Mit dem IT-Sicherheitsgesetz 2.0 hat das Bundesamt für Sicherheit in der IT die Anordnung erhalten, ein freiwilliges IT-Sicherheitskennzeichen einzuführen. Worum es sich dabei genau dreht und aus welchem Grund es sich lohnt, es zu beantragen, lesen Sie in dem nachfolgenden Beitrag.

Das Internet der Dinge breitet sich stets weiter aus und durchdringt sämtliche Geschäftsbereiche und Lebensbereiche. Vom Kühlschrank und einer Waschmaschine bis zum Stift: Derweil werden immer mehr Geräte und Alltagsgegenstände mit Sensoren, Prozessoren, einer Netzwerkverbindung sowie mehr „Intelligenz“ plus Kommunikationsfähigkeiten ausgestattet, um einen beruflichen wie auch persönlichen Alltag angenehmer und besser zu machen.

Schon heute sind etwa 35 Mrd. IoT-Geräte in Gebrauch. Bis 2025 soll sich dieser Wert auf 75 Mrd. erhöhen.

Doch die allgegenwärtige Konnektivität wie auch die steigende Menge smarter Apparaturen und Dinge birgt Gefahren: Sie verursacht mehr und mehr Internetkriminelle auf die Bildfläche, welche mit immer mehr aggressiveren sowie ausgefeilteren Angriffsmethoden jede mögliche noch so winzige Schwäche in den Produkten finden und zu ihren Gunsten missbrauchen.

Um dem vorzubeugen, heißt es für IT-Hersteller und Diensteanbieter, eine IT-Sicherheit bereits bei der Produktentwicklung zu beherzigen sowie über den ganzen Produktlebenszyklus hinweg zu inkludieren. In welchem Umfang dies passiert, soll von nun an ein neuartiges IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik ersichtlich machen.

Was ist das IT-Sicherheitskennzeichen?

Beim IT-Sicherheitskennzeichen handelt es sich zunächst um ein freiwilliges Etikett, das IT-Herstellern sowie Diensteanbietern die Möglichkeit liefert, Durchsichtigkeit zu schaffen sowie Verbraucher*innen zu zeigen, dass deren Waren oder Dienstleistungen über gewisse Sicherheitseigenschaften verfügen wie auch die Anforderungen einschlägiger IT-Sicherheitsstandards berücksichtigen. Vornehmlich geht es bei der Etikettierung des Bundesamtes für Sicherheit in der Informationstechnik hierum, dass „Security-by-Design“ sowie das „Security-by-Default“-Konzept in der Produktentwicklung zu verstärken und das Einhalten der grundsätzlichen Schutzziele der Informationssicherheit beispielsweise Vertraulichkeit, Integrität und Vorhandensein von Infos zu garantieren.

Wie ist das Etikett für das IT-Sicherheitskennzeichen gestaltet?

Das Etikett des IT-Sicherheitskennzeichens wird über das Bundesamt für Sicherheit in der Informationstechnik in elektronischer Form bereit gestellt. Die IT-Hersteller wie auch Diensteanbieter können das Etikett daraufhin auf ihrem Modell, einer Packung oder der Unternehmenswebseite platzieren.
Das Label besitzt unter anderem die Herstellererklärung sowie einen QR-Code nach § 9c Abs. 2 IT-SiG 2.0. Letzteres führt auf die Internetseite des Bundesamtes für Sicherheit in der IT, auf welcher Daten zum IT-Produkt, zur Gültigkeitsdauer des IT-Sicherheitskennzeichens sowie aktuelle Sicherheitsinformationen zu bestehenden Schwachstellen oder bevorstehenden Sicherheitsupdates vorzufinden sind.

Wie und wo mehr Transparenz geschaffen wird!

Um das IT-Sicherheitskennzeichen zu erhalten, müssen die IT-Hersteller sowie Diensteanbieter einen Antrag auf Erteilung des IT-Sicherheitskennzeichens beim Bundesamt für Sicherheit in der Informationstechnik einreichen. In diesem Zusammenhang ist eine Antragstellung des IT-Sicherheitskennzeichens nur im Rahmen der vom Bundesamt für Sicherheit in der Informationstechnik festgesetzten sowie im Bundesanzeiger veröffentlichten wie auch verkündeten Produktkategorien möglich.

Dazu gehören bis jetzt die Bereiche 

• Breitbandrouter
• E-Mail-Dienstleistungen
• vernetzte TVs (Smart-TV)
• Foto und Videokameras
• Lautsprecher
• Spielzeuge sowie

• Reinigungs- und Gartenroboter

Darüber hinaus richtet sich die Aushändigung des IT-Sicherheitskennzeichens nach § 9c des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik, kurz BSIG, in Konnektivität mit den Vorschriften der gesetzlichen Regulierung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik .

Ablauf eines Erteilungsprozesses!

Der Erteilungsprozess verläuft eigentlich in verschiedenen Schritten:

1. Download Antrag: Im allerersten Ablaufschritt müssen die „Antragsformulare auf Freigabe des IT-Sicherheitskennzeichens“ auf der Webseite des Bundesamtes für Sicherheit in der IT heruntergeladen werden. Diese bestehen aus einem generellen Hauptantrag sowie der produktspezifischen Herstellererklärung.

2. Antragstellung inklusive Herstellererklärung: Im nächsten Schritt müssen die antragstellenden IT-Unternehmen und Diensteanbieter prüfen, ob ihr IT-Produkt oder ihr IT-Dienst die Anforderungen der entsprechenden Produktkategorie erfüllt. Wenn dies der Fall ist, wird dies mit dem Ausfüllen der Herstellererklärung bestätigt.

3. Plausibilitätsprüfung: Wenn dem Bundesamt für Sicherheit alle erforderlichen Daten und Unterlagen vorliegen, wird der eingereichte Antrag inhaltlich bearbeitet wie auch geprüft. Hier ist zu beachten, dass das Bundesamt für Sicherheit in der Informationstechnik im Kontext der Freigabe des IT-Sicherheitskennzeichens zunächst keine Tiefenprüfung oder technische Überprüfung der erklärten Sicherheitsvorgaben durchführt, sondern die Daten sowie eingereichten Dokumente der IT-Hersteller nur auf Glaubhaftigkeit überprüft.

4. Abrechnung Verwaltungskosten: Für eine Antragsbearbeitung wird durch das Bundesamt für Sicherheit in der Informationstechnik eine Gebühr verlangt. Diese ergibt sich aus der „Besonderen Gebührenverordnung des Bundesministeriums des Innern und für Heimat“ , kurz gesagt BMIBGebV, sowie dem tatsächlich angefallenen zeitlichen Aufwand und den verursachten Auslagen. Grundlegend liegt die anfallende Verwaltungsgebühr unter den Kosten eines BSI-Zertifizierungsverfahrens.

5. Erlass, Ausstellung, Veröffentlichung: Im Fall einer positiven Entscheidung, erhält der Bewerber einen entsprechenden Bewilligungsbescheid und die Zurverfügungstellung des jeweiligen Labels. Zur selben Zeit wird das Produkt mit der individuellen Produktinformationsseite in das zentrale Register gekennzeichneter Produkte aufgenommen, welches über das Internetangebot des Bundesamtes für Sicherheit in der IT öffentlich abrufbar ist.

6. Nachgelagerte Marktaufsicht: Haben die IT-Produkte oder IT-Dienste das IT-Sicherheitskennzeichen, dann unterliegen sie ab Erhalt des IT-Kennzeichens einer nachgelagerten Überwachung durch das Bundesamt für Sicherheit. Diese Behörde prüft in diesem Rahmen, ob die zugesicherten Eigenschaften des Produkts durch den Anbieter tatsächlich eingehalten werden. Werden bei einem Produkt Differenzen von der Herstellererklärung erkannt, etwa eine IT-Schwachstelle, wird den entsprechenden IT-Herstellern eine angemessene Frist gelassen, um die festgestellten Sicherheitslücken zu beheben und den zugesagten Status des Produkts wiedereinzurichten.

Mehr Informationen zur Aushändigung finden Sie in der Verfahrensbeschreibung IT-Sicherheitskennzeichen .

Fazit: Das IT-Sicherheitskennzeichen lohnt sich!

IT-Sicherheit, Verlässlichkeit sowie gute Verfügbarkeit sind relevante Qualitätsmerkmale von IT-Produkten oder IT-Diensten. Immer mehr Abnehmer legen Wichtigkeit auf hohe Schutz-Standards.

Mit einem IT-Sicherheitskennzeichen haben nun IT-Hersteller und IT-Diensteanbieter eine Gelegenheit, das Informationsbedürfnis der Kund*innen zu erfüllen, indem sie die Sicherheitseigenschaften der IT-Produkte und IT-Dienste unkompliziert ersichtlich machen und sie speziell hervorzuheben.

Möchten auch Sie Ihre Produkte oder Dienste mit dem IT-Sicherheitskennzeichen auszeichnen lassen und relevante Vorteile erhalten? Oder haben Sie noch weitergehende Anliegen zum Thema? Kontaktieren Sie uns gerne!