Sehr geehrte Leser*innen,
das Internet der Dinge dehnt sich stets mehr aus und durchdringt sämtliche Geschäftsbereiche und Lebensbereiche. Vom Kühlschrank und einer Waschmaschine bis zum Kugelschreiber: Mittlerweile werden ständig mehr Geräte und Alltagsgegenstände mit Sensoren, Prozessoren, einer Netzwerkverbindung sowie mehr „Intelligenz“ und Kommunikationsfähigkeiten versehen, um den beruflichen wie auch persönlichen Alltag angenehmer sowie effizienter zu machen.
Schon jetzt sind schätzungsweise 35 Mrd. IoT-Geräte im Einsatz. Bis 2025 soll sich jener Wert auf 75 Milliarden erhöhen.
Doch die gegenwärtige Konnektivität und die steigende Anzahl smarter Apparaturen sowie Dinge birgt Gefahren: Sie ruft verstärkt Internetkriminelle auf den Plan, welche mit immer mehr aggressiveren sowie ausgefeilteren Angriffsmethoden jede mögliche noch so winzige Schwachstelle in den Produkten finden und zu deren Gunsten ausnutzen.
Um diesem entgegenzuwirken, heißt es für IT-Hersteller sowie Diensteanbieter, eine IT-Sicherheit bereits bei der Produktentwicklung zu beherzigen sowie über den ganzen Produktlebenszyklus hinweg zu inkludieren. In welchem Ausmaß dies geschieht, soll von nun an ein neuartiges IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der IT ersichtlich machen.
Was versteht man unter einem IT-Sicherheitskennzeichen?
Beim IT-Sicherheitskennzeichen handelt es sich erst einmal um ein freiwilliges Etikett, das IT-Herstellern und Diensteanbietern die Chance bietet, Durchsichtigkeit zu schaffen sowie Verbraucher*innen zu beweisen, dass ihre Waren oder Dienste über bestimmte Sicherheitseigenschaften verfügen wie auch die Anforderungen einschlägiger IT-Sicherheitsstandards einbeziehen.
In der Regel geht es bei der Etikettierung des Bundesamtes für Sicherheit in der Informationstechnik darum, das „Security-by-Design“ sowie das „Security-by-Default“-Konzept in der Produktentwicklung zu forcieren wie auch das Einhalten der grundsätzlichen Schutzziele der Informationssicherheit, beispielsweise Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu garantieren.
Wie ist das Etikett für das IT-Sicherheitskennzeichen gestaltet?
Das Etikett des IT-Sicherheitskennzeichens wird über das Bundesamt für Sicherheit in der IT in elektronischer Form zur Verfügung gestellt. Die IT-Hersteller wie auch Diensteanbieter können das Label daraufhin auf ihrem Modell, ihrer Packung oder der Unternehmenswebseite platzieren.
Das Etikett enthält unter anderem die Herstellererklärung und einen QR-Code nach § 9c Abs. 2 IT-SiG 2.0. Der QR-Code führt auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik, auf der Daten zum IT-Produkt, zur Laufzeit des IT-Sicherheitskennzeichens sowie aktuelle Sicherheitsinformationen zu vorhandenen Schwachpunkten oder bevorstehenden Sicherheitsupdates vorzufinden sind.
Wie und wo mehr Transparenz geschaffen wird!
Um das IT-Sicherheitskennzeichen zu erhalten, müssen die IT-Hersteller und Diensteanbieter ein Antragsformular auf Aushändigung des IT-Sicherheitskennzeichens beim Bundesamt für Sicherheit in der Informationstechnik stellen. Dabei ist eine Antragstellung des IT-Sicherheitskennzeichens nur im Bereich der vom Bundesamt für Sicherheit in der Informationstechnik festgesetzten und im Bundesanzeiger veröffentlichten wie auch verkündeten Produktkategorien möglich.
Dazu zählen bislang die Bereiche
• Breitbandrouter
• E-Mail-Dienstleistungen
• vernetzte TVs (Smart-TV)
• Kameras
• Lautsprecherboxen
• Spielzeuge sowie
• Reinigungs- und Gartenroboter
Darüber hinaus richtet sich die Aushändigung des IT-Sicherheitskennzeichens nach § 9c des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik, kurz gesagt BSIG, in Konnektivität mit den Vorschriften der gesetzlichen Regulierung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik, knapp BSI-ITSiKV.
Der Erteilungsprozess auf einem Blick!
Der Erteilungsprozess funktioniert in der Regel in mehreren Schritten:
1. Download Antrag: Im allerersten Schritt müssen die „Antragsformulare auf Freigabe des IT-Sicherheitskennzeichens“ auf der Internetseite des Bundesamtes für Sicherheit in der IT downgeloaded werden. Diese bestehen aus einem generellen Hauptantrag sowie der produktspezifischen Herstellererklärung.
2. Antragstellung inklusive Herstellererklärung: Im folgenden Schritt müssen die antragstellenden IT-Betriebe oder Diensteanbieter nachprüfen, ob deren IT-Produkt oder ihr IT-Dienst die Bedingungen der entsprechenden Produktkategorie einhält. Wenn dies der Fall ist, wird dies mit dem Eintragen der Herstellererklärung bestätigt.
3. Plausibilitätsprüfung: Sobald dem Bundesamt für Sicherheit sämtliche erforderlichen Angaben sowie Unterlagen vorliegen, wird der eingereichte Antrag inhaltlich bearbeitet und gecheckt. Dabei ist zu berücksichtigen, dass das Bundesamt für Sicherheit in der Informationstechnik im Rahmen der Zustimmung des IT-Sicherheitskennzeichens erstmal keine Tiefenprüfung bzw. technische Auswertung der erklärten Sicherheitsvorgaben durchführt, sondern die Daten und eingereichten Dokumente der IT-Hersteller bloß auf Plausibilität bewertet.
4. Abrechnung Verwaltungskosten: Für eine Antragsbearbeitung wird vom Bundesamt für Sicherheit in der Informationstechnik eine Gebühr erhoben. Diese bildet sich aus der „Besonderen Gebührenverordnung des Bundesministeriums des Innern und für Heimat“, kurz BMIBGebV, sowie dem wirklich angefallenen Zeitaufwand und den entstandenen Auslagen. Grundlegend liegt die entstehende Verwaltungsgebühr unter den Ausgaben eines BSI-Zertifizierungsverfahrens.
5. Erlass, Ausstellung, Veröffentlichung: Im Falle einer positiven Bewertung, erhält der Bewerber einen passenden Bewilligungsbescheid und die Bereitstellung des jeweiligen Labels. Zur selben Zeit wird das Produkt mit einer individuellen Produktinformationsseite in das zentrale Register gekennzeichneter Produkte aufgenommen, das über das Onlineangebot des Bundesamtes für Sicherheit in der IT öffentlich einsehbar ist.
6. Nachgelagerte Marktaufsicht: Tragen die IT-Produkte und IT-Dienste das IT-Sicherheitskennzeichen, dann unterliegen diese ab Erteilung des IT-Kennzeichens einer nachgelagerten Überwachung durch das Bundesamt für Sicherheit. Die Behörde prüft in jenem Rahmen, ob die zugesicherten Besonderheiten des Produkts durch den Hersteller tatsächlich befolgt werden. Werden bei dem Produkt Abweichungen von der Herstellererklärung erkannt, beispielsweise eine IT-Schwachstelle, wird den betroffenen IT-Herstellern eine passende Frist eingeräumt, um jene festgestellten Sicherheitslücken zu beheben und den zugesagten Zustand des Produkts wiederherzustellen.
Weitere Informationen zur Aushändigung finden Sie in der Verfahrensbeschreibung IT-Sicherheitskennzeichen.
Fazit: IT-Sicherheit als Erfolgskriterium auf dem Markt!
IT-Sicherheit, Zuverlässigkeit sowie gute Verfügbarkeit sind relevante Qualitätskriterien von IT-Produkten oder IT-Diensten. Stets mehr Abnehmer legen Wichtigkeit auf hohe Schutz-Standards.
Mit einem IT-Sicherheitskennzeichen haben nun IT-Hersteller und IT-Diensteanbieter die Möglichkeit, das Bedürfnis nach Informationen der Kund*innen zu beherzigen, insofern sie die Sicherheitseigenschaften der IT-Produkte oder IT-Dienste unkompliziert ersichtlich machen und sie besonders hervorzuheben.
Wollen auch Sie Ihre Produkte oder Dienste mit dem IT-Sicherheitskennzeichen versehen lassen und wichtige Vorteile erhalten? Oder haben Sie noch weitere Anliegen zum Thema? Kontaktieren Sie uns gerne!