IT-Sicherheitskennzeichen: Übersicht und Bedeutung!
Mit dem IT-Sicherheitsgesetz 2.0 hat das Bundesamt für Sicherheit in der IT den Auftrag bekommen, ein freiwilliges IT-Sicherheitskennzeichen einzuführen. Worum es sich dabei genau handelt und weshalb es sich lohnt, es zu beantragen, erfahren Sie in dem folgenden Blogbeitrag.
Das Internet der Dinge dehnt sich stets weiter aus und erreicht sämtliche Geschäftsbereiche sowie Lebensbereiche. Vom Gefrierschrank und einer Waschmaschine bis zum Stift: Derweil werden immer mehr Geräte sowie Alltagsgegenstände mit Sensoren, Prozessoren, einer Netzwerkverbindung sowie mehr „Intelligenz“ und Kommunikationsfähigkeiten versehen, um den beruflichen und privaten Alltag bequemer sowie effizienter zu machen.
Bereits jetzt sind etwa 35 Mrd. IoT-Geräte im Einsatz. Bis zum Jahr 2025 soll sich dieser Wert auf 75 Mrd. erhöhen.
Aber die allgegenwärtige Konnektivität wie auch die wachsende Anzahl smarter Geräte sowie Dinge birgt Gefahren: Sie ruft verstärkt Internetkriminelle auf den Plan, die mit zunehmend aggressiveren sowie ausgefeilteren Angriffsmethoden jede mögliche noch so winzige Schwäche in den Produkten finden und zu ihren Gunsten missbrauchen.
Um dem vorzubeugen, heißt es für IT-Hersteller sowie Diensteanbieter, die IT-Sicherheit schon bei der Produktentwicklung zu berücksichtigten sowie über den gesamten Produktlebenszyklus hindurch zu inkludieren. In welchem Ausmaß das passiert, soll von nun an ein neuartiges IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der IT erkennbar machen.
IT-Sicherheitskennzeichen: Was ist das?
Beim IT-Sicherheitskennzeichen dreht es sich zunächst um ein freiwilliges Etikett, das IT-Herstellern und Diensteanbietern die Chance bietet, Durchsichtigkeit zu erzeugen und Verbraucher*innen zu beweisen, dass deren Waren oder Dienste über bestimmte Sicherheitseigenschaften verfügen und die Erwartungen einschlägiger IT-Sicherheitsstandards einbeziehen.
In der Regel geht es bei der Etikettierung des Bundesamtes für Sicherheit in der Informationstechnik hierum, dass „Security-by-Design“ und das „Security-by-Default“-Modell in der Produktentwicklung zu verstärken wie auch das Beherzigen der grundsätzlichen Schutzziele der Informationssicherheit wie Vertraulichkeit, Vertrauenswürdigkeit und Verfügbarkeit von Informationen sicherzustellen.
Wie ist das Etikett für das IT-Sicherheitskennzeichen gestaltet?
Das Etikett des IT-Sicherheitskennzeichens wird durch das Bundesamt für Sicherheit in der IT in elektronischer Beschaffenheit bereit gestellt. Die IT-Hersteller wie auch Diensteanbieter können das Etikett danach auf einem Modell, einer Packung oder einer Unternehmenswebseite platzieren.
Das Label enthält beispielsweise die Herstellererklärung sowie einen QR-Code nach § 9c Abs. 2 IT-SiG 2.0. Der QR-Code führt auf eine Internetseite des Bundesamtes für Sicherheit in der IT, auf der Daten zum IT-Produkt, zur Laufzeit des IT-Sicherheitskennzeichens und gegenwärtige Sicherheitsinformationen zu bestehenden Schwachstellen oder anstehenden Sicherheitsupdates zu finden sind.
Wo ist das IT-Sicherheitskennzeichen gesetzlich geregelt?
Um das IT-Sicherheitskennzeichen zu bekommen, müssen die IT-Hersteller und Diensteanbieter einen Antrag auf Aushändigung des IT-Sicherheitskennzeichens beim Bundesamt für Sicherheit in der Informationstechnik stellen. Dabei ist die Beantragung des IT-Sicherheitskennzeichens bloß im Bereich der vom Bundesamt für Sicherheit in der Informationstechnik definierten und im Bundesanzeiger veröffentlichten und verkündeten Produktkategorien ausführbar.
Dazu zählen bislang die Kategorien
• Breitbandrouter
• E-Mail-Dienstleistungen
• vernetzte Fernsehgeräte (Smart-TV)
• Foto und Videokameras
• Lautsprecherboxen
• Spielzeuge sowie
• Reinigungs- und Gartenroboter
Über dies richtet sich die Aushändigung des IT-Sicherheitskennzeichens nach § 9c des Gesetzes über das Bundesamt für Sicherheit in der IT, kurz gesagt BSIG, in Konnektivität mit den Richtlinien der gesetzlichen Regelung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik, kurz BSI-ITSiKV.
Ablauf eines Erteilungsprozesses!
Der Erteilungsprozess verläuft eigentlich in mehreren Prozessschritten:
1. Download Antrag: Im ersten Ablaufschritt müssen die „Antragsformulare auf Freigabe des IT-Sicherheitskennzeichens“ auf der Internetseite des Bundesamtes für Sicherheit in der IT downgeloaded werden. Sie bestehen aus dem generellen Hauptantrag sowie der produktspezifischen Herstellererklärung.
2. Antragstellung inklusive Herstellererklärung: Im nächsten Prozessschritt müssen die antragstellenden IT-Betriebe oder Diensteanbieter nachprüfen, ob deren IT-Produkt oder ihr IT-Dienst die Bedingungen der jeweiligen Produktkategorie einhält. Wenn das der Fall ist, wird dies mit dem Eintragen der Herstellererklärung bestätigt.
3. Plausibilitätsprüfung: Wenn dem Bundesamt für Sicherheit alle gefragten Angaben und Unterlagen gegeben sind, wird der eingereichte Antrag inhaltlich bearbeitet und geprüft. Hier ist zu berücksichtigen, dass das Bundesamt für Sicherheit in der Informationstechnik im Kontext der Zustimmung des IT-Sicherheitskennzeichens erstmal keine Tiefenprüfung bzw. technische Überprüfung der erklärten Sicherheitsvorgaben durchführt, sondern die Daten und eingereichten Dokumente der IT-Hersteller bloß auf Glaubhaftigkeit bewertet.
4. Abrechnung Verwaltungskosten: Für eine Antragsbearbeitung wird vom Bundesamt für Sicherheit in der Informationstechnik eine Gebühr verlangt. Sie bildet sich aus der „Besonderen Gebührenverordnung des Bundesministeriums des Innern und für Heimat“, kurz gesagt BMIBGebV, sowie dem wirklich angefallenen Zeitaufwand plus den entstandenen Auslagen. Grundlegend bewegt sich die anfallende Verwaltungsgebühr unter den Kosten eines BSI-Zertifizierungsverfahrens.
5. Erlass, Ausstellung, Veröffentlichung: Im Fall einer positiven Bewertung, erhält der Bewerber einen entsprechenden Bewilligungsbescheid sowie die Bereitstellung des individuellen Etiketts. Zur selben Zeit wird das Produkt mit einer maßgeschneiderten Produktinformationsseite in das zentrale Register gekennzeichneter Produkte aufgenommen, welches über das Internetangebot des Bundesamtes für Sicherheit in der IT für alle abrufbar ist.
6. Nachgelagerte Marktaufsicht: Haben die IT-Produkte und IT-Dienste das IT-Sicherheitskennzeichen, dann unterliegen sie ab Erteilung des IT-Kennzeichens der nachgelagerten Überwachung durch das Bundesamt für Sicherheit. Die Einrichtung prüft in diesem Kontext, ob die zugesicherten Besonderheiten des Produkts durch den Hersteller tatsächlich eingehalten werden. Werden bei dem Produkt Differenzen von der Herstellererklärung erkannt, etwa eine IT-Schwachstelle, wird den betroffenen IT-Herstellern eine passende Frist eingeräumt, um jene festgestellten Sicherheitslücken zu beseitigen und den zugesagten Status des Produkts wiederherzustellen.
Mehr Informationen zur Aushändigung finden Sie in der Verfahrensbeschreibung IT-Sicherheitskennzeichen.
Fazit: Das IT-Sicherheitskennzeichen lohnt sich!
IT-Sicherheit, Verlässlichkeit und gute Verfügbarkeit sind relevante Qualitätskriterien von IT-Produkten und IT-Diensten.
Stets mehr Abnehmer legen Wichtigkeit auf hohe Schutz-Standards.
Mit einem IT-Sicherheitskennzeichen haben nun IT-Hersteller und IT-Diensteanbieter die Gelegenheit, das Bedürfnis nach Informationen der Kund*innen zu erfüllen, indem sie die Sicherheitseigenschaften der IT-Produkte und IT-Dienste unkompliziert erkennbar machen und sie besonders hervorzuheben.
Möchten auch Sie Ihre Produkte und Dienste mit dem IT-Sicherheitskennzeichen auszeichnen lassen, sowie wichtige Vorteile erhalten?
Oder haben Sie noch weitergehende Anliegen zum Thema?
Kontaktieren Sie uns gerne!
