IT-Sicherheitskennzeichen: Übersicht und Bedeutung!
Mit dem IT-Sicherheitsgesetz 2.0 hat das Bundesamt für Sicherheit in der IT den Auftrag bekommen, ein freiwilliges IT-Sicherheitskennzeichen zu implementieren. Worum es sich hierbei exakt dreht und aus welchem Grund es sich lohnt, es zu beantragen, erfahren Sie in dem folgenden Blogbeitrag.
Das Internet der Dinge dehnt sich stets weiter aus und durchdringt alle möglichen Geschäftsbereiche sowie Lebensbereiche. Vom Gefrierschrank und einer Waschmaschine bis zum Stift: Mittlerweile werden immer mehr Geräte und Alltagsgegenstände mit Sensoren, Prozessoren, einer Netzwerkverbindung sowie mehr „Intelligenz“ plus Kommunikationsfähigkeiten versehen, um einen beruflichen wie auch persönlichen Alltag bequemer sowie besser zu gestalten.
Bereits jetzt befinden sich schätzungsweise 35 Milliarden IoT-Geräte im Einsatz. Bis 2025 soll sich jener Wert auf 75 Mrd. erhöhen.
Doch die gegenwärtige Konnektivität und die steigende Menge smarter Geräte sowie Dinge versteckt Gefahren: Sie verursacht verstärkt Internetkriminelle auf den Plan, welche mit immer mehr aggressiveren und ausgefeilteren Angriffsmethoden jede noch so winzige Schwäche in den Produkten aufspüren und zu ihren Gunsten missbrauchen.
Um diesem entgegenzuwirken, heißt es für IT-Hersteller und Diensteanbieter, eine IT-Sicherheit schon bei der Produktentwicklung zu beherzigen sowie über den gesamten Produktlebenszyklus hindurch zu integrieren. In welchem Ausmaß das geschieht, soll von nun an ein neues IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik ersichtlich machen.
Was versteht man unter einem IT-Sicherheitskennzeichen?
Beim IT-Sicherheitskennzeichen dreht es sich erst einmal um ein freiwilliges Etikett, das IT-Herstellern und Diensteanbietern die Möglichkeit liefert, Transparenz zu schaffen und Verbraucher*innen zu beweisen, dass ihre Produkte und Dienstleistungen über bestimmte Sicherheitseigenschaften verfügen und die Erwartungen einschlägiger IT-Sicherheitsstandards einbeziehen.
Vornehmlich geht es bei der Kennzeichnung des Bundesamtes für Sicherheit in der Informationstechnik hierum, dass „Security-by-Design“ sowie das „Security-by-Default“-Konzept in der Produktentwicklung zu verstärken wie auch das Beherzigen der grundsätzlichen Schutzziele der Informationssicherheit wie Vertraulichkeit, Integrität sowie Verfügbarkeit von Infos zu garantieren.
Wie funktioniert das IT-Sicherheitskennzeichen?
Das Label des IT-Sicherheitskennzeichens wird durch das Bundesamt für Sicherheit in der IT in elektronischer Form bereit gestellt. Die IT-Hersteller und Diensteanbieter können das Etikett daraufhin auf einem Gerät, ihrer Verpackung oder einer Unternehmenswebseite platzieren.
Das Etikett enthält beispielsweise die Herstellererklärung sowie einen QR-Code nach § 9c Abs. 2 IT-SiG 2.0. Der QR-Code führt auf eine Internetseite des Bundesamtes für Sicherheit in der Informationstechnik, auf welcher Informationen zum IT-Produkt, zur Laufzeit des IT-Sicherheitskennzeichens sowie gegenwärtige Sicherheitsinformationen zu bestehenden Schwachpunkten oder anstehenden Sicherheitsupdates vorzufinden sind.
Auf welchen rechtlichen Grundlagen basiert das IT-Sicherheitskennzeichen?
Um das IT-Sicherheitskennzeichen zu bekommen, müssen die IT-Hersteller und Diensteanbieter ein Antragsformular auf Aushändigung des IT-Sicherheitskennzeichens beim Bundesamt für Sicherheit in der Informationstechnik einreichen. Dabei ist die Beantragung des IT-Sicherheitskennzeichens nur im Bereich der vom Bundesamt für Sicherheit in der Informationstechnik definierten sowie im Bundesanzeiger veröffentlichten und verkündeten Produktkategorien ausführbar.
Hierzu zählen bislang die Bereiche
- Breitbandrouter
- E-Mail-Dienstleistungen
- vernetzte Fernsehgeräte (Smart-TV)
- Foto und Videokameras
- Lautsprecher
- Spielzeuge und
- Reinigungs- wie auch Gartenroboter
Überdies richtet sich die Erteilung des IT-Sicherheitskennzeichens nach § 9c des Gesetzes über das Bundesamt für Sicherheit in der IT, kurz BSIG, in Verbindung mit den Vorschriften der gesetzlichen Regelung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik, kurz BSI-ITSiKV.
Wie verläuft der Antragsprozess?
Der Erteilungsprozess funktioniert eigentlich in mehreren Schritten:
- Download Antrag: Im allerersten Ablaufschritt müssen die „Antragsformulare auf Freigabe des IT-Sicherheitskennzeichens“ auf der Webseite des Bundesamtes für Sicherheit in der IT downgeloaded werden. Sie bestehen aus einem generellen Hauptantrag sowie einer produktspezifischen Herstellererklärung.
- Antragstellung inklusive Herstellererklärung: Im nächsten Prozessschritt müssen die antragstellenden IT-Betriebe oder Diensteanbieter prüfen, ob deren IT-Produkt oder ihr IT-Dienst die Bedingungen der entsprechenden Produktkategorie erfüllt. Wenn das der Fall ist, wird diese Tatsache mit dem Ausfüllen der Herstellererklärung verifiziert.
- Plausibilitätsprüfung: Sobald dem Bundesamt für Sicherheit alle gefragten Daten sowie Unterlagen vorliegen, wird der eingereichte Antrag inhaltlich untersucht und geprüft. Dabei ist zu berücksichtigen, dass das Bundesamt für Sicherheit in der Informationstechnik im Kontext der Zustimmung des IT-Sicherheitskennzeichens zunächst keinerlei Tiefenprüfung oder technische Überprüfung der erklärten Sicherheitsvorgaben macht, sondern die Angaben und eingereichten Dokumente der IT-Hersteller bloß auf Plausibilität bewertet.
- Abrechnung Verwaltungskosten: Für eine Antragsbearbeitung wird vom Bundesamt für Sicherheit in der Informationstechnik eine Gebühr verlangt. Diese bildet sich aus der „Besonderen Gebührenverordnung des Bundesministeriums des Innern und für Heimat“, kurz BMIBGebV, sowie dem wirklich angefallenen Zeitaufwand und den entstandenen Auslagen. Grundsätzlich liegt die entstehende Verwaltungsgebühr unter den Ausgaben eines BSI-Zertifizierungsverfahrens.
- Erlass, Ausstellung, Veröffentlichung: Im Fall einer positiven Bewertung, bekommt der Bewerber einen passenden Bewilligungsbescheid und die Zurverfügungstellung des jeweiligen Etiketts. Gleichzeitig wird das Produkt mit einer individuellen Produktinformationsseite in das zentrale Verzeichnis gekennzeichneter Produkte gestellt, das über das Onlineangebot des Bundesamtes für Sicherheit in der Informationstechnik für alle einsehbar ist.
- Nachgelagerte Marktaufsicht: Tragen die IT-Produkte oder IT-Dienste das IT-Sicherheitskennzeichen, so unterliegen diese ab Erhalt des IT-Kennzeichens der nachgelagerten Beaufsichtigung durch das Bundesamt für Sicherheit. Diese Einrichtung prüft in jenem Rahmen, ob die zugesagten Eigenschaften des Produkts durch den Hersteller wirklich eingehalten werden. Werden bei einem Produkt Differenzen von der Herstellererklärung festgestellt, beispielsweise eine IT-Schwachstelle, wird den entsprechenden IT-Herstellern eine passende Frist eingeräumt, um die ermittelten Sicherheitslücken zu beheben und den zugesagten Status des Produkts wiedereinzurichten.
Mehr Informationen zur Erteilung finden Sie in der Verfahrensbeschreibung IT-Sicherheitskennzeichen.
Fazit: IT-Sicherheit als Erfolgskriterium auf dem Markt!
IT-Sicherheit, Zuverlässigkeit sowie gute Verfügbarkeit sind wichtige Qualitätsmerkmale von IT-Produkten und IT-Diensten. Immer mehr Verbraucher legen Wert auf hohe Schutz-Standards.
Mit einem IT-Sicherheitskennzeichen haben nun IT-Hersteller und IT-Diensteanbieter die Möglichkeit, das Informationsbedürfnis der Kund*innen zu erfüllen, indem sie die Sicherheitseigenschaften Ihrer IT-Produkte und IT-Dienste leicht ersichtlich machen und diese speziell hervorzuheben.
Möchten auch Sie Ihre Produkte und Dienste mit dem IT-Sicherheitskennzeichen versehen lassen und relevante Wettbewerbsvorteile sichern? Oder haben Sie noch weitergehende Anliegen zum Thema? Sprechen Sie uns an!