IT-Sicherheitskennzeichen: Aufbau einer Vertrauensbasis!

Mit dem IT-Sicherheitsgesetz 2.0 hat das Bundesamt für Sicherheit in der IT den Auftrag bekommen, ein freiwilliges IT-Sicherheitskennzeichen einzuführen. Worum es sich dabei exakt dreht und aus welchem Grund es sich rentiert, es zu beantragen, erfahren Sie in dem folgenden Beitrag.

Das Internet der Dinge dehnt sich immer weiter aus und erreicht alle möglichen Geschäftsbereiche sowie Lebensbereiche. Vom Gefrierschrank und einer Waschmaschine bis zum Stift: Derweil werden ständig mehr Geräte und Alltagsgegenstände mit Sensoren, Prozessoren, einer Netzwerkverbindung wie auch mehr „Intelligenz“ plus Kommunikationsfähigkeiten ausgestattet, um einen beruflichen wie auch persönlichen Alltag angenehmer und effizienter zu machen.

Schon heute befinden sich etwa 35 Milliarden IoT-Geräte in Gebrauch. Bis zum Jahr 2025 soll sich dieser Wert auf 75 Mrd. erweitern.
Aber die gegenwärtige Verbindung wie auch die steigende Anzahl smarter Geräte sowie Dinge versteckt Gefahren: Sie ruft mehr und mehr Internetkriminelle auf die Bildfläche, welche mit immer mehr aggressiveren sowie ausgefeilteren Angriffsmethoden jede mögliche noch so winzige Schwäche in den Produkten aufspüren und zu ihren Gunsten missbrauchen.

Um dem entgegenzuwirken, gilt es für IT-Hersteller und Diensteanbieter, eine IT-Sicherheit bereits bei der Produktentwicklung zu berücksichtigten sowie über den ganzen Produktlebenszyklus hinweg zu inkludieren. In welchem Umfang dies geschieht, soll fortan ein neues IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik erkennbar machen.

Was versteht man unter einem IT-Sicherheitskennzeichen?

Beim IT-Sicherheitskennzeichen dreht es sich zunächst um ein freiwilliges Label, das IT-Herstellern und Diensteanbietern die Möglichkeit liefert, Durchsichtigkeit zu erzeugen und Verbraucher*innen zu beweisen, dass deren Waren und Dienste über bestimmte Sicherheitseigenschaften verfügen wie auch die Erwartungen einschlägiger IT-Sicherheitsstandards berücksichtigen.
In der Regel geht es bei der Kennzeichnung des Bundesamtes für Sicherheit in der Informationstechnik hierum, dass „Security-by-Design“ sowie das „Security-by-Default“-Konzept in der Produktentwicklung zu forcieren wie auch das Einhalten der allgemeinen Schutzziele der Informationssicherheit beispielsweise Vertraulichkeit, Vertrauenswürdigkeit und Verfügbarkeit von Informationen sicherzustellen.

Wie funktioniert das IT-Sicherheitskennzeichen?

Das Etikett des IT-Sicherheitskennzeichens wird durch das Bundesamt für Sicherheit in der IT in elektronischer Form bereit gestellt. Die IT-Hersteller wie auch Diensteanbieter können das Etikett danach auf einem Gerät, ihrer Packung oder der Unternehmenswebseite platzieren.
Das Label enthält beispielsweise die Herstellererklärung und einen QR-Code nach § 9c Abs. 2 IT-SiG 2.0. Der QR-Code führt auf eine Webseite des Bundesamtes für Sicherheit in der Informationstechnik, auf welcher Informationen zum IT-Produkt, zur Laufzeit des IT-Sicherheitskennzeichens sowie gegenwärtige Sicherheitsinformationen zu bestehenden Schwachpunkten oder bevorstehenden Sicherheitsupdates zu finden sind.

Auf welchen rechtlichen Grundlagen basiert das IT-Sicherheitskennzeichen?

Um das IT-Sicherheitskennzeichen zu erhalten, müssen die IT-Hersteller und Diensteanbieter ein Antragsformular auf Erteilung des IT-Sicherheitskennzeichens beim Bundesamt für Sicherheit in der Informationstechnik stellen. Dabei ist eine Antragstellung des IT-Sicherheitskennzeichens bloß im Bereich der vom Bundesamt für Sicherheit in der Informationstechnik festgesetzten und im Bundesanzeiger veröffentlichten wie auch verkündeten Produktkategorien möglich.

Dazu zählen bislang die Bereiche

• Breitbandrouter
• E-Mail-Dienste
• vernetzte TVs (Smart-TV)
• Foto und Videokameras
• Lautsprecherboxen
• Spielzeuge sowie
• Reinigungs- wie auch Gartenroboter

Darüber hinaus richtet sich die Aushändigung des IT-Sicherheitskennzeichens nach § 9c des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik, kurz BSIG, in Verbindung mit den Vorschriften der gesetzlichen Regulierung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik, kurz BSI-ITSiKV.

IT-Sicherheitskennzeichen: Der Erteilungsprozess!

Der Erteilungsprozess verläuft eigentlich in mehreren Schritten:

1. Download Antrag: Im ersten Schritt müssen die „Antragsformulare auf Freigabe des IT-Sicherheitskennzeichens“ auf der Internetseite des Bundesamtes für Sicherheit in der IT downgeloaded werden. Diese bestehen aus dem allgemeinen Hauptantrag sowie einer produktspezifischen Herstellererklärung.
2. Antragstellung inklusive Herstellererklärung: Im nächsten Prozessschritt müssen die antragstellenden IT-Betriebe und Diensteanbieter prüfen, ob ihr IT-Produkt oder der IT-Dienst die Anforderungen der jeweiligen Produktkategorie einhält. Wenn dies so ist, wird dies mit dem Ausfüllen der Herstellererklärung verifiziert.
3. Plausibilitätsprüfung: Wenn dem Bundesamt für Sicherheit sämtliche gefragten Daten sowie Unterlagen vorliegen, wird der eingereichte Antrag vom Inhalt her untersucht und geprüft. Hier ist zu beachten, dass das Bundesamt für Sicherheit in der Informationstechnik im Rahmen der Freigabe des IT-Sicherheitskennzeichens zunächst keinerlei Tiefenprüfung oder technische Überprüfung der erklärten Sicherheitsvorgaben macht, sondern die Daten und eingereichten Unterlagen der IT-Hersteller nur auf Glaubhaftigkeit überprüft.
4. 4. Abrechnung Verwaltungskosten: Für die Antragsbearbeitung wird durch das Bundesamt für Sicherheit in der Informationstechnik eine Verwaltungsgebühr erhoben. Sie bildet sich aus der „Besonderen Gebührenverordnung des Bundesministeriums des Innern und für Heimat“, kurz BMIBGebV, sowie dem wirklich angefallenen zeitlichen Aufwand plus den verursachten Auslagen. Grundlegend bewegt sich die anfallende Verwaltungsgebühr unter den Ausgaben eines BSI-Zertifizierungsverfahrens.
5. Erlass, Ausstellung, Veröffentlichung: Im Fall einer positiven Entscheidung, bekommt der Antragsteller einen passenden Bewilligungsbescheid und die Zurverfügungstellung des jeweiligen Etiketts. Zur selben Zeit wird das Produkt mit der maßgeschneiderten Produktinformationsseite in das zentrale Register gekennzeichneter Produkte gestellt, das über das Onlineangebot des Bundesamtes für Sicherheit in der Informationstechnik für alle einsehbar ist.
6. Nachgelagerte Marktaufsicht: Tragen die IT-Produkte oder IT-Dienste das IT-Sicherheitskennzeichen, so unterliegen diese ab Erteilung des IT-Kennzeichens einer nachgelagerten Überwachung durch das Bundesamt für Sicherheit. Diese Behörde kontrolliert in jenem Rahmen, ob die zugesicherten Besonderheiten des Produkts durch den Hersteller tatsächlich eingehalten werden. Werden bei dem Produkt Differenzen von der Herstellererklärung erkannt, beispielsweise eine IT-Schwachstelle, wird den entsprechenden IT-Herstellern eine passende Frist gelassen, um jene festgestellten Sicherheitslücken zu beheben und den zugesicherten Zustand des Produkts wiedereinzurichten.

Mehr Informationen zur Aushändigung finden Sie in der Verfahrensbeschreibung IT-Sicherheitskennzeichen.

Fazit: IT-Sicherheit als Erfolgskriterium auf dem Markt!

IT-Sicherheit, Zuverlässigkeit sowie gute Verfügbarkeit sind relevante Qualitätskriterien von IT-Produkten oder IT-Diensten. Immer mehr Abnehmer legen Wert auf entsprechende Schutz-Standards.

Mit dem IT-Sicherheitskennzeichen haben nun IT-Hersteller und IT-Diensteanbieter eine Möglichkeit, das Informationsbedürfnis der Kund*innen zu beherzigen, insofern sie die Sicherheitseigenschaften Ihrer IT-Produkte und IT-Dienstleistungen leicht erkennbar machen und diese speziell hervorzuheben.

Sie sind Endkunde: Wollen auch Sie Ihre Produkte und Dienste mit dem IT-Sicherheitskennzeichen auszeichnen lassen und relevante Wettbewerbsvorteile erhalten? Oder haben Sie noch weitergehende Fragen zum Thema? Sprechen Sie uns an!