Das BSI hat für Hersteller und Anbieter von IT-Produkten ein neues IT-Sicherheitskennzeichen aufgelegt, das Verbraucherinnen und Verbrauchern ab Ende 2021 als Orientierungshilfe mehr Transparenz bieten soll.

Das im April 2021 verabschiedete zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz IT-Sicherheitsgesetz 2.0 oder noch kürzer IT-SiG 2.0, gibt dem Bundesamt für Sicherheit in der Informationstechnik (BSI) neue Kompetenzen, die Arbeit als Cyber-Sicherheitsbehörde des Bundes zu stärken. Dazu gehören die Punkte Detektion und Abwehr, Cyber-Sicherheit in den Mobilfunknetzen, Verbraucherschutz, IT-Security für Unternehmen und das BSI als nationale Behörde für Cybersicherheitszertifizierung (NCCA) auszuweisen.

Einer der ersten Zertifizierungsschritte ist das neue IT-Sicherheitskennzeichen, mit denen IT-Unternehmen sich ab Ende 2021 für die Sicherheit ihrer Produkte und Dienstleistungen verbürgen können. Das Kennzeichen soll vor allem mehr Transparenz für die Verbraucherinnen und Verbraucher in Deutschland schaffen, ist aber gemäß § 9c BSIG optional. Den Anfang sollen zum Jahresende mit BSI TR-03148 und BSI TR-03108 Breitbandrouter und E-Mail-Dienste machen. Weitere Produkte und Dienstleistungen sollen folgen.

Erteilung des IT-Sicherheitskennzeichens in vier Schritten

1. Antrag herunterladen: Ab Ende 2021 stehen auf der Webseite des BSI die ersten Anträge zum Download bereit.
2. Antragstellung mit Herstellererklärung: Vor der eigentlichen Antragstellung muss der Hersteller oder Anbieter prüfen, ob sein Produkt oder Service den Anforderungen für die jeweilige Produktkategorie erfüllt und mit dem Antrag in Form einer Herstellererklärung dokumentieren.
3. Plausibilitätsprüfung: Das BSI nimmt dann auf Grund des Antrags und der mit eingereichten Herstellererklärung eine Plausibilitätsprüfung vor.
4. Erteilung: Sind alle Kriterien erfüllt, erhält der Hersteller oder Anbieter nach positiver Antragsprüfung vom BSI mit dem Kennzeichen einen Bescheid, der zu dessen jeweils zeitlich befristeten Nutzung berechtigt. Außerdem geht mit dem Bescheid und dem IT-Sicherheitskennzeichen auch eine vom BSI erstellte Produktinformationsseite für Verbraucherinnen und Verbraucher ein. Die Produktinformationsseite enthält auch die Herstellererklärung und kann über einen permanenten Link erreicht werden, der als QR-Code auch fester Bestandteil des IT-Sicherheitskennzeichens ist.

Die Nutzung des IT-Sicherheitskennzeichens auf Zeit ist dem BSI offensichtlich wichtig, denn wie eine BSI- Grafik zeigt, soll nachgelagert immer eine Marktaufsicht mit regelmäßiger und gegebenenfalls anlassbezogener Prüfung erfolgen.

Für Verbraucherinnen und Verbraucher hält das BSI einen gesonderten Link mit für sie relevante Neuigkeiten und Informationen zum neuen IT-Sicherheitskennzeichen bereit. Da sieht man zum Beispiel Anfang Dezember 2021 das Kennzeichen noch als Entwurf gekennzeichnet. Aber ab Jahresende soll es kommen, so das Versprechen des BSI. Auf der Verbraucherinformationsseite erfährt man, was das Kennzeichen bietet und was es nicht garantieren kann, die Gewähr für absolute Produktsicherheit. Ferner will das BSI das Kennzeichen ausdrücklich nicht als Prüfsiegel verstanden wissen. Denn das Bundesamt prüft die jeweiligen Produkte und Dienstleistungen nicht, sondern legt lediglich die Kriterien fest, denen sich die Hersteller verpflichten können sollen.

Fazit

Das neue IT-Sicherheitskennzeichen geht in die richtige Richtung und dürfte, wenn auch ausdrücklich nicht so genannt, zu einer Art Qualitätssiegel im Bereich die Cyber-Security werden, so wie die von A bis G reichenden neuen Energie-Kennzeichen (der EU) für elektrische Geräte.

Bildquelle Titelbild: Adobe Stock / Panuwat