adesso Blog

Im adesso-Blog berichten wir unter anderem über Technologien, Methoden, Themen, die einzelne Branchen bewegen oder die eigenen Erfahrungen.

IT-Unternehmen können ihre Produkte vom Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem IT-Sicherheitskennzeichnen auszeichnen lassen. Die Unternehmen sichern dabei zu, die jeweiligen Sicherheitsrichtlinien für ihre Produktkategorie einzuhalten. Das Kennzeichen ist für einen bestimmten Zeitraum gültig. Das Siegel wurde am 8. Dezember 2021 eingeführt und wurde auf dem letzten IT-Sicherheitskongress am 1. Februar 2022 erstmalig vergeben. Die Grundlage hierfür bietet das IT-Sicherheitsgesetzt 2.0.

Wofür ist das IT-Sicherheitskennzeichen gut?

Das IT-Sicherheitskennzeichen gibt den Nutzenden eine transparente und schnelle Übersicht, ob ein Produkt die von ihnen geforderten Sicherheitsrichtlinien einhält. Damit trägt es zu mehr Transparenz im digitalen Konsumierendenschutz in Deutschland bei. Nutzenden wird es dadurch ermöglicht einfacher und informierter zu beurteilen, ob ein bestimmtes Produkt die Sicherheitsanforderungen einhält. Zu jedem IT-Sicherheitskennzeichen gibt es eine Produktseite des BSI, auf der aufgelistet ist, ob das Produkt die Sicherheitsanforderungen erfüllt. Falls es aktuelle Schwachstellen zu dem Produkt gibt, kann dies ebenfalls auf der jeweiligen Produktseite des BSI nachgeschaut werden.

Der Weg zum IT-Sicherheitskennzeichen

Nicht alle Produkte können ein IT-Sicherheitskennzeichen beantragen. Bislang gibt es die im Bild dargestellten Produktkategorien (Stand 02.09.2022).

Produktkategorien IT-Sicherheitskennziechen

Die technischen Richtlinien, die zur jeweiligen Produktkategorie gehören, werden ebenfalls an gleicher Stelle zur Verfügung gestellt. Auch wenn es bislang wenige zu sein scheinen, wird die Liste kontinuierlich erweitert werden. Unsere Welt wird immer smarter und vernetzter, dementsprechend werden auch an die IT-Produkte höhere Sicherheitsanforderungen gestellt. Zunächst einmal liegt es an den herstellenden Unternehmen, dass das Produkt von Anfang an sicher gestaltet wird (Security by Design) und alle technischen Sicherheitsrichtlinien der jeweiligen Produktgruppe des BSI umgesetzt sind. Das IT-Sicherheitskennzeichen kann auf den Seiten des BSI beantragt werden. Dafür benötigt das BSI folgende Informationen:

  • Vollständig ausgefüllter Antrag für die jeweilige Produktkategorie
  • Produktbilder für die Veröffentlichung auf den Internetseiten des BSI
  • Aktueller Auszug aus dem Handelsregister (nicht älter als 6 Monate)
  • Formlose Selbsterklärung, dass das Unternehmen sich nicht in Insolvenz oder Liquidation befindet
  • Gegebenenfalls weitere ergänzende Anlagen zum Antrag

Die Formulare befinden sich hier.

Unter den Anlagen befindet sich auch die technische Erklärung, die unter anderem folgende Punkte abfragt:

  • Wie werden Standardpasswörter falls nötig generiert?
  • Wie verlaufen die Meldeverfahren zum Umgang mit Schwachstellen?
  • Wie werden zugesicherte Supportzeiten gegenüber den Nutzenden transparent gemacht?
  • Wie wird sichergestellt, dass über das Netzwerk keine unautorisierten sicherheitsrelevanten Änderungen an der Konfiguration des Produkts vorgenommen werden können?
  • uvm.

Auch wird nach dem Handbuch für Benutzende und falls vorhanden einem technischen Produktblatt gefragt. In Summe sind die Anträge und auszufüllenden Dokumente kurzgehalten. Eine technische Prüfung jedes einzelnen Produktes erfolgt nicht, stattdessen können einzelne Produkte stichprobenartig von der Marktaufsicht überprüft werden. Falls das IT-Sicherheitskennzeichen vergeben wird, wird es für einen bestimmten Zeitraum vergeben (in der Regel 2 Jahre) und kann anschließend verlängert werden. Zudem kann es von Seiten des BSI widerrufen werden, falls Sicherheitsstandards nicht eingehalten werden.

Welche Informationen können Nutzende sehen?

Das IT-Sicherheitskennzeichen schafft kein Versprechen, dass das Produkt zu 100% sicher ist. Insbesondere liegt es am Nutzenden, Sicherheitsfeatures nicht auszuschalten oder Produkte so zu nutzen, dass Dritten der Zugang zu Passwörtern und co. erleichtert wird.

Nutzende sind durch das IT-Sicherheitskennzeichen in der Lage, auf einen Blick wichtige Fakten zu Sicherheitseigenschaften eines vernetzten Produkts zu erhalten. Über einen QR-Code gelangen sie zu der Produktseite des BSI und dem aktuellen Status des Produktes, hier eine Beispielseite dazu. So können sie sehen, dass sich die Herstellerfirma eines Produkts freiwillig dazu verpflichtet hat, die Anforderung des BSI einzuhalten. Dies kann einen Wettbewerbsvorteil darstellen. Meist ist es nicht auf einen Blick ersichtlich, ob ein Produkt Sicherheitsstandards einhält. Unsere Welt wird immer vernetzter, immer mehr Geräte werden smart. Die analoge Welt wird immer digitaler, für Nutzende ist es schwierig, zu erkennen, ob ein smartes Gerät auch digital sicher ist oder nicht. Wir wissen, welchen Stromverbrauch Geräte haben, aber oftmals nicht, wie unsere Daten abgesichert sind. Das IT-Sicherheitskennzeichen könnte mehr vertrauen schaffen.

Das IT-Sicherheitskennzeichen könnte eine wichtige Komponente in der Kaufentscheidung von Nutzenden werden. Es kann außerdem eine zusätzliche Komponente sein, die mehr Transparenz in der smarten Welt schafft. Es ist nicht das Allheilmittel und garantiert auch nicht, dass ein IT-Prdoukt absolut sicher ist, da immer neue Angriffsvektoren entstehen können. Es kann jedoch der erste Schritt für mehr Vertrauen in digitale Produkte und gleichzeitig eine Selbstverpflichtung von Produktherstellern gegenüber ihren Kundinnen und Kunden sein.

Bislang haben zwei Produktarten das IT-Sicherheitskennzeichen erhalten: E-Mail-Dienste und Breitbandrouter. Das IT-Sicherheitskennzeichen ist in der breiten Massen, insbesondere im herstellenden Gewerbe, noch nicht bekannt. Dies könnte sich im Laufe der Jahre ändern.

Bild Vivien Emily  Schiller

Autorin Vivien Emily Schiller

Vivien Schiller ist als Senior Software Engineer bei adesso in Dortmund tätig. Sie ist dort auf die Sicherheit von Webanwendungen spezialisiert, gibt Schulungen im Bereich Kryptographie und bechäftigt sich mit Security Awareness Maßnahmen. Zudem leitet sie zusammen mit ihrer Kollegin die She for IT Initiative und setzt sich für mehr Diversität in der IT Branche ein.

Kategorie:

Softwareentwicklung

Schlagwörter:

IT-Sicherheit

Diese Seite speichern. Diese Seite entfernen.