Was sagt das IT-Sicherheitskennzeichen aus?

Das BSI

In der Bundesrepublik existieren zahlreiche Behörden, für so ziemlich alle Bereiche, die man sich vorstellen kann. Besonders im Vorfeld der aktuellen Legislaturperiode der Regierung wurde immer wieder von einem veralteten System und mangelnder Digitalisierung gesprochen. Die neue Regierung wollte das ändern. Denn unsere Welt dreht sich stetig weiter und neue Technologien entstehen. Besonders die Welt der IT entwickelt sich so schnell, dass immer neue Wege geschaffen werden, um Missbrauch mit fortgeschrittener Technik zu ermöglichen. Aus diesem Grund ist Kontrolle wichtig, auch um einzelnen Unternehmen nicht zu viel Macht zu geben.
Für den Schutz der Netze des Bundes, dem Erkennen und Abwehren von Hacker-Angriffen und der Warnung vor Schadprogrammen sowie Sicherheitslücken, existiert das Bundesamt für Sicherheit in der Informationstechnik. Neben diesen Aufgaben zertifiziert das BSI auch IT-Produkte, beziehungsweise Dienstleistungen.

Das IT-Sicherheitskennzeichen

Seit Ende 2021 existiert das IT-Sicherheitskennzeichen des BSI. Das Bundesamt musste dies aufgrund eines Auftrags einführen, den das neue IT-Sicherheitsgesetz 2.0 mit sich brachte. Das Kennzeichen ist, in erster Linie, für den Verbraucherschutz gedacht und soll diesen zeigen, dass das IT-Produkt, das sie möglicherweise erwerben sollen, den Anforderungen des BSI gerecht wird. Außerdem kann ein QR-Code auf dem Kennzeichen, das sich auf den Verpackungen von Produkten befindet, gescannt werden, der dann einen Link zu Produktinformationen öffnet. Die geöffnete Seite gehört dem BSI an und liefert Fakten zu den Sicherheitseigenschaften etc. des Produktes.
Das IT-Sicherheitskennzeichen ist bisher noch ein freiwilliges Sigel. Heißt, dass Hersteller von Produkten dieses selbst beantragen können. Damit können sie mit mehr Transparenz gegenüber ihren potenziellen Kunden glänzen und bei diesen ein begründetes Vertrauen gegenüber Produkt, Dienstleistung oder Unternehmen hervorrufen. Der Hersteller verpflichtet sich dazu, die Sicherheitsstandards einzuhalten, die das BSI vorgibt. Dieses hat für jede Kategorie von Produkten, die seiner Zuständigkeit unterfällt, Vorgaben erstellt, die eben je nach Produkt variieren und für den Erhalt des Kennzeichens notwendig sind.

Aktuelle Produkte

Bisher existieren drei Produktkategorien, in deren Rahmen das IT-Sicherheitskennzeichen vergeben wird. Das sind Breitbandrouter, E-Mail-Dienste und smarte Verbrauchergeräte (Fernseher, Sprachassistenten etc.).

Breitbandrouter

Der Breitbandrouter ermöglicht eine Verbindung zum Internet überhaupt erst. Somit ist die Sicherheit des Routers für eine geschützte Anwendung von hoher Relevanz.
Anforderungen, die nach der Richtlinie 03148 gestellt werden, sind:

-Bereitstellung von Updates bei Sicherheitslücken
-Mechanismen zum Schutz des Zugriffs auf Geräte
-Bereitstellung von transparenten Informationen durch den Hersteller
-Richtlinienkonforme Verschlüsselung
-Löschmöglichkeit von Daten, die nicht ohne Weiteres wiederhergestellt werden können.

Richtlinien wie diese, stecken einen Rahmen, in dem nationale Gesetze erlassen werden müssen. Die Umsetzung von Richtlinien muss in einem gewissen zeitlichen Rahmen stattfinden. Anders aber als Verordnungen, wie beispielsweise die DSGVO, finden sie keine unmittelbare Anwendung. Nur die umgesetzten, nationalen Gesetze sind direkt anzuwenden.

E-Mail-Dienste

Die Richtlinie 03108 für sicheren E-Mail-Transport, gibt vor, welche Anforderungen Anbieter von E-Mail-Providern erfüllen müssen, um das Kennzeichen zu erhalten.
Dabei überschneidet sich das Merkmal der Transparenz, bei dem auch der E-Mail-Anbieter Informationen bereitstellen muss, die die Sicherheit des Dienstes angehen. Auch hier müssen Updates ermöglicht werden, um Sicherheitslücken auszumerzen. Außerdem müssen die Schnittstellen des Anbieters möglichst sicher sein. Bedeutet beispielsweise, dass Informationen, die anderen Diensten bereitgestellt werden, entsprechend verschlüsselt sein müssen.
Der Anbieter muss darüber hinaus ein transparentes und adäquates Sicherheitskonzept gewährleisten, das die Nutzer des Dienstes entsprechend schützt. Darunter fallen Vertraulichkeit, Integrität und Verfügbarkeit.

Smarte Verbrauchergeräte

Die jüngst hinzugekommene Kategorie sind die smarten Verbrauchergeräte, wie Fernseher etc.
Auch hier gilt Transparenz gegenüber dem Kunden, genau wie bei den beiden anderen Kategorien.
Smarte Geräte sollten zudem, laut dem BSI, einem Zugriffsschutz unterliegen, der gewisse Mechanismen enthält. Darunter fallen beispielsweise Passwörter, PIN etc.
Zudem fordern die EU und das Bundesamt, eine kryptografische Absicherung der Kommunikationsverbindungen, wie dem Internet, zum Schutz der vertraulichen Informationen der Verbraucher.
Aktualität der Produkte ist auch hier durch die Richtlinie 03173 vorgeschrieben, womit ebenfalls vor allem Sicherheitsupdates gemeint sind.
Außerdem steht die Benutzerfreundlichkeit im Fokus. Natürlich in Bezug zu den Sicherheitsmechanismen. Der Nutzer muss auf einfachem und übersichtlichem Weg die Möglichkeit haben, Passwörter zu ändern oder Daten zurückzusetzen.
Mögliche Schnittstellen mit anderen Anbietern müssen auch hier besonders gut geschützt, also verschlüsselt etc. werden.

Fazit

Das Bundesamt für Sicherheit in der Informationstechnologie, dient, neben vielen anderen Tätigkeiten, der Vergabe des IT-Sicherheitskennzeichens. Dieses basiert auf den gegebenen EU-Richtlinien und dem IT-Sicherheitsgesetz 2.0.
Dieses Kennzeichen kommt dem Verbraucherschutz zugute, indem Produkte und Dienstleistungen, die sich besonders stark im Einklang mit dem Gesetz befinden, für den Käufer erkennbar sind. Durch einen QR-Code auf der Verpackung, gelangt man auf die Seite des BSI, die, aktuelle Informationen zu dem Produkt bereithält. Bis zu diesem Zeitpunkt kann das IT-Sicherheitskennzeichen in drei verschiedenen Produktkategorien vergeben werden. Den Breitbandroutern, den E-Mail-Diensten und den smarten Verbrauchergeräten. All dies ist auch stark im Sinne der DSGVO, da viele Komponenten der IT-Sicherheit Schnittstellen mit dem Datenschutz aufweisen. In diesem Sinne ist es ratsam, einen externen Datenschutzbeauftragten und einen IT-Sicherheitsbeauftragten heranzuziehen, will man das wertvolle Kennzeichen erhalten.
Dieser Erhalt ist nicht nur im ökonomischen Interesse des Herstellers, sondern dient vor allem dem Schutz der Menschen.

Die Immerce GmbH ist Ihre/eine Internet Agentur im Allgäu und programmiert seit über 10 Jahren leistungsstarke Webshops auf Magento und Shopware Basis und betreibt für Ihre Kunden Suchmaschinenoptimierung. Seit 2018 mit der Einführung der DSGVO betreut die Immerce GmbH Ihre Kunden erfolgreich in Datenschutz & IT-Sicherheit mit TÜV geprüften Datenschutzauditoren und Informationssicherheitsbeauftragten nach ISO 27001.

Firmenkontakt
Immerce GmbH
Frank Müns
Kemptener Straße 9
87509 Immenstadt
+49 (0) 8323 – 209 99 40
info@immerce.de
https://www.immerce-consulting.de/

Pressekontakt
Immerce GmbH
Carvin Müns
Kemptener Straße 9
87509 Immenstadt
+49 (0)8323 – 209 99 40
carvin.muens@immerce.de
https://www.immerce-consulting.de/

Die Bildrechte liegen bei dem Verfasser der Mitteilung.