Thought Leadership
Die fortschreitende Digitalisierung und Vernetzung vielfältiger Aspekte des alltäglichen Lebens bringt viele Annehmlichkeiten mit sich, aber birgt auch Risiken. Verbraucherinnen und Verbraucher wünschen sich leicht zugängliche Informationen über die Sicherheit von Geräten und Dienste, die sie beabsichtigen zu kaufen oder bereits nutzen.
Das IT-Sicherheitskennzeichen des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet Herstellern von Verbraucher-IT die Möglichkeit, ihre Produkte durch eine Herstellererklärung zu bestimmten Sicherheitseigenschaften besonders auszuzeichnen. Dadurch können Hersteller ihre Produkte besonders hervorheben und gleichzeitig das Informationsbedürfnis von Verbraucherinnen und Verbrauchern erfüllen. So entsteht mehr Transparenz auf dem Verbrauchermarkt und eine informierte Kaufentscheidung.
Erfolgreiche Einführung des IT-Sicherheitskennzeichen
Das BSI hat mit dem Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) im Mai 2021 die Aufgabe erhalten, die Transparenz am Verbrauchermarkt für digitale Produkte und Dienste durch die Einführung eines freiwilligen IT-Sicherheitskennzeichens zu erhöhen. Noch im gleichen Jahr ist es dem BSI gelungen, das IT-Sicherheitskennzeichen erfolgreich einzuführen und das Antragsverfahren zunächst für Hersteller von Breitbandroutern und Anbietern von E-Mail-Diensten zu eröffnen. Durch die unmittelbare Antragstellung mehrerer Unternehmen und das effizient gestaltete Antragsverfahren konnten bereits die ersten IT-Sicherheitskennzeichen erteilt und im Rahmen des 18. Deutschen IT-Sicherheitskongress am 1. Februar 2022 übergeben werden.
Wie funktioniert das freiwillige IT-Sicherheitskennzeichen des BSI?
Das Etikett des Kennzeichens besteht aus einer Erklärung (Zusicherung) des Herstellers und einem Informationsangebot des BSI, das über einen Link und QR-Code abrufbar ist. Dort erhalten Verbraucherinnen und Verbraucher relevante Informationen zu Sicherheitseigenschaften des jeweiligen Produkts oder Dienstes.
Das IT-Sicherheitskennzeichen macht transparent, dass ein Hersteller oder Dienstanbieter zugesichert hat, Sicherheitsanforderungen eines zugrundeliegenden Standards geprüft zu habenwurden und über die Laufzeit des Kennzeichens erfüllt werden. Verbraucherinnen und Verbraucher können den genauen Inhalt der Erklärung auf der Produktinformationsseite einsehen. Des Weiteren befinden sich auf der Informationsseite aktuelle Sicherheitsinformationen zum Produkt. Das BSI informiert so z. B. über bekanntgewordene Schwachstellen und damit zusammenhängende Sicherheitsupdates.
Von der Eigenprüfung zum Antrag
Das IT-Sicherheitskennzeichen kann nur für vom BSI veröffentlichte Produktkategorien beantragt werden. Derzeit sind das „Breitbandrouter“ auf Basis der BSI-TR-031048 und „E-Mail-Dienste auf Basis der BSI-TR 03108“. Auf der Website des BSI finden Sie eine aktuelle Auflistung der Produktkategorien, für die ein Antrag möglich ist.
Möchten Sie Ihr Produkt mit dem IT-Sicherheitskennzeichen auszeichnen, müssen Sie zunächst selbst prüfen, ob Ihr Produkt die zugrundeliegenden Anforderungen erfüllt. Ist dies mit positivem Ergebnis erfolgt, füllen Sie den Antrag für die entsprechende Produktkategorie aus. Dabei geben Sie unter anderem eine Herstellererklärung ab und machen Angaben zur einigen technischen Eigenschaften des Produkts und zu Ihrem Vorgehen bei der Eigenprüfung. Innerhalb von sechs Wochen führt das BSI auf Basis Ihrer Angaben und eingereichten Unterlagen eine Plausibilitätsprüfung durch. Dabei wird insbesondere festgestellt, ob Ihre Angaben nachvollziehbar und plausibel sind. Eine technische Prüfung Ihres Produkts erfolgt dabei nicht. Für die Prüfung des Antrages und die Freigabe des IT-Sicherheitskennzeichens erhebt das BSI eine Verwaltungsgebühr nach Zeitaufwand.
Nach der Freigabe eines IT-Sicherheitskennzeichen unterliegt es der BSI-Marktaufsicht. Die Marktaufsicht überprüft anlasslos stichprobenartig und anlassbezogen, z. B. bei Bekanntwerden von Sicherheitslücken, ob Ihr Produkt die von Ihnen erklärten Sicherheitseigenschaften erfüllt.
Weiterentwicklung des IT-Sicherheitskennzeichens
Zukünftig wird das BSI regelmäßig neue Produktkategorien veröffentlichen und so die Antragsstellung für eine Vielzahl von IT-Verbraucherprodukten ermöglichen. Als nächstes wird voraussichtlich die Antragstellung für bestimmte Produktkategorien aus dem Bereich Internet of Things möglich sein. Das BSI bringt sich außerdem in die Entwicklung von europäischen und internationalen Schemata für vergleichbare Kennzeichnungen ein, um einen möglichst gute Gleichlauf des nationalen IT-Sicherheitskennzeichens im europäischen und internationalen Kontext zu ermöglichen. Dabei wird auch eine leichte Transition vom IT-Sicherheitskennzeichen zu möglichen europäischen und internationalen Kennzeichen angestrebt.
