Nicht auf ein IT-Sicherheitskennzeichen der EU warten

Oliver Schonschek,
Mit dem IT-Sicherheitsgesetz 2.0 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Auftrag erhalten, ein freiwilliges IT-Sicherheitskennzeichen einzuführen. Das IT-Sicherheitskennzeichen soll mehr Transparenz für Verbraucherinnen und Verbraucher schaffen.

Das IT-Sicherheitskennzeichen als nationale, freiwillige Lösung ist wenig geeignet, um die Cyberresilienz ganzheitlich zu gewährleisten, so der Bundesverband der Deutschen Industrie. Doch es gibt auch Vorteile, die das nationale IT-Sicherheitskennzeichen bringt, nicht nur für Verbraucherinnen und Verbraucher.

Der Wunsch nach mehr Transparenz in der IT-Sicherheit

„Wissen, was drin ist. Erst recht bei Technik!“, mit diesem Slogan möchte das BSI (Bundesamt für Sicherheit in der Informationstechnik) auf die Bedeutung des neuen IT-Sicherheitskennzeichens aufmerksam machen.

Ab Ende 2021 können Hersteller ihre IT-Produkte mit dem IT-Sicherheitskennzeichen des BSI auszeichnen und damit zusichern, dass ihre Produkte bestimmte Sicherheitseigenschaften besitzen. Als Verbraucherin oder Verbraucher erhält man beim Einkaufen durch das IT-Sicherheitskennzeichen wichtige Informationen zur IT-Sicherheit eines Produkts, so das BSI.

Nicht nur die Verbraucherinnen und Verbraucher können von einer höheren Transparenz bei der IT-Sicherheit von Produkten profitieren, sondern natürlich auch die Hersteller. So gehört die IT-Sicherheit zu den zentralen Anforderungen bei der Wahl eines Anbieters und Produktes, im geschäftlichen Bereich, aber auch privat, wie Umfragen regelmäßig zeigen. Bei der Vielzahl der IT-Sicherheitsvorfälle, über die die Medien fast täglich berichten, ist dies nicht weiter verwunderlich.

Herstellerauskunft als Basis des IT-Sicherheitskennzeichens

Die Antragsstellung für ein IT-Sicherheitskennzeichen wird laut BSI gegen Ende 2021 für die ersten Produktkategorien möglich sein, und zwar für Breitbandrouter und für E-Mail-Dienste.

Dabei ist nicht vorgesehen, dass das BSI die Produkte selbst vorab prüft, sondern die Anträge werden auf Basis einer Herstellererklärung zur Konformität kontrolliert. Produktprüfungen sind für einen späteren Zeitpunkt geplant.

Wie das BSI erläutert, wird in einem nachgelagerten Prozess geprüft, ob die in der Herstellererklärung bestätigten Eigenschaften des Produkts bzw. bestätigten Anforderungen des zugrundeliegenden Standards während der Laufzeit erfüllt werden. Dieser Prozess wird eine Komponente enthalten, die zu einer regelmäßigen, systematischen Prüfung der Kennzeichen führt.

Ergänzend dazu soll es anlassbezogene Prüfungen geben, die initiiert werden, wenn dem BSI Tatsachen bekannt werden, die darauf schließen lassen, dass ein Herstellerversprechen nicht erfüllt wird.

Eine erst nachgelagerte oder anlassbezogene Prüfung wird durchaus kritisch gesehen, auch von Wirtschaftsverbänden selbst.

Bekannte Schwachstellen können IT-Sicherheitskennzeichen verhindern

Nun klingt eine Plausibilitätsprüfung der Herstellererklärung zur IT-Sicherheit für viele Kritiker als unzureichend. So fordert zum Beispiel der TÜV-Verband, dass die Produkte bereits bevor sie in den Markt gebracht werden grundsätzlich einer tiefergehenden Prüfung durch unabhängige Dritte unterzogen werden sollten. Damit ließen sich mögliche Sicherheitsrisiken bereits erkennen, bevor die Produkte im Einsatz sind, so der TÜV-Verband. Begrüßt wird, dass es optionale Prüfungen im Rahmen von Testkäufen geben kann.

Lesen Sie auch : Zero Trust bei Kranich Solar

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) erklärt zum Verfahren der Antragsprüfung, dass eine ergänzende Prüfung der Produkte – so wie sie dem Verbraucher zum Kauf angeboten werden – empfehlenswert sei. Im Sinne der Durchführbarkeit der Produktprüfungen sollten automatisierte Testmethoden zum Einsatz kommen, die durch manuelle Tests begleitet werden. Ist die angeregte Produktprüfung zum gegenwärtigen Zeitpunkt nicht durchgängig möglich, so ist der Verbraucher im Sinne der Transparenz des Siegels darüber zu informieren, meint TeleTrusT. Dies kann beispielsweise durch Farbgestaltung, kleine Symbolbilder oder Verwendung von Kennzahlen innerhalb des Siegels erfolgen.

Der „Entwurf einer Rechtsverordnung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik“ zeigt, dass das BSI den Antrag ablehnen können soll, wenn Hinweise dafür vorliegen, dass das Produkt oder die mit dem Produkt ausgelieferte Software bekannte Sicherheitslücken enthält oder Produkte des Herstellers bereits Gegenstand einer Warnung oder Information nach BSI-Gesetz oder von Maßnahmen nach BSI-Gesetz betroffen waren. Wer also bereits negativ aufgefallen ist, wird zweifellos genauer unter die Lupe genommen werden.

Industrie wünscht sich EU-weites Kennzeichen

Der BDI (Bundesverband der Deutschen Industrie) begrüßt das Ziel der Bundesregierung, die IT-Sicherheit eines Produktes für Verbraucherinnen und Verbraucher kenntlich zu machen. Die deutsche Industrie erachtet jedoch eine nationale, freiwillige Lösung als wenig geeignet, um die Cyberresilienz ganzheitlich zu gewährleisten. Man spricht sich für ein EU-weit eingeführtes, leicht verständliches und mit einer effizienten Marktaufsicht umgesetztes IT-Sicherheitskennzeichen aus. Nationale Alleingänge seien hier der falsche Weg.

Auch der Zentralverband Elektrotechnik- und Elektronikindustrie (ZVEI) meint, dass die Cybersicherheit von Produkten im bewährten europäischen Rahmen für das Inverkehrbringen von Produkten betrachtet werden sollte. So sollte das IT-Sicherheitskennzeichen als Anstoß für eine rasche weitere europäische Adressierung gesehen werden.

Das BSI selbst sagt dazu, derzeit gebe es noch kein einheitliches IT-Sicherheitskennzeichen auf EU-Ebene. Es sei gut möglich, dass sich ein europäisches Kennzeichen an bestehenden, nationalen Kennzeichen wie dem IT-Sicherheitskennzeichen orientiert. Daher könne die Beantragung eines IT-Sicherheitskennzeichens eine gute Vorbereitung für ein zukünftiges EU-Kennzeichen sein. Das BSI plane, einen Übergang des nationalen IT-Sicherheitskennzeichen zu einem eventuellen zukünftigen EU-Kennzeichen zu ermöglichen.

IT-Sicherheitskennzeichen als guten Anfang sehen

Es zeigt sich: Hersteller sollten nicht die Chance verpassen, die sich mit dem nationalen IT-Sicherheitskennzeichen bietet, also nicht abwarten, bis sich auf EU-Ebene ein entsprechendes IT Security Label etabliert.

Wie der Digitalverband Bitkom erklärt, ist ein IT-Sicherheitskennzeichen nur als eine kleine Komponente eines umfassenden Konzeptes für mehr IT-Sicherheit zu verstehen. Das Ziel eines höheren IT-Sicherheitsniveaus könne nur erreicht werden, wenn Hersteller und Anwender, Infrastrukturbetreiber und Strafermittlungsbehörden gemeinsam darauf hinwirken und ihre jeweilige Verantwortung innerhalb des Ökosystems übernehmen.

Das IT-Sicherheitskennzeichen kann deshalb auch als ein Schritt verstanden werden, als Hersteller mehr Verantwortung für die IT-Sicherheit zu übernehmen und dies auch den Kunden zu zeigen, also Gutes zu tun und darüber zu sprechen.