IT-Sicherheitskennzeichen: Mehr Transparenz für mehr IT-Sicherheit!

Apr 26, 2023Blog, Sicherheit

Mit dem IT-Sicherheitsgesetz 2.0 hat das Bundesamt für Sicherheit in der Informationstechnik den Auftrag erhalten, ein freiwilliges IT-Sicherheitskennzeichen zu implementieren. Worum es sich dabei genau dreht und aus welchem Grund es sich lohnt, dieses anzufordern, lesen Sie in dem folgenden Blogbeitrag.

Das Internet der Dinge breitet sich immer mehr aus und erreicht alle möglichen Geschäftsbereiche sowie Lebensbereiche. Vom Gefrierschrank und der Waschmaschine bis zum Kugelschreiber: Derweil werden immer mehr Gerätschaften und Alltagsgegenstände mit Sensoren, Prozessoren, einer Netzwerkverbindung sowie mehr „Intelligenz“ und Kommunikationsfähigkeiten ausgestattet, um einen beruflichen und privaten Alltag angenehmer sowie besser zu machen. 

Schon heute befinden sich etwa 35 Mrd. IoT-Geräte im Einsatz. Bis zum Jahr 2025 soll sich dieser Wert auf 75 Milliarden erweitern.

Doch die allgegenwärtige Konnektivität und die wachsende Anzahl smarter Geräte sowie Dinge birgt Gefahren: Sie verursacht mehr und mehr Internetkriminelle auf die Bildfläche, welche mit zunehmend aggressiveren sowie ausgefeilteren Angriffsmethoden jede mögliche noch so winzige Schwäche in den Produkten finden und zu ihren Gunsten ausnutzen. 

Um dem entgegenzuwirken, gilt es für IT-Hersteller und Diensteanbieter, eine IT-Sicherheit schon bei der Produktentwicklung zu beherzigen und über den ganzen Produktlebenszyklus hinweg zu inkludieren. In welchem Umfang dies passiert, soll von nun an ein neuartiges IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik erkennbar machen.

Virtuell Zahl 1 in Kasten

Was ist ein IT-Sicherheitskennzeichen?

Beim IT-Sicherheitskennzeichen dreht es sich erst einmal um ein freiwilliges Etikett, das IT-Herstellern sowie Diensteanbietern die Möglichkeit bietet, Transparenz zu schaffen und Verbraucher*innen zu zeigen, dass deren Waren oder Dienstleistungen über bestimmte Sicherheitseigenschaften verfügen wie auch die Anforderungen einschlägiger IT-Sicherheitsstandards berücksichtigen.

In der Regel geht es bei der Kennzeichnung des Bundesamtes für Sicherheit in der Informationstechnik hierum, dass „Security-by-Design“ und das „Security-by-Default“-Konzept in der Produktentwicklung zu forcieren wie auch das Beherzigen der grundsätzlichen Schutzziele der Informationssicherheit beispielsweise Vertraulichkeit, Integrität sowie Vorhandensein von Informationen sicherzustellen.

Wie funktioniert das IT-Sicherheitskennzeichen?

Das Label des IT-Sicherheitskennzeichens wird über das Bundesamt für Sicherheit in der IT in elektronischer Beschaffenheit zur Verfügung gestellt. Die IT-Hersteller und Diensteanbieter können das Etikett danach auf ihrem Gerät, ihrer Packung oder einer Unternehmenswebseite positionieren. 

Das Label besitzt unter anderem die Herstellererklärung sowie einen QR-Code nach § 9c Abs. 2 IT-SiG 2.0. Letzteres führt auf die Webseite des Bundesamtes für Sicherheit in der IT, auf der Informationen zum IT-Produkt, zur Laufzeit des IT-Sicherheitskennzeichens sowie gegenwärtige Sicherheitsinformationen zu vorhandenen Schwachpunkten oder bevorstehenden Sicherheitsupdates vorzufinden sind.

Person an einem Laptop mit einer Bankkarte in der Hand

IT-Sicherheitskennzeichen: Rechtliche Grundlagen!

Um das IT-Sicherheitskennzeichen zu bekommen, müssen die IT-Hersteller und Diensteanbieter ein Antragsformular auf Erteilung des IT-Sicherheitskennzeichens beim Bundesamt für Sicherheit in der Informationstechnik stellen. In diesem Zusammenhang ist die Beantragung des IT-Sicherheitskennzeichens nur im Rahmen der vom Bundesamt für Sicherheit in der Informationstechnik definierten sowie im Bundesanzeiger veröffentlichten wie auch verkündeten Produktkategorien möglich.

Hierzu gehören bis jetzt die Kategorien 

  • Breitbandrouter
  • E-Mail-Dienstleistungen 
  • vernetzte Fernsehgeräte (Smart-TV)
  • Kameras
  • Lautsprecher
  • Spielzeuge und
  • Reinigungs- und Gartenroboter

Überdies richtet sich die Aushändigung des IT-Sicherheitskennzeichens nach § 9c des Gesetzes über das Bundesamt für Sicherheit in der IT, kurz gesagt BSIG, in Konnektivität mit den Richtlinien der gesetzlichen Regulierung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik, kurz BSI-ITSiKV.

Frau 
Zeichen

Der Erteilungsprozess auf einem Blick!

Der Erteilungsprozess verläuft eigentlich in verschiedenen Prozessschritten:

  1. Download Antrag: Im allerersten Ablaufschritt müssen die „Antragsformulare auf Freigabe des IT-Sicherheitskennzeichens“ auf der Internetseite des Bundesamtes für Sicherheit in der IT downgeloaded werden. Diese bestehen aus einem allgemeinen Hauptantrag und der produktspezifischen Herstellererklärung. 
  2. Antragstellung inklusive Herstellererklärung: Im nächsten Schritt müssen die antragstellenden IT-Betriebe und Diensteanbieter prüfen, ob deren IT-Produkt oder der IT-Dienst die Anforderungen der entsprechenden Produktkategorie einhält. Wenn das so ist, wird diese Tatsache mit dem Ausfüllen der Herstellererklärung bestätigt. 
  3. Plausibilitätsprüfung: Wenn dem Bundesamt für Sicherheit sämtliche erforderlichen Angaben sowie Unterlagen gegeben sind, wird der eingereichte Antrag inhaltlich bearbeitet wie auch geprüft. Dabei ist zu beachten, dass das Bundesamt für Sicherheit in der Informationstechnik im Rahmen der Zustimmung des IT-Sicherheitskennzeichens erstmal keine Tiefenprüfung oder technische Überprüfung der erklärten Sicherheitsvorgaben macht, sondern die Angaben sowie eingereichten Unterlagen der IT-Hersteller bloß auf Glaubhaftigkeit überprüft.
  4. Abrechnung Verwaltungskosten: Für die Antragsbearbeitung wird vom Bundesamt für Sicherheit in der Informationstechnik eine Gebühr verlangt. Diese ergibt sich aus der „Besonderen Gebührenverordnung des Bundesministeriums des Innern und für Heimat“ , kurz gesagt BMIBGebV, sowie dem tatsächlich angefallenen Zeitaufwand plus den entstandenen Auslagen. Grundsätzlich liegt die entstehende Verwaltungsgebühr unterhalb der Ausgaben eines BSI-Zertifizierungsverfahrens.
  5. Erlass, Ausstellung, Veröffentlichung: Im Falle einer guten Bewertung, erhält der Bewerber einen passenden Bewilligungsbescheid sowie die Zurverfügungstellung des individuellen Labels. Zur selben Zeit wird das Produkt mit einer maßgeschneiderten Produktinformationsseite in das zentrale Register gekennzeichneter Produkte gestellt, welches über das Internetangebot des Bundesamtes für Sicherheit in der Informationstechnik für alle einsehbar ist.
  6. Nachgelagerte Marktaufsicht: Haben die IT-Produkte und IT-Dienste das IT-Sicherheitskennzeichen, so unterliegen diese ab Erhalt des IT-Kennzeichens einer nachgelagerten Beaufsichtigung durch das Bundesamt für Sicherheit. Diese Behörde prüft in diesem Rahmen, ob die zugesagten Eigenschaften des Produkts durch den Anbieter wirklich eingehalten werden. Werden bei dem Produkt Abweichungen von der Herstellererklärung erkannt, etwa eine IT-Schwachstelle, wird den entsprechenden IT-Herstellern eine angemessene Frist eingeräumt, um jene festgestellten Sicherheitslücken zu beseitigen und den zugesicherten Zustand des Produkts wieder einzurichten.

Weitere Infos zur Aushändigung finden Sie in der Verfahrensbeschreibung IT-Sicherheitskennzeichen.

Fazit: IT-Sicherheit als Erfolgskriterium auf dem Markt!

IT-Sicherheit, Zuverlässigkeit und gute Verfügbarkeit sind wichtige Qualitätsmerkmale von IT-Produkten oder IT-Diensten. Stets mehr Abnehmer legen Wichtigkeit auf hohe Schutz-Standards.

Mit dem IT-Sicherheitskennzeichen haben jetzt IT-Hersteller sowie IT-Diensteanbieter die Gelegenheit, das Informationsbedürfnis der Kund*innen zu erfüllen, insofern sie die Sicherheitseigenschaften Ihrer IT-Produkte oder IT-Dienstleistungen leicht erkennbar machen und diese speziell hervorzuheben. 

Wollen auch Sie Ihre Produkte oder Dienste mit dem IT-Sicherheitskennzeichen versehen lassen und wichtige Wettbewerbsvorteile erhalten?

Oder haben Sie noch weitere Fragen zum Thema?

Kontaktieren Sie uns gerne!

Virtuelle Schlösser

Das könnte Ihnen auch gefallen…