In der Weihnachtszeit erfreuen sich smarte Produkte als Geschenke großer Beliebtheit. Eine wesentliche Funktion dieser Geräte ist die Verbindung zum Internet, um sich mit anderen Geräten zu vernetzen. Mit hoher Wahrscheinlichkeit werden diese Alltagshelfer unter vielen Christbäumen einen Platz finden.

Bei der Auswahl des richtigen Produkts spielt vieles eine Rolle. Immer wichtiger wird Verbraucherinnen und Verbrauchern bei der Kaufentscheidung aber die Frage nach der Sicherheit. Bei einer Umfrage des Bundesministeriums des Innern und für Heimat (BMI) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum Safer Internet Day 2020 haben 77,3 % der Teilnehmerinnen und Teilnehmer angegeben, dass sie sich mehr Informationen zum Schutz von Geräten wünschen.

Um diesen Informationsbedarf zu erfüllen, hat das BSI mit dem IT-Sicherheitsgesetz 2.0 den Auftrag erhalten, ein IT-Sicherheitskennzeichen einzuführen. Das freiwillige IT-Sicherheitskennzeichen des BSI bietet Herstellern und Dienstanbieter ab sofort die Möglichkeit, ihre Produkte durch eine Eigenerklärung zu Sicherheitseigenschaften besonders auszuzeichnen. Verbraucherinnen und Verbraucher können sich mit dem IT-Sicherheitskennzeichen einfach über die vom Hersteller oder Dienstanbieter zugesicherten Sicherheitseigenschaften des Produkts informieren und dies in ihre Kaufentscheidung einbeziehen.

Um ein IT-Sicherheitskennzeichen zu erhalten, können Hersteller oder Dienstanbieter einen Antrag auf der Website des BSI stellen. Das Bundesamt für Sicherheit in der Informationstechnik veröffentlicht dort die Produktkategorien für die ein Antrag möglich ist. Aktuell sind das Breitbandrouter auf Basis der BSI-TR-031048 und E-Mail-Dienste auf Basis der BSI-TR 03108. Im Rahmen der Freigabe führt das BSI zunächst eine Plausibilitätsprüfung durch. Dabei verschafft sich das BSI einen Eindruck darüber, ob die Angaben des Herstellers sowie dessen dargestellte Prüfverfahren und -Maßnahmen nachvollziehbar und plausibel erscheinen. Eine technische Prüfung des Produkts erfolgt dabei nicht.

Der auf dem Label des IT-Sicherheitskennzeichens abgebildeten QR-Code und Link führt die Verbraucherinnen und Verbraucher zu einer individuellen Produktinformationsseite. Dort sind Informationen zu den zugesicherten Sicherheitseigenschaften hinterlegt sowie aktuelle Hinweise zur Sicherheit des Produkts, z.B. zu Updates oder Handlungsempfehlungen. Auf dieser Vorschauseite können sowohl Unternehmen als auch Verbraucher eine Beispieldarstellung der Produktinformationsseite einsehen.-konform.

Nachgelagerte Marktaufsicht

Die BSI-Marktaufsicht prüft über die Laufzeit des Kennzeichens, ob die zugesicherten Eigenschaften tatsächlich erfüllt werden. Die Prüfung erfolgt stichprobenartig anlasslos oder anlassbezogen, wenn dem BSI Tatsachen bekannt werden, die darauf schließen lassen, dass bestimmte Sicherheitseigenschaften nicht erfüllt werden. Über die Sicherheitsinformation auf der Produktinformationsseite werden Verbraucherinnen und Verbrauchern durch die Marktaufsicht Informationen zur Sicherheit des Produkts bereitgestellt, z.B. zu Sicherheitsupdates für Sicherheitslücken, die dem BSI bekannt sind.

Ausblick zum IT-Sicherheitskennzeichen

Ab sofort ist eine Antragstellung für die ersten beiden Produktkategorien auf der Website des BSI möglich. Dort finden Sie umfangreiche Informationen und die Antragsformulare.

Das Bundesamt für Sicherheit in der Informationstechnik plant fortlaufend neue Produktkategorien für das IT-Sicherheitskennzeichen zu entwickeln.

Auf internationaler Ebene bemüht sich das BSI um einen Gleichlauf mit europäischen Normen, Standards und Labels. Die nächste Produktkategorie wird voraussichtlich aus dem Bereich IoT kommen und auf dem europäischen Standard ETSI EN 303 645 beruhen