Wie sicher sind IT-Services und technische Geräte? Das IT-Sicherheitskennzeichen soll Verbraucher:innen zukünftig eine Orientierungshilfe bieten. Im Rahmen eines Meetings der eco KG Abuse gab das BSI einen Überblick.
Mehr Transparenz für Verbraucher:innen verspricht das IT-Sicherheitskennzeichen des Bundesamts für Sicherheit in der Informationstechnik (BSI). Ab Ende des Jahres 2021 wird es voraussichtlich erstmals erteilt, für die Produktkategorien Breitbandrouter und E-Mail Dienste. Basis dafür sind die technischen Richtlinien BSI TR 3148 und BSI TR 3108. Joshu Wiebe, Leiter des Referates „Erteilung von IT-Sicherheitskennzeichen“ berichtete das am 18. August im Rahmen eines Meetings der eco Kompetenzgruppe Abuse.
Er gab in seinem Vortrag einen Überblick und diskutierte anschließend mit den Teilnehmern die Vorteile des Sicherheitskennzeichens für Industrie und Verbraucher. Begrüßt wurde, dass das geplante Sicherheitskennzeichen einen sinnvollen Beitrag zur Transparenz des IT-Sicherheitsniveaus von Produkten und Diensten leisten kann und damit einen Mehrwert für den Verbraucher bietet.
Sicherheitseigenschaften für Breitbandrouter und E-Mail Dienste nachweisen
Damit das IT-Sicherheitskennzeichen des BSI im Markt erfolgreich ist, soll es Informationen verständlich und transparent vermitteln. Es sollte keine nicht erfüllbaren Sicherheitsversprechen abgeben, sondern vielmehr einen Mehrwert bieten und einen praktikablen Rahmen setzen. Auch sollte es darauf abheben, dass Produkte mit bestimmten Standards kompatibel sind.
Für Breitbandrouter wird das BSI das IT-Sicherheitskennzeichen erteilen, wenn der Hersteller die Konformität des Produktes zu der Technische Richtlinie „Secure Broadband Router“ (BSI TR-03148) geprüft und deren Erfüllung durch eine Herstellererklärung bestätigt hat. Nachdem der Hersteller den Antrag auf Erteilung des IT-Sicherheitskennzeichens gestellt hat, prüft das BSI den Antrag und die Herstellererklärung auf Vollständigkeit und Plausibilität. Nach positiver Antragsprüfung verschickt das BSI einen Bescheid, der zur Nutzung des jeweiligen IT-Sicherheitskennzeichens für eine festgelegte Laufzeit berechtigt. Zusätzlich erstellt das BSI eine Produktinformationsseite, die zur Information der Verbraucher:innen über das jeweilige Produkt und die dazu abgegebene Herstellererklärung dient. Die Produktinformationsseite kann über einen permanenten Link erreicht werden, der als QR-Code auch fester Bestandteil des Kennzeichens ist.
Zu einem späteren Zeitpunkt wird das IT-Sicherheitskennzeichen auch für E-Mail Dienste erteilt werden. Grundlage hierfür ist die Umsetzung der BSI TR-03108 „Secure E-Mail-Transport“, welche konkrete Anforderungen an einen E-Mail-Diensteanbieter definiert und es diesem erlaubt, einen unabhängigen Nachweis über die Sicherheitsleistung seines E-Mail-Dienstes zu erbringen.
Fazit
Das IT-Sicherheitskennzeichen ist ein freiwilliger Service, den Anbieter und Hersteller für ihre Produkte und Dienste beantragen können. Es wird gewährt, wenn diese bestimmten vom BSI definierte Anforderungen erfüllen. Anders als bei einer Zertifizierung verlässt das BSI sich zunächst auf die Aussage des Herstellers oder Dienstanbieters. Ob die Anforderungen tatsächlich eingehalten sind, kontrolliert nachgelagert das BSI im Rahmen einer Marktaufsicht. Insgesamt profitieren Verbraucher:innen, weil sie nach nachvollziehbaren und festgelegten Kriterien beurteilen können, welche Geräte und Dienste welche Sicherheitseigenschaften besitzen.
