IT-Sicherheit

IT-Sicherheitskennzeichen kommt

BSI führt Kennzeichnung für sichere digitale Produkte ein

von 04.10.2021
Zu sehen ist eine Hand mit Handy, darauf ist ein QR-Code aufgerufen. Das IT-Sicherheitskennzeichen kommt auch als QR-Code. Bild: Unsplash/Markus Winkler

Ende 2021 führt das BSI das IT-Sicherheitskennzeichen ein. Hersteller sollen damit ihre IT-Produkte auszeichnen lassen und potenziellen Käufern damit zusichern, dass ihre digitalen Produkte bestimmte Sicherheitseigenschaften besitzen. 
Aber was ist das IT-Sicherheitskennzeichen genau? Und sind ausgezeichnete Produkte wirklich sicher?

Vernetzte Geräte als Einfallstor

Immer mehr Geräte sind miteinander vernetzt. Damit wird die Angriffsfläche für Gefahren aus dem Cyberspace immer größer. Besonders bedrohlich wird das Ganze dadurch, dass viele vernetzte Geräte von Software-Schwachstellen betroffen sind. Ende 2020 gab das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine entsprechende Warnung heraus.
In dem Bericht hieß es unter anderem, dass Millionen vernetzter Geräte von etwa 150 Herstellern solche Sicherheitslücken aufwiesen – darunter Überwachungskameras, Umgebungssensoren für Temperatur und Luftfeuchtigkeit, Drucker und vernetzte Audiosysteme, aber auch Schließanlagen, Feuermelder und Klimaanlagen. Also alles Geräte, die nicht nur in Privathaushalten, sondern auch in Unternehmen zum Einsatz kommen.
Das Problem: Entdecken Hacker solche Schwachstellen, können sie darüber beispielsweise die Geräte kapern, Daten stehlen und Computersysteme angreifen. Ein Hindernis stellt sich ihnen dabei oft nicht in den Weg, denn die verwundbaren Codes lassen sich ausnutzen, bevor Sicherheitsmechanismen wir zum Beispiel eine Antivirensoftware zum Tragen kommen. Aber was hat das alles mit dem neuen IT-Sicherheitskennzeichen des BSI zu tun?

Zwei Hände halten ein Handy und scannen damit den QR-Code auf einem Paket. Es geht um das IT-Sicherheitskennzeichen des BSI. Bild: Pexels/Kampus Production

Wissen, was drin ist: Das IT-Sicherheitskennzeichen soll sichere digitale Produkte ausweisen. Bild: Pexels/Kampus Production

Was ist das IT-Sicherheitskennzeichen?

Das IT-Sicherheitskennzeichen soll digitale Produkte ausweisen, bei deren Entwicklung die jeweiligen Hersteller bestimmte Sicherheitseigenschaften und die Anforderungen einschlägiger IT-Sicherheitsstandards berücksichtigen. Die Hersteller verpflichten sich auch dazu, dem BSI neu entdeckte Sicherheitslücken in ihren Produkten zu melden, bekannt gewordene Sicherheitslücken unverzüglich zu beheben und das BSI über den Stand der dazu notwendigen Maßnahmen auf dem Laufenden zu halten.
Hersteller können einen Antrag für die Auszeichnung mit dem IT-Sicherheitskennzeichen stellen und müssen dabei auch eine Herstellererklärung dazu abgeben, dass ihre Produkte die jeweiligen Sicherheitsanforderungen erfüllen und nach dem „Security-by-Design“-Prinzip entwickelt worden sind. Nach der Einreichung folgt dann eine Plausibilitätsprüfung durch das BSI. Es findet dabei aber keine technisch-inhaltliche Prüfung statt. Denn: Das BSI definiert lediglich die Kriterien, denen sich die Hersteller verpflichten. Fällt die Antragsprüfung positiv aus, erhalten Hersteller das IT-Sicherheitskennzeichen als Etikett mit QR-Code. Es ist dann in der Regel zwei Jahre gültig.
Grundsätzlich handelt es sich beim IT-Sicherheitskennzeichen um ein freiwilliges Label, das sich aber vor dem zunehmend wachsenden Bewusstsein für IT-Sicherheit als wichtiges Verkaufsargument erweisen kann.

Wie funktioniert das IT-Sicherheitskennzeichen?

Das IT-Sicherheitskennzeichen zeigt unter anderem die Herstellererklärung und einen QR-Code. Das BSI stellt das Etikett des IT-Sicherheitskennzeichens in elektronischer Form zur Verfügung. Hersteller können es dann beispielsweise auf dem Produkt selbst oder der Produktverpackung anbringen. Bei Online-Produkten lässt sich das IT-Sicherheitskennzeichen auf der Webseite platzieren.
Der QR-Code führt auf eine Webseite des BSI, auf der Informationen zum Produkt, zur Laufzeit des IT-Sicherheitskennzeichens sowie zu aktuellen Sicherheitsinformationen zu finden sind. Aktuell bestehende Schwachstellen oder anstehende Sicherheitsupdates lassen sich auf diese Weise problemlos einsehen.
Die Idee ist, dass potenzielle Käufer beispielsweise in einem Geschäft ganz einfach den QR-Code einscannen können und dadurch auf die jeweilige Produktseite des BSI gelangen, auf der sie sich dann über den Sicherheitsstandard informieren können.

Zu sehen ist ein Entwurf für das IT-Sicherheitskennzeichen des BSI. Bild: BSI

So könnte das IT-Sicherheitskennzeichen des BSI aussehen. Bild: BSI

Sind ausgezeichnete Produkte wirklich sicher?

Eine Garantie dafür, dass IT-Produkte, die das IT-Sicherheitskennzeichen tragen, absolut sicher sind, gibt es nicht. Denn: Es besteht zum Beispiel immer die Möglichkeit, dass IT-Produkte Schwachstellen aufweisen, die noch unentdeckt sind. Cyberkriminelle gelingt es immer wieder, solche noch unbekannten Sicherheitslücken aufzuspüren und zu ihren Gunsten auszunutzen.
Außerdem darf das IT-Sicherheitskennzeichen nicht als Prüfsiegel verstanden werden. Schließlich unterzieht der BSI die verschiedenen IT-Produkte keiner technischen Prüfung, sondern legt – wie bereits erwähnt – lediglich die Kriterien fest, denen sich die Hersteller verpflichten. Trotzdem bedeutet diese Verpflichtung einen Mehrwert: Die Hersteller sichern damit immerhin zu, dass sie die geltenden IT-Sicherheitsanforderungen über die Laufzeit des erteilten Sicherheitskennzeichens aufrecht erhalten werden.
Nach dem Ablauf der Laufzeit können die Hersteller übrigens erneut einen Antrag stellen. Auf diese Weise können sie ihre Produkte lückenlos mit dem IT-Sicherheitskennzeichen auszeichnen lassen.

Warum ist das IT-Sicherheitskennzeichen wichtig?

Um diese Frage beantworten zu können, kommen wir noch einmal auf die eingangs beschriebenen Software-Schwachstellen in den vernetzten Geräten zurück. Das BSI hat damals alle betroffenen Hersteller bezüglich dieser Sicherheitslücken kontaktiert und dazu aufgerufen, die Lücken umgehend zu schließen. Einige Hersteller haben darauf schlicht nicht reagiert. Die Folge war, dass ihre Geräte nach dem offiziellen Bekanntwerden der Lücke massiv von Hackerangriffen bedroht waren.
Mit dem IT-Sicherheitskennzeichen soll das aufgrund der freiwilligen Verpflichtung seitens der Hersteller nicht mehr passieren. Sollten sie auf einen Hinweis hin nicht reagieren, wird ihnen das Kennzeichen entzogen und auf der zugehörigen Produktseite des BSI erfolgt eine entsprechende Information darüber.
Wichtig ist das IT-Sicherheitskennzeichen aber auch, um das Bewusstsein für die IT-Sicherheit generell zu stärken. Hersteller werden dazu animiert, das Sicherheitsniveau ihrer Produkte anzuheben und über ihren gesamten Lebenszyklus hinweg aufrecht zu erhalten.

Das Bild zeigt einen Router von vorne. Bild: Unsplash/Compare Fibre

Router gehören zu den ersten IT-Produkten, die mit dem IT-Sicherheitskennzeichen ausgezeichnet werden können. Bild: Unsplash/Compare Fibre

Wann kommt das IT-Sicherheitskennzeichen?

Die Einführung des IT-Sicherheitskennzeichen beginnt bereits Ende 2021 – allerdings vorerst nur für Breitbandrouter für den privaten Bereich und für Kleinunternehmen sowie für E-Mail-Dienste. Beginnend im Herbst 2021 haben Hersteller aus diesen Bereichen die Möglichkeit, einen Antrag zu stellen. Gegen Ende des Jahres sollen dann die ersten Geräte mit dem IT-Sicherheitskennzeichen des BSI in Elektronikmärkten oder Onlineshops verfügbar sein.
Weitere Produkte und Produktgruppen kommen anschließend nach und nach hinzu. Es wird also sicherlich noch einige Zeit dauern, bis sich das IT-Sicherheitskennzeichen flächendeckend ausgebreitet haben wird. Nichtsdestotrotz ist mit der Einführung des IT-Sicherheitskennzeichens für die genannten ersten beiden Kategorien natürlich ein erster wichtiger Schritt getan, sodass alle weiteren Schritte problemlos folgen können.

IT-Fachleute unterstützen bei IT-Sicherheit

Besonders für Unternehmen ist es angesichts der zunehmenden Vernetzung wichtig, sich auf ein hohes Sicherheitsniveau der verwendeten Produkte verlassen zu können. Wenn das neue IT-Sicherheitskennzeichen dazu einen Teil beitragen kann, wäre das sicherlich zu begrüßen. Aber allein mit der Verwendung von Produkten, die mit dem IT-Sicherheitskennzeichen ausgewiesen sind, ist es natürlich noch nicht getan. Für eine umfassende IT-Sicherheit in Unternehmensnetzwerken braucht es noch mehr.
Und genau hier kommen die IT-Fachleute aus dem IT-SERVICE.NETWORK ins Spiel. Die in unserem Netzwerk angeschlossenen IT-Systemhäuser sind auf die Absicherung von Unternehmensnetzwerken spezialisiert und erstellen für Ihre Firmenkunden passgenaue IT-Sicherheitskonzepte, die sie anschließend natürlich auch umsetzen. Die fortlaufende Betreuung übernehmen viele unserer IT-Dienstleister auch im Rahmen ihrer Managed Services und nehmen Unternehmen dadurch wichtige Aufgaben rund um die IT-Sicherheit ab.
Sie möchten dazu gern mehr erfahren? Dann nutzen Sie unsere Dienstleistersuche und finden darüber schnell einen geeigneten IT-Dienstleister ganz in Ihrer Nähe. Wir freuen uns auf Ihre Anfrage!


Weiterführende Links:
BR24, BSI, BSI, BSI, BSI, BSI

Geschrieben von

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich. Neue IT-Trends? Wichtige Business-News? Die studierte Germanistin und ausgebildete Redakteurin behält nicht nur das Geschehen auf dem IT-Markt im Blick, sondern versteht es zudem, das IT-Wissen des IT-SERVICE.NETWORK verständlich aufzubereiten.

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

Endpoint Security

Warum ist die Endgerätesicherheit so wichtig?

von • 29.11.2021

Der Endpoint Security kommt beim Schutz vor Cyberbedrohungen eine wichtige Rolle zu. Aber warum ist das so? Und was ist Endgerätesicherheit überhaupt? Wir erklären, warum und wie Unternehmen End...

Weiterlesen
IT-Sicherheit

Biometrische Authentifizierung

Wie Biometrie funktioniert & warum sie so wichtig ist

von • 22.11.2021

Sich für jeden Zugang und jede Plattform ein anderes Passwort merken, das möglichst kompliziert und nicht zu erraten ist – dieser „Passwort-Wahnsinn“ hat schon häufig großen Unmut ausgelöst...

Weiterlesen
IT-Sicherheit

Emotet ist zurück

Neue Variante der gefährlichsten Schadsoftware der Welt entdeckt

von • 17.11.2021

Auf diese Nachricht hätte die (IT-)Welt wohl gut verzichten können: Emotet ist zurück. Die Malware, die als gefährlichste Schadsoftware der Welt galt, scheint wieder aktiv zu sein. Wir erkläre...

Weiterlesen