Mit dem IT-Sicherheitsgesetz 2.0 hat das Bundesamt für Sicherheit in der Informationstechnik die Anordnung bekommen, ein freiwilliges IT-Sicherheitskennzeichen einzuführen. Worum es sich dabei exakt dreht und weshalb es sich lohnt, es zu beantragen, erfahren Sie in dem folgenden Beitrag.
Das Internet der Dinge breitet sich stets mehr aus und erreicht alle möglichen Geschäftsbereiche sowie Lebensbereiche. Vom Kühlschrank und einer Waschmaschine bis zum Kugelschreiber: Derweil werden immer mehr Geräte sowie Alltagsgegenstände mit Sensoren, Prozessoren, einer Netzwerkverbindung sowie mehr „Intelligenz“ plus Kommunikationsfähigkeiten ausgestattet, um einen beruflichen und persönlichen Alltag bequemer und besser zu gestalten.
Schon heute befinden sich etwa 35 Milliarden IoT-Geräte (Aargauer Zeitung: Internet der Dinge) im Einsatz. Bis 2025 soll sich jener Wert auf 75 Mrd. erhöhen. Doch die gegenwärtige Verbindung wie auch die steigende Anzahl smarter Apparaturen und Dinge versteckt Gefahren: Sie ruft mehr und mehr Internetkriminelle auf die Bildfläche, welche mit zunehmend aggressiveren und ausgefeilteren Angriffsmethoden jede noch so kleine Schwachstelle in den Produkten finden und zu deren Gunsten ausnutzen.
Um dem entgegenzuwirken, heißt es für IT-Hersteller und Diensteanbieter, eine IT-Sicherheit bereits bei der Produktentwicklung zu beherzigen und über den ganzen Produktlebenszyklus hinweg zu integrieren. In welchem Umfang dies geschieht, soll von nun an ein neues IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik (https://www.bsi.bund.de) erkennbar machen.
Was versteht man unter einem IT-Sicherheitskennzeichen?
Beim IT-Sicherheitskennzeichen dreht es sich zunächst um ein freiwilliges Label, das IT-Herstellern sowie Diensteanbietern die Chance liefert, Transparenz zu schaffen sowie Endkunden*innen zu zeigen, dass deren Produkte und Dienste über bestimmte Sicherheitseigenschaften verfügen und die Erwartungen einschlägiger IT-Sicherheitsstandards einbeziehen.
In der Regel geht es bei der Etikettierung des Bundesamtes für Sicherheit in der Informationstechnik hierum, dass „Security-by-Design“ sowie das „Security-by-Default“-Modell in der Produktentwicklung zu verstärken und das Beherzigen der allgemeinen Schutzziele der Informationssicherheit wie Vertraulichkeit, Vertrauenswürdigkeit und Verfügbarkeit von Infos zu garantieren.
Wie funktioniert das IT-Sicherheitskennzeichen?
Das Label des IT-Sicherheitskennzeichens wird über das Bundesamt für Sicherheit in der Informationstechnik in elektronischer Form bereit gestellt. Die IT-Hersteller und Diensteanbieter können das Label daraufhin auf ihrem Gerät, ihrer Packung oder einer Unternehmenswebseite platzieren.
Das Label besitzt unter anderem die Herstellererklärung sowie einen QR-Code nach § 9c Abs. 2 IT-SiG 2.0. (https://www.buzer.de/9c_BSIG.htm). Letzteres führt auf die Webseite des Bundesamtes für Sicherheit in der Informationstechnik, auf welcher Daten zum IT-Produkt, zur Laufzeit des IT-Sicherheitskennzeichens sowie aktuelle Sicherheitsinformationen zu bestehenden Schwachstellen oder bevorstehenden Sicherheitsupdates zu finden sind.
Wie und wo mehr Transparenz geschaffen wird!
Um das IT-Sicherheitskennzeichen zu bekommen, müssen die IT-Hersteller und Diensteanbieter einen Antrag auf Erteilung des IT-Sicherheitskennzeichens beim Bundesamt für Sicherheit in der Informationstechnik stellen. In diesem Zusammenhang ist die Antragstellung des IT-Sicherheitskennzeichens bloß im Rahmen der vom Bundesamt für Sicherheit in der Informationstechnik festgesetzten sowie im Bundesanzeiger veröffentlichten und verkündeten Produktkategorien ausführbar.
- Dazu zählen bis jetzt die Bereiche
- Breitbandrouter
- E-Mail-Dienste
- vernetzte TVs (Smart-TV)
- Kameras
- Lautsprecherboxen
- Spielzeuge und
- Reinigungs- und Gartenroboter
Überdies richtet sich die Aushändigung des IT-Sicherheitskennzeichens nach § 9c des Gesetzes über das Bundesamt für Sicherheit in der IT (Gesetze im Internet), kurz gesagt BSIG, in Konnektivität mit den Richtlinien der gesetzlichen Regelung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik (Verordnung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik), knapp BSI-ITSiKV.
Ablauf eines Erteilungsprozesses!
Der Erteilungsprozess verläuft in der Regel in mehreren Schritten:
1. Download Antrag: Im allerersten Ablaufschritt müssen die „Antragsformulare auf Freigabe des IT-Sicherheitskennzeichens” auf der Webseite des Bundesamtes für Sicherheit in der Informationstechnik downgeloaded werden. Diese bestehen aus einem allgemeinen Hauptantrag und einer produktspezifischen Herstellererklärung.
2. Antragstellung inklusive Herstellererklärung: Im nächsten Schritt müssen die antragstellenden IT-Betriebe und Diensteanbieter nachprüfen, ob deren IT-Produkt oder ihr IT-Dienst die Bedingungen der jeweiligen Produktkategorie erfüllt. Wenn das so ist, wird dies mit dem Eintragen der Herstellererklärung verifiziert.
3. Plausibilitätsprüfung: Sobald dem Bundesamt für Sicherheit alle gefragten Angaben sowie Unterlagen vorliegen, wird der eingereichte Antrag inhaltlich untersucht und geprüft. Dabei ist zu beachten, dass das Bundesamt für Sicherheit in der Informationstechnik im Rahmen der Freigabe des IT-Sicherheitskennzeichens erstmal keine Tiefenprüfung bzw. technische Auswertung der erklärten Sicherheitsvorgaben durchführt, sondern die Angaben und eingereichten Dokumente der IT-Hersteller nur auf Plausibilität bewertet.
4. Abrechnung Verwaltungskosten: Für eine Antragsbearbeitung wird durch das Bundesamt für Sicherheit in der Informationstechnik eine Gebühr verlangt. Diese ergibt sich aus der „Besonderen Gebührenverordnung des Bundesministeriums des Innern und für Heimat“, kurz gesagt BMIBGebV, sowie dem wirklich angefallenen zeitlichen Aufwand und den verursachten Auslagen. Grundlegend bewegt sich die entstehende Verwaltungsgebühr unter den Ausgaben eines BSI-Zertifizierungsverfahrens.
5. Erlass, Ausstellung, Veröffentlichung: Im Fall einer guten Bewertung, bekommt der Antragsteller einen entsprechenden Bewilligungsbescheid und die Bereitstellung des individuellen Etiketts. Zur selben Zeit wird das Produkt mit der individuellen Produktinformationsseite in das zentrale Register gekennzeichneter Produkte gestellt, das über das Onlineangebot des Bundesamtes für Sicherheit in der IT öffentlich einsehbar ist.
6. Nachgelagerte Marktaufsicht: Haben die IT-Produkte oder IT-Dienste das IT-Sicherheitskennzeichen, dann unterliegen diese ab Erhalt des IT-Kennzeichens einer nachgelagerten Beaufsichtigung durch das Bundesamt für Sicherheit. Die Einrichtung kontrolliert in diesem Rahmen, ob die zugesagten Besonderheiten des Produkts durch den Anbieter tatsächlich befolgt werden. Werden bei dem Produkt Abweichungen von der Herstellererklärung erkannt, etwa eine IT-Schwachstelle, wird den betroffenen IT-Herstellern eine angemessene Frist eingeräumt, um die festgestellten Sicherheitslücken zu beseitigen und den zugesagten Zustand des Produkts wieder einzurichten.
Weitere Infos zur Aushändigung finden Sie in der Verfahrensbeschreibung IT-Sicherheitskennzeichen (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/IT-Sicherheitskennzeichen/Verfahrensbeschreibung.pdf?__blob=publicationFile&v=3).
Fazit: IT-Sicherheit als Erfolgskriterium auf dem Markt!
IT-Sicherheit, Zuverlässigkeit und gute Verfügbarkeit sind wichtige Qualitätsmerkmale von IT-Produkten oder IT-Diensten. Immer mehr Abnehmer legen Wichtigkeit auf hohe Schutz-Standards.
Mit dem IT-Sicherheitskennzeichen haben nun IT-Hersteller und IT-Diensteanbieter die Gelegenheit, das Informationsbedürfnis der Kund*innen zu erfüllen, indem sie die Sicherheitseigenschaften der IT-Produkte oder IT-Dienste unkompliziert erkennbar machen und diese speziell hervorzuheben.
Möchten auch Sie Ihre Produkte oder Dienste mit dem IT-Sicherheitskennzeichen auszeichnen lassen und relevante Vorteile sichern? Oder haben Sie noch weitere Fragen zum Thema? Sprechen Sie uns an!
