Mit dem IT-Sicherheitsgesetz 2.0 hat das Bundesamt für Sicherheit in der Informationstechnik den Auftrag bekommen, ein freiwilliges IT-Sicherheitskennzeichen einzuführen. Worum es sich dabei genau dreht und weshalb es sich rentiert, dieses anzufordern, lesen Sie in dem nachfolgenden Beitrag.
Das Internet der Dinge dehnt sich stets mehr aus und durchdringt sämtliche Geschäftsbereiche und Lebensbereiche. Vom Kühlschrank und einer Waschmaschine bis zum Kugelschreiber: Derweil werden immer mehr Geräte und Alltagsgegenstände mit Sensoren, Prozessoren, einer Netzwerkverbindung wie auch mehr „Intelligenz“ plus Kommunikationsfähigkeiten versehen, um den beruflichen und privaten Alltag bequemer sowie effizienter zu machen.
Schon jetzt sind etwa 35 Mrd. IoT-Geräte in Gebrauch. Bis 2025 soll sich dieser Wert auf 75 Milliarden erhöhen.
Doch die allgegenwärtige Verbindung wie auch die steigende Anzahl smarter Geräte und Dinge birgt Risiken: Sie ruft verstärkt Internetkriminelle auf den Plan, welche mit immer mehr, aggressiveren und ausgefeilteren Angriffsmethoden jede noch so winzige Schwäche in den Produkten finden und zu deren Gunsten ausnutzen.
Um dem entgegenzuwirken, gilt es für IT-Hersteller und Diensteanbieter, die IT-Sicherheit bereits bei der Produktentwicklung zu berücksichtigten und über den ganzen Produktlebenszyklus hinweg zu inkludieren. In welchem Umfang das geschieht, soll von nun an ein neues IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der IT erkennbar machen.
Was ist das IT-Sicherheitskennzeichen?
Beim IT-Sicherheitskennzeichen handelt es sich zunächst um ein freiwilliges Etikett, das IT-Herstellern und Diensteanbietern die Chance bietet, Durchsichtigkeit zu erzeugen sowie Verbrauchern zu zeigen, dass deren Waren oder Dienstleistungen über bestimmte Sicherheitseigenschaften verfügen wie auch die Anforderungen einschlägiger IT-Sicherheitsstandards einbeziehen.
Vornehmlich geht es bei der Etikettierung des Bundesamtes für Sicherheit in der Informationstechnik hierum, dass „Security-by-Design“ sowie das „Security-by-Default“-Modell in der Produktentwicklung zu forcieren und das Einhalten der grundsätzlichen Schutzziele der Informationssicherheit beispielsweise Vertraulichkeit, Integrität und Vorhandensein von Infos sicherzustellen.
Wie funktioniert das IT-Sicherheitskennzeichen?
Das Etikett des IT-Sicherheitskennzeichens wird über das Bundesamt für Sicherheit in der IT in elektronischer Beschaffenheit zur Verfügung gestellt. Die IT-Hersteller wie auch Diensteanbieter können das Label danach auf ihrem Modell, einer Packung oder der Unternehmenswebseite platzieren.
Das Etikett besitzt beispielsweise die Herstellererklärung und einen QR-Code nach § 9c Abs. 2 IT-SiG 2.0. Der QR-Code führt auf eine Webseite des Bundesamtes für Sicherheit in der IT, auf welcher Informationen zum IT-Produkt, zur Laufzeit des IT-Sicherheitskennzeichens und gegenwärtige Sicherheitsinformationen zu bestehenden Schwachstellen oder anstehenden Sicherheitsupdates zu finden sind.
Auf welchen rechtlichen Grundlagen basiert das IT-Sicherheitskennzeichen?
Um das IT-Sicherheitskennzeichen zu erhalten, müssen die IT-Hersteller und Diensteanbieter ein Antragsformular auf Erteilung des IT-Sicherheitskennzeichens beim Bundesamt für Sicherheit in der Informationstechnik stellen. In diesem Zusammenhang ist die Antragstellung des IT-Sicherheitskennzeichens nur im Rahmen, der vom Bundesamt für Sicherheit in der Informationstechnik definierten und im Bundesanzeiger veröffentlichten und bekannt gegebenen Produktkategorien ausführbar.
Hierzu zählen bislang die Kategorien
- Breitbandrouter
- E-Mail-Dienstleistungen
- vernetzte TVs (Smart-TV)
- Kameras
- Lautsprecher
- Spielzeuge sowie
- Reinigungs- wie auch Gartenroboter
Darüber hinaus richtet sich die Erteilung des IT-Sicherheitskennzeichens nach § 9c des Gesetzes über das Bundesamt für Sicherheit in der IT, kurz gesagt BSIG, in Verbindung mit den Richtlinien der gesetzlichen Regulierung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik, knapp BSI-ITSiKV.
Der Erteilungsprozess auf einem Blick!
1. Download Antrag: Im allerersten Ablaufschritt müssen die „Antragsformulare auf Freigabe des IT-Sicherheitskennzeichens“ auf der Internetseite des Bundesamtes für Sicherheit in der Informationstechnik downgeloaded werden. Sie bestehen aus dem allgemeinen Hauptantrag und einer produktspezifischen Herstellererklärung.
2. Antragstellung inklusive Herstellererklärung: Im folgenden Schritt müssen die antragstellenden IT-Betriebe und Diensteanbieter nachprüfen, ob deren IT-Produkt oder der IT-Dienst die Anforderungen der jeweiligen Produktkategorie einhält. Wenn dies so ist, wird dies mit dem Eintragen der Herstellererklärung verifiziert.
3. Plausibilitätsprüfung: Wenn dem Bundesamt für Sicherheit alle gefragten Angaben und Dokumente gegeben sind, wird der eingereichte Antrag inhaltlich bearbeitet wie auch gecheckt. Hier ist zu beachten, dass das Bundesamt für Sicherheit in der Informationstechnik im Rahmen der Zustimmung des IT-Sicherheitskennzeichens zunächst keinerlei Tiefenprüfung bzw. technische Auswertung der erklärten Sicherheitsvorgaben durchführt, sondern die Daten sowie eingereichten Unterlagen der IT-Hersteller bloß auf Glaubhaftigkeit überprüft.
4. Abrechnung Verwaltungskosten: Für eine Antragsbearbeitung wird durch das Bundesamt für Sicherheit in der Informationstechnik eine Gebühr erhoben. Diese bildet sich aus der „Besonderen Gebührenverordnung des Bundesministeriums des Innern und für Heimat“, kurz BMIBGebV, sowie dem wirklich angefallenen Zeitaufwand plus den entstandenen Auslagen. Grundsätzlich bewegt sich die entstehende Verwaltungsgebühr unter den Ausgaben eines BSI-Zertifizierungsverfahrens.
5. Erlass, Ausstellung, Veröffentlichung: Im Fall einer positiven Entscheidung, bekommt der Bewerber einen entsprechenden Bewilligungsbescheid sowie die Zurverfügungstellung des individuellen Labels. Gleichzeitig wird das Produkt mit der individuellen Produktinformationsseite in das zentrale Verzeichnis gekennzeichneter Produkte gestellt, das über das Onlineangebot des Bundesamtes für Sicherheit in der Informationstechnik für alle einsehbar ist.
6. Nachgelagerte Marktaufsicht: Tragen die IT-Produkte oder IT-Dienste das IT-Sicherheitskennzeichen, dann unterliegen diese ab Erhalt des IT-Kennzeichens einer nachgelagerten Beaufsichtigung durch das Bundesamt für Sicherheit. Die Behörde prüft in jenem Rahmen, ob die zugesicherten Eigenschaften des Produkts durch den Anbieter wirklich befolgt werden. Werden bei einem Produkt Differenzen von der Herstellererklärung erkannt, beispielsweise eine IT-Schwachstelle, wird den entsprechenden IT-Herstellern eine passende Frist gelassen, um jene ermittelten Sicherheitslücken zu beheben und den zugesagten Status des Produkts wiedereinzurichten.
Mehr Infos zur Erteilung finden Sie in der Verfahrensbeschreibung IT-Sicherheitskennzeichen .
Fazit: IT-Sicherheit als Erfolgskriterium auf dem Markt!
IT-Sicherheit, Zuverlässigkeit sowie hohe Verfügbarkeit sind relevante Qualitätskriterien von IT-Produkten oder IT-Diensten. Immer mehr Verbraucher legen Wert auf hohe Schutz-Standards.
Mit einem IT-Sicherheitskennzeichen haben nun IT-Hersteller sowie IT-Diensteanbieter die Möglichkeit, das Informationsbedürfnis der Kunden zu erfüllen, insofern sie die Sicherheitseigenschaften der IT-Produkte oder IT-Dienstleistungen unkompliziert erkennbar machen und diese speziell hervorzuheben.
Wollen auch Sie Ihre Produkte oder Dienste mit dem IT-Sicherheitskennzeichen auszeichnen lassen und relevante Vorteile sichern? Oder haben Sie noch weitere Fragen zum Thema? Kontaktieren Sie uns gerne!