IT-Sicherheitskennzeichen: IT-Sicherheit von Anfang an mitdenken!

Mit dem IT-Sicherheitsgesetz 2.0 hat das Bundesamt für Sicherheit in der Informationstechnik die Anordnung erhalten, ein freiwilliges IT-Sicherheitskennzeichen zu implementieren. Worum es sich dabei exakt dreht und weshalb es sich lohnt, es zu beantragen, erfahren Sie in dem nachfolgenden Blogbeitrag.

Das Internet der Dinge dehnt sich stets weiter aus und durchdringt alle möglichen Geschäftsbereiche und Lebensbereiche. Vom Kühlschrank und der Waschmaschine bis zum Kugelschreiber: Mittlerweile werden ständig mehr Gerätschaften sowie Alltagsgegenstände mit Sensoren, Prozessoren, einer Netzwerkverbindung sowie mehr „Intelligenz“ und Kommunikationsfähigkeiten versehen, um einen beruflichen und privaten Alltag bequemer sowie besser zu machen.

Bereits heute befinden sich etwa 35 Mrd. IoT-Geräte im Einsatz. Bis zum Jahr 2025 soll sich dieser Wert auf 75 Milliarden erweitern.
Aber die allgegenwärtige Verbindung und die wachsende Menge smarter Geräte und Dinge birgt Risiken: Sie verursacht verstärkt Internetkriminelle auf die Bildfläche, welche mit immer mehr aggressiveren sowie ausgefeilteren Angriffsmethoden jede noch so winzige Schwachstelle in den Produkten finden und zu ihren Gunsten ausnutzen.

Um diesem vorzubeugen, gilt es für IT-Hersteller sowie Diensteanbieter, eine IT-Sicherheit schon bei der Produktentwicklung zu beherzigen und über den gesamten Produktlebenszyklus hinweg zu inkludieren. In welchem Ausmaß dies passiert, soll fortan ein neuartiges IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der IT ersichtlich machen.

Was ist ein IT-Sicherheitskennzeichen?

Beim IT-Sicherheitskennzeichen dreht es sich erst einmal um ein freiwilliges Label, das IT-Herstellern sowie Diensteanbietern die Möglichkeit bietet, Transparenz zu schaffen und Endkunden*innen zu zeigen, dass ihre Produkte oder Dienste über bestimmte Sicherheitseigenschaften verfügen wie auch die Erwartungen einschlägiger IT-Sicherheitsstandards einbeziehen.
In der Regel geht es bei der Etikettierung des Bundesamtes für Sicherheit in der Informationstechnik hierum, dass „Security-by-Design“ und das „Security-by-Default“-Konzept in der Produktentwicklung zu forcieren und das Beherzigen der grundsätzlichen Schutzziele der Informationssicherheit wie Vertraulichkeit, Vertrauenswürdigkeit sowie Vorhandensein von Informationen sicherzustellen.

Wie funktioniert das IT-Sicherheitskennzeichen?

Das Etikett des IT-Sicherheitskennzeichens wird über das Bundesamt für Sicherheit in der Informationstechnik in elektronischer Form zur Verfügung gestellt. Die IT-Hersteller und Diensteanbieter können das Etikett danach auf einem Gerät, einer Verpackung oder der Unternehmenswebseite positionieren.
Das Etikett besitzt beispielsweise die Herstellererklärung und einen QR-Code nach § 9c Abs. 2 IT-SiG 2.0. Der QR-Code führt auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik, auf welcher Daten zum IT-Produkt, zur Gültigkeitsdauer des IT-Sicherheitskennzeichens und gegenwärtige Sicherheitsinformationen zu vorhandenen Schwachstellen oder anstehenden Sicherheitsupdates vorzufinden sind.

Wie und wo mehr Transparenz geschaffen wird!

Um das IT-Sicherheitskennzeichen zu bekommen, müssen die IT-Hersteller und Diensteanbieter einen Antrag auf Erteilung des IT-Sicherheitskennzeichens beim Bundesamt für Sicherheit in der Informationstechnik stellen. In diesem Zusammenhang ist die Antragstellung des IT-Sicherheitskennzeichens nur im Rahmen der vom Bundesamt für Sicherheit in der Informationstechnik definierten und im Bundesanzeiger veröffentlichten wie auch bekannt gegebenen Produktkategorien ausführbar.

Dazu zählen bis jetzt die Bereiche

• Breitbandrouter
• E-Mail-Dienstleistungen
• vernetzte Fernsehgeräte (Smart-TV)
• Foto und Videokameras
• Lautsprecher
• Spielzeuge sowie
• Reinigungs- und Gartenroboter

Darüber hinaus richtet sich die Aushändigung des IT-Sicherheitskennzeichens nach § 9c des Gesetzes über das Bundesamt für Sicherheit in der IT, kurz gesagt BSIG, in Konnektivität mit den Vorschriften der gesetzlichen Regelung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik, knapp BSI-ITSiKV.

Ablauf eines Erteilungsprozesses!

Der Erteilungsprozess verläuft eigentlich in verschiedenen Schritten:

1. Download Antrag: Im allerersten Schritt müssen die „Antragsformulare auf Freigabe des IT-Sicherheitskennzeichens“ auf der Internetseite des Bundesamtes für Sicherheit in der Informationstechnik downgeloaded werden. Diese bestehen aus dem generellen Hauptantrag und der produktspezifischen Herstellererklärung.
2. Antragstellung inklusive Herstellererklärung: Im nächsten Schritt müssen die antragstellenden IT-Betriebe oder Diensteanbieter prüfen, ob ihr IT-Produkt oder ihr IT-Dienst die Anforderungen der jeweiligen Produktkategorie einhält. Wenn dies so ist, wird diese Tatsache mit dem Eintragen der Herstellererklärung verifiziert.
3. Plausibilitätsprüfung: Sobald dem Bundesamt für Sicherheit alle erforderlichen Daten und Unterlagen gegeben sind, wird der eingereichte Antrag vom Inhalt her bearbeitet und gecheckt. Hier ist zu berücksichtigen, dass das Bundesamt für Sicherheit in der Informationstechnik im Kontext der Zustimmung des IT-Sicherheitskennzeichens erstmal keine Tiefenprüfung bzw. technische Auswertung der erklärten Sicherheitsvorgaben macht, sondern die Angaben sowie eingereichten Dokumente der IT-Hersteller bloß auf Plausibilität überprüft.
4. Abrechnung Verwaltungskosten: Für eine Antragsbearbeitung wird vom Bundesamt für Sicherheit in der Informationstechnik eine Gebühr erhoben. Diese ergibt sich aus der „Besonderen Gebührenverordnung des Bundesministeriums des Innern und für Heimat“, kurz BMIBGebV, sowie dem wirklich angefallenen Zeitaufwand und den entstandenen Auslagen. Grundsätzlich bewegt sich die entstehende Verwaltungsgebühr unterhalb der Ausgaben eines BSI-Zertifizierungsverfahrens.
5. Erlass, Ausstellung, Veröffentlichung: Im Falle einer positiven Entscheidung, bekommt der Bewerber einen entsprechenden Bewilligungsbescheid und die Bereitstellung des individuellen Etiketts. Gleichzeitig wird das Produkt mit der maßgeschneiderten Produktinformationsseite in das zentrale Register gekennzeichneter Produkte gestellt, welches über das Internetangebot des Bundesamtes für Sicherheit in der Informationstechnik für alle abrufbar ist.
6. Nachgelagerte Marktaufsicht: Tragen die IT-Produkte oder IT-Dienste das IT-Sicherheitskennzeichen, dann unterliegen diese ab Erteilung des IT-Kennzeichens einer nachgelagerten Überwachung durch das Bundesamt für Sicherheit. Diese Behörde kontrolliert in jenem Rahmen, ob die zugesicherten Eigenschaften des Produkts durch den Hersteller tatsächlich befolgt werden. Werden bei dem Produkt Abweichungen von der Herstellererklärung festgestellt, etwa eine IT-Schwachstelle, wird den betroffenen IT-Herstellern eine passende Frist eingeräumt, um jene ermittelten Sicherheitslücken zu beseitigen und den zugesagten Zustand des Produkts wiedereinzurichten.

Weitere Informationen zur Aushändigung finden Sie in der Verfahrensbeschreibung IT-Sicherheitskennzeichen.

Fazit: IT-Sicherheit als Erfolgskriterium auf dem Markt!

IT-Sicherheit, Zuverlässigkeit sowie gute Verfügbarkeit sind wichtige Qualitätsmerkmale von IT-Produkten und IT-Diensten. Immer mehr Abnehmer legen Wert auf hohe Schutz-Standards.

Mit dem IT-Sicherheitskennzeichen haben jetzt IT-Hersteller und IT-Diensteanbieter die Möglichkeit, das Informationsbedürfnis der Kund*innen zu erfüllen, indem sie die Sicherheitseigenschaften Ihrer IT-Produkte und IT-Dienstleistungen leicht ersichtlich machen und diese speziell hervorzuheben.