Freiwilliges IT-Sicherheitskennzeichen nach BSIG

Das IT-Sicherheitskennzeichen ist ein freiwilliges Label für IT-Produkte durch die Hersteller und Betreiber. Erste Produktkategorien sind ab Herbst 2021 die Breitbandrouter und E-Mail-Dienste. Die Hersteller und Betreiber müssen beim BSI einen Antrag stellen. In dem Antrag erklären sie, dass ihr Produkt mit bestimmten Sicherheitseigenschaften ausgestattet ist, die auf Anforderungen einschlägiger IT-Sicherheitsstandards beruhen. Das BSI prüft den Antrag innerhalb von sechs Wochen auf Vollständigkeit und unterzieht diesem einer Plausibilitätsprüfung. Es findet dabei keine technisch-inhaltliche Prüfung statt, wie dies z.B. im Rahmen einer BSI-Zertifizierung der Fall wäre. Das BSI und die Konsument:innen verlassen sich also zunächst auf die Angaben der Hersteller und Betreiber. Die Laufzeit des Labels beträgt regelmäßig zwei Jahre.

Die Kosten zur Erteilung des IT-Sicherheitskennzeichen liegen normalerweise im dreistelligen €-Bereich. Je nach Prüfungsaufwand können die Kosten auch im niedrigen vierstelligen €-Bereich liegen.

IT-Sicherheit wird hier für Hersteller vorrangig als ein Verkaufsargument gedacht und durch das Label soll das Produkt sich von anderen unterscheiden lassen. Produkthaftung ist hierbei nicht thematisiert. Gehofft wird, dass die Kennzeichnung zu einer Sensibilisierung von Verbraucher:innen und damit zu einem verstärkten Bewusstsein für IT-Sicherheit allgemein beiträgt.

Auf europäischer Ebene existiert mit dem im Juni 2019 in Kraft getretenen Cybersecurity Act ein Zertifizierungsrahmenwerk, das grundsätzlich auch die Möglichkeit einer europäischen Kennzeichnung sowie der weiteren Regulierung des Internets der Dinge für den gesamteuropäischen digitalen Binnenmarkt eröffnet. Im Jahre 2021 gibt es noch kein einheitliches IT-Sicherheitskennzeichen auf EU-Ebene.

Das BSI fasst unter "Neuigkeiten für Verbraucherinnen und Verbraucher" den "neuer Pfeiler des digitalen Verbraucherschutzes in Deutschland" knapp so zusammen:

Das IT-Sicherheitskennzeichen kann

  • ... wichtige Fakten zu Sicherheitseigenschaften eines vernetzten Produkts verständlich zusammenfassen.
  • ... aufzeigen, dass sich der Hersteller eines Produkts freiwillig dazu verpflichtet hat, die Anforderungen des BSI einzuhalten.
  • ... fördern, dass mehr Hersteller das Sicherheitsniveau ihrer Produkte anheben, weil sie das Kennzeichen verwenden wollen.
  • ... Vertrauen in Geräte, Dienste und auch Hersteller schaffen.
  • ... Kundinnen und Kunden bei der Kaufentscheidung für ein IT-Produkt helfen.

Das IT-Sicherheitskennzeichen kann nicht

  • … garantieren, dass ein IT-Produkt absolut sicher ist.
  • … garantieren, dass die Hersteller die aufgeführten Standards jederzeit und nach Ablauf der Gültigkeit des Kennzeichens erfüllen.
  • … als Prüfsiegel verstanden werden. Das BSI prüft das IT-Produkt nicht, sondern legt die Kriterien fest, denen sich die Hersteller verpflichten.
  • … garantieren, dass darüber hinaus Sicherheitslücken im Produkt bekannt werden oder ausschließen, dass Kriminelle Wege finden, die Sicherheitsmerkmale eines Produkts zu überwinden. Sobald das BSI davon Kenntnis erhält, informiert es über die Schwachstelle.

Das "Freiwillige IT-Sicherheitskennzeichen" ist geregelt in § 9c des Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG).

Im Juli 2021 wird vom BMI ein Referentenentwurf "Rechtsverordnung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik (Rechtsverordnung IT-Sicherheitskennzeichen –BSI-ITSiKV)" veröffentlicht. "Haftung" oder "Risiko" tauchen dort nicht auf.

Quellen

kritische

weitere