Mit dem IT-Sicherheitsgesetz 2.0 hat das Bundesamt für Sicherheit in der Informationstechnik die Anordnung erhalten, ein freiwilliges IT-Sicherheitskennzeichen zu implementieren. Worum es sich dabei exakt dreht und weshalb es sich lohnt, es zu beantragen, erfahren Sie in dem nachfolgenden Blogbeitrag.
Das Internet der Dinge dehnt sich stets weiter aus und durchdringt alle möglichen Geschäftsbereiche und Lebensbereiche. Vom Kühlschrank und der Waschmaschine bis zum Kugelschreiber: Mittlerweile werden ständig mehr Gerätschaften sowie Alltagsgegenstände mit Sensoren, Prozessoren, einer Netzwerkverbindung sowie mehr „Intelligenz“ und Kommunikationsfähigkeiten versehen, um einen beruflichen und privaten Alltag bequemer sowie besser zu machen.
Bereits heute befinden sich etwa 35 Mrd. IoT-Geräte im Einsatz. Bis zum Jahr 2025 soll sich dieser Wert auf 75 Milliarden erweitern.
Aber die allgegenwärtige Verbindung und die wachsende Menge smarter Geräte und Dinge birgt Risiken: Sie verursacht verstärkt Internetkriminelle auf die Bildfläche, welche mit immer mehr aggressiveren sowie ausgefeilteren Angriffsmethoden jede noch so winzige Schwachstelle in den Produkten finden und zu ihren Gunsten ausnutzen.
Um diesem vorzubeugen, gilt es für IT-Hersteller sowie Diensteanbieter, eine IT-Sicherheit schon bei der Produktentwicklung zu beherzigen und über den gesamten Produktlebenszyklus hinweg zu inkludieren. In welchem Ausmaß dies passiert, soll fortan ein neuartiges IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der IT ersichtlich machen.
Beim IT-Sicherheitskennzeichen dreht es sich erst einmal um ein freiwilliges Label, das IT-Herstellern sowie Diensteanbietern die Möglichkeit bietet, Transparenz zu schaffen und Endkunden*innen zu zeigen, dass ihre Produkte oder Dienste über bestimmte Sicherheitseigenschaften verfügen wie auch die Erwartungen einschlägiger IT-Sicherheitsstandards einbeziehen.
In der Regel geht es bei der Etikettierung des Bundesamtes für Sicherheit in der Informationstechnik hierum, dass „Security-by-Design“ und das „Security-by-Default“-Konzept in der Produktentwicklung zu forcieren und das Beherzigen der grundsätzlichen Schutzziele der Informationssicherheit wie Vertraulichkeit, Vertrauenswürdigkeit sowie Vorhandensein von Informationen sicherzustellen.
Das Etikett des IT-Sicherheitskennzeichens wird über das Bundesamt für Sicherheit in der Informationstechnik in elektronischer Form zur Verfügung gestellt. Die IT-Hersteller und Diensteanbieter können das Etikett danach auf einem Gerät, einer Verpackung oder der Unternehmenswebseite positionieren.
Das Etikett besitzt beispielsweise die Herstellererklärung und einen QR-Code nach § 9c Abs. 2 IT-SiG 2.0. Der QR-Code führt auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik, auf welcher Daten zum IT-Produkt, zur Gültigkeitsdauer des IT-Sicherheitskennzeichens und gegenwärtige Sicherheitsinformationen zu vorhandenen Schwachstellen oder anstehenden Sicherheitsupdates vorzufinden sind.
Um das IT-Sicherheitskennzeichen zu bekommen, müssen die IT-Hersteller und Diensteanbieter einen Antrag auf Erteilung des IT-Sicherheitskennzeichens beim Bundesamt für Sicherheit in der Informationstechnik stellen. In diesem Zusammenhang ist die Antragstellung des IT-Sicherheitskennzeichens nur im Rahmen der vom Bundesamt für Sicherheit in der Informationstechnik definierten und im Bundesanzeiger veröffentlichten wie auch bekannt gegebenen Produktkategorien ausführbar.
Dazu zählen bis jetzt die Bereiche
Darüber hinaus richtet sich die Aushändigung des IT-Sicherheitskennzeichens nach § 9c des Gesetzes über das Bundesamt für Sicherheit in der IT, kurz gesagt BSIG, in Konnektivität mit den Vorschriften der gesetzlichen Regelung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik, knapp BSI-ITSiKV.
Ablauf eines Erteilungsprozesses!
Der Erteilungsprozess verläuft eigentlich in verschiedenen Schritten:
Weitere Informationen zur Aushändigung finden Sie in der Verfahrensbeschreibung IT-Sicherheitskennzeichen.
IT-Sicherheit, Zuverlässigkeit sowie gute Verfügbarkeit sind wichtige Qualitätsmerkmale von IT-Produkten und IT-Diensten. Immer mehr Abnehmer legen Wert auf hohe Schutz-Standards.
Mit dem IT-Sicherheitskennzeichen haben jetzt IT-Hersteller und IT-Diensteanbieter die Möglichkeit, das Informationsbedürfnis der Kund*innen zu erfüllen, indem sie die Sicherheitseigenschaften Ihrer IT-Produkte und IT-Dienstleistungen leicht ersichtlich machen und diese speziell hervorzuheben.