IT-Sicherheitskennzeichen nun auch für Anbieter von Videokonferenzdiensten
von caschy | 13 Kommentare
Das Bundesamt für Sicherheit in der Informationstechnik bietet bekanntlich seit einiger Zeit das IT-Sicherheitskennzeichen an. Dieses ist freiwillig, damit sollen Verbraucher die Möglichkeit erhalten, sich über vom Hersteller zugesicherte Sicherheitsfunktionen von vernetzten, internetfähigen Produkten und Diensten zu informieren. Das Kennzeichen kann beispielsweise auf der Verpackung eines Routers zu finden sein – das Etikett des IT-Sicherheitskennzeichens enthält einen Link und einen QR-Code, den Nutzer scannen können. Darüber gelangen sie auf eine Webseite des BSI mit aktuellen Sicherheitsinformationen zum Produkt.
Ab sofort können auch Anbieter von Videokonferenzdiensten dieses Kennzeichen beantragen, sofern sie die Anforderungen der DIN SPEC 27008 erfüllen. Geprüft wird das Ganze allerdings nicht selbst vom Bundesamt für Sicherheit in der Informationstechnik (BSI), nachdem Hersteller ihren Antrag auf Erteilung des IT-Sicherheitskennzeichens gestellt haben, prüft das BSI den Antrag und die Herstellererklärung auf Vollständigkeit und Plausibilität.
Anderweitiger Wettbewerb kommt sicher irgendwann durch das Kennzeichen der Connectivity Standards Alliance (CSA) für IoT-Geräte. Das Product Security Certification Program umfasst ein breites Spektrum an Smart-Home-Geräten wie Beleuchtung, Schalter, Thermostate, Türklingelkameras und mehr und legt Mindestanforderungen für IoT-Geräte fest. Durch die Konsolidierung mehrerer internationaler Vorschriften in einem einzigen Anforderungssatz rationalisiert das Zertifizierungsprogramm den Prozess und hilft Herstellern, Zertifizierungskriterien aus mehreren Ländern oder Regionen mit einer einzigen Bewertung zu erfüllen.
- jede Person kann bis zu 5 Geräte gleichzeitig nutzen
- mit bis zu sechs Personen teilen
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Versteh ich das richtig? Nach der Beantragung wird nur geprüft, ob der Antrag vollständig ist, aber nicht, ob die DIN wirklich eingehalten wird?
„ob die DIN wirklich eingehalten wird?“
Dafür gibt es ja den grundsätzlichen Zertifizierungsprozess. Wenn man eh alle drei Jahre seine Zertifizierung erneuern muss, macht es wenig Sinn, die Zertifizierung zusätzlich zu zertifizieren. 😉
Ist mir auch gleich aufgefallen.
Dann wäre das natürlich sinnfrei und man kann sich dieses „Kennzeichen“ sparen.
Ist das Standard? Wird das woanders auch so gemacht? Stößt auf jeden Fall erstmal bitter auf.
„Geprüft wird das Ganze allerdings nicht selbst vom Bundesamt für Sicherheit in der Informationstechnik (BSI), nachdem Hersteller ihren Antrag auf Erteilung des IT-Sicherheitskennzeichens gestellt haben, prüft das BSI den Antrag und die Herstellererklärung auf Vollständigkeit und Plausibilität.“
Ich stimme dir zu und auch dem anderen Kommentar dazu. Hier wird der Hersteller gelobt, weil er ein Formular ausfüllen konnte.
ABER das steht ja auch im Siegel. „Der Hersteller versichert:“ da steht nirgendwo das irgendwas geprüft wurde.
Im Artikel steht auch nicht, kenne die genauen Hintergründe adhoc aber nicht, dass die Software auch nur die Anforderungen erfüllen muss. Nicht das diese zertifiziert wurde.
Ich verstehe auch das Label nicht. Außer mehr Verwaltungsaufwand einer völlig überforderten Einrichtung.
IT & CO. werden direkt nach der ISO Cert schauen. Endkunden werden in 99 % nicht mal wissen was das BSI ist, geschweige denn was es macht.
Hier wird etwas eingeführt, was 0 Mehrwert oder Sicherheit bringt. Wo klar ist das es bald mit einem internationalen Standard abgelöst wird und eine Menge Geld & Aufwand kosten wird.
Wenn das die Bundeswehr beachtet hätte dann hätten wir keinen Abhör-Super-Gau.
Siehe: staging.tagesschau.de/inland/bundeswehr-abhoerfall-100.html
Die DIN-Norm verlangt jedoch keine Ende-zu-Ende-Verschlüsselung: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/IT-Sicherheitskennzeichen/Informationen-Kategorie-VK-Dienste/Informationen-Kategorie-VK-Dienste.html Somit besteht auch bei zertifizierten Anbietern die Gefahr, abgehört zu werden.
Da denkt man schon das Ende-zu-Ende-Verschlüsselung zum Standard gehören sollte
und stellt nur fest, daß es sich dann wohl um eine genormte Abhörschnittstelle handelt.
„It’s Not a Bug, It’s a Feature“ 🙂
Wirklich sehr seriös wenn es das gleiche BSE äh BSI ist dass aus politischen Gründen vor Kaspersky gewarnt hat oder gibt es noch ein anderes?
Aber die Diskussion um China beim 5G-Ausbau war legitim? Zumal Russland ja nachweislich kritische Infrastruktur angreift.
P.S.: Das BSI prüft sehr wohl auch selbst:
> Nach Erteilung: Nachgelagerte Marktaufsicht
> Während der Laufzeit des IT-Sicherheitskennzeichens prüft die Marktaufsicht des BSI, ob die in der Herstellererklärung zugesicherten IT-Sicherheitseigenschaften des Produktes erfüllt werden.
> Hierbei wird sowohl anlasslos als auch anlassbezogen die Konformität des gekennzeichneten Produktes mit den zugrundeliegenden IT-Sicherheitsanforderungen der jeweiligen Produktkategorie überprüft.
Dabei wird unter anderem auch auf Schwachstellen geprüft und die Informationen dazu werden vom BSI veröffentlicht.
—-
Mich irritiert aber sehr, mit welcher Überheblichkeit hier kommentiert wird, wenn noch nicht mal die verlinkten Informationen gelesen wurden.
Leider der einzige sinnvolle Kommentar hier. Maulen scheint einfacher zu sein als zu lesen. Wobei es im Artikel selbst auch etwas deutlicher formuliert sein könnte.