Mit dem IT-Sicherheitsgesetz 2.0 hat das Bundesamt für Sicherheit in der Informationstechnik den Auftrag erhalten, ein freiwilliges IT-Sicherheitskennzeichen einzuführen. Worum es sich dabei exakt handelt und weshalb es sich rentiert, es anzufordern, erfahren Sie in dem folgenden Blogbeitrag.
Das Internet der Dinge dehnt sich stets mehr aus und durchdringt alle möglichen Geschäftsbereiche sowie Lebensbereiche. Vom Kühlschrank und der Waschmaschine bis zum Kugelschreiber: Derweil werden immer mehr Geräte und Alltagsgegenstände mit Sensoren, Prozessoren, einer Netzwerkverbindung sowie mehr „Intelligenz“ plus Kommunikationsfähigkeiten versehen, um einen beruflichen und privaten Alltag angenehmer sowie besser zu gestalten.
Schon heute sind etwa 35 Milliarden IoT-Geräte in Gebrauch. Bis 2025 soll sich dieser Wert auf 75 Mrd. erhöhen.
Doch die gegenwärtige Verbindung und die steigende Menge smarter Apparaturen und Dinge versteckt Gefahren: Sie verursacht mehr und mehr Internetkriminelle auf die Bildfläche, welche mit zunehmend aggressiveren sowie ausgefeilteren Angriffsmethoden jede mögliche noch so winzige Schwäche in den Produkten finden und zu ihren Gunsten missbrauchen.
Um dem entgegenzuwirken, heißt es für IT-Hersteller sowie Diensteanbieter, eine IT-Sicherheit schon bei der Produktentwicklung zu berücksichtigten sowie über den ganzen Produktlebenszyklus hindurch zu integrieren. In welchem Ausmaß dies geschieht, soll von nun an ein neuartiges IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik erkennbar machen.
Was versteht man unter einem IT-Sicherheitskennzeichen?
Beim IT-Sicherheitskennzeichen handelt es sich erst einmal um ein freiwilliges Etikett, das IT-Herstellern und Diensteanbietern die Möglichkeit bietet, Transparenz zu schaffen sowie Endkunden*innen zu beweisen, dass deren Waren und Dienste über gewisse Sicherheitseigenschaften verfügen wie auch die Erwartungen einschlägiger IT-Sicherheitsstandards berücksichtigen.
In der Regel geht es bei der Etikettierung des Bundesamtes für Sicherheit in der Informationstechnik darum, dass „Security-by-Design“ sowie das „Security-by-Default“-Konzept in der Produktentwicklung zu forcieren und das Einhalten der allgemeinen Schutzziele der Informationssicherheit wie Vertraulichkeit, Vertrauenswürdigkeit und Vorhandensein von Informationen sicherzustellen.
Wie funktioniert das IT-Sicherheitskennzeichen?
Das Label des IT-Sicherheitskennzeichens wird durch das Bundesamt für Sicherheit in der Informationstechnik in elektronischer Beschaffenheit zur Verfügung gestellt. Die IT-Hersteller und Diensteanbieter können das Etikett danach auf ihrem Modell, ihrer Packung oder der Unternehmenswebseite positionieren.
Das Label enthält beispielsweise die Herstellererklärung sowie einen QR-Code nach § 9c Abs. 2 IT-SiG 2.0. Der QR-Code führt auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik, auf der Informationen zum IT-Produkt, zur Gültigkeitsdauer des IT-Sicherheitskennzeichens sowie gegenwärtige Sicherheitsinformationen zu bestehenden Schwachstellen oder anstehenden Sicherheitsupdates zu finden sind.
Wie und wo mehr Transparenz geschaffen wird!
Um das IT-Sicherheitskennzeichen zu bekommen, müssen die IT-Hersteller und Diensteanbieter einen Antrag auf Erteilung des IT-Sicherheitskennzeichens beim Bundesamt für Sicherheit in der Informationstechnik einreichen. Dabei ist eine Antragstellung des IT-Sicherheitskennzeichens nur im Bereich der vom Bundesamt für Sicherheit in der Informationstechnik festgesetzten sowie im Bundesanzeiger veröffentlichten und verkündeten Produktkategorien ausführbar.
Hierzu zählen bis jetzt die Kategorien
- Breitbandrouter
- E-Mail-Dienstleistungen
- vernetzte Fernsehgeräte (Smart-TV)
- Foto und Videokameras
- Lautsprecher
- Spielzeuge und
- Reinigungs- und Gartenroboter
Darüber hinaus richtet sich die Erteilung des IT-Sicherheitskennzeichens nach § 9c des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik, kurz BSIG, in Verbindung mit den Vorschriften der gesetzlichen Regelung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik, kurz BSI-ITSiKV.
Der Erteilungsprozess auf einem Blick!
Der Erteilungsprozess funktioniert in der Regel in mehreren Prozessschritten:
- Download Antrag: Im ersten Ablaufschritt müssen die „Antragsformulare auf Freigabe des IT-Sicherheitskennzeichens“ auf der Internetseite des Bundesamtes für Sicherheit in der IT heruntergeladen werden. Sie bestehen aus dem generellen Hauptantrag sowie einer produktspezifischen Herstellererklärung.
- Antragstellung inklusive Herstellererklärung: Im nächsten Prozessschritt müssen die antragstellenden IT-Betriebe und Diensteanbieter nachprüfen, ob ihr IT-Produkt oder der IT-Dienst die Bedingungen der jeweiligen Produktkategorie einhält. Wenn dies so ist, wird dies mit dem Eintragen der Herstellererklärung bestätigt.
- Plausibilitätsprüfung: Sobald dem Bundesamt für Sicherheit alle erforderlichen Angaben und Unterlagen gegeben sind, wird der eingereichte Antrag vom Inhalt her bearbeitet und gecheckt. Hier ist zu beachten, dass das Bundesamt für Sicherheit in der Informationstechnik im Rahmen der Freigabe des IT-Sicherheitskennzeichens erstmal keinerlei Tiefenprüfung bzw. technische Auswertung der erklärten Sicherheitsvorgaben durchführt, sondern die Angaben und eingereichten Dokumente der IT-Hersteller bloß auf Plausibilität überprüft.
- Abrechnung Verwaltungskosten: Für eine Antragsbearbeitung wird durch das Bundesamt für Sicherheit in der Informationstechnik eine Verwaltungsgebühr erhoben. Sie bildet sich aus der „Besonderen Gebührenverordnung des Bundesministeriums des Innern und für Heimat“, kurz BMIBGebV, sowie dem wirklich angefallenen Zeitaufwand plus den verursachten Auslagen. Grundsätzlich bewegt sich die anfallende Verwaltungsgebühr unterhalb der Ausgaben des BSI-Zertifizierungsverfahrens.
- Erlass, Ausstellung, Veröffentlichung: Im Falle einer positiven Bewertung, erhält der Bewerber einen passenden Bewilligungsbescheid sowie die Bereitstellung des individuellen Labels. Zur selben Zeit wird das Produkt mit einer individuellen Produktinformationsseite in das zentrale Verzeichnis gekennzeichneter Produkte aufgenommen, das über das Internetangebot des Bundesamtes für Sicherheit in der Informationstechnik für alle einsehbar ist.
- Nachgelagerte Marktaufsicht: Tragen die IT-Produkte oder IT-Dienste das IT-Sicherheitskennzeichen, dann unterliegen diese ab Erhalt des IT-Kennzeichens einer nachgelagerten Überwachung durch das Bundesamt für Sicherheit. Diese Behörde kontrolliert in diesem Rahmen, ob die zugesagten Besonderheiten des Produkts durch den Anbieter tatsächlich befolgt werden. Werden bei einem Produkt Abweichungen von der Herstellererklärung festgestellt, etwa eine IT-Schwachstelle, wird den entsprechenden IT-Herstellern eine angemessene Frist eingeräumt, um die ermittelten Sicherheitslücken zu beseitigen und den zugesicherten Zustand des Produkts wiedereinzurichten.
Mehr Informationen zur Aushändigung finden Sie in der Verfahrensbeschreibung IT-Sicherheitskennzeichen.
Fazit: IT-Sicherheit als Erfolgskriterium auf dem Markt!
IT-Sicherheit, Zuverlässigkeit und hohe Verfügbarkeit sind wichtige Qualitätsmerkmale von IT-Produkten oder IT-Diensten. Stets mehr Verbraucher legen Wert auf entsprechende Schutz-Standards.
Mit einem IT-Sicherheitskennzeichen haben nun IT-Hersteller und IT-Diensteanbieter eine Gelegenheit, das Informationsbedürfnis der Kund*innen zu erfüllen, insofern sie die Sicherheitseigenschaften der IT-Produkte und IT-Dienste leicht ersichtlich machen und diese besonders hervorzuheben.
Möchten auch Sie Ihre Produkte und Dienste mit dem IT-Sicherheitskennzeichen versehen lassen sowie relevante Vorteile erhalten? Oder haben Sie noch weitergehende Fragen zum Thema? Sprechen Sie uns an!
Rufen Sie uns an unter 0511 499999-0, schreiben eine E-Mail an oder nutzen unser Kontaktformular.