Mit dem IT-Sicherheitsgesetz 2.0 hat das Bundesamt für Sicherheit in der Informationstechnik die Anordnung erhalten, ein freiwilliges IT-Sicherheitskennzeichen zu implementieren. Worum es sich dabei genau dreht und weshalb es sich lohnt, es anzufordern, erfahren Sie in dem nachfolgenden Blogbeitrag.
Das Internet der Dinge dehnt sich immer weiter aus und durchdringt alle möglichen Geschäftsbereiche sowie Lebensbereiche. Vom Kühlschrank und einer Waschmaschine bis zum Kugelschreiber: Mittlerweile werden immer mehr Geräte und Alltagsgegenstände mit Sensoren, Prozessoren, einer Netzwerkverbindung sowie mehr „Intelligenz“ plus Kommunikationsfähigkeiten versehen, um den beruflichen wie auch persönlichen Alltag bequemer sowie effizienter zu machen.
Bereits heute befinden sich etwa 35 Milliarden IoT-Geräte (Link) in Gebrauch. Bis 2025 soll sich jener Wert auf 75 Milliarden erweitern.
Aber die allgegenwärtige Verbindung und die wachsende Anzahl smarter Geräte sowie Dinge versteckt Risiken: Sie verursacht verstärkt Internetkriminelle auf den Plan, die mit immer mehr aggressiveren und ausgefeilteren Angriffsmethoden jede mögliche noch so winzige Schwachstelle in den Produkten aufspüren und zu deren Gunsten missbrauchen.
Um dem vorzubeugen, gilt es für IT-Hersteller und Diensteanbieter, eine IT-Sicherheit schon bei der Produktentwicklung zu beherzigen sowie über den ganzen Produktlebenszyklus hinweg zu integrieren. In welchem Ausmaß dies passiert, soll von nun an ein neuartiges IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik (Link) erkennbar machen.
Was ist ein IT-Sicherheitskennzeichen?
Beim IT-Sicherheitskennzeichen dreht es sich zunächst um ein freiwilliges Etikett, das IT-Herstellern und Diensteanbietern die Möglichkeit liefert, Durchsichtigkeit zu schaffen sowie Endkunden*innen zu beweisen, dass ihre Waren oder Dienste über bestimmte Sicherheitseigenschaften verfügen und die Anforderungen einschlägiger IT-Sicherheitsstandards einbeziehen.
In der Regel geht es bei der Etikettierung des Bundesamtes für Sicherheit in der Informationstechnik hierum, dass „Security-by-Design“ und das „Security-by-Default“-Konzept in der Produktentwicklung zu forcieren wie auch das Beherzigen der allgemeinen Schutzziele der Informationssicherheit beispielsweise Vertraulichkeit, Integrität sowie Verfügbarkeit von Infos sicherzustellen.
Wie funktioniert das IT-Sicherheitskennzeichen?
Das Etikett des IT-Sicherheitskennzeichens wird durch das Bundesamt für Sicherheit in der Informationstechnik in elektronischer Beschaffenheit zur Verfügung gestellt. Die IT-Hersteller wie auch Diensteanbieter können das Label daraufhin auf ihrem Modell, ihrer Packung oder einer Unternehmenswebseite positionieren.
Das Label besitzt beispielsweise die Herstellererklärung sowie einen QR-Code nach § 9c Abs. 2 IT-SiG 2.0. (Link). Der QR-Code führt auf die Webseite des Bundesamtes für Sicherheit in der IT, auf welcher Daten zum IT-Produkt, zur Laufzeit des IT-Sicherheitskennzeichens und gegenwärtige Sicherheitsinformationen zu bestehenden Schwachpunkten oder anstehenden Sicherheitsupdates zu finden sind.
Wo ist das IT-Sicherheitskennzeichen gesetzlich geregelt?
Um das IT-Sicherheitskennzeichen zu bekommen, müssen die IT-Hersteller sowie Diensteanbieter ein Antragsformular auf Erteilung des IT-Sicherheitskennzeichens beim Bundesamt für Sicherheit in der Informationstechnik stellen. Dabei ist eine Antragstellung des IT-Sicherheitskennzeichens nur im Bereich der vom Bundesamt für Sicherheit in der Informationstechnik festgesetzten und im Bundesanzeiger veröffentlichten wie auch bekannt gegebenen Produktkategorien möglich.
Dazu zählen bis jetzt die Kategorien
• Breitbandrouter
• E-Mail-Dienstleistungen
• vernetzte TVs (Smart-TV)
• Kameras
• Lautsprecherboxen
• Spielzeuge und
• Reinigungs- und Gartenroboter
Überdies richtet sich die Erteilung des IT-Sicherheitskennzeichens nach § 9c des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (Link), kurz BSIG, in Verbindung mit den Vorschriften der gesetzlichen Regulierung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik (Link), knapp BSI-ITSiKV.
IT-Sicherheitskennzeichen: Der Erteilungsprozess!
Der Erteilungsprozess verläuft in der Regel in mehreren Schritten:
- Download Antrag: Im ersten Schritt müssen die „Antragsformulare auf Freigabe des IT-Sicherheitskennzeichens“ (Link) auf der Webseite des Bundesamtes für Sicherheit in der Informationstechnik downgeloaded werden. Diese bestehen aus dem generellen Hauptantrag sowie der produktspezifischen Herstellererklärung.
- Antragstellung inklusive Herstellererklärung: Im folgenden Schritt müssen die antragstellenden IT-Unternehmen oder Diensteanbieter nachprüfen, ob deren IT-Produkt oder der IT-Dienst die Anforderungen der entsprechenden Produktkategorie einhält. Wenn das der Fall ist, wird diese Tatsache mit dem Ausfüllen der Herstellererklärung verifiziert.
- Plausibilitätsprüfung: Wenn dem Bundesamt für Sicherheit alle gefragten Angaben sowie Dokumente gegeben sind, wird der eingereichte Antrag vom Inhalt her untersucht wie auch geprüft. Hier ist zu berücksichtigen, dass das Bundesamt für Sicherheit in der Informationstechnik im Kontext der Freigabe des IT-Sicherheitskennzeichens zunächst keinerlei Tiefenprüfung bzw. technische Auswertung der erklärten Sicherheitsvorgaben durchführt, sondern die Angaben und eingereichten Dokumente der IT-Hersteller nur auf Glaubhaftigkeit überprüft.
- Abrechnung Verwaltungskosten: Für die Antragsbearbeitung wird durch das Bundesamt für Sicherheit in der Informationstechnik eine Verwaltungsgebühr verlangt. Sie ergibt sich aus der „Besonderen Gebührenverordnung des Bundesministeriums des Innern und für Heimat“ (Link), kurz gesagt BMIBGebV, sowie dem wirklich angefallenen zeitlichen Aufwand und den entstandenen Auslagen. Grundsätzlich bewegt sich die entstehende Verwaltungsgebühr unter den Ausgaben eines BSI-Zertifizierungsverfahrens.
- Erlass, Ausstellung, Veröffentlichung: Im Falle einer positiven Bewertung, erhält der Antragsteller einen entsprechenden Bewilligungsbescheid und die Bereitstellung des individuellen Etiketts. Gleichzeitig wird das Produkt mit einer maßgeschneiderten Produktinformationsseite in das zentrale Verzeichnis gekennzeichneter Produkte aufgenommen, welches über das Onlineangebot des Bundesamtes für Sicherheit in der IT öffentlich abrufbar ist.
- Nachgelagerte Marktaufsicht: Haben die IT-Produkte und IT-Dienste das IT-Sicherheitskennzeichen, dann unterliegen diese ab Erhalt des IT-Kennzeichens der nachgelagerten Beaufsichtigung durch das Bundesamt für Sicherheit. Diese Behörde kontrolliert in diesem Rahmen, ob die zugesagten Besonderheiten des Produkts durch den Anbieter wirklich befolgt werden. Werden bei dem Produkt Differenzen von der Herstellererklärung festgestellt, beispielsweise eine IT-Schwachstelle, wird den entsprechenden IT-Herstellern eine passende Frist eingeräumt, um jene festgestellten Sicherheitslücken zu beheben und den zugesicherten Status des Produkts wiedereinzurichten.
Mehr Infos zur Erteilung finden Sie in der Verfahrensbeschreibung IT-Sicherheitskennzeichen (Link).
Fazit: IT-Sicherheit als Erfolgskriterium auf dem Markt!
IT-Sicherheit, Zuverlässigkeit sowie gute Verfügbarkeit sind relevante Qualitätsmerkmale von IT-Produkten oder IT-Diensten. Immer mehr Abnehmer legen Wichtigkeit auf hohe Schutz-Standards.
Mit einem IT-Sicherheitskennzeichen haben jetzt IT-Hersteller sowie IT-Diensteanbieter eine Gelegenheit, das Bedürfnis nach Informationen der Kund*innen zu beherzigen, insofern sie die Sicherheitseigenschaften Ihrer IT-Produkte und IT-Dienste leicht erkennbar machen und diese besonders hervorzuheben.
Wollen auch Sie Ihre Produkte und Dienste mit dem IT-Sicherheitskennzeichen versehen lassen und wichtige Vorteile erhalten? Oder haben Sie noch weitere Fragen zum Thema? Sprechen Sie uns an!