IT-Sicherheitskennzeichen: Transparenz als Vertrauensbasis!
Mit dem IT-Sicherheitsgesetz 2.0 hat das Bundesamt für Sicherheit in der Informationstechnik den Auftrag bekommen, ein freiwilliges IT-Sicherheitskennzeichen zu implementieren. Worum es sich dabei genau dreht und weshalb es sich rentiert, es zu beantragen, lesen Sie in dem nachfolgenden Blogbeitrag.
Das Internet der Dinge dehnt sich immer weiter aus und durchdringt sämtliche Geschäftsbereiche sowie Lebensbereiche. Vom Gefrierschrank und der Waschmaschine bis zum Kugelschreiber: Derweil werden ständig mehr Geräte sowie Alltagsgegenstände mit Sensoren, Prozessoren, einer Netzwerkverbindung wie auch mehr „Intelligenz“ und Kommunikationsfähigkeiten ausgestattet, um einen beruflichen und privaten Alltag angenehmer und effizienter zu gestalten.
Schon jetzt befinden sich schätzungsweise 35 Mrd. IoT-Geräte in Gebrauch. Bis zum Jahr 2025 soll sich dieser Wert auf 75 Mrd. erweitern.
Aber die gegenwärtige Konnektivität und die steigende Anzahl smarter Apparaturen sowie Dinge versteckt Gefahren: Sie verursacht verstärkt Internetkriminelle auf den Plan, die mit immer mehr aggressiveren sowie ausgefeilteren Angriffsmethoden jede noch so winzige Schwachstelle in den Produkten aufspüren und zu deren Gunsten ausnutzen.
Um diesem vorzubeugen, heißt es für IT-Hersteller sowie Diensteanbieter, die IT-Sicherheit schon bei der Produktentwicklung zu berücksichtigten sowie über den ganzen Produktlebenszyklus hindurch zu inkludieren. In welchem Ausmaß das geschieht, soll von nun an ein neues IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik erkennbar machen.
Was versteht man unter einem IT-Sicherheitskennzeichen?
Beim IT-Sicherheitskennzeichen dreht es sich erst einmal um ein freiwilliges Label, das IT-Herstellern sowie Diensteanbietern die Möglichkeit bietet, Durchsichtigkeit zu schaffen sowie Endkunden*innen zu beweisen, dass ihre Waren oder Dienstleistungen über bestimmte Sicherheitseigenschaften verfügen und die Erwartungen einschlägiger IT-Sicherheitsstandards einbeziehen.
Vornehmlich geht es bei der Etikettierung des Bundesamtes für Sicherheit in der Informationstechnik darum, dass „Security-by-Design“ und das „Security-by-Default“-Konzept in der Produktentwicklung zu verstärken wie auch das Beherzigen der grundsätzlichen Schutzziele der Informationssicherheit beispielsweise Vertraulichkeit, Integrität und Verfügbarkeit von Infos zu garantieren.
Wie ist das Etikett für das IT-Sicherheitskennzeichen gestaltet?
Das Label des IT-Sicherheitskennzeichens wird durch das Bundesamt für Sicherheit in der IT in elektronischer Form zur Verfügung gestellt. Die IT-Hersteller und Diensteanbieter können das Etikett danach auf ihrem Gerät, ihrer Verpackung oder der Unternehmenswebseite platzieren.
Das Etikett besitzt beispielsweise die Herstellererklärung und einen QR-Code nach § 9c Abs. 2 IT-SiG 2.0. Letzteres führt auf die Webseite des Bundesamtes für Sicherheit in der IT, auf welcher Daten zum IT-Produkt, zur Gültigkeitsdauer des IT-Sicherheitskennzeichens sowie aktuelle Sicherheitsinformationen zu vorhandenen Schwachstellen oder bevorstehenden Sicherheitsupdates vorzufinden sind.
Auf welchen rechtlichen Grundlagen basiert das IT-Sicherheitskennzeichen?
Um das IT-Sicherheitskennzeichen zu bekommen, müssen die IT-Hersteller sowie Diensteanbieter einen Antrag auf Aushändigung des IT-Sicherheitskennzeichens beim Bundesamt für Sicherheit in der Informationstechnik einreichen. Dabei ist eine Antragstellung des IT-Sicherheitskennzeichens bloß im Bereich der vom Bundesamt für Sicherheit in der Informationstechnik definierten und im Bundesanzeiger veröffentlichten wie auch bekannt gegebenen Produktkategorien ausführbar.
Dazu gehören bislang die Kategorien
• Breitbandrouter
• E-Mail-Dienstleistungen
• vernetzte TVs (Smart-TV)
• Foto und Videokameras
• Lautsprecherboxen
• Spielzeuge sowie
• Reinigungs- wie auch Gartenroboter
Darüber hinaus richtet sich die Erteilung des IT-Sicherheitskennzeichens nach § 9c des Gesetzes über das Bundesamt für Sicherheit in der IT, kurz BSIG, in Verbindung mit den Vorschriften der gesetzlichen Regelung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik, knapp BSI-ITSiKV.
IT-Sicherheitskennzeichen: Der Erteilungsprozess!
Der Erteilungsprozess verläuft in der Regel in verschiedenen Schritten:
1. Download Antrag: Im ersten Schritt müssen die „Antragsformulare auf Freigabe des IT-Sicherheitskennzeichens“ auf der Internetseite des Bundesamtes für Sicherheit in der Informationstechnik downgeloaded werden. Diese bestehen aus einem allgemeinen Hauptantrag und der produktspezifischen Herstellererklärung.
2. Antragstellung inklusive Herstellererklärung: Im folgenden Schritt müssen die antragstellenden IT-Unternehmen und Diensteanbieter prüfen, ob deren IT-Produkt oder der IT-Dienst die Bedingungen der jeweiligen Produktkategorie erfüllt. Wenn das so ist, wird dies mit dem Eintragen der Herstellererklärung verifiziert.
3. Plausibilitätsprüfung: Sobald dem Bundesamt für Sicherheit sämtliche gefragten Daten sowie Unterlagen vorliegen, wird der eingereichte Antrag inhaltlich untersucht und gecheckt. Dabei ist zu beachten, dass das Bundesamt für Sicherheit in der Informationstechnik im Rahmen der Freigabe des IT-Sicherheitskennzeichens erstmal keine Tiefenprüfung bzw. technische Auswertung der erklärten Sicherheitsvorgaben durchführt, sondern die Angaben und eingereichten Unterlagen der IT-Hersteller nur auf Glaubhaftigkeit bewertet.
4. Abrechnung Verwaltungskosten: Für die Antragsbearbeitung wird durch das Bundesamt für Sicherheit in der Informationstechnik eine Gebühr verlangt. Sie ergibt sich aus der „Besonderen Gebührenverordnung des Bundesministeriums des Innern und für Heimat“ , kurz BMIBGebV, sowie dem wirklich angefallenen Zeitaufwand plus den verursachten Auslagen. Grundlegend liegt die anfallende Verwaltungsgebühr unter den Kosten eines BSI-Zertifizierungsverfahrens.
5. Erlass, Ausstellung, Veröffentlichung: Im Fall einer positiven Bewertung, bekommt der Bewerber einen entsprechenden Bewilligungsbescheid sowie die Zurverfügungstellung des jeweiligen Etiketts. Gleichzeitig wird das Produkt mit einer individuellen Produktinformationsseite in das zentrale Register gekennzeichneter Produkte gestellt, welches über das Onlineangebot des Bundesamtes für Sicherheit in der IT für alle einsehbar ist.
6. Nachgelagerte Marktaufsicht: Tragen die IT-Produkte und IT-Dienste das IT-Sicherheitskennzeichen, dann unterliegen sie ab Erteilung des IT-Kennzeichens der nachgelagerten Überwachung durch das Bundesamt für Sicherheit. Diese Einrichtung kontrolliert in jenem Kontext, ob die zugesagten Besonderheiten des Produkts durch den Hersteller wirklich eingehalten werden. Werden bei dem Produkt Differenzen von der Herstellererklärung festgestellt, etwa eine IT-Schwachstelle, wird den betroffenen IT-Herstellern eine angemessene Frist eingeräumt, um jene festgestellten Sicherheitslücken zu beheben und den zugesicherten Zustand des Produkts wiederherzustellen.
Mehr Informationen zur Aushändigung finden Sie in der Verfahrensbeschreibung IT-Sicherheitskennzeichen.
Fazit: Das IT-Sicherheitskennzeichen lohnt sich!
IT-Sicherheit, Zuverlässigkeit sowie gute Verfügbarkeit sind relevante Qualitätsmerkmale von IT-Produkten und IT-Diensten. Stets mehr Abnehmer legen Wichtigkeit auf hohe Schutz-Standards.
Mit einem IT-Sicherheitskennzeichen haben nun IT-Hersteller sowie IT-Diensteanbieter die Möglichkeit, das Bedürfnis nach Informationen der Kund*innen zu erfüllen, indem sie die Sicherheitseigenschaften Ihrer IT-Produkte oder IT-Dienste unkompliziert ersichtlich machen und diese besonders hervorzuheben.
Möchten auch Sie Ihre Produkte und Dienste mit dem IT-Sicherheitskennzeichen versehen lassen sowie wichtige Wettbewerbsvorteile sichern? Oder haben Sie noch weitere Anliegen zum Thema? Kontaktieren Sie uns gerne unter netable.de/kontakt
oder telefonisch unter der 02234 688 39 80!