IT-Sicherheitskennzeichen: Sichere IT-Produkte und IT-Dienste erkennen!

Mit dem IT-Sicherheitsgesetz 2.0 hat das Bundesamt für Sicherheit in der IT den Auftrag erhalten, ein freiwilliges IT-Sicherheitskennzeichen einzuführen. Worum es sich hierbei exakt dreht und weshalb es sich rentiert, dieses anzufordern, lesen Sie in dem nachfolgenden Blogbeitrag.

Das Internet der Dinge breitet sich stets weiter aus und durchdringt sämtliche Geschäftsbereiche sowie Lebensbereiche. Vom Gefrierschrank und einer Waschmaschine bis zum Stift: Derweil werden ständig mehr Gerätschaften und Alltagsgegenstände mit Sensoren, Prozessoren, einer Netzwerkverbindung wie auch mehr „Intelligenz“ plus Kommunikationsfähigkeiten versehen, um einen beruflichen und persönlichen Alltag angenehmer sowie effizienter zu gestalten.

Bereits jetzt befinden sich schätzungsweise 35 Milliarden IoT-Geräte in Gebrauch. Bis zum Jahr 2025 soll sich dieser Wert auf 75 Milliarden erhöhen.
Aber die gegenwärtige Verbindung und die wachsende Anzahl smarter Apparaturen sowie Dinge birgt Risiken: Sie verursacht mehr und mehr Internetkriminelle auf die Bildfläche, welche mit immer mehr aggressiveren und ausgefeilteren Angriffsmethoden jede noch so kleine Schwachstelle in den Produkten aufspüren und zu deren Gunsten ausnutzen.

Um diesem vorzubeugen, gilt es für IT-Hersteller und Diensteanbieter, die IT-Sicherheit schon bei der Produktentwicklung zu beherzigen und über den gesamten Produktlebenszyklus hinweg zu integrieren. In welchem Umfang dies geschieht, soll von nun an ein neues IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der IT (https://www.bsi.bund.de) ersichtlich machen.

IT-Sicherheitskennzeichen: Was ist das?

Beim IT-Sicherheitskennzeichen handelt es sich erst einmal um ein freiwilliges Label, das IT-Herstellern sowie Diensteanbietern die Chance bietet, Durchsichtigkeit zu schaffen sowie Verbraucher*innen zu zeigen, dass deren Waren oder Dienstleistungen über gewisse Sicherheitseigenschaften verfügen wie auch die Anforderungen einschlägiger IT-Sicherheitsstandards berücksichtigen.
Vornehmlich geht es bei der Etikettierung des Bundesamtes für Sicherheit in der Informationstechnik hierum, dass „Security-by-Design“ und das „Security-by-Default“-Modell in der Produktentwicklung zu verstärken und das Einhalten der allgemeinen Schutzziele der Informationssicherheit beispielsweise Vertraulichkeit, Vertrauenswürdigkeit und Verfügbarkeit von Informationen sicherzustellen.

Wie funktioniert das IT-Sicherheitskennzeichen?

Das Label des IT-Sicherheitskennzeichens wird über das Bundesamt für Sicherheit in der Informationstechnik in elektronischer Beschaffenheit zur Verfügung gestellt. Die IT-Hersteller und Diensteanbieter können das Etikett daraufhin auf ihrem Gerät, einer Packung oder einer Unternehmenswebseite positionieren.
Das Etikett enthält beispielsweise die Herstellererklärung sowie einen QR-Code nach § 9c Abs. 2 IT-SiG 2.0. (https://www.buzer.de/9c_BSIG.htm). Der QR-Code führt auf die Webseite des Bundesamtes für Sicherheit in der IT, auf welcher Daten zum IT-Produkt, zur Laufzeit des IT-Sicherheitskennzeichens und aktuelle Sicherheitsinformationen zu vorhandenen Schwachpunkten oder bevorstehenden Sicherheitsupdates vorzufinden sind.

Wo ist das IT-Sicherheitskennzeichen gesetzlich geregelt?

Um das IT-Sicherheitskennzeichen zu erhalten, müssen die IT-Hersteller und Diensteanbieter ein Antragsformular auf Erteilung des IT-Sicherheitskennzeichens beim Bundesamt für Sicherheit in der Informationstechnik stellen. In diesem Zusammenhang ist eine Antragstellung des IT-Sicherheitskennzeichens bloß im Bereich der vom Bundesamt für Sicherheit in der Informationstechnik definierten sowie im Bundesanzeiger veröffentlichten wie auch verkündeten Produktkategorien ausführbar.

Hierzu zählen bislang die Kategorien
• Breitbandrouter
• E-Mail-Dienstleistungen
• vernetzte TVs (Smart-TV)
• Foto und Videokameras
• Lautsprecher
• Spielzeuge und
• Reinigungs- und Gartenroboter

Darüber hinaus richtet sich die Erteilung des IT-Sicherheitskennzeichens nach § 9c des Gesetzes über das Bundesamt für Sicherheit in der IT, kurz BSIG, in Konnektivität mit den Vorschriften der gesetzlichen Regulierung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik, knapp BSI-ITSiKV.

Ablauf eines Erteilungsprozesses

Der Erteilungsprozess verläuft in der Regel in verschiedenen Prozessschritten:

1. Download Antrag: Im ersten Schritt müssen die „Antragsformulare auf Freigabe des IT-Sicherheitskennzeichens“ (https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/IT-Sicherheitskennzeichen/fuer-Hersteller/Antrag/IT-SiK-Antrag_node.html#Antragsunterlagen) auf der Internetseite des Bundesamtes für Sicherheit in der Informationstechnik heruntergeladen werden. Diese bestehen aus dem generellen Hauptantrag und der produktspezifischen Herstellererklärung.
2. Antragstellung inklusive Herstellererklärung: Im nächsten Prozessschritt müssen die antragstellenden IT-Unternehmen oder Diensteanbieter nachprüfen, ob deren IT-Produkt oder der IT-Dienst die Bedingungen der jeweiligen Produktkategorie einhält. Wenn dies der Fall ist, wird dies mit dem Ausfüllen der Herstellererklärung verifiziert.
3. Plausibilitätsprüfung: Sobald dem Bundesamt für Sicherheit alle erforderlichen Angaben und Dokumente gegeben sind, wird der eingereichte Antrag inhaltlich bearbeitet und gecheckt. Dabei ist zu berücksichtigen, dass das Bundesamt für Sicherheit in der Informationstechnik im Rahmen der Zustimmung des IT-Sicherheitskennzeichens zunächst keine Tiefenprüfung bzw. technische Überprüfung der erklärten Sicherheitsvorgaben durchführt, sondern die Daten und eingereichten Dokumente der IT-Hersteller nur auf Glaubhaftigkeit bewertet.
4. Abrechnung Verwaltungskosten: Für die Antragsbearbeitung wird vom Bundesamt für Sicherheit in der Informationstechnik eine Gebühr erhoben. Diese ergibt sich aus der „Besonderen Gebührenverordnung des Bundesministeriums des Innern und für Heimat“ (https://www.gesetze-im-internet.de/bmibgebv/BJNR135900019.html), kurz BMIBGebV, sowie dem wirklich angefallenen Zeitaufwand und den verursachten Auslagen. Grundlegend bewegt sich die entstehende Verwaltungsgebühr unterhalb der Kosten eines BSI-Zertifizierungsverfahrens.
5. Erlass, Ausstellung, Veröffentlichung: Im Fall einer guten Entscheidung, erhält der Bewerber einen passenden Bewilligungsbescheid und die Bereitstellung des individuellen Etiketts. Gleichzeitig wird das Produkt mit der maßgeschneiderten Produktinformationsseite in das zentrale Register gekennzeichneter Produkte gestellt, welches über das Onlineangebot des Bundesamtes für Sicherheit in der Informationstechnik für alle einsehbar ist.
6. Nachgelagerte Marktaufsicht: Tragen die IT-Produkte und IT-Dienste das IT-Sicherheitskennzeichen, dann unterliegen sie ab Erteilung des IT-Kennzeichens einer nachgelagerten Überwachung durch das Bundesamt für Sicherheit. Diese Behörde prüft in diesem Rahmen, ob die zugesicherten Eigenschaften des Produkts durch den Anbieter tatsächlich eingehalten werden. Werden bei dem Produkt Differenzen von der Herstellererklärung erkannt, etwa eine IT-Schwachstelle, wird den betroffenen IT-Herstellern eine angemessene Frist eingeräumt, um die ermittelten Sicherheitslücken zu beseitigen und den zugesicherten Status des Produkts wiederherzustellen.

Mehr Informationen zur Aushändigung finden Sie in der Verfahrensbeschreibung IT-Sicherheitskennzeichen.

Fazit: IT-Sicherheit als Erfolgskriterium auf dem Markt!

IT-Sicherheit, Verlässlichkeit sowie hohe Verfügbarkeit sind relevante Qualitätsmerkmale von IT-Produkten und IT-Diensten. Stets mehr Abnehmer legen Wichtigkeit auf hohe Schutz-Standards.

Mit einem IT-Sicherheitskennzeichen haben jetzt IT-Hersteller sowie IT-Diensteanbieter die Gelegenheit, das Informationsbedürfnis der Kund*innen zu erfüllen, insofern sie die Sicherheitseigenschaften der IT-Produkte oder IT-Dienstleistungen leicht ersichtlich machen und sie besonders hervorzuheben.

Möchten auch Sie Ihre Produkte oder Dienste mit dem IT-Sicherheitskennzeichen versehen lassen und relevante Vorteile sichern? Oder haben Sie noch weitere Anliegen zum Thema? Sprechen Sie uns an!