10 Fragen zum neuen IT-Sicherheitskennzeichen, 1. Teil Immer mehr Produkte brauchen eine Verbindung zum Internet. Und weil viele von ihnen im Betrieb personenbezogene Daten verarbeiten, können sie zu Einfallstoren für Cyber-Kriminelle werden. Wie sicher die Produkte sind, ist bei der Auswahl aber oft kaum zu erkennen. Abhilfe soll nun das neue IT-Sicherheitskennzeichen schaffen. Es soll auf einen Blick über die Sicherheitsmerkmale eines Produkts oder einer Dienstleistung informieren. Doch was genau hat es mit dem IT-Sicherheitskennzeichen auf sich? Wer bekommt es? Wofür wird es von wem vergeben? Wir beantworten zehn Fragen zum neuen IT-Sicherheitskennzeichen!
1. Was ist das IT-Sicherheitskennzeichen? Das IT-Sicherheitskennzeichen soll es dem Verbraucher ermöglichen, sich über die Sicherheitsfunktionen zu informieren, die Hersteller von vernetzten und internetfähigen Produkten versprechen. Dazu wird das Kennzeichen künftig zum Beispiel auf der Produktverpackung oder dem Produkt selbst angebracht. Das Kennzeichen enthält einen QR-Code. Scannt der Verbraucher diesen Code, gelangt er auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Dort sind die Sicherheitseigenschaften des Geräts oder der Dienstleistung dann aufgeführt. Vergeben wird das IT-Sicherheitskennzeichen seit Ende 2021 auf Antrag vom BSI. Dabei erteilt das BSI das Kennzeichen, wenn er Hersteller erklärt und zusichert, dass sein Produkt die entsprechenden, sicherheitsrelevanten Anforderungen erfüllt. Die Überprüfung der Anforderungen nimmt der Hersteller selbst vor. Allerdings kann das BSI stichprobenartig Kontrollen durchführen. Zeigen sich dabei Sicherheitslücken oder Abweichungen von der Erklärung des Herstellers, kann das BSI das Kennzeichen widerrufen. 2. Welche Informationen liefert das IT-Sicherheitskennzeichen? Je nach Produktkategorie gelten unterschiedliche Kriterien und Standards, die ein digitales Produkt mit Blick auf die IT-Sicherheit erfüllen muss. Beantragt ein Hersteller das Kennzeichen, verpflichtet er sich damit gleichzeitig dazu, die vom BSI vorgegebenen Sicherheitsstandards einzuhalten. Das BSI stellt für jedes Produkt, das das IT-Sicherheitskennzeichen erhalten hat, eine Webseite bereit. Ruft der Verbraucher über den QR-Code oder Link auf dem Produkt diese Webseite auf, kann er sich über sicherheitsrelevante Eigenschaften und weitere wichtige Aspekte wie zum Beispiel notwendige Updates oder aufgetauchte Schwachstellen informieren. Durch das Kennzeichen soll der Verbraucher die Möglichkeit haben, sich übersichtlich und verständlich über die IT-Sicherheit des Produkts zu erkundigen, bevor er eine Kaufentscheidung trifft. Dabei ist das Kennzeichen zwar zunächst nur eine freiwillige Auskunft des Herstellers. Und weil das BSI die technische Überprüfung nicht selbst durchführt, gibt es letztlich keine Garantie dafür, dass die Sicherheitsmerkmale auch wirklich vorhanden sind. Trotzdem kann das Kennzeichen einem Verbraucher dabei helfen, den Sicherheitsstandard des jeweiligen Produkts zumindest einzuschätzen. 3. Woran erkennt der Verbraucher ein gekennzeichnetes Produkt? Erfüllt ein Produkt die Sicherheitsstandards des BSI, kann der Hersteller das Kennzeichen beim BSI beantragen. Wird der Antrag genehmigt, darf der Hersteller das IT-Sicherheitskennzeichen auf dem Produkt anbringen. Das Etikett als solches kann sich auf der Verpackung, auf dem Gerät oder auf der Produkt-Webseite des Herstellers befinden. Auf dem Etikett steht „IT-Sicherheitskennzeichen“ und die Zusage des Herstellers, dass das Produkt den Anforderungen des BSI entspricht. Außerdem ist ein QR-Code abgebildet. Über diesen Code wird der Verbraucher auf die zugehörige Produktinformationsseite geleitet, die das BSI bereitstellt. 4. Welche Produkte können das Kennzeichen bekommen? Die Einführung des IT-Sicherheitskennzeichens startet mit zwei Produktkategorien. Das sind zum einen Breitband-Router und zum anderen E-Mail-Dienste. Ein Breitbandrouter ist die Voraussetzung dafür, dass überhaupt eine Verbindung zum Internet hergestellt werden kann. Ein sicherer Router wiederum schafft die Grundlage für einen geschützten Datenverkehr. Um das IT-Sicherheitskennzeichen zu erhalten, muss ein Breitbandrouter die Standards erfüllen, die in der technischen Richtlinie BSI TR-03148 definiert sind. Dabei bezieht sich die Richtlinie in erster Linie auf Router für private Haushalte und Kleinunternehmen. E-Mails enthalten oft persönliche Daten und vertrauliche Informationen. Ein sicherer Transport ist deshalb wichtig. E-Mail-Provider, die sich um den Transport der digitalen Nachrichten kümmern und E-Mail-Postfächer bereitstellen, können das IT-Sicherheitskennzeichen bekommen, wenn sie die Richtlinie BSI TR-03108 erfüllen. Das IT-Sicherheitskennzeichen ist erst Ende 2021 gestartet. Im Laufe der Zeit soll es auf weitere vernetzte und internetfähige Produkte ausgeweitet werden. Geplant ist zum Beispiel, dass Geräte im Zusammenhang mit dem Smart Home eine eigene Kategorie bilden sollen. Wann es soweit ist, steht aber noch nicht fest. 5. Wie lange ist das IT-Sicherheitskennzeichen gültig? Das BSI hat neben den Sicherheitsmerkmalen auch die Dauern in den einzelnen Produktkategorien festgelegt. Im Normalfall beträgt die Gültigkeit des IT-Sicherheitskennzeichens zwei Jahre. Ist dieser Zeitraum abgelaufen, wird das Kennzeichen ungültig und der Hersteller darf es nicht mehr verwenden.
Möchte er sein Produkt weiterhin mit dem Kennzeichen ausstatten, muss er einen Folgeantrag beim BSI stellen. Wann das Kennzeichen für ein Produkt abläuft, ist auf der Produktinformationsseite angegeben. So kann der Verbraucher überprüfen, ob das Kennzeichen überhaupt noch gültig ist. Auch wenn das BSI das Kennzeichen widerrufen hat, steht ein entsprechender Hinweis auf der Seite. Mehr Anleitungen, Tipps und Ratgeber:
|
