Blog

IT-Sicherheitskennzeichen: Aufbau einer Vertrauensbasis!

Mit dem IT-Sicherheitsgesetz 2.0 hat das Bundesamt für Sicherheit in der Informationstechnik die Anordnung bekommen, ein freiwilliges IT-Sicherheitskennzeichen zu implementieren. Worum es sich hierbei genau handelt und aus welchem Grund es sich lohnt, dieses anzufordern, lesen Sie in dem nachfolgenden Blogbeitrag.

Das Internet der Dinge dehnt sich immer weiter aus und erreicht alle möglichen Geschäftsbereiche sowie Lebensbereiche. Vom Kühlschrank und der Waschmaschine bis zum Stift: Derweil werden immer mehr Gerätschaften sowie Alltagsgegenstände mit Sensoren, Prozessoren, einer Netzwerkverbindung sowie mehr „Intelligenz“ plus Kommunikationsfähigkeiten versehen, um den beruflichen wie auch privaten Alltag angenehmer sowie besser zu gestalten.

Schon heute sind schätzungsweise 35 Milliarden IoT-Geräte (https://www.aargauerzeitung.ch/aargau/brugg/lupfig-internet-der-dinge-praegt-den-alltag-die-vernetzte-zukunft-beginnt-im-eigenamt-ld.2205984) in Gebrauch. Bis 2025 soll sich jener Wert auf 75 Mrd. erhöhen.
Doch die gegenwärtige Konnektivität und die wachsende Menge smarter Apparaturen sowie Dinge versteckt Risiken: Sie ruft verstärkt Internetkriminelle auf den Plan, welche mit immer mehr aggressiveren und ausgefeilteren Angriffsmethoden jede mögliche noch so winzige Schwachstelle in den Produkten aufspüren und zu ihren Gunsten ausnutzen.

Um dem vorzubeugen, heißt es für IT-Hersteller und Diensteanbieter, eine IT-Sicherheit schon bei der Produktentwicklung zu berücksichtigten sowie über den ganzen Produktlebenszyklus hinweg zu inkludieren. In welchem Ausmaß das passiert, soll fortan ein neues IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik (https://www.bsi.bund.de) ersichtlich machen.

Was ist das IT-Sicherheitskennzeichen?

Beim IT-Sicherheitskennzeichen dreht es sich zunächst um ein freiwilliges Etikett, das IT-Herstellern sowie Diensteanbietern die Möglichkeit bietet, Transparenz zu schaffen sowie Verbraucher*innen zu beweisen, dass deren Produkte oder Dienstleistungen über gewisse Sicherheitseigenschaften verfügen und die Erwartungen einschlägiger IT-Sicherheitsstandards einbeziehen.
Vornehmlich geht es bei der Kennzeichnung des Bundesamtes für Sicherheit in der Informationstechnik hierum, dass „Security-by-Design“ sowie das „Security-by-Default“-Konzept in der Produktentwicklung zu forcieren und das Beherzigen der allgemeinen Schutzziele der Informationssicherheit wie Vertraulichkeit, Integrität und Vorhandensein von Informationen sicherzustellen.

Wie funktioniert das IT-Sicherheitskennzeichen?

Das Etikett des IT-Sicherheitskennzeichens wird durch das Bundesamt für Sicherheit in der IT in elektronischer Form zur Verfügung gestellt. Die IT-Hersteller wie auch Diensteanbieter können das Etikett daraufhin auf einem Modell, einer Verpackung oder der Unternehmenswebseite positionieren.
Das Etikett besitzt beispielsweise die Herstellererklärung sowie einen QR-Code nach § 9c Abs. 2 IT-SiG 2.0. (https://www.buzer.de/9c_BSIG.htm). Der QR-Code führt auf die Webseite des Bundesamtes für Sicherheit in der IT, auf welcher Informationen zum IT-Produkt, zur Gültigkeitsdauer des IT-Sicherheitskennzeichens und aktuelle Sicherheitsinformationen zu bestehenden Schwachpunkten oder bevorstehenden Sicherheitsupdates zu finden sind.

Wo ist das IT-Sicherheitskennzeichen gesetzlich geregelt?

Um das IT-Sicherheitskennzeichen zu erhalten, müssen die IT-Hersteller und Diensteanbieter ein Antragsformular auf Erteilung des IT-Sicherheitskennzeichens beim Bundesamt für Sicherheit in der Informationstechnik einreichen. Dabei ist die Beantragung des IT-Sicherheitskennzeichens nur im Bereich der vom Bundesamt für Sicherheit in der Informationstechnik festgesetzten und im Bundesanzeiger veröffentlichten wie auch bekannt gegebenen Produktkategorien möglich.

Hierzu zählen bislang die Kategorien
• Breitbandrouter
• E-Mail-Dienste
• vernetzte Fernsehgeräte (Smart-TV)
• Kameras
• Lautsprecher
• Spielzeuge sowie
• Reinigungs- und Gartenroboter

Überdies richtet sich die Erteilung des IT-Sicherheitskennzeichens nach § 9c des Gesetzes über das Bundesamt für Sicherheit in der IT (https://www.gesetze-im-internet.de/bsig_2009/__9c.html), kurz gesagt BSIG, in Verbindung mit den Richtlinien der gesetzlichen Regelung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik (https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&start=//*%5b@attr_id=%27bgbl121s4978.pdf%27%5d#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl121s4978.pdf%27%5D__1652856615406), kurz BSI-ITSiKV.

Der Erteilungsprozess auf einem Blick!

Der Erteilungsprozess verläuft eigentlich in verschiedenen Schritten:

1. Download Antrag: Im ersten Ablaufschritt müssen die „Antragsformulare auf Freigabe des IT-Sicherheitskennzeichens“ (https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/IT-Sicherheitskennzeichen/fuer-Hersteller/Antrag/IT-SiK-Antrag_node.html#Antragsunterlagen) auf der Webseite des Bundesamtes für Sicherheit in der Informationstechnik downgeloaded werden. Diese bestehen aus dem generellen Hauptantrag und einer produktspezifischen Herstellererklärung.

2. Antragstellung inklusive Herstellererklärung: Im nächsten Prozessschritt müssen die antragstellenden IT-Unternehmen und Diensteanbieter nachprüfen, ob ihr IT-Produkt oder ihr IT-Dienst die Bedingungen der entsprechenden Produktkategorie erfüllt. Wenn das so ist, wird diese Tatsache mit dem Eintragen der Herstellererklärung verifiziert.

3. Plausibilitätsprüfung: Wenn dem Bundesamt für Sicherheit sämtliche gefragten Daten sowie Dokumente vorliegen, wird der eingereichte Antrag vom Inhalt her bearbeitet und gecheckt. Hier ist zu beachten, dass das Bundesamt für Sicherheit in der Informationstechnik im Rahmen der Zustimmung des IT-Sicherheitskennzeichens erstmal keinerlei Tiefenprüfung oder technische Überprüfung der erklärten Sicherheitsvorgaben macht, sondern die Angaben und eingereichten Unterlagen der IT-Hersteller bloß auf Plausibilität bewertet.

4. Abrechnung Verwaltungskosten: Für die Antragsbearbeitung wird durch das Bundesamt für Sicherheit in der Informationstechnik eine Verwaltungsgebühr verlangt. Diese bildet sich aus der „Besonderen Gebührenverordnung des Bundesministeriums des Innern und für Heimat“ (https://www.gesetze-im-internet.de/bmibgebv/BJNR135900019.html), kurz gesagt BMIBGebV, sowie dem tatsächlich angefallenen Zeitaufwand plus den entstandenen Auslagen. Grundsätzlich bewegt sich die entstehende Verwaltungsgebühr unter den Ausgaben des BSI-Zertifizierungsverfahrens.

5. Erlass, Ausstellung, Veröffentlichung: Im Falle einer positiven Bewertung, erhält der Bewerber einen entsprechenden Bewilligungsbescheid und die Bereitstellung des individuellen Labels. Gleichzeitig wird das Produkt mit der maßgeschneiderten Produktinformationsseite in das zentrale Register gekennzeichneter Produkte gestellt, welches über das Onlineangebot des Bundesamtes für Sicherheit in der IT öffentlich einsehbar ist.

6. Nachgelagerte Marktaufsicht: Haben die IT-Produkte und IT-Dienste das IT-Sicherheitskennzeichen, dann unterliegen sie ab Erhalt des IT-Kennzeichens einer nachgelagerten Überwachung durch das Bundesamt für Sicherheit. Die Einrichtung kontrolliert in diesem Kontext, ob die zugesicherten Eigenschaften des Produkts durch den Hersteller wirklich befolgt werden. Werden bei einem Produkt Differenzen von der Herstellererklärung festgestellt, etwa eine IT-Schwachstelle, wird den entsprechenden IT-Herstellern eine passende Frist eingeräumt, um jene ermittelten Sicherheitslücken zu beheben und den zugesicherten Zustand des Produkts wiedereinzurichten.

Mehr Informationen zur Aushändigung finden Sie in der Verfahrensbeschreibung IT-Sicherheitskennzeichen (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/IT-Sicherheitskennzeichen/Verfahrensbeschreibung.pdf?__blob=publicationFile&v=3).

Fazit: IT-Sicherheit als Erfolgskriterium auf dem Markt!

IT-Sicherheit, Zuverlässigkeit sowie hohe Verfügbarkeit sind relevante Qualitätskriterien von IT-Produkten und IT-Diensten. Stets mehr Abnehmer legen Wichtigkeit auf hohe Schutz-Standards.

Mit dem IT-Sicherheitskennzeichen haben nun IT-Hersteller und IT-Diensteanbieter die Gelegenheit, das Informationsbedürfnis der Kund*innen zu beherzigen, indem sie die Sicherheitseigenschaften Ihrer IT-Produkte und IT-Dienstleistungen unkompliziert ersichtlich machen und diese speziell hervorzuheben.

Wollen auch Sie Ihre Produkte oder Dienste mit dem IT-Sicherheitskennzeichen auszeichnen lassen sowie relevante Wettbewerbsvorteile sichern? Oder haben Sie noch weitergehende Fragen zum Thema? Sprechen Sie uns an!

Nehmen Sie mit uns Kontakt auf, rufen Sie uns unter 0661 679289-0 an oder schreiben Sie 
KRAFT SYSTEMS unter info@KRAFT-SYSTEMS.de eine Nachricht.

Als IT Systemhaus mit 30 jähriger Erfahrung im Raum Fulda sind wir Ihr Ansprechpartner in Sachen IT.