fbpx

Was sind IT-Sicherheitskennzeichen und warum sind sie wichtig?

Business global market analysis research segmentation. Company statistic providing opportunities strategy

IT-Sicherheitskennzeichen: Übersicht und Bedeutung!

Mit dem IT-Sicherheitsgesetz 2.0 hat das Bundesamt für Sicherheit in der IT den Auftrag erhalten, ein freiwilliges IT-Sicherheitskennzeichen einzuführen. Worum es sich dabei exakt dreht und weshalb es sich rentiert, dieses zu beantragen, erfahren Sie in dem folgenden Beitrag.

Das Internet der Dinge breitet sich stets mehr aus und durchdringt sämtliche Geschäftsbereiche und Lebensbereiche. Vom Gefrierschrank und der Waschmaschine bis zum Kugelschreiber: Mittlerweile werden immer mehr Geräte sowie Alltagsgegenstände mit Sensoren, Prozessoren, einer Netzwerkverbindung sowie mehr „Intelligenz“ plus Kommunikationsfähigkeiten versehen, um den beruflichen und privaten Alltag bequemer und besser zu machen.

Bereits heute sind etwa 35 Milliarden IoT-Geräte (https://www.aargauerzeitung.ch/aargau/brugg/lupfig-internet-der-dinge-praegt-den-alltag-die-vernetzte-zukunft-beginnt-im-eigenamt-ld.2205984) im Einsatz. Bis 2025 soll sich dieser Wert auf 75 Mrd. erhöhen. Aber die gegenwärtige Konnektivität und die steigende Menge smarter Geräte sowie Dinge birgt Gefahren: Sie verursacht verstärkt Internetkriminelle auf den Plan, welche mit immer mehr aggressiveren sowie ausgefeilteren Angriffsmethoden jede noch so kleine Schwachstelle in den Produkten aufspüren und zu ihren Gunsten ausnutzen.

Um diesem vorzubeugen, heißt es für IT-Hersteller sowie Diensteanbieter, eine IT-Sicherheit bereits bei der Produktentwicklung zu berücksichtigten sowie über den ganzen Produktlebenszyklus hindurch zu integrieren. In welchem Umfang dies geschieht, soll fortan ein neues IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik (https://www.bsi.bund.de) erkennbar machen.

Was versteht man unter einem IT-Sicherheitskennzeichen?

Beim IT-Sicherheitskennzeichen handelt es sich erst einmal um ein freiwilliges Etikett, das IT-Herstellern sowie Diensteanbietern die Chance bietet, Transparenz zu schaffen sowie Verbraucher*innen zu zeigen, dass deren Waren oder Dienste über bestimmte Sicherheitseigenschaften verfügen wie auch die Anforderungen einschlägiger IT-Sicherheitsstandards einbeziehen.
In der Regel geht es bei der Kennzeichnung des Bundesamtes für Sicherheit in der Informationstechnik hierum, dass „Security-by-Design“ und das „Security-by-Default“-Konzept in der Produktentwicklung zu verstärken und das Beherzigen der allgemeinen Schutzziele der Informationssicherheit wie Vertraulichkeit, Integrität sowie Vorhandensein von Infos zu garantieren.

Wie funktioniert das IT-Sicherheitskennzeichen?

Das Label des IT-Sicherheitskennzeichens wird über das Bundesamt für Sicherheit in der Informationstechnik in elektronischer Form zur Verfügung gestellt. Die IT-Hersteller wie auch Diensteanbieter können das Etikett danach auf ihrem Gerät, einer Packung oder einer Unternehmenswebseite platzieren.
Das Label enthält unter anderem die Herstellererklärung sowie einen QR-Code nach § 9c Abs. 2 IT-SiG 2.0. (https://www.buzer.de/9c_BSIG.htm). Der QR-Code führt auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik, auf der Daten zum IT-Produkt, zur Laufzeit des IT-Sicherheitskennzeichens sowie gegenwärtige Sicherheitsinformationen zu vorhandenen Schwachpunkten oder bevorstehenden Sicherheitsupdates vorzufinden sind.

Wie und wo mehr Transparenz geschaffen wird!

Um das IT-Sicherheitskennzeichen zu bekommen, müssen die IT-Hersteller sowie Diensteanbieter ein Antragsformular auf Aushändigung des IT-Sicherheitskennzeichens beim Bundesamt für Sicherheit in der Informationstechnik einreichen. Dabei ist die Beantragung des IT-Sicherheitskennzeichens bloß im Bereich der vom Bundesamt für Sicherheit in der Informationstechnik definierten und im Bundesanzeiger veröffentlichten wie auch verkündeten Produktkategorien möglich.

Dazu gehören bis jetzt die Kategorien

• Breitbandrouter
• E-Mail-Dienste
• vernetzte Fernsehgeräte (Smart-TV)
• Kameras
• Lautsprecher
• Spielzeuge sowie
• Reinigungs- wie auch Gartenroboter

Überdies richtet sich die Aushändigung des IT-Sicherheitskennzeichens nach § 9c des Gesetzes über das Bundesamt für Sicherheit in der IT (https://www.gesetze-im-internet.de/bsig_2009/__9c.html), kurz gesagt BSIG, in Verbindung mit den Vorschriften der gesetzlichen Regulierung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik (https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&start=//*%5b@attr_id=%27bgbl121s4978.pdf%27%5d#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl121s4978.pdf%27%5D__1652856615406), kurz BSI-ITSiKV.

IT-Sicherheitskennzeichen: Der Erteilungsprozess!

Der Erteilungsprozess funktioniert in der Regel in verschiedenen Prozessschritten:

1. Download Antrag: Im allerersten Schritt müssen die „Antragsformulare auf Freigabe des IT-Sicherheitskennzeichens“ (https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/IT-Sicherheitskennzeichen/fuer-Hersteller/Antrag/IT-SiK-Antrag_node.html#Antragsunterlagen) auf der Webseite des Bundesamtes für Sicherheit in der Informationstechnik downgeloaded werden. Diese bestehen aus einem allgemeinen Hauptantrag sowie einer produktspezifischen Herstellererklärung.

2. Antragstellung inklusive Herstellererklärung: Im nächsten Schritt müssen die antragstellenden IT-Unternehmen oder Diensteanbieter prüfen, ob ihr IT-Produkt oder der IT-Dienst die Bedingungen der jeweiligen Produktkategorie erfüllt. Wenn das der Fall ist, wird dies mit dem Eintragen der Herstellererklärung bestätigt.

3. Plausibilitätsprüfung: Wenn dem Bundesamt für Sicherheit sämtliche erforderlichen Daten sowie Unterlagen vorliegen, wird der eingereichte Antrag inhaltlich untersucht wie auch geprüft. Hier ist zu beachten, dass das Bundesamt für Sicherheit in der Informationstechnik im Rahmen der Zustimmung des IT-Sicherheitskennzeichens zunächst keinerlei Tiefenprüfung oder technische Überprüfung der erklärten Sicherheitsvorgaben durchführt, sondern die Angaben und eingereichten Unterlagen der IT-Hersteller nur auf Plausibilität überprüft.

4. Abrechnung Verwaltungskosten: Für die Antragsbearbeitung wird vom Bundesamt für Sicherheit in der Informationstechnik eine Verwaltungsgebühr erhoben. Diese bildet sich aus der „Besonderen Gebührenverordnung des Bundesministeriums des Innern und für Heimat“ (https://www.gesetze-im-internet.de/bmibgebv/BJNR135900019.html), kurz gesagt BMIBGebV, sowie dem wirklich angefallenen zeitlichen Aufwand plus den verursachten Auslagen. Grundlegend liegt die entstehende Verwaltungsgebühr unterhalb der Kosten eines BSI-Zertifizierungsverfahrens.

5. Erlass, Ausstellung, Veröffentlichung: Im Fall einer guten Bewertung, bekommt der Antragsteller einen passenden Bewilligungsbescheid sowie die Bereitstellung des jeweiligen Labels. Zur selben Zeit wird das Produkt mit einer individuellen Produktinformationsseite in das zentrale Verzeichnis gekennzeichneter Produkte gestellt, welches über das Onlineangebot des Bundesamtes für Sicherheit in der IT öffentlich einsehbar ist.

6. Nachgelagerte Marktaufsicht: Tragen die IT-Produkte oder IT-Dienste das IT-Sicherheitskennzeichen, dann unterliegen diese ab Erteilung des IT-Kennzeichens einer nachgelagerten Beaufsichtigung durch das Bundesamt für Sicherheit. Die Behörde prüft in jenem Rahmen, ob die zugesicherten Besonderheiten des Produkts durch den Hersteller tatsächlich eingehalten werden. Werden bei dem Produkt Differenzen von der Herstellererklärung festgestellt, etwa eine IT-Schwachstelle, wird den betroffenen IT-Herstellern eine angemessene Frist gelassen, um die ermittelten Sicherheitslücken zu beseitigen und den zugesagten Status des Produkts wiederherzustellen.

Weitere Infos zur Aushändigung finden Sie in der Verfahrensbeschreibung IT-Sicherheitskennzeichen (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/IT-Sicherheitskennzeichen/Verfahrensbeschreibung.pdf?__blob=publicationFile&v=3).

Fazit: IT-Sicherheit als Erfolgskriterium auf dem Markt!

IT-Sicherheit, Zuverlässigkeit sowie hohe Verfügbarkeit sind relevante Qualitätsmerkmale von IT-Produkten oder IT-Diensten. Immer mehr Abnehmer legen Wert auf entsprechende Schutz-Standards.

Mit dem IT-Sicherheitskennzeichen haben jetzt IT-Hersteller sowie IT-Diensteanbieter eine Gelegenheit, das Informationsbedürfnis der Kund*innen zu erfüllen, indem sie die Sicherheitseigenschaften Ihrer IT-Produkte und IT-Dienstleistungen leicht ersichtlich machen und diese speziell hervorzuheben.

Wollen auch Sie Ihre Produkte oder Dienste mit dem IT-Sicherheitskennzeichen auszeichnen lassen und relevante Wettbewerbsvorteile sichern? Oder haben Sie noch weitere Fragen zum Thema? Kontaktieren Sie uns gerne!

 

Möchten Sie mehr über IT-Sicherheit für Ihr Unternehmen wissen, dann kontaktieren Sie uns gerne.


PCDsystems IT-Dienstleistungen

Siegfried Lambertz

TECHNOLOGIE PARK KÖLN

Widdersdorfer Str. 236-240

50825 Köln

Fon : +49 221 4744168-0

Fax : +49 221 4305446

E-Mail info @ pcd-systems.de

DSGVO Cookie Consent mit Real Cookie Banner _