everythingpossible - stock.adobe
IT-Sicherheitskennzeichen: Mehr Transparenz in der Security
Das IT-Sicherheitskennzeichen erhöht die Transparenz in der Cybersicherheit und kann die Security nachhaltig verändern, da Sicherheit noch mehr Teil der Leistungsbeschreibung wird.
Das IT-Sicherheitskennzeichen, das mit dem IT-Sicherheitsgesetz 2.0 eingeführt wird, hat bereits einige Kritik erfahren. „Herstellerinnen sollen ihre Produkte durch Selbstzertifizierung ohne unabhängige Prüfung mit dem IT-Sicherheitskennzeichen des BSI schmücken dürfen“, so zum Beispiel ein Statement des Chaos Computer Club (PDF).
Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das den Auftrag erhalten hat, ein freiwilliges IT-Sicherheitskennzeichen einzuführen, betont dagegen als Vorteil die Transparenz für Verbraucherinnen und Verbraucher: Das IT-Sicherheitskennzeichen ist ein Kennzeichen, mit dem grundlegende Sicherheitseigenschaften digitaler Produkte auf einen Blick erkennbar werden, so das BSI.
Wie und wo mehr Transparenz geschaffen wird
Ab Ende 2021 können Hersteller ihre IT-Produkte mit dem IT-Sicherheitskennzeichen des BSI auszeichnen und damit zusichern, dass ihre Produkte bestimmte Sicherheitseigenschaften besitzen. Als Verbraucherin oder Verbraucher erhält man durch das IT-Sicherheitskennzeichen wichtige Informationen zur IT-Sicherheit eines Produkts, erläutert das zuständige Bundesamt.
Das IT-Sicherheitskennzeichen wird durch das BSI für bestimmte Produkte oder Dienste erteilt, wenn man als Hersteller die Konformität des Produkts zu bestimmten IT-Sicherheitsvorgaben vollständig geprüft und deren Erfüllung durch eine Herstellererklärung bestätigt hat. Bislang ist vorgesehen, dass die Antragsstellung für ein IT-Sicherheitskennzeichen gegen Ende 2021 für die ersten Produktkategorien möglich sein wird, und zwar für Breitbandrouter, auf Basis BSI TR-03148, und für E-Mail-Dienste, auf Basis BSI TR-03108.
Zweifellos sind bereits die ersten beiden Bereiche Router und E-Mail-Dienste von zentraler Bedeutung für die Cybersicherheit.
Selbsterklärung zu Beginn, dann folgt aber die Marktaufsicht
Die eingangs genannte Kritik bezüglich „Selbstzertifizierung ohne unabhängige Prüfung“ wurde von mehreren Stellen angebracht.
Es ist jedoch wichtig zu erwähnen, dass in einem nachgelagerten Prozess geprüft werden soll, ob die in der Herstellererklärung bestätigten Eigenschaften des Produkts beziehungsweise bestätigten Anforderungen des zugrundeliegenden Standards während der Laufzeit erfüllt werden. Dieser Prozess soll eine Komponente enthalten, die zu einer regelmäßigen, systematischen Prüfung der Kennzeichen führt. Ergänzend dazu soll es anlassbezogene Prüfungen geben, die initiiert werden, wenn dem BSI Tatsachen bekannt werden, die darauf schließen lassen, dass ein Herstellerversprechen nicht erfüllt wird.
Ebenso sollten die Einschränkungen des IT-Sicherheitskennzeichens berücksichtigt werden, die das BSI nennt: Das IT-Sicherheitskennzeichen kann nicht garantieren, dass ein IT-Produkt absolut sicher ist, dass die Hersteller die aufgeführten Standards jederzeit und nach Ablauf der Gültigkeit des Kennzeichens erfüllen und dass darüber hinaus Sicherheitslücken im Produkt bekannt werden oder ausschließen, dass Kriminelle Wege finden, die Sicherheitsmerkmale eines Produkts zu überwinden.
Ebenso soll das IT-Sicherheitskennzeichen nicht als Prüfsiegel verstanden werden. Das BSI prüft das IT-Produkt nicht, sondern legt die Kriterien fest, denen sich die Hersteller verpflichten.
Trotzdem sollten die Vorteile des IT-Sicherheitskennzeichens für Nutzer, Anbieter und die Cybersicherheit im Sinne von Security by Design nicht unterschätzt werden.
IT-Sicherheit als Erfolgskriterium auf dem Markt
Neben der Kritik am IT-Sicherheitskennzeichen, die eingangs beispielhaft genannt wurde, gibt es auch positive Einschätzungen sowie Hinweise, wie eine Fortentwicklung des IT-Sicherheitskennzeichens sein kann.
Insgesamt profitieren Verbraucherinnen und Verbraucher, weil sie nach nachvollziehbaren und festgelegten Kriterien beurteilen können, welche Geräte und Dienste welche Sicherheitseigenschaften besitzen, so ein Fazit des Verbands der Internetwirtschaft eco.
Für den Digitalverband Bitkom ist ein IT-Sicherheitskennzeichen nur als eine kleine Komponente eines umfassenden Konzeptes für mehr IT-Sicherheit zu verstehen. Das Ziel eines höheren IT-Sicherheitsniveaus könne nur erreicht werden, wenn Hersteller und Anwender, Infrastrukturbetreiber und Strafermittlungsbehörden gemeinsam darauf hinwirken und ihre jeweilige Verantwortung innerhalb des Ökosystems übernehmen.
Ein Sicherheitskennzeichen, das das Vertrauen der Verbraucher genießen soll, setzt strenge Anforderungen an Hersteller, so der Bundesverband IT-Sicherheit e.V. (TeleTrusT). Allerdings seien diese möglicherweise nicht immer wirtschaftlich abbildbar, so dass über mögliche Abstufungen des IT-Sicherheitskennzeichens entschieden werden sollte. Eine einzig auf Dokumenten basierte Vergabe des IT-Sicherheitskennzeichens sei kritisch zu betrachten.
Mit der Unterstützung von Unternehmen, die Verbraucherschutz und Informationssicherheit als wichtiges Kriterium ihres eigenen Handelns begreifen, wird das IT-Sicherheitskennzeichen die Produktlandschaft auf dem IT-Konsumentenmarkt insgesamt sicherer und übersichtlicher machen, so das BSI in seinem Lagebericht zur IT-Sicherheit 2021. Perspektivisch strebt das BSI an, das IT-Sicherheitskennzeichen in einer verbindlichen, europäischen Kennzeichnung aufgehen zu lassen.
Es zeigt sich also: Bereits diese Beispiele der Diskussion um das IT-Sicherheitskennzeichen machen deutlich, dass das IT-Sicherheitskennzeichen nicht das Prüf- und Gütezeichen in der IT-Sicherheit sein kann und auch nicht sein will.
Aber die Diskussion zeigt auch, dass eine Steigerung in der Transparenz bei IT-Sicherheit gewünscht und auch möglich ist. Das IT-Sicherheitskennzeichen kann damit als Wegbereiter für mehr Transparenz in der IT-Sicherheit und als Beginn dafür gesehen werden, dass IT-Sicherheit als nachweisbares Kriterium gesehen wird, um auf dem Markt in Zukunft erfolgreich bestehen zu können.
Das IT-Sicherheitskennzeichen hat eine Diskussion verstärkt, die zu der Entwicklung eines wirklichen Prüf- und Gütesiegels in der IT-Sicherheit führen kann, ein wichtiges und lohnendes Ziel.