Ihr IT-Systemhaus TTG Daten- und Bürosysteme GmbH für Unternehmen aus Nordthüringen und Südniedersachen
Mit dem IT-Sicherheitsgesetz 2.0 hat das Bundesamt für Sicherheit in der IT den Auftrag erhalten, ein freiwilliges IT-Sicherheitskennzeichen einzuführen. Worum es sich hierbei genau dreht und weshalb es sich lohnt, es zu beantragen, erfahren Sie in dem nachfolgenden Blogbeitrag.
Das Internet der Dinge breitet sich immer mehr aus und durchdringt sämtliche Geschäftsbereiche sowie Lebensbereiche. Vom Kühlschrank und der Waschmaschine bis zum Stift: Derweil werden ständig mehr Gerätschaften und Alltagsgegenstände mit Sensoren, Prozessoren, einer Netzwerkverbindung wie auch mehr „Intelligenz“ und Kommunikationsfähigkeiten ausgestattet, um einen beruflichen und persönlichen Alltag angenehmer sowie besser zu gestalten.
Schon heute sind schätzungsweise 35 Mrd. IoT-Geräte im Einsatz. Bis 2025 soll sich dieser Wert auf 75 Mrd. erweitern.
Aber die gegenwärtige Konnektivität und die steigende Anzahl smarter Geräte sowie Dinge versteckt Risiken: Sie verursacht verstärkt Internetkriminelle auf den Plan, die mit immer mehr aggressiveren und ausgefeilteren Angriffsmethoden jede noch so kleine Schwäche in den Produkten aufspüren und zu ihren Gunsten missbrauchen.
Um diesem vorzubeugen, gilt es für IT-Hersteller und Diensteanbieter, die IT-Sicherheit bereits bei der Produktentwicklung zu beherzigen und über den gesamten Produktlebenszyklus hinweg zu integrieren. In welchem Ausmaß dies passiert, soll von nun an ein neuartiges IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der IT erkennbar machen.
Beim IT-Sicherheitskennzeichen handelt es sich zunächst um ein freiwilliges Label, das IT-Herstellern und Diensteanbietern die Chance liefert, Durchsichtigkeit zu erzeugen und Endkunden*innen zu zeigen, dass ihre Produkte oder Dienste über bestimmte Sicherheitseigenschaften verfügen und die Anforderungen einschlägiger IT-Sicherheitsstandards einbeziehen.
In der Regel geht es bei der Kennzeichnung des Bundesamtes für Sicherheit in der Informationstechnik darum, dass „Security-by-Design“ sowie das „Security-by-Default“-Konzept in der Produktentwicklung zu verstärken wie auch das Beherzigen der grundsätzlichen Schutzziele der Informationssicherheit beispielsweise Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu garantieren.
Das Label des IT-Sicherheitskennzeichens wird durch das Bundesamt für Sicherheit in der Informationstechnik in elektronischer Form bereit gestellt. Die IT-Hersteller wie auch Diensteanbieter können das Etikett daraufhin auf einem Modell, ihrer Verpackung oder der Unternehmenswebseite platzieren.
Das Label enthält beispielsweise die Herstellererklärung sowie einen QR-Code nach § 9c Abs. 2 IT-SiG 2.0. (https://www.buzer.de/9c_BSIG.htm). Der QR-Code führt auf eine Internetseite des Bundesamtes für Sicherheit in der IT, auf welcher Daten zum IT-Produkt, zur Gültigkeitsdauer des IT-Sicherheitskennzeichens sowie gegenwärtige Sicherheitsinformationen zu vorhandenen Schwachstellen oder anstehenden Sicherheitsupdates zu finden sind.
Um das IT-Sicherheitskennzeichen zu erhalten, müssen die IT-Hersteller und Diensteanbieter ein Antragsformular auf Aushändigung des IT-Sicherheitskennzeichens beim Bundesamt für Sicherheit in der Informationstechnik stellen. In diesem Zusammenhang ist die Antragstellung des IT-Sicherheitskennzeichens bloß im Rahmen der vom Bundesamt für Sicherheit in der Informationstechnik definierten sowie im Bundesanzeiger veröffentlichten wie auch verkündeten Produktkategorien möglich.
Hierzu zählen bislang die Bereiche
Darüber hinaus richtet sich die Aushändigung des IT-Sicherheitskennzeichens nach § 9c des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik, kurz gesagt BSIG, in Konnektivität mit den Vorschriften der gesetzlichen Regelung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik, kurz BSI-ITSiKV.
Der Erteilungsprozess funktioniert eigentlich in verschiedenen Prozessschritten:
Im ersten Ablaufschritt müssen die „Antragsformulare auf Freigabe des IT-Sicherheitskennzeichens“ auf der Internetseite des Bundesamtes für Sicherheit in der IT downgeloaded werden. Diese bestehen aus dem generellen Hauptantrag und der produktspezifischen Herstellererklärung.
Im folgenden Prozessschritt müssen die antragstellenden IT-Betriebe oder Diensteanbieter nachprüfen, ob deren IT-Produkt oder der IT-Dienst die Anforderungen der jeweiligen Produktkategorie einhält. Wenn das so ist, wird dies mit dem Eintragen der Herstellererklärung verifiziert.
Sobald dem Bundesamt für Sicherheit alle erforderlichen Angaben und Dokumente gegeben sind, wird der eingereichte Antrag vom Inhalt her bearbeitet wie auch gecheckt. Hier ist zu beachten, dass das Bundesamt für Sicherheit in der Informationstechnik im Kontext der Zustimmung des IT-Sicherheitskennzeichens zunächst keinerlei Tiefenprüfung bzw. technische Überprüfung der erklärten Sicherheitsvorgaben macht, sondern die Daten sowie eingereichten Unterlagen der IT-Hersteller nur auf Plausibilität bewertet.
Für eine Antragsbearbeitung wird vom Bundesamt für Sicherheit in der Informationstechnik eine Verwaltungsgebühr erhoben. Sie bildet sich aus der „Besonderen Gebührenverordnung des Bundesministeriums des Innern und für Heimat“, kurz gesagt BMIBGebV, sowie dem tatsächlich angefallenen Zeitaufwand plus den entstandenen Auslagen. Grundlegend bewegt sich die entstehende Verwaltungsgebühr unter den Kosten des BSI-Zertifizierungsverfahrens.
Im Falle einer positiven Bewertung, erhält der Antragsteller einen entsprechenden Bewilligungsbescheid sowie die Zurverfügungstellung des jeweiligen Labels. Zur selben Zeit wird das Produkt mit einer individuellen Produktinformationsseite in das zentrale Register gekennzeichneter Produkte gestellt, welches über das Onlineangebot des Bundesamtes für Sicherheit in der IT öffentlich abrufbar ist.
Haben die IT-Produkte und IT-Dienste das IT-Sicherheitskennzeichen, dann unterliegen sie ab Erteilung des IT-Kennzeichens einer nachgelagerten Überwachung durch das Bundesamt für Sicherheit. Diese Behörde prüft in jenem Kontext, ob die zugesicherten Eigenschaften des Produkts durch den Hersteller tatsächlich eingehalten werden. Werden bei dem Produkt Differenzen von der Herstellererklärung festgestellt, beispielsweise eine IT-Schwachstelle, wird den betroffenen IT-Herstellern eine angemessene Frist eingeräumt, um jene festgestellten Sicherheitslücken zu beheben und den zugesagten Status des Produkts wiederherzustellen.
Weitere Infos zur Aushändigung finden Sie in der Verfahrensbeschreibung IT-Sicherheitskennzeichen.
Fazit: Das IT-Sicherheitskennzeichen lohnt sich!
IT-Sicherheit, Verlässlichkeit sowie hohe Verfügbarkeit sind relevante Qualitätskriterien von IT-Produkten oder IT-Diensten. Stets mehr Verbraucher legen Wichtigkeit auf entsprechende Schutz-Standards.
Mit einem IT-Sicherheitskennzeichen haben nun IT-Hersteller sowie IT-Diensteanbieter eine Gelegenheit, das Bedürfnis nach Informationen der Kund*innen zu beherzigen, indem sie die Sicherheitseigenschaften Ihrer IT-Produkte oder IT-Dienstleistungen unkompliziert ersichtlich machen und diese besonders hervorzuheben.
Möchten auch Sie Ihre Produkte und Dienste mit dem IT-Sicherheitskennzeichen versehen lassen und relevante Wettbewerbsvorteile sichern? Oder haben Sie noch weitere Anliegen zum Thema?
Ihr IT-Dienstleister in Eichsfeld und Umgebung
