Noch Fragen?
Wir sind Ihr Ansprechpartner rund um OneDrive for Business.
IT-Sicherheitskennzeichen: Das sollten Sie wissen!
Mit dem IT-Sicherheitsgesetz 2.0 hat das Bundesamt für Sicherheit in der IT die Anordnung erhalten, ein freiwilliges IT-Sicherheitskennzeichen einzuführen. Worum es sich hierbei exakt handelt und weshalb es sich rentiert, dieses zu beantragen, lesen Sie in dem nachfolgenden Blogbeitrag.
Das Internet der Dinge dehnt sich stets weiter aus und erreicht sämtliche Geschäftsbereiche und Lebensbereiche. Vom Kühlschrank und einer Waschmaschine bis zum Stift: Derweil werden ständig mehr Geräte und Alltagsgegenstände mit Sensoren, Prozessoren, einer Netzwerkverbindung wie auch mehr „Intelligenz“ und Kommunikationsfähigkeiten ausgestattet, um einen beruflichen wie auch privaten Alltag angenehmer sowie effizienter zu gestalten.
Schon heute befinden sich schätzungsweise 35 Mrd. IoT-Geräte (https://www.aargauerzeitung.ch/aargau/brugg/lupfig-internet-der-dinge-praegt-den-alltag-die-vernetzte-zukunft-beginnt-im-eigenamt-ld.2205984) im Einsatz. Bis zum Jahr 2025 soll sich jener Wert auf 75 Mrd. erhöhen.
Doch die gegenwärtige Verbindung und die steigende Anzahl smarter Geräte sowie Dinge birgt Gefahren: Sie verursacht mehr und mehr Internetkriminelle auf den Plan, die mit zunehmend aggressiveren sowie ausgefeilteren Angriffsmethoden jede noch so kleine Schwäche in den Produkten aufspüren und zu deren Gunsten missbrauchen.
Um diesem vorzubeugen, heißt es für IT-Hersteller sowie Diensteanbieter, eine IT-Sicherheit schon bei der Produktentwicklung zu berücksichtigten und über den gesamten Produktlebenszyklus hinweg zu inkludieren. In welchem Ausmaß dies geschieht, soll fortan ein neues IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik (https://www.bsi.bund.de) ersichtlich machen.
Was ist das IT-Sicherheitskennzeichen?
Beim IT-Sicherheitskennzeichen handelt es sich zunächst um ein freiwilliges Label, das IT-Herstellern und Diensteanbietern die Möglichkeit liefert, Durchsichtigkeit zu schaffen und Verbraucher*innen zu zeigen, dass ihre Waren und Dienste über bestimmte Sicherheitseigenschaften verfügen wie auch die Anforderungen einschlägiger IT-Sicherheitsstandards einbeziehen.
Vornehmlich geht es bei der Kennzeichnung des Bundesamtes für Sicherheit in der Informationstechnik darum, dass „Security-by-Design“ und das „Security-by-Default“-Modell in der Produktentwicklung zu forcieren wie auch das Einhalten der allgemeinen Schutzziele der Informationssicherheit wie Vertraulichkeit, Integrität sowie Vorhandensein von Infos sicherzustellen.
Wie ist das Etikett für das IT-Sicherheitskennzeichen gestaltet?
Das Etikett des IT-Sicherheitskennzeichens wird durch das Bundesamt für Sicherheit in der IT in elektronischer Form bereit gestellt. Die IT-Hersteller und Diensteanbieter können das Label daraufhin auf einem Gerät, einer Verpackung oder der Unternehmenswebseite positionieren.
Das Label besitzt beispielsweise die Herstellererklärung sowie einen QR-Code nach § 9c Abs. 2 IT-SiG 2.0. (https://www.buzer.de/9c_BSIG.htm). Letzteres führt auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik, auf welcher Informationen zum IT-Produkt, zur Laufzeit des IT-Sicherheitskennzeichens und gegenwärtige Sicherheitsinformationen zu bestehenden Schwachpunkten oder bevorstehenden Sicherheitsupdates zu finden sind.
Auf welchen rechtlichen Grundlagen basiert das IT-Sicherheitskennzeichen?
Um das IT-Sicherheitskennzeichen zu erhalten, müssen die IT-Hersteller sowie Diensteanbieter einen Antrag auf Aushändigung des IT-Sicherheitskennzeichens beim Bundesamt für Sicherheit in der Informationstechnik einreichen. Dabei ist die Beantragung des IT-Sicherheitskennzeichens nur im Rahmen der vom Bundesamt für Sicherheit in der Informationstechnik festgesetzten und im Bundesanzeiger veröffentlichten und bekannt gegebenen Produktkategorien ausführbar.
Hierzu zählen bis jetzt die Bereiche
• Breitbandrouter
• E-Mail-Dienste
• vernetzte TVs (Smart-TV)
• Foto und Videokameras
• Lautsprecher
• Spielzeuge und
• Reinigungs- wie auch Gartenroboter
Darüber hinaus richtet sich die Aushändigung des IT-Sicherheitskennzeichens nach § 9c des Gesetzes über das Bundesamt für Sicherheit in der IT (https://www.gesetze-im-internet.de/bsig_2009/__9c.html), kurz BSIG, in Konnektivität mit den Richtlinien der gesetzlichen Regulierung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik www.bgbl.de/xaver/
Ablauf eines Erteilungsprozesses!
Der Erteilungsprozess funktioniert eigentlich in verschiedenen Prozessschritten:
1. Download Antrag: Im ersten Ablaufschritt müssen die „Antragsformulare auf Freigabe des IT-Sicherheitskennzeichens“ (https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/IT-Sicherheitskennzeichen/fuer-Hersteller/Antrag/IT-SiK-Antrag_node.html#Antragsunterlagen) auf der Webseite des Bundesamtes für Sicherheit in der Informationstechnik heruntergeladen werden. Diese bestehen aus dem allgemeinen Hauptantrag und der produktspezifischen Herstellererklärung.
2. Antragstellung inklusive Herstellererklärung: Im folgenden Schritt müssen die antragstellenden IT-Unternehmen und Diensteanbieter nachprüfen, ob ihr IT-Produkt oder der IT-Dienst die Bedingungen der entsprechenden Produktkategorie erfüllt. Wenn das so ist, wird dies mit dem Ausfüllen der Herstellererklärung verifiziert.
3. Plausibilitätsprüfung: Wenn dem Bundesamt für Sicherheit alle erforderlichen Angaben sowie Unterlagen vorliegen, wird der eingereichte Antrag vom Inhalt her untersucht und gecheckt. Hier ist zu berücksichtigen, dass das Bundesamt für Sicherheit in der Informationstechnik im Rahmen der Freigabe des IT-Sicherheitskennzeichens zunächst keinerlei Tiefenprüfung oder technische Auswertung der erklärten Sicherheitsvorgaben durchführt, sondern die Angaben sowie eingereichten Dokumente der IT-Hersteller bloß auf Glaubhaftigkeit bewertet.
4. Abrechnung Verwaltungskosten: Für die Antragsbearbeitung wird durch das Bundesamt für Sicherheit in der Informationstechnik eine Verwaltungsgebühr erhoben. Sie bildet sich aus der „Besonderen Gebührenverordnung des Bundesministeriums des Innern und für Heimat“ (https://www.gesetze-im-internet.de/bmibgebv/BJNR135900019.html), kurz BMIBGebV, sowie dem tatsächlich angefallenen Zeitaufwand und den verursachten Auslagen. Grundlegend bewegt sich die entstehende Verwaltungsgebühr unter den Ausgaben eines BSI-Zertifizierungsverfahrens.
5. Erlass, Ausstellung, Veröffentlichung: Im Fall einer guten Entscheidung, erhält der Bewerber einen entsprechenden Bewilligungsbescheid und die Bereitstellung des individuellen Etiketts. Zur selben Zeit wird das Produkt mit einer individuellen Produktinformationsseite in das zentrale Register gekennzeichneter Produkte aufgenommen, das über das Internetangebot des Bundesamtes für Sicherheit in der Informationstechnik öffentlich einsehbar ist.
6. Nachgelagerte Marktaufsicht: Tragen die IT-Produkte und IT-Dienste das IT-Sicherheitskennzeichen, so unterliegen diese ab Erteilung des IT-Kennzeichens der nachgelagerten Überwachung durch das Bundesamt für Sicherheit. Die Einrichtung prüft in diesem Kontext, ob die zugesicherten Eigenschaften des Produkts durch den Hersteller wirklich eingehalten werden. Werden bei dem Produkt Differenzen von der Herstellererklärung erkannt, beispielsweise eine IT-Schwachstelle, wird den betroffenen IT-Herstellern eine angemessene Frist eingeräumt, um die ermittelten Sicherheitslücken zu beheben und den zugesicherten Zustand des Produkts wiederherzustellen.
Mehr Informationen zur Aushändigung finden Sie in der Verfahrensbeschreibung IT-Sicherheitskennzeichen (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/IT-Sicherheitskennzeichen/Verfahrensbeschreibung.pdf?__blob=publicationFile&v=3).
Fazit: IT-Sicherheit als Erfolgskriterium auf dem Markt!
IT-Sicherheit, Verlässlichkeit und gute Verfügbarkeit sind relevante Qualitätskriterien von IT-Produkten oder IT-Diensten. Stets mehr Verbraucher legen Wert auf entsprechende Schutz-Standards.
Mit einem IT-Sicherheitskennzeichen haben jetzt IT-Hersteller sowie IT-Diensteanbieter eine Gelegenheit, das Informationsbedürfnis der Kund*innen zu erfüllen, insofern sie die Sicherheitseigenschaften der IT-Produkte und IT-Dienstleistungen leicht erkennbar machen und diese besonders hervorzuheben.
Möchten auch Sie Ihre Produkte oder Dienste mit dem IT-Sicherheitskennzeichen versehen lassen und wichtige Wettbewerbsvorteile sichern? Oder haben Sie noch weitere Anliegen zum Thema? Kontaktieren Sie uns gerne!