IT-Sicherheitskennzeichen: IT-Sicherheit von Anfang an mitdenken!

Mit dem IT-Sicherheitsgesetz 2.0 hat das Bundesamt für Sicherheit in der Informationstechnik den Auftrag erhalten, ein freiwilliges IT-Sicherheitskennzeichen einzuführen. Worum es sich dabei exakt handelt und weshalb es sich rentiert, es anzufordern, erfahren Sie in dem folgenden Blogbeitrag.

Das Internet der Dinge dehnt sich stets mehr aus und durchdringt alle möglichen Geschäftsbereiche sowie Lebensbereiche. Vom Kühlschrank und der Waschmaschine bis zum Kugelschreiber: Derweil werden immer mehr Geräte und Alltagsgegenstände mit Sensoren, Prozessoren, einer Netzwerkverbindung sowie mehr „Intelligenz“ plus Kommunikationsfähigkeiten versehen, um einen beruflichen und privaten Alltag angenehmer sowie besser zu gestalten.

Schon heute sind etwa 35 Milliarden IoT-Geräte in Gebrauch. Bis 2025 soll sich dieser Wert auf 75 Mrd. erhöhen.
Doch die gegenwärtige Verbindung und die steigende Menge smarter Apparaturen und Dinge versteckt Gefahren: Sie verursacht mehr und mehr Internetkriminelle auf die Bildfläche, welche mit zunehmend aggressiveren sowie ausgefeilteren Angriffsmethoden jede mögliche noch so winzige Schwäche in den Produkten finden und zu ihren Gunsten missbrauchen.

Um dem entgegenzuwirken, heißt es für IT-Hersteller sowie Diensteanbieter, eine IT-Sicherheit schon bei der Produktentwicklung zu berücksichtigten sowie über den ganzen Produktlebenszyklus hindurch zu integrieren. In welchem Ausmaß dies geschieht, soll von nun an ein neuartiges IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik erkennbar machen.

Was versteht man unter einem IT-Sicherheitskennzeichen?

Beim IT-Sicherheitskennzeichen handelt es sich erst einmal um ein freiwilliges Etikett, das IT-Herstellern und Diensteanbietern die Möglichkeit bietet, Transparenz zu schaffen sowie Endkunden*innen zu beweisen, dass deren Waren und Dienste über gewisse Sicherheitseigenschaften verfügen wie auch die Erwartungen einschlägiger IT-Sicherheitsstandards berücksichtigen.
In der Regel geht es bei der Etikettierung des Bundesamtes für Sicherheit in der Informationstechnik darum, dass „Security-by-Design“ sowie das „Security-by-Default“-Konzept in der Produktentwicklung zu forcieren und das Einhalten der allgemeinen Schutzziele der Informationssicherheit wie Vertraulichkeit, Vertrauenswürdigkeit und Vorhandensein von Informationen sicherzustellen.

Wie funktioniert das IT-Sicherheitskennzeichen?

Das Label des IT-Sicherheitskennzeichens wird durch das Bundesamt für Sicherheit in der Informationstechnik in elektronischer Beschaffenheit zur Verfügung gestellt. Die IT-Hersteller und Diensteanbieter können das Etikett danach auf ihrem Modell, ihrer Packung oder der Unternehmenswebseite positionieren.
Das Label enthält beispielsweise die Herstellererklärung sowie einen QR-Code nach § 9c Abs. 2 IT-SiG 2.0. Der QR-Code führt auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik, auf der Informationen zum IT-Produkt, zur Gültigkeitsdauer des IT-Sicherheitskennzeichens sowie gegenwärtige Sicherheitsinformationen zu bestehenden Schwachstellen oder anstehenden Sicherheitsupdates zu finden sind.

Wie und wo mehr Transparenz geschaffen wird!

Um das IT-Sicherheitskennzeichen zu bekommen, müssen die IT-Hersteller und Diensteanbieter einen Antrag auf Erteilung des IT-Sicherheitskennzeichens beim Bundesamt für Sicherheit in der Informationstechnik einreichen. Dabei ist eine Antragstellung des IT-Sicherheitskennzeichens nur im Bereich der vom Bundesamt für Sicherheit in der Informationstechnik festgesetzten sowie im Bundesanzeiger veröffentlichten und verkündeten Produktkategorien ausführbar.

Hierzu zählen bis jetzt die Kategorien

  • Breitbandrouter
  • E-Mail-Dienstleistungen
  • vernetzte Fernsehgeräte (Smart-TV)
  • Foto und Videokameras
  • Lautsprecher
  • Spielzeuge und
  • Reinigungs- und Gartenroboter

Darüber hinaus richtet sich die Erteilung des IT-Sicherheitskennzeichens nach § 9c des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik, kurz BSIG, in Verbindung mit den Vorschriften der gesetzlichen Regelung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik, kurz BSI-ITSiKV.

Der Erteilungsprozess auf einem Blick!

Der Erteilungsprozess funktioniert in der Regel in mehreren Prozessschritten:

  1. Download Antrag: Im ersten Ablaufschritt müssen die „Antragsformulare auf Freigabe des IT-Sicherheitskennzeichens“ auf der Internetseite des Bundesamtes für Sicherheit in der IT heruntergeladen werden. Sie bestehen aus dem generellen Hauptantrag sowie einer produktspezifischen Herstellererklärung.
  2. Antragstellung inklusive Herstellererklärung: Im nächsten Prozessschritt müssen die antragstellenden IT-Betriebe und Diensteanbieter nachprüfen, ob ihr IT-Produkt oder der IT-Dienst die Bedingungen der jeweiligen Produktkategorie einhält. Wenn dies so ist, wird dies mit dem Eintragen der Herstellererklärung bestätigt.
  3. Plausibilitätsprüfung: Sobald dem Bundesamt für Sicherheit alle erforderlichen Angaben und Unterlagen gegeben sind, wird der eingereichte Antrag vom Inhalt her bearbeitet und gecheckt. Hier ist zu beachten, dass das Bundesamt für Sicherheit in der Informationstechnik im Rahmen der Freigabe des IT-Sicherheitskennzeichens erstmal keinerlei Tiefenprüfung bzw. technische Auswertung der erklärten Sicherheitsvorgaben durchführt, sondern die Angaben und eingereichten Dokumente der IT-Hersteller bloß auf Plausibilität überprüft.
  4. Abrechnung Verwaltungskosten: Für eine Antragsbearbeitung wird durch das Bundesamt für Sicherheit in der Informationstechnik eine Verwaltungsgebühr erhoben. Sie bildet sich aus der „Besonderen Gebührenverordnung des Bundesministeriums des Innern und für Heimat“, kurz BMIBGebV, sowie dem wirklich angefallenen Zeitaufwand plus den verursachten Auslagen. Grundsätzlich bewegt sich die anfallende Verwaltungsgebühr unterhalb der Ausgaben des BSI-Zertifizierungsverfahrens.
  5. Erlass, Ausstellung, Veröffentlichung: Im Falle einer positiven Bewertung, erhält der Bewerber einen passenden Bewilligungsbescheid sowie die Bereitstellung des individuellen Labels. Zur selben Zeit wird das Produkt mit einer individuellen Produktinformationsseite in das zentrale Verzeichnis gekennzeichneter Produkte aufgenommen, das über das Internetangebot des Bundesamtes für Sicherheit in der Informationstechnik für alle einsehbar ist.
  6. Nachgelagerte Marktaufsicht: Tragen die IT-Produkte oder IT-Dienste das IT-Sicherheitskennzeichen, dann unterliegen diese ab Erhalt des IT-Kennzeichens einer nachgelagerten Überwachung durch das Bundesamt für Sicherheit. Diese Behörde kontrolliert in diesem Rahmen, ob die zugesagten Besonderheiten des Produkts durch den Anbieter tatsächlich befolgt werden. Werden bei einem Produkt Abweichungen von der Herstellererklärung festgestellt, etwa eine IT-Schwachstelle, wird den entsprechenden IT-Herstellern eine angemessene Frist eingeräumt, um die ermittelten Sicherheitslücken zu beseitigen und den zugesicherten Zustand des Produkts wiedereinzurichten.

Mehr Informationen zur Aushändigung finden Sie in der Verfahrensbeschreibung IT-Sicherheitskennzeichen.

Fazit: IT-Sicherheit als Erfolgskriterium auf dem Markt!

IT-Sicherheit, Zuverlässigkeit und hohe Verfügbarkeit sind wichtige Qualitätsmerkmale von IT-Produkten oder IT-Diensten. Stets mehr Verbraucher legen Wert auf entsprechende Schutz-Standards.

Mit einem IT-Sicherheitskennzeichen haben nun IT-Hersteller und IT-Diensteanbieter eine Gelegenheit, das Informationsbedürfnis der Kund*innen zu erfüllen, insofern sie die Sicherheitseigenschaften der IT-Produkte und IT-Dienste leicht ersichtlich machen und diese besonders hervorzuheben.

Möchten auch Sie Ihre Produkte und Dienste mit dem IT-Sicherheitskennzeichen versehen lassen sowie relevante Vorteile erhalten? Oder haben Sie noch weitergehende Fragen zum Thema? Sprechen Sie uns an!

Rufen Sie uns an unter 0511 499999-0, schreiben eine E-Mail an  oder nutzen unser Kontaktformular.

IT-Sicherheitskennzeichen: IT-Sicherheit von Anfang an mitdenken!

Kontakt

Was für Sie auch interessant sein könnte

Weitere Artikel

Big Data:Massendaten als Wegweiser!
Ratgeber

Big Data: Massendaten als Wegweiser!

Big Data ist ein enormer Trend in der Businesswelt. Mittlerweile setzen viele Unternehmen auf „Big Data“, um lukrative Erkenntnisse zu gewinnen, aufkommende Trends zu erfassen, Änderungen im Verbraucher- und Marktverhalten vorherzusagen sowie Neuerungen auf den Weg zu bringen. Doch was steckt hinter dem Wort „Big Data“ im Grunde genau?

Bit Rot: Die vernachlässigte Gefahr!
Ratgeber

Bit Rot: Die vernachlässigte Gefahr!

Daten sind heute das wichtigste Asset eines Betriebs. Es ist daher bedeutend, dass diese zu jeder Zeit greifbar sowie zugänglich sind – andernfalls könnten wichtige Geschäftsprozesse in der Versorgungskette möglicherweise ins Stocken kommen. Allerdings sind digital archivierte Geschäftsdaten vergänglicher als viele Personen denken. Auslöser dafür ist ein Phänomen, das als Bit Rot namhaft ist. Was sich dahinter versteckt und wie man sich dagegen schützt, lesen Sie im nachfolgenden Beitrag.

Neuigkeiten

QM-Überwachungsaudit

Gestern hat bei uns im Haus das zweite QM-Überwachungsaudit stattgefunden. Hierbei wurden unsere QM-Ziele im Managementbericht sowie die Weiterentwicklung unseres Qualitätsmanagementsystems „Orgavision“ überprüft.

MATESO now part of netwrix
Neuigkeiten

MATESO Password Safe wird zu Netwrix Password Secure

Kürzlich wurde MATESO von Netwrix, ein Cybersecurity-Anbieter aus den USA, aufgekauft. Somit hat sich der Name des MATESO Produkts „Password Safe“ in „Netwrix Password Secure“ geändert. Die neue Version von Netwrix Password Secure mit einem aufgefrischten Interface-Design ist bereits verfügbar.

Jetzt für den Newsletter anmelden

Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.

Newsletter

Wir verwenden Sendinblue als unsere Marketing-Plattform. Wenn Sie das Formular ausfüllen und absenden, bestätigen Sie, dass die von Ihnen angegebenen Informationen an Sendinblue zur Bearbeitung gemäß den Nutzungsbedingungen übertragen werden.