Kontaktdaten

Comp4U GmbH
Robert-Bosch-Str. 5
63225 Langen
06103-9707-0
06103-9707-38
info@comp4u.de

Kontakt

Supportmodul

Downloaden Sie hier bequem unser Supportmodul für den Live-Support.

für Windows

für Mac-OS

Immer up to date - unser Blog
Ob aktuelle IT Nachrichten, neueste Infos zu Ihrer IT-Sicherheit
oder Neuigkeiten von Comp4U, mit unserem Blog bleiben Sie
immer auf dem Laufenden.

IT-News

T-Sicherheitskennzeichen: Aufbau einer Vertrauensbasis!

Mit dem IT-Sicherheitsgesetz 2.0 hat das Bundesamt für Sicherheit in der Informationstechnik die Anordnung erhalten, ein freiwilliges IT-Sicherheitskennzeichen einzuführen. Worum es sich dabei exakt dreht und weshalb es sich rentiert, es anzufordern, erfahren Sie in dem nachfolgenden Blogbeitrag.

Das Internet der Dinge breitet sich stets mehr aus und durchdringt alle möglichen Geschäftsbereiche sowie Lebensbereiche. Vom Kühlschrank und einer Waschmaschine bis zum Stift: Mittlerweile werden immer mehr Geräte sowie Alltagsgegenstände mit Sensoren, Prozessoren, einer Netzwerkverbindung wie auch mehr „Intelligenz“ und Kommunikationsfähigkeiten ausgestattet, um den beruflichen wie auch privaten Alltag bequemer und besser zu machen.

Bereits jetzt befinden sich etwa 35 Mrd. IoT-Geräte (https://www.aargauerzeitung.ch/aargau/brugg/lupfig-internet-der-dinge-praegt-den-alltag-die-vernetzte-zukunft-beginnt-im-eigenamt-ld.2205984) im Einsatz. Bis zum Jahr 2025 soll sich jener Wert auf 75 Mrd. erhöhen.

Aber die gegenwärtige Konnektivität und die steigende Anzahl smarter Geräte und Dinge birgt Gefahren: Sie ruft mehr und mehr Internetkriminelle auf den Plan, die mit zunehmend aggressiveren und ausgefeilteren Angriffsmethoden jede mögliche noch so winzige Schwäche in den Produkten aufspüren und zu ihren Gunsten missbrauchen.

Um diesem entgegenzuwirken, gilt es für IT-Hersteller und Diensteanbieter, eine IT-Sicherheit schon bei der Produktentwicklung zu beherzigen und über den ganzen Produktlebenszyklus hinweg zu inkludieren. In welchem Umfang das geschieht, soll fortan ein neuartiges IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der IT (https://www.bsi.bund.de) erkennbar machen.

 

IT-Sicherheitskennzeichen: Was ist das?

Beim IT-Sicherheitskennzeichen dreht es sich erst einmal um ein freiwilliges Etikett, das IT-Herstellern sowie Diensteanbietern die Chance bietet, Transparenz zu erzeugen sowie Endkunden*innen zu zeigen, dass ihre Produkte oder Dienste über gewisse Sicherheitseigenschaften verfügen und die Erwartungen einschlägiger IT-Sicherheitsstandards berücksichtigen.

In der Regel geht es bei der Etikettierung des Bundesamtes für Sicherheit in der Informationstechnik darum, dass „Security-by-Design“ und das „Security-by-Default“-Modell in der Produktentwicklung zu forcieren wie auch das Beherzigen der allgemeinen Schutzziele der Informationssicherheit beispielsweise Vertraulichkeit, Vertrauenswürdigkeit sowie Vorhandensein von Informationen sicherzustellen.

 

Wie funktioniert das IT-Sicherheitskennzeichen?

Das Etikett des IT-Sicherheitskennzeichens wird durch das Bundesamt für Sicherheit in der Informationstechnik in elektronischer Beschaffenheit zur Verfügung gestellt. Die IT-Hersteller wie auch Diensteanbieter können das Label daraufhin auf ihrem Gerät, einer Verpackung oder einer Unternehmenswebseite positionieren.

Das Label besitzt unter anderem die Herstellererklärung sowie einen QR-Code nach § 9c Abs. 2 IT-SiG 2.0. (https://www.buzer.de/9c_BSIG.htm). Der QR-Code führt auf eine Internetseite des Bundesamtes für Sicherheit in der IT, auf welcher Informationen zum IT-Produkt, zur Gültigkeitsdauer des IT-Sicherheitskennzeichens sowie gegenwärtige Sicherheitsinformationen zu bestehenden Schwachpunkten oder bevorstehenden Sicherheitsupdates zu finden sind.

 

Wo ist das IT-Sicherheitskennzeichen gesetzlich geregelt?

Um das IT-Sicherheitskennzeichen zu erhalten, müssen die IT-Hersteller und Diensteanbieter ein Antragsformular auf Aushändigung des IT-Sicherheitskennzeichens beim Bundesamt für Sicherheit in der Informationstechnik stellen. Dabei ist die Beantragung des IT-Sicherheitskennzeichens nur im Rahmen der vom Bundesamt für Sicherheit in der Informationstechnik definierten und im Bundesanzeiger veröffentlichten und bekannt gegebenen Produktkategorien möglich.

 

Hierzu zählen bislang die Bereiche

• Breitbandrouter

• E-Mail-Dienste

• vernetzte TVs (Smart-TV)

• Kameras

• Lautsprecherboxen

• Spielzeuge sowie

• Reinigungs- und Gartenroboter

 

Darüber hinaus richtet sich die Aushändigung des IT-Sicherheitskennzeichens nach § 9c des Gesetzes über das Bundesamt für Sicherheit in der IT (https://www.gesetze-im-internet.de/bsig_2009/__9c.html), kurz gesagt BSIG, in Verbindung mit den Vorschriften der gesetzlichen Regelung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik (http://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl121s4978.pdf), knapp BSI-ITSiKV.

 

Wie verläuft der Antragsprozess?

Der Erteilungsprozess verläuft in der Regel in verschiedenen Schritten:

1. Download Antrag: Im allerersten Ablaufschritt müssen die „Antragsformulare auf Freigabe des IT-Sicherheitskennzeichens“ (https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/IT-Sicherheitskennzeichen/fuer-Hersteller/Antrag/IT-SiK-Antrag_node.html#Antragsunterlagen) auf der Internetseite des Bundesamtes für Sicherheit in der IT heruntergeladen werden. Sie bestehen aus dem allgemeinen Hauptantrag sowie der produktspezifischen Herstellererklärung.

2. Antragstellung inklusive Herstellererklärung: Im nächsten Prozessschritt müssen die antragstellenden IT-Unternehmen und Diensteanbieter prüfen, ob ihr IT-Produkt oder ihr IT-Dienst die Bedingungen der entsprechenden Produktkategorie einhält. Wenn dies der Fall ist, wird dies mit dem Ausfüllen der Herstellererklärung bestätigt.

3. Plausibilitätsprüfung: Wenn dem Bundesamt für Sicherheit sämtliche gefragten Angaben sowie Unterlagen gegeben sind, wird der eingereichte Antrag vom Inhalt her bearbeitet wie auch gecheckt. Dabei ist zu berücksichtigen, dass das Bundesamt für Sicherheit in der Informationstechnik im Rahmen der Zustimmung des IT-Sicherheitskennzeichens zunächst keine Tiefenprüfung oder technische Auswertung der erklärten Sicherheitsvorgaben durchführt, sondern die Daten und eingereichten Unterlagen der IT-Hersteller bloß auf Glaubhaftigkeit überprüft.

4. Abrechnung Verwaltungskosten: Für die Antragsbearbeitung wird vom Bundesamt für Sicherheit in der Informationstechnik eine Verwaltungsgebühr erhoben. Sie bildet sich aus der „Besonderen Gebührenverordnung des Bundesministeriums des Innern und für Heimat“ (https://www.gesetze-im-internet.de/bmibgebv/BJNR135900019.html), kurz gesagt BMIBGebV, sowie dem tatsächlich angefallenen Zeitaufwand und den verursachten Auslagen. Grundlegend liegt die anfallende Verwaltungsgebühr unterhalb der Kosten des BSI-Zertifizierungsverfahrens.

5. Erlass, Ausstellung, Veröffentlichung: Im Fall einer positiven Entscheidung, erhält der Bewerber einen passenden Bewilligungsbescheid sowie die Bereitstellung des jeweiligen Labels. Gleichzeitig wird das Produkt mit der individuellen Produktinformationsseite in das zentrale Register gekennzeichneter Produkte gestellt, das über das Internetangebot des Bundesamtes für Sicherheit in der IT öffentlich abrufbar ist.

6. Nachgelagerte Marktaufsicht: Haben die IT-Produkte und IT-Dienste das IT-Sicherheitskennzeichen, dann unterliegen sie ab Erhalt des IT-Kennzeichens der nachgelagerten Überwachung durch das Bundesamt für Sicherheit. Die Behörde kontrolliert in diesem Rahmen, ob die zugesagten Eigenschaften des Produkts durch den Hersteller wirklich befolgt werden. Werden bei einem Produkt Differenzen von der Herstellererklärung erkannt, beispielsweise eine IT-Schwachstelle, wird den betroffenen IT-Herstellern eine angemessene Frist eingeräumt, um jene ermittelten Sicherheitslücken zu beheben und den zugesicherten Status des Produkts wiederherzustellen.

 

Weitere Informationen zur Erteilung finden Sie in der Verfahrensbeschreibung IT-Sicherheitskennzeichen (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/IT-Sicherheitskennzeichen/Verfahrensbeschreibung.pdf?__blob=publicationFile&v=3).

 

Fazit: IT-Sicherheit als Erfolgskriterium auf dem Markt!

IT-Sicherheit, Zuverlässigkeit sowie hohe Verfügbarkeit sind wichtige Qualitätskriterien von IT-Produkten oder IT-Diensten. Immer mehr Abnehmer legen Wert auf hohe Schutz-Standards.

Mit dem IT-Sicherheitskennzeichen haben jetzt IT-Hersteller und IT-Diensteanbieter die Gelegenheit, das Informationsbedürfnis der Kund*innen zu erfüllen, insofern sie die Sicherheitseigenschaften Ihrer IT-Produkte und IT-Dienste unkompliziert erkennbar machen und diese besonders hervorzuheben.

Möchten auch Sie Ihre Produkte oder Dienste mit dem IT-Sicherheitskennzeichen versehen lassen und relevante Wettbewerbsvorteile erhalten? Oder haben Sie noch weitere Anliegen zum Thema? Sprechen Sie uns an!

Supportmodul für Windows

Supportmodul für Mac-OS

 

Start | Impressum | Informationen zum Datenschutz | AGB

Copyright © 2017 Comp4U GmbH. Alle Rechte vorbehalten.