Bereits im Februar 2022 hat das BSI zum ersten Mal ein IT-Sicherheitskennzeichen vergeben. Hersteller können damit ihre vernetzten IT-Produkte und Dienste auszeichnen lassen und potenziellen Käufern zusichern, dass bestimmte Sicherheitseigenschaften eingehalten sind.
Aber was ist das IT-Sicherheitskennzeichen genau? Und sind ausgezeichnete Produkte wirklich sicher?
- Vernetzte Geräte als Einfallstor
- Was ist das IT-Sicherheitskennzeichen?
- Wie funktioniert das IT-Sicherheitskennzeichen?
- Sind ausgezeichnete Produkte wirklich sicher?
- Warum ist das IT-Sicherheitskennzeichen wichtig?
- Seit wann gibt es das IT-Sicherheitskennzeichen?
- IT-Fachleute unterstützen bei IT-Sicherheit
Vernetzte Geräte als Einfallstor
Immer mehr Geräte sind miteinander vernetzt. Das Problem: Die Angriffsfläche für Gefahren aus dem Cyberspace wird dadurch immer größer. Besonders bedrohlich wird das Ganze dadurch, dass es immer häufiger zu Software-Schwachstellen kommt (siehe dazu den BSI-Lagebericht 2023) und vernetzte Geräte nicht selten davon betroffen sind.
Das ist aber kein neues Phänomen. Bereits Ende 2020 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine entsprechende Warnung herausgegeben. In dem Bericht hieß es unter anderem, dass Millionen vernetzter Geräte von etwa 150 Herstellern Sicherheitslücken aufwiesen – darunter Überwachungskameras, Umgebungssensoren für Temperatur und Luftfeuchtigkeit, Drucker und vernetzte Audiosysteme, aber auch Schließanlagen, Feuermelder und Klimaanlagen. Also alles Geräte, die nicht nur in Privathaushalten, sondern auch in Unternehmen zum Einsatz kommen.
Das ist durchaus gefährlich. Denn: Entdecken Hacker solche Schwachstellen, können sie darüber beispielsweise Geräte kapern, Daten stehlen und Computersysteme angreifen. Ein Hindernis stellt sich ihnen dabei oft nicht in den Weg, denn die verwundbaren Codes lassen sich ausnutzen, bevor Sicherheitsmechanismen wie beispielsweise eine Antivirensoftware zum Tragen kommen. Genau deshalb gibt es das IT-Sicherheitskennzeichen des BSI.
Was ist das IT-Sicherheitskennzeichen?
Das IT-Sicherheitskennzeichen ist Ende 2020 durch das BSI eingeführt worden. Es weist digitale Produkte aus, bei deren Entwicklung die jeweiligen Hersteller bestimmte Sicherheitseigenschaften und die Anforderungen einschlägiger IT-Sicherheitsstandards berücksichtigen. Die Hersteller verpflichten sich auch dazu, dem BSI neu entdeckte Sicherheitslücken in ihren Produkten zu melden, bekannt gewordene Sicherheitslücken unverzüglich zu beheben und das BSI über den Stand der dazu notwendigen Maßnahmen auf dem Laufenden zu halten.
Hersteller können einen Antrag für die Auszeichnung mit dem IT-Sicherheitskennzeichen stellen und müssen dabei auch eine Herstellererklärung dazu abgeben, dass ihre Produkte die jeweiligen Sicherheitsanforderungen erfüllen und nach dem „Security-by-Design“-Prinzip entwickelt worden sind. Nach der Einreichung folgt dann eine Plausibilitätsprüfung durch das BSI. Es findet dabei aber keine technisch-inhaltliche Prüfung statt. Denn: Das BSI definiert lediglich die Kriterien, denen sich die Hersteller verpflichten. Fällt die Antragsprüfung positiv aus, erhalten Hersteller das IT-Sicherheitskennzeichen in elektronischer Form als Etikett mit QR-Code. Es ist dann in der Regel zwei Jahre gültig.
Grundsätzlich handelt es sich beim IT-Sicherheitskennzeichen um ein freiwilliges Label, das sich aber vor dem zunehmend wachsenden Bewusstsein für IT-Sicherheit als wichtiges Verkaufsargument erweisen kann.
Wie funktioniert das IT-Sicherheitskennzeichen?
Endkunden haben durch das IT-Sicherheitskennzeichen die Möglichkeit, schnell und einfach mehr über die IT-Sicherheit eines digitalen Produkts zu erfahren. Es enthält einen QR-Code und befindet sich entweder auf der Verpackung des digitalen Produkts oder ist auf der Produktseite eines Onlineshops integriert. Kunden müssen diesen Code lediglich scannen und gelangen dann direkt auf die zugehörige Produktinformationsseite des BSI.
Auf dieser Produktinformationsseite sind dann alle wesentlichen Sicherheitseigenschaften des Produkts übersichtlich aufbereitet. Es gibt dort Informationen zur Laufzeit des IT-Sicherheitskennzeichens, aber auch aktuelle Informationen zu bekannten Schwachstellen und verfügbaren Updates. Letzteres ist nicht nur für die Kaufentscheidung relevant, sondern auch für die spätere Nutzung, denn die bereitgestellten Sicherheitsupdates sollten natürlich auch durchgeführt werden, wozu die Nutzer zumindest teilweise selbst aktiv werden müssen.
Sind ausgezeichnete Produkte wirklich sicher?
Eine Garantie dafür, dass IT-Produkte, die das IT-Sicherheitskennzeichen tragen, absolut sicher sind, gibt es nicht. Denn: Es besteht zum Beispiel immer die Möglichkeit, dass IT-Produkte Schwachstellen aufweisen, die noch unentdeckt sind. Cyberkriminelle gelingt es immer wieder, solche noch unbekannten Sicherheitslücken aufzuspüren und zu ihren Gunsten auszunutzen.
Außerdem darf das IT-Sicherheitskennzeichen nicht als Prüfsiegel verstanden werden. Schließlich unterzieht das BSI die verschiedenen IT-Produkte keiner technischen Prüfung, sondern legt – wie bereits erwähnt – lediglich die Kriterien fest, denen sich die Hersteller freiwillig verpflichten. Trotzdem bedeutet diese Verpflichtung einen Mehrwert: Die Hersteller sichern damit immerhin zu, dass sie die geltenden IT-Sicherheitsanforderungen über die Laufzeit des erteilten Sicherheitskennzeichens aufrecht erhalten wollen.
Nach dem Ablauf der Laufzeit können die Hersteller übrigens erneut einen Antrag stellen. Auf diese Weise können sie ihre Produkte lückenlos mit dem IT-Sicherheitskennzeichen auszeichnen lassen.
Warum ist das IT-Sicherheitskennzeichen wichtig?
Dass IT-Sicherheitskennzeichen ist wegen der eingangs beschriebenen Software-Schwachstellen in vernetzten Geräten wichtig. Das BSI hat in der Vergangenheit die Erfahrung gemacht, dass Hersteller teilweise nicht darauf reagieren, wenn das BSI sie bezüglich Sicherheitslücken kontaktiert und die Bereitstellung von Sicherheitsupdates anfordert. Die Folge war, dass massenweise Geräte nach dem offiziellen Bekanntwerden von Sicherheitslücken ungeschützt und massiv von Hackerangriffen bedroht waren.
Mit dem IT-Sicherheitskennzeichen soll das aufgrund der freiwilligen Verpflichtung seitens der Hersteller nicht mehr passieren. Sollten sie auf einen Hinweis nicht reagieren, wird ihnen das Kennzeichen entzogen und auf der zugehörigen Produktseite des BSI erfolgt eine entsprechende Information darüber.
Wichtig ist das IT-Sicherheitskennzeichen aber auch, um das Bewusstsein für die IT-Sicherheit generell zu stärken. Hersteller werden dazu animiert, das Sicherheitsniveau ihrer Produkte anzuheben und über ihren gesamten Lebenszyklus hinweg aufrecht zu erhalten. Verbraucher werden im Gegenzug dafür sensibilisiert, dass vernetzte Geräte ein Einfallstor für Angriffe darstellen können und regelmäßig mit Updates versorgt werden müssen.
Seit wann gibt es das IT-Sicherheitskennzeichen?
Die Einführung des IT-Sicherheitskennzeichen war bereits Ende 2021, im Februar 2022 hat das BSI das erste IT-Sicherheitskennzeichen für vernetzte Produkte und Dienste vergeben. Allerdings hat sich die Kennzeichnung noch nicht wirklich durchsetzen können, was sich unter anderem dadurch zeigt, dass laut der Such-Funktion auf der BSI-Webseite Ende 2023 lediglich 42 Produkte das IT-Sicherheitskennzeichen trugen – und zwar fast ausschließlich E-Mail-Dienste und Breitbandrouter. Lediglich ein Saugroboter und eine Überwachungskamera stammen aus anderen Kategorien.
Das BSI hat Ende 2023 eine Werbekampagne gestartet, um die Kennzeichnung populärer zu machen. Mit dem Hashtag #Deutschlandcheckts macht das BSI Verbraucher auf den Nutzen seines Kennzeichens aufmerksam, gleichzeitig sollen wohl auch Hersteller animiert werden, einen Antrag für die Auszeichnung ihrer Produkte zu stellen. Es wird aber sicherlich noch einige Zeit dauern, bis sich das IT-Sicherheitskennzeichen ausgebreitet haben wird – sofern das überhaupt der Fall sein wird.
IT-Fachleute unterstützen bei IT-Sicherheit
Besonders für Unternehmen ist es angesichts der zunehmenden Vernetzung wichtig, sich auf ein hohes Sicherheitsniveau der verwendeten Produkte verlassen zu können. Wenn das IT-Sicherheitskennzeichen dazu beitragen würde, wäre das natürlich zu begrüßen. Aber allein mit der Verwendung von Produkten, die mit dem IT-Sicherheitskennzeichen ausgewiesen sind, ist es natürlich noch nicht getan. Für eine umfassende IT-Sicherheit in Unternehmensnetzwerken braucht es noch mehr.
Und genau hier kommen die IT-Fachleute aus dem IT-SERVICE.NETWORK ins Spiel. Die in unserem Netzwerk zusammengeschlossenen IT-Systemhäuser sind auf die Absicherung von Unternehmensnetzwerken spezialisiert und erstellen für Ihre Firmenkunden passgenaue IT-Sicherheitskonzepte, die sie anschließend auch umsetzen. Die fortlaufende Betreuung übernehmen viele unserer IT-Dienstleister auch im Rahmen ihrer Managed Services und nehmen Unternehmen dadurch wichtige Aufgaben rund um die IT-Sicherheit ab.
Sie möchten dazu gern mehr erfahren? Dann nutzen Sie unsere Dienstleistersuche und finden darüber schnell einen geeigneten IT-Dienstleister ganz in Ihrer Nähe. Wir freuen uns auf Ihre Anfrage!
Weiterführende Links:
BR24, BSI, BSI, BSI, BSI, BSI, BSI, BSI
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung