IT-Sicherheitskennzeichen: Aufbau einer Vertrauensbasis!

Mit dem IT-Sicherheitsgesetz 2.0 hat das Bundesamt für Sicherheit in der Informationstechnik die Anordnung bekommen, ein freiwilliges IT-Sicherheitskennzeichen zu implementieren. Worum es sich hierbei genau dreht und weshalb es sich rentiert, dieses zu beantragen, lesen Sie in dem nachfolgenden Beitrag.

Das Internet der Dinge breitet sich stets mehr aus und durchdringt alle möglichen Geschäftsbereiche und Lebensbereiche. Vom Gefrierschrank und einer Waschmaschine bis zum Kugelschreiber: Mittlerweile werden immer mehr Gerätschaften und Alltagsgegenstände mit Sensoren, Prozessoren, einer Netzwerkverbindung sowie mehr „Intelligenz“ plus Kommunikationsfähigkeiten ausgestattet, um den beruflichen wie auch persönlichen Alltag bequemer sowie effizienter zu gestalten.

Bereits heute befinden sich schätzungsweise 35 Milliarden IoT-Geräte im Einsatz. Bis zum Jahr 2025 soll sich dieser Wert auf 75 Mrd. erweitern.
Aber die gegenwärtige Verbindung und die wachsende Anzahl smarter Apparaturen und Dinge birgt Risiken: Sie ruft verstärkt Internetkriminelle auf den Plan, die mit immer mehr aggressiveren und ausgefeilteren Angriffsmethoden jede noch so kleine Schwäche in den Produkten aufspüren und zu deren Gunsten missbrauchen.

Um diesem entgegenzuwirken, gilt es für IT-Hersteller und Diensteanbieter, eine IT-Sicherheit bereits bei der Produktentwicklung zu beherzigen sowie über den ganzen Produktlebenszyklus hinweg zu integrieren. In welchem Umfang dies geschieht, soll fortan ein neues IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik erkennbar machen.

Was ist das IT-Sicherheitskennzeichen?

Beim IT-Sicherheitskennzeichen handelt es sich erst einmal um ein freiwilliges Etikett, das IT-Herstellern sowie Diensteanbietern die Möglichkeit bietet, Durchsichtigkeit zu schaffen und Endkunden*innen zu beweisen, dass deren Waren und Dienstleistungen über gewisse Sicherheitseigenschaften verfügen wie auch die Anforderungen einschlägiger IT-Sicherheitsstandards einbeziehen.
In der Regel geht es bei der Etikettierung des Bundesamtes für Sicherheit in der Informationstechnik hierum, dass „Security-by-Design“ und das „Security-by-Default“-Konzept in der Produktentwicklung zu verstärken und das Einhalten der grundsätzlichen Schutzziele der Informationssicherheit wie Vertraulichkeit, Vertrauenswürdigkeit und Vorhandensein von Informationen sicherzustellen.

Wie funktioniert das IT-Sicherheitskennzeichen?

Das Etikett des IT-Sicherheitskennzeichens wird durch das Bundesamt für Sicherheit in der IT in elektronischer Form bereit gestellt. Die IT-Hersteller wie auch Diensteanbieter können das Label danach auf ihrem Modell, einer Packung oder einer Unternehmenswebseite platzieren.
Das Etikett enthält beispielsweise die Herstellererklärung sowie einen QR-Code nach § 9c Abs. 2 IT-SiG 2.0. . Der QR-Code führt auf die Webseite des Bundesamtes für Sicherheit in der IT, auf welcher Daten zum IT-Produkt, zur Laufzeit des IT-Sicherheitskennzeichens sowie gegenwärtige Sicherheitsinformationen zu bestehenden Schwachstellen oder bevorstehenden Sicherheitsupdates vorzufinden sind.

Wie und wo mehr Transparenz geschaffen wird!

Um das IT-Sicherheitskennzeichen zu erhalten, müssen die IT-Hersteller sowie Diensteanbieter ein Antragsformular auf Aushändigung des IT-Sicherheitskennzeichens beim Bundesamt für Sicherheit in der Informationstechnik stellen. In diesem Zusammenhang ist die Antragstellung des IT-Sicherheitskennzeichens bloß im Rahmen der vom Bundesamt für Sicherheit in der Informationstechnik definierten und im Bundesanzeiger veröffentlichten wie auch bekannt gegebenen Produktkategorien möglich.

Hierzu zählen bis jetzt die Bereiche

• Breitbandrouter
• E-Mail-Dienste
• vernetzte Fernsehgeräte (Smart-TV)
• Foto und Videokameras
• Lautsprecher
• Spielzeuge sowie
• Reinigungs- wie auch Gartenroboter

Darüber hinaus richtet sich die Erteilung des IT-Sicherheitskennzeichens nach § 9c des Gesetzes über das Bundesamt für Sicherheit in der IT, kurz gesagt BSIG, in Verbindung mit den Vorschriften der gesetzlichen Regelung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik, kurz BSI-ITSiKV.

Wie verläuft der Antragsprozess?

Der Erteilungsprozess verläuft in der Regel in mehreren Schritten:

1. Download Antrag: Im ersten Ablaufschritt müssen die „Antragsformulare auf Freigabe des IT-Sicherheitskennzeichens“ auf der Webseite des Bundesamtes für Sicherheit in der Informationstechnik downgeloaded werden. Sie bestehen aus dem allgemeinen Hauptantrag sowie einer produktspezifischen Herstellererklärung.
2. Antragstellung inklusive Herstellererklärung: Im folgenden Prozessschritt müssen die antragstellenden IT-Unternehmen oder Diensteanbieter nachprüfen, ob ihr IT-Produkt oder der IT-Dienst die Bedingungen der entsprechenden Produktkategorie einhält. Wenn dies der Fall ist, wird diese Tatsache mit dem Ausfüllen der Herstellererklärung bestätigt.
3. Plausibilitätsprüfung: Sobald dem Bundesamt für Sicherheit sämtliche gefragten Angaben und Dokumente vorliegen, wird der eingereichte Antrag inhaltlich bearbeitet wie auch gecheckt. Hier ist zu beachten, dass das Bundesamt für Sicherheit in der Informationstechnik im Kontext der Zustimmung des IT-Sicherheitskennzeichens zunächst keine Tiefenprüfung bzw. technische Überprüfung der erklärten Sicherheitsvorgaben macht, sondern die Angaben und eingereichten Dokumente der IT-Hersteller nur auf Glaubhaftigkeit bewertet.
4. Abrechnung Verwaltungskosten: Für die Antragsbearbeitung wird durch das Bundesamt für Sicherheit in der Informationstechnik eine Gebühr verlangt. Diese ergibt sich aus der „Besonderen Gebührenverordnung des Bundesministeriums des Innern und für Heimat“, kurz BMIBGebV, sowie dem wirklich angefallenen Zeitaufwand und den verursachten Auslagen. Grundsätzlich liegt die entstehende Verwaltungsgebühr unter den Kosten des BSI-Zertifizierungsverfahrens.
5. Erlass, Ausstellung, Veröffentlichung: Im Falle einer positiven Entscheidung, erhält der Bewerber einen passenden Bewilligungsbescheid sowie die Zurverfügungstellung des jeweiligen Etiketts. Gleichzeitig wird das Produkt mit der individuellen Produktinformationsseite in das zentrale Verzeichnis gekennzeichneter Produkte gestellt, das über das Onlineangebot des Bundesamtes für Sicherheit in der IT für alle einsehbar ist.
6. Nachgelagerte Marktaufsicht: Haben die IT-Produkte oder IT-Dienste das IT-Sicherheitskennzeichen, so unterliegen sie ab Erteilung des IT-Kennzeichens der nachgelagerten Beaufsichtigung durch das Bundesamt für Sicherheit. Die Behörde kontrolliert in jenem Rahmen, ob die zugesicherten Besonderheiten des Produkts durch den Anbieter wirklich eingehalten werden. Werden bei einem Produkt Abweichungen von der Herstellererklärung erkannt, beispielsweise eine IT-Schwachstelle, wird den entsprechenden IT-Herstellern eine passende Frist gelassen, um jene ermittelten Sicherheitslücken zu beheben und den zugesicherten Zustand des Produkts wiederherzustellen.

Weitere Informationen zur Aushändigung finden Sie in der Verfahrensbeschreibung IT-Sicherheitskennzeichen.

Fazit: Das IT-Sicherheitskennzeichen lohnt sich!

IT-Sicherheit, Verlässlichkeit und hohe Verfügbarkeit sind relevante Qualitätsmerkmale von IT-Produkten und IT-Diensten. Stets mehr Verbraucher legen Wichtigkeit auf hohe Schutz-Standards.

Mit einem IT-Sicherheitskennzeichen haben nun IT-Hersteller sowie IT-Diensteanbieter die Möglichkeit, das Informationsbedürfnis der Kund*innen zu beherzigen, insofern sie die Sicherheitseigenschaften Ihrer IT-Produkte und IT-Dienstleistungen leicht erkennbar machen und sie besonders hervorzuheben.

Möchten auch Sie Ihre Produkte und Dienste mit dem IT-Sicherheitskennzeichen versehen lassen und relevante Vorteile erhalten? Oder haben Sie noch weitergehende Fragen zum Thema? Kontaktieren Sie uns gerne!