IT-Sicherheitskennzeichen kommt Ende 2021

Durch das IT-Sicherheitsgesetz 2.0 wurde das IT-Sicherheitskennzeichen eingeführt, welches durch das BSI für Produkte und Dienste erteilt werden kann.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat unter anderem die Aufgabe, Anwender von Produkten im Bereich der Sicherheit der Informationstechnik zu warnen und zu beraten. Dieser Auftrag soll im Sinne eines einheitlichen „IT-Gütesiegels“ konkretisiert und umgesetzt werden. Dazu wird gemäß § 9c des BSI-Gesetzes das BSI ermächtigt, zur Information von Verbrauchern über die IT-Sicherheit von Produkten bestimmter vom Bundesamt festgelegter Produktkategorien ein einheitliches IT-Sicherheitskennzeichen ein. Das IT-Sicherheitskennzeichen soll allerding keine Aussage über die den Datenschutz betreffenden Eigenschaften eines Produktes treffen.

Das IT-Sicherheitskennzeichen kann auf Antrag von Produktherstellern oder Diensteanbietern ab Ende 2021 erteilt werden. Dazu muss zunächst ein Antragsformular von der Webseite des BSI heruntergeladen und ausgefüllt werden. Dieser Antrag muss dann zusammen mit einer Herstellererklärung unterschreiben an das BSI zurückgesendet werden. Mit der Herstellererklärung versichert das einreichende Unternehmen, das sein Produkt oder Dienst die geforderten Sicherheitsanforderungen der jeweiligen Produktkategorie und der zugrundeliegenden Standards erfüllt und für die jeweils maßgebliche Dauer der Herstellererklärung auch weiterhin erfüllen wird. Dies kann z.B. beinhalten, dass der Hersteller das Produkt durch Softwareupdates anpasst.

Die IT-Sicherheitsanforderungen können sich entweder aus einer Technischen Richtlinie des BSI ergeben oder aus branchenabgestimmten IT-Sicherheitsvorgaben, soweit das BSI diese für geeignet hält, die notwendigen IT-Sicherheitsanforderungen der Produktkategorie abzubilden. Das IT-Sicherheitskennzeichen stellt dabei keine Zertifizierung dar. Vorgaben an die Einhaltung des Datenschutzes werden durch das IT-Sicherheitskennzeichen nicht erfasst bzw. dargestellt.

Nach Eingang des Antrags prüft das BSI diesen und die Herstellererklärung auf Vollständigkeit und Plausibilität.

Nach positiver Antragsprüfung erhalten das entsprechende Unternehmen vom BSI einen Bescheid, der das Unternehmen zur Nutzung des jeweiligen IT-Sicherheitskennzeichens für eine festgelegte Laufzeit (in der Regel 2 Jahre) berechtigt. Das IT-Sicherheitskennzeichen kann dann auf das Produkt oder die Umverpackung angebracht werden.

Mit Erteilung des IT-Sicherheitskennzeichens erstellt das BSI außerdem eine Produktinformationsseite, die zur Information der Verbraucherinnen oder Verbraucher über das Produkt und die abgegebene Herstellererklärung dient. Die Produktinformationsseite kann über einen permanenten Link erreicht werden, der als QR-Code auch fester Bestandteil des Kennzeichens ist.

Das IT-Sicherheitskennzeichen soll den Verbraucher in die Lage versetzen, sich ohne erhebliche Hürden mittels gängiger technischer Hilfsmittel wie einer App über die Art und Aussage der Herstellererklärung gegenüber den Vorgaben des Bundesamtes, die eventuell zur Verfügung stehenden aktuellen Sicherheitsinformationen und die Laufzeit des Kennzeichens zu informieren. Er muss zumindest einen Verweis auf die zugehörige BSI-Webseite enthalten und die Behörde nennen.

In einem nachgelagerten Prozess soll geprüft werden, ob die in der Herstellererklärung bestätigten Eigenschaften des Produkts bzw. bestätigten Anforderungen des zugrundeliegenden Standards während der Laufzeit erfüllt werden. Dieser Prozess sollte eine Komponente enthalten, die zu einer regelmäßigen, systematischen Prüfung der Kennzeichen führt. Ergänzend dazu soll es anlassbezogene Prüfungen geben, die initiiert werden, wenn dem BSI Tatsachen bekannt werden, die darauf schließen lassen, dass ein Herstellerversprechen nicht erfüllt wird.