die gemeldeten Mitarbeiter bzw. Programmierer an der Software arbeiten?

Was sind die Konsequenzen, wenn Unternehmen dem BSI unvollständige Namenslisten übermitteln?

Was sind die Folgen für eine bereits erteilte Zulassung einer Kommunikationslösung, wenn sich erweist, dass gegenüber dem BSI nichtgemeldete Programmierer an der Weiterentwicklung der Software beteiligt gewesen sind?

Gibt es im initialen Zertifizierungsverfahren für Kommunikationslösungen für die Bundesverwaltung formale Beschränkungen für Mitarbeiter bzw. Programmierer, die an der Software arbeiten (z. B. Ausschluss von Personen, die keine EU-Staatsbürgerschaft haben)?

Dürfen sich an der Weiterentwicklung (Updates) von bereits vom BSI für den Einsatz in der Bundesverwaltung zugelassenen Kommunikationslösungen Personen beteiligen, die keine Staatsbürger eines EU-Staats sind?

Gibt es Beschränkungen für Staatsbürger bestimmter Nicht-EU-Staaten?

Was sind die Folgen für eine bereits durch das BSI erteilte Zulassung einer Kommunikationslösung, wenn sich erweist, dass Nicht-EU-Staatsbürger an der Weiterentwicklung der Software beteiligt gewesen sind?

Welche Prüfungshandlungen hat das BSI im Rahmen der initialen Zertifizierungsverfahren von Produkten der Firma Virtual Solution (mittlerweile verkauft an Materna) genau vorgenommen?

Wurde bei Updates des Produkts SecurePIM Government SDS bzw. bei der Verlängerung der Zulassung des Produkts die Zulassung ausschließlich auf Grundlage der vom Unternehmen eingereichten Dokumentation erteilt, und wenn ja, ab welcher Version der Software?

Welche Prüfungshandlungen hat das BSI im Rahmen der Freigabe für Produkte der Firma Virtual Solution für den Geheimhaltungsgrad „Verschlusssachen – Nur für den Dienstgebrauch“ (VS-NfD) genau vorgenommen?

In welchen Fällen hat das BSI von der Firma Virtual Solution Listen von Mitarbeitern bzw. Programmierern eingefordert?

Wie hat das BSI überprüft, dass ausschließlich die vom Unternehmen benannten Mitarbeiter an der Weiterentwicklung der Software gearbeitet haben?

Ist der Bundesregierung bekannt, ob auch Programmierer aus Nicht-EU-Staaten an der Software von Virtual Solution gearbeitet haben, und wenn ja, aus welchen Staaten kamen diese Programmierer?

Wurde bei der Firma Virtual Solution im Rahmen der Zertifizierungsverfahren geprüft, ob es Diskrepanzen zwischen der Akten- und Dokumentenlage und den programmierten Anwendungen (z. B. Backdoors in Codes o. Ä.) gab?