Ende 2021 werden digitale Produkte mit einem neuen Label ausgezeichnet – dann führt nämlich das BSI das IT-Sicherheitskennzeichen ein, womit Hersteller ihre IT-Produkte kennzeichnen sollen. Mehr IT-Sicherheit ist das Konzept dahinter. Zweifellos ergibt sich für Unternehmen dadurch ein wichtiges Verkaufsargument. Aktuell stellt sich aber noch die Frage, ob das Label den Verbrauchern auch tatsächlich die nötige Sicherheit bietet.
Was ist das IT-Sicherheitskennzeichen und wie funktioniert es?
Im neuen Jahr werden Sie auf verschiedenen digitalen Produkten einen zusätzlichen QR-Code finden. Dabei handelt es sich dann um das IT-Sicherheitskennzeichen. Die Hersteller garantieren damit, einschlägige IT-Sicherheitsstandards bei der Herstellung des Produktes berücksichtigt zu haben. Außerdem sind sie dadurch dazu verpflichtet, neu aufgetretene Sicherheitslücken zu melden und umgehend zu beheben.
Beantragen können die Hersteller das Label mittels einer Herstellererklärung. Diese beinhaltet die Erklärung, dass die Produkte die Sicherheitsanforderungen erfüllen und nach dem „Security-by-Design“ Prinzip entwickelt wurden. Dieses Prinzip fordert die Berücksichtigung von Sicherheitsmaßnahmen bereits im Herstellungsprozess, um das Produkt unempfindlich gegen Angriffe zu machen. Zwar wird diese Erklärung vom BSI auf Plausibilität überprüft, eine technische Prüfung bleibt allerdings aus.
Wurde der Antrag genehmigt, erhält der Hersteller einen QR-Code, den die Verbraucher abscannen können und darüber auf die Website des BSI gelangen. Dort sind alle Sicherheitsinformationen zum Produkt aufgelistet.
Wie sicher ist das Sicherheitskennzeichen wirklich?
Für den Endverbraucher bietet das Sicherheitskennzeichen eine wichtige Informationsquelle. Während in der Vergangenheit Sicherheitswarnungen des BSI von Herstellern ignoriert wurden und die Produkte somit extrem anfällig für Hackerangriffe wurden, können die Verbraucher ab 2022 mittels des Sicherheitskennzeichen über Gefahren informiert werden. Reagieren Hersteller mit Sicherheitskennzeichen in Zukunft nicht auf Warnungen des BSI, wird ihnen das Kennzeichen entzogen und die Verbraucher können alle Informationen auf der entsprechenden Produktseite über den QR-Code nachlesen.
Wichtig allerdings ist: Das Kennzeichen darf nicht als Prüfsiegel verstanden werden. Das BSI legt lediglich die Kriterien für den Herstellungsprozess fest. Die technische Prüfung bleibt aus, weshalb die Sicherheit nicht zu 100% bestätigt werden kann. Außerdem sollten die Verbraucher immer bedenken, dass trotzdem unentdeckte Sicherheitslücken bestehen können, die durch Cyberkriminalität ausgenutzt werden.
Insgesamt bietet das IT-Sicherheitskennzeichen aber einen Mehrwert im Bereich IT-Sicherheit. Die Verbraucher werden automatisch sensibilisiert und die Hersteller verpflichten sich freiwillig, gewisse Sicherheitsstandards zu berücksichtigen.
