IT-Sicherheitskennzeichen: BSI startet das Antragsverfahren
Mit dem IT-Sicherheitsgesetz 2.0 hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Auftrag erhalten, ein freiwilliges IT-Sicherheitskennzeichen einzuführen. Damit sollen Verbraucher bereits Ende des Jahres 2021 die Möglichkeit erhalten, sich über vom Hersteller zugesicherte Sicherheitsfunktionen von vernetzten, internetfähigen Produkten und Diensten zu informieren. Das Kennzeichen kann beispielsweise auf der Verpackung eines Routers zu finden sein – das Etikett des IT-Sicherheitskennzeichens enthält einen Link und einen QR-Code, den Nutzer scannen können. Darüber gelangen sie auf eine Webseite des BSI mit aktuellen Sicherheitsinformationen zum Produkt.
Das IT-Sicherheitskennzeichen kann…
… wichtige Fakten zu Sicherheitseigenschaften eines vernetzten Produkts verständlich zusammenfassen.
… aufzeigen, dass sich der Hersteller eines Produkts freiwillig dazu verpflichtet hat, die Anforderungen des BSI einzuhalten.
… fördern, dass mehr Hersteller das Sicherheitsniveau ihrer Produkte anheben, weil sie das Kennzeichen verwenden wollen.
… Vertrauen in Geräte, Dienste und auch Hersteller schaffen.
… Kundinnen und Kunden bei der Kaufentscheidung für ein IT-Produkt helfen.
Das IT-Sicherheitskennzeichen kann nicht…
… garantieren, dass ein IT-Produkt absolut sicher ist.
… garantieren, dass die Hersteller die aufgeführten Standards jederzeit und nach Ablauf der Gültigkeit des Kennzeichens erfüllen.
… als Prüfsiegel verstanden werden. Das BSI prüft das IT-Produkt nicht, sondern legt die Kriterien fest, denen sich die Hersteller verpflichten.
… garantieren, dass darüber hinaus Sicherheitslücken im Produkt bekannt werden oder ausschließen, dass Kriminelle Wege finden, die Sicherheitsmerkmale eines Produkts zu überwinden. Sobald das BSI davon Kenntnis erhält, informiert es über die Schwachstelle.
Das Ende des Jahres ist gekommen, von den Kennzeichen noch nichts zu sehen. Für mich verschmerzbar, denn ich halte dieses IT-Sicherheitskennzeichen in seiner jetzigen Form für nicht besonders aussagekräftig, da es mit keinerlei wirklichen Regeln (siehe unser Infokasten) verbinden ist. Immerhin, jetzt kommt ein bisschen Dreh in die Sache.
Für die ersten zwei Produktkategorien „Breitbandrouter“ und „E-Mail-Dienste“ können Hersteller ab sofort einen Antrag auf Erteilung des IT-Sicherheitskennzeichens beim BSI stellen. Die Technische Richtlinie „Secure Broadband Router“ (BSI TR-03148) definiert laut des Bundesamtes grundlegende Sicherheitsanforderungen an gängige Breitband-Router, die von Kunden in den Bereichen privater Haushalten oder Kleinstunternehmen zum Einsatz kommen. Sie richtet sich als Empfehlung primär an die Hersteller dieser Router, ist aber auch für Anbieter und Nutzer hilfreich, wenn sich diese (z. B. im Rahmen einer Neuanschaffung) über den Stand der Technik informieren möchten.
Das BSI plant zeitnah, das IT-Sicherheitskennzeichen für weitere Kategorien zu öffnen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Ist dann wie mit den Trusted Web Shop Siegeln auf Fake Shop Seiten. Drauf gesch…
Vielleicht kennt man sich aus und denkt man braucht keine Sicherheitsplakette und man kann auch trotzdem auf die dümmste Masche reinfallen.
Da wiegt man sich eventuell schnell in falscher Sicherheit.
So ist es. Oder wie fefe mal so schön zu BSI Zertifikaten schrieb, „Compliance-Ringelpiez statt ernsthafter, evidenzbasierter Security.“
Die Lösung wäre es den Hersteller für die Folgen seiner ranzige Software haftbar zu machen und die Geräte und Software ernsthaft vor der Freigabe prüfen zu lassen um dann mit einem Siegel wirklich was auszusagen.
Das was da jetzt kommt ist nur ein „wir verkaufen hübsche Bildchen ohne Gewähr“.