Die Beantwortung dieser Frage ist für Verbraucher*innen fast unmöglich, obgleich es immer mehr Geräte gibt, die mit dem Internet verbunden sind (Internet of Things). Egal ob es sich um einen Router, ein Smart-TV, ein Heizungsthermostat oder eine Überwachungskamera handelt, der Auswahl und der Fantasie sind hier keine Grenzen gesetzt. Die Verbindung mit dem Internet als auch die Kommunikation untereinander sorgt für Bequemlichkeit und Effizienz im Alltag, erhöht aber auch das Angriffspotenzial von außen. Um so bedeutsamer wird es für die Konsumenten, inwieweit sich der Hersteller bereits bei der Entwicklung des Produkts Gedanken um die IT-Sicherheit gemacht hat (Security by Design).
Da dies von außen nun mal nicht sofort zu erkennen ist, hatte man bisher keine andere Möglichkeit als auf die Reputation des Herstellers zu setzen oder diesen Aspekt bei seiner Kaufentscheidung gänzlich außen vor zu lassen. Frei nach dem Rheinischen Grundgesetz: „Et hätt noch emmer joot jejange.“
Durch das neue IT-Sicherheitsgesetz 2.0 hat das BSI den Auftrag erhalten, ein freiwilliges IT-Sicherheitskennzeichen einzuführen. Ziel dahinter ist es den Verbraucherinnen und Verbrauchern die grundlegenden Sicherheitseigenschaften von digitalen Produkten auf einen Blick transparent zu machen. Kurz um: Wie viel IT-Sicherheit steckt denn tatsächlich drin! Mit Beantragung des IT-Sicherheitskennzeichens verspricht der Hersteller die Erfüllung bestimmter technisch definierter (Sicherheits-)Standards. Als neutrale Stelle kann das BSI jederzeit die Einhaltung der Herstellererklärung überprüfen. Werden Abweichungen von der Herstellererklärung oder Schwachstellen bemerkt, kann das BSI über die jeweilige Produktinformationswebseite (hier ein Beispiel) darüber informieren. Bestehen sogar nachgewiesene Sicherheitslücken, kann das BSI das IT-Sicherheitskennzeichen auch widerrufen.
Das IT-Sicherheitskennzeichen kann…
… wichtige Fakten zu Sicherheitseigenschaften eines vernetzten Produkts verständlich zusammenfassen.
… aufzeigen, dass sich der Hersteller eines Produkts freiwillig dazu verpflichtet hat, die Anforderungen des BSI einzuhalten.
… fördern, dass mehr Hersteller das Sicherheitsniveau ihrer Produkte anheben, weil sie das Kennzeichen verwenden wollen.
… Vertrauen in Geräte, Dienste und auch Hersteller schaffen.
… Kundinnen und Kunden bei der Kaufentscheidung für ein IT-Produkt helfen.
Das IT-Sicherheitskennzeichen kann nicht…
… garantieren, dass ein IT-Produkt absolut sicher ist.
… garantieren, dass die Hersteller die aufgeführten Standards jederzeit und nach Ablauf der Gültigkeit des Kennzeichens erfüllen.
… als Prüfsiegel verstanden werden. Das BSI prüft das IT-Produkt nicht, sondern legt die Kriterien fest, denen sich die Hersteller verpflichten.
… garantieren, dass darüber hinaus Sicherheitslücken im Produkt bekannt werden oder ausschließen, dass Kriminelle Wege finden, die Sicherheitsmerkmale eines Produkts zu überwinden. Sobald das BSI davon Kenntnis erhält, informiert es über die Schwachstelle.
Bis das IT-Sicherheitszeichen flächendecken im Handel vertreten ist, wird noch etwas Zeit vergehen. Aber schon heute arbeitet das BSI an der Erweiterung der Produktkategorien. Auf europäischer Ebene gibt es bisher noch keine einheitliche Kennzeichnung, obgleich dies über den im Jahr 2019 in Kraft getretenen Cybersecurity Act (CSA) und dessen Zertifizierungsrahmenwerk möglich wäre.
BSI – Bundesamt für Sicherheit in der Informationstechnik
In diesem Zusammenhang verweisen wir gerne auf den ersten Mitglieder-Stammtisch im neuen Jahr am 18.01.2022, der sich u.a. auch mit dieser Fragestellung beschäftigen wird. Direkt vormerken lohnt sich!