IT-Sicherheitskennzeichen: BSI startet das Antragsverfahren

Mit dem IT-Sicherheitsgesetz 2.0 hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Auftrag erhalten, ein freiwilliges IT-Sicherheitskennzeichen einzuführen. Damit sollen Verbraucher bereits Ende des Jahres 2021 die Möglichkeit erhalten, sich über vom Hersteller zugesicherte Sicherheitsfunktionen von vernetzten, internetfähigen Produkten und Diensten zu informieren. Das Kennzeichen kann beispielsweise auf der Verpackung eines Routers zu finden sein – das Etikett des IT-Sicherheitskennzeichens enthält einen Link und einen QR-Code, den Nutzer scannen können. Darüber gelangen sie auf eine Webseite des BSI mit aktuellen Sicherheitsinformationen zum Produkt.

Das IT-Sicherheitskennzeichen kann…

… wichtige Fakten zu Sicherheitseigenschaften eines vernetzten Produkts verständlich zusammenfassen.

… aufzeigen, dass sich der Hersteller eines Produkts freiwillig dazu verpflichtet hat, die Anforderungen des BSI einzuhalten.

… fördern, dass mehr Hersteller das Sicherheitsniveau ihrer Produkte anheben, weil sie das Kennzeichen verwenden wollen.

… Vertrauen in Geräte, Dienste und auch Hersteller schaffen.

… Kundinnen und Kunden bei der Kaufentscheidung für ein IT-Produkt helfen.

Das IT-Sicherheitskennzeichen kann nicht…

… garantieren, dass ein IT-Produkt absolut sicher ist.

… garantieren, dass die Hersteller die aufgeführten Standards jederzeit und nach Ablauf der Gültigkeit des Kennzeichens erfüllen.

… als Prüfsiegel verstanden werden. Das BSI prüft das IT-Produkt nicht, sondern legt die Kriterien fest, denen sich die Hersteller verpflichten.

… garantieren, dass darüber hinaus Sicherheitslücken im Produkt bekannt werden oder ausschließen, dass Kriminelle Wege finden, die Sicherheitsmerkmale eines Produkts zu überwinden. Sobald das BSI davon Kenntnis erhält, informiert es über die Schwachstelle.

Das Ende des Jahres ist gekommen, von den Kennzeichen noch nichts zu sehen. Für mich verschmerzbar, denn ich halte dieses IT-Sicherheitskennzeichen in seiner jetzigen Form für nicht besonders aussagekräftig, da es mit keinerlei wirklichen Regeln (siehe unser Infokasten) verbinden ist. Immerhin, jetzt kommt ein bisschen Dreh in die Sache.

Für die ersten zwei Produktkategorien „Breitbandrouter“ und „E-Mail-Dienste“ können Hersteller ab sofort einen Antrag auf Erteilung des IT-Sicherheitskennzeichens beim BSI stellen. Die Technische Richtlinie „Secure Broadband Router“ (BSI TR-03148) definiert laut des Bundesamtes grundlegende Sicherheitsanforderungen an gängige Breitband-Router, die von Kunden in den Bereichen privater Haushalten oder Kleinstunternehmen zum Einsatz kommen. Sie richtet sich als Empfehlung primär an die Hersteller dieser Router, ist aber auch für Anbieter und Nutzer hilfreich, wenn sich diese (z. B. im Rahmen einer Neuanschaffung) über den Stand der Technik informieren möchten.

Das BSI plant zeitnah, das IT-Sicherheitskennzeichen für weitere Kategorien zu öffnen.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

2 Kommentare

  1. Ist dann wie mit den Trusted Web Shop Siegeln auf Fake Shop Seiten. Drauf gesch…
    Vielleicht kennt man sich aus und denkt man braucht keine Sicherheitsplakette und man kann auch trotzdem auf die dümmste Masche reinfallen.
    Da wiegt man sich eventuell schnell in falscher Sicherheit.

    • So ist es. Oder wie fefe mal so schön zu BSI Zertifikaten schrieb, „Compliance-Ringelpiez statt ernsthafter, evidenzbasierter Security.“

      Die Lösung wäre es den Hersteller für die Folgen seiner ranzige Software haftbar zu machen und die Geräte und Software ernsthaft vor der Freigabe prüfen zu lassen um dann mit einem Siegel wirklich was auszusagen.

      Das was da jetzt kommt ist nur ein „wir verkaufen hübsche Bildchen ohne Gewähr“.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.