IT-Sicherheitskennzeichen: Informationswebseite des BSI veröffentlicht
von caschy | 11 Kommentare
Mit dem IT-Sicherheitsgesetz 2.0 hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Auftrag erhalten, ein freiwilliges IT-Sicherheitskennzeichen einzuführen. Damit sollen Verbraucher bereits Ende des Jahres 2021 die Möglichkeit erhalten, sich über vom Hersteller zugesicherte Sicherheitsfunktionen von vernetzten, internetfähigen Produkten und Diensten zu informieren.
Das Kennzeichen kann beispielsweise auf der Verpackung eines Routers zu finden sein – das Etikett des IT-Sicherheitskennzeichens enthält einen Link und einen QR-Code, den Nutzer scannen können. Darüber gelangen sie auf eine Webseite des BSI mit aktuellen Sicherheitsinformationen zum Produkt. Laut BSI könnte jenes Kennzeichen durch steigendes Informationsbedürfnis einen Kaufanreiz schaffen. Eine Informationswebseite findet sich hier. Auf mich wirkt das Ganze unnütz. Ein freiwilliges Kennzeichen ohne jegliche Verpflichtung:
- jede Person kann bis zu 5 Geräte gleichzeitig nutzen
Das IT-Sicherheitskennzeichen kann…
… wichtige Fakten zu Sicherheitseigenschaften eines vernetzten Produkts verständlich zusammenfassen.
… aufzeigen, dass sich der Hersteller eines Produkts freiwillig dazu verpflichtet hat, die Anforderungen des BSI einzuhalten.
… fördern, dass mehr Hersteller das Sicherheitsniveau ihrer Produkte anheben, weil sie das Kennzeichen verwenden wollen.
… Vertrauen in Geräte, Dienste und auch Hersteller schaffen.
… Kundinnen und Kunden bei der Kaufentscheidung für ein IT-Produkt helfen.
Das IT-Sicherheitskennzeichen kann nicht…
… garantieren, dass ein IT-Produkt absolut sicher ist.
… garantieren, dass die Hersteller die aufgeführten Standards jederzeit und nach Ablauf der Gültigkeit des Kennzeichens erfüllen.
… als Prüfsiegel verstanden werden. Das BSI prüft das IT-Produkt nicht, sondern legt die Kriterien fest, denen sich die Hersteller verpflichten.
… garantieren, dass darüber hinaus Sicherheitslücken im Produkt bekannt werden oder ausschließen, dass Kriminelle Wege finden, die Sicherheitsmerkmale eines Produkts zu überwinden. Sobald das BSI davon Kenntnis erhält, informiert es über die Schwachstelle.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Ist wie das CE Kennzeichen.
Kann nicht als Prüfsiegel verstanden werden, weil das BSI die Geräte nicht testet.
Was also soll der Mist ?
Zwei Dinge:
– das Prüfsiegel wirkt vertrauenerweckend und damit als Werbemittel.
– Das BSI erhebt für die Antragsbearbeitung eine Verwaltungsgebühr nach Zeitaufwand der Prüfung (§ 9c Abs. 5 IT-SiG 2.0). Die entsprechenden Details regelt die Rechtsverordnung zum IT-Sicherheitskennzeichen.
In der Regel befinden sich die Kosten zur Erteilung des IT-Sicherheitskennzeichen im dreistelleigen Bereich (Euro). Je nach Prüfungsaufwand können die Kosten auch im niedrigen vierstelligen Bereich (Euro) liegen.
Der Kunde wiegt sich in Sicherheit (ernsthaft nachprüfen wird es kaum einer) und das BSI verdient daran Geld.
Win-Win für Hersteller und BSI.
„ Das IT-Sicherheitskennzeichen kann nicht…
…
… garantieren, dass die Hersteller die aufgeführten Standards jederzeit und nach Ablauf der Gültigkeit des Kennzeichens erfüllen.
… als Prüfsiegel verstanden werden. Das BSI prüft das IT-Produkt nicht, sondern legt die Kriterien fest, denen sich die Hersteller verpflichten.“
Aber genau das wäre für solch ein Zertifikat meiner Meinung nach wichtig gewesen.
„Um das IT-Sicherheitskennzeichen zu erhalten, müssen Hersteller einen Antrag beim BSI stellen und erklären, dass ihr Produkt oder Dienst bestimmten technischen Standards entspricht. […] Der Hersteller prüft dabei selbst die Erfüllung der einschlägigen Anforderungen.“
Wie könnte eine Selbstverpflichtung „Vertrauen in Geräte, Dienste und auch Hersteller schaffen“? Entweder jemand von außen überprüft die Bude und zertifiziert temporär die Einhaltung dieser Standards oder es ist nur besseres Marketing.
Beim CE-Zeichen hat es doch auch geklappt. Ein Großteil der Konsumenten ist der Meinung, dass es sich um ein Gütesiegel handelt.
Die Hersteller können jetzt also die BSI-Website für kostenlose Werbung nutzen.
Danke Arne, Du bist und bleibst eine Pfeife!
Mmh, ich würde eher auf seinen Boss tippen.
Ich halte Arne auch für einen Teil des Problems. Schade eigentlich…
“die Anforderungen des BSI “ – hmm das wäre jetzt mal spannend worin diese denn bestehen und auf welcher Grundlage diese festgelegt werden.
Ansonsten sehe ich da überhaupt keine Informationen für den Konsumenten od. Verbraucher.
Der Verweis auf die technischen Richtlinien steht in der Verbraucher-FAQ der BSI-Seite:
Mit Einführung des IT-Sicherheitskennzeichens Ende 2021, werden zunächst die folgenden Produktkategorien angeboten:
Breitbandrouter, die unter den Anwendungsgegenstand der BSI TR-03148 fallen. Dies sind in der Regel Breitbandrouter für den privaten Bereich und Kleinunternehmen.
E-Mail-Dienste, die unter den Anwendungsgegenstand der BSI TR-03108 fallen. Dies sind in der Regel E-Mail-Provider, bei denen Sie ein E-Mail-Postfach einrichten können.
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/IT-SiK-fuer-Verbraucher/FAQ-IT-SiK-fuer-Verbraucher_node.html
Hier wird wieder unnötig Geld verbrannt. Neuland Deutschland.