IT-Sicherheitskennzeichen: Transparenz für Sicherheitsversprechen

Immer häufiger sind Produkte mit dem Internet verbunden – doch ob das Produkt sicher ist, lässt sich nur schwer erkennen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) möchte mit seinem IT-Sicherheitskennzeichen solchen Situationen entgegensteuern. Der heutige Blogbeitrag verrät Ihnen mehr über das IT-Sicherheitskennzeichen des BSI: Nach einem kurzen Ausflug in die Historie des IT-Sicherheitskennzeichens stellen wir dar, wie die BSI-Auszeichnung funktioniert und welche Sicherheitsstandards dafür definiert wurden. Wir lassen Kritisierende zu Wort kommen und resümieren in unserem Fazit, ob das IT-Sicherheitskennzeichen die gewünschte Transparenz liefern kann.

Das IT-Sicherheitskennzeichen des BSI

Die Problematik, dass Verbraucher:innen mit der Einschätzung der Sicherheit von mit dem Internet verbundenen Produkten wie Router oder IoT-Komponenten allein dastehen, ist dem BSI und anderen Expert:innen schon länger bekannt. Um an dieser Situation etwas ändern zu können, führte das BSI mit dem IT-Sicherheitsgesetz 2.0 auch das IT-Sicherheitskennzeichen ein. Seit Ende 2021 ist es Herstellern von Verbraucherprodukten möglich, ihre Produkte mit dem IT-Sicherheitskennzeichen auszeichnen zu lassen.

Das BSI IT-Sicherheitskennzeichen gibt dabei Auskunft über von den jeweiligen Herstellern zugesicherte Sicherheitsmerkmale von vernetzten Geräten sowie Anwendungen. Sämtliche Hersteller relevanter Produkte und Anwendungen können das Kennzeichen beantragen, wobei die Beantragung keiner Verpflichtung unterliegt, sondern freiwillig ist. Hat ein Hersteller das IT-Sicherheitskennzeichen beantragt, verpflichtet er sich freiwillig dazu, die vom BSI vorgegebenen Sicherheitsstandards einzuhalten.

Anfänglich gab es das IT-Sicherheitskennzeichen ausschließlich für Breitband-Router und E-Mail-Dienste, im Mai wurden die Produktkategorien um fünf weitere ergänzt (s. unten). Nach und nach möchte das BSI mögliche Produktkategorien noch mehr ausbauen, sodass das Kennzeichen auch für Hersteller anderer vernetzter Geräte/ Dienste interessant ist. Mit der Auszeichnung durch das BSI gehen Hersteller einige Verpflichtungen ein:

Zwar prüft das BSI die einzelnen Produkte technisch nicht, sodass die Behörde auch die Einhaltung geforderter Sicherheitsmerkmale nicht garantieren kann. Jedoch prüft die BSI-Marktaufsicht beispielsweise durch Stichproben während der Laufzeit des Kennzeichens anlasslos, inwieweit sich Hersteller und Anbieter an die Zusicherungen halten. Werden Sicherheitslücken oder sonstige Missstände bekannt, können auch anlassbezogene Prüfungen erfolgen. Erfährt das BSI von einem Verstoß gegen die Standards, hat es die Befugnis, eine technische Prüfung der Herstellerangaben durchzuführen. Sind die Vorwürfe berechtigt, kann das Kennzeichen wieder entzogen werden.

So funktioniert das IT-Sicherheitskennzeichen vom BSI

Ziel des IT-Sicherheitskennzeichens ist es mitunter, Verbrauchende besser über die Sicherheit von Produkten und Diensten aufzuklären. Dementsprechend soll das Kennzeichen – wie auch andere Zertifikate oder Siegel – auf dem Gerät, auf seiner Verpackung oder aber auf der Website des Herstellers zu finden sein.

Um Verbrauchenden einen komfortablen Zugang zu weiteren sicherheitsrelevanten Informationen zu spendieren, sollen diese über QR-Codes bzw. Links auf den Produktetiketten abrufbar sein. Die so aufrufbaren Seiten möchte das BSI betreiben. Sollte ein Kennzeichen ablaufen oder aufgrund der Missachtung technischer Standards widerrufen werden, so soll auch diese Information auf den hinterlegten Seiten angezeigt werden, um Verbrauchende umfassend aufzuklären.

IT-Sicherheitskennzeichen: Die definierten Standards

Das BSI hat Sicherheitsstandards definiert, zu denen sich Unternehmen, die ihre Produkte oder Dienste auszeichnen lassen möchten, freiwillig verpflichten. Dabei unterscheiden sich die Sicherheitsstandards, die einzuhalten sind, je nach Produktkategorie. Für den Start gab es lediglich zwei Kategorien:

• Breitbandrouter: Grundlage für das IT-Sicherheitskennzeichen bei Breitbandroutern ist die Erfüllung der technischen Richtlinie TR-03148 des BSI.
• E-Mail-Dienste: Die Grundlage für die Auszeichnung von E-Mail-Diensten bildet die technische Richtlinie TR-03108 des BSI.

Diese beiden Kategorien wurden im Mai 2022 durch fünf weitere ergänzt:

• Smartes Fernsehen
• Smarte Lautsprecher
• Smarte Kameras
• Smarte Spielzeuge
• Smarte Reinigungs- und Gartenroboter

Die fünf ergänzten Produktkategorien stützen sich auf den noch recht jungen vom BSI vorangetriebenen Sicherheitsstandard ETSI EN 303 645 des Europäischen Instituts für Telekommunikationsnormen (ETSI) in Verbindung mit ETSI TS 103 701 und der technischen Richtlinie BSI TR-03173. Der Sicherheitsstandard ETSI EN 303 645 soll die Sicherheit im Smart Home und im Internet of Things (IoT) einfacher kontrollierbar machen.

Für Produkte außerhalb der genannten Kategorien ist derzeit noch keine Antragstellung möglich, jedoch sollen weitere Produktgruppen nach und nach folgen. Alle im Antragsprozess notwendigen Schritte beschreibt das BSI auf seiner Website, wo interessierte Unternehmen auch die Antragsunterlagen nach Produktkategorie sortiert finden.

Kritik am IT-Sicherheitskennzeichen des BSI

Kritik am IT-Sicherheitskennzeichen bzw. am Vorgehen zum Erhalt der Auszeichnung kommt mitunter vom Chaos Computer Club (CCC): In einer Stellungnahme zum seinerzeit erscheinenden IT-Sicherheitsgesetz 2.0 fand die Hackervereinigung deutliche Worte. Der CCC findet, das IT-Sicherheitskennzeichen führe zu „Ressourcenverschwendung“: „Für mehr IT-Sicherheit sollen Herstellerinnen sich künftig freiwillig selbst mit einem IT-Sicherheitskennzeichen auszeichnen dürfen. Dies wünschen sich insbesondere deutsche Herstellerinnen schon seit längerem, um die Preise ihrer Produkte rechtfertigen zu können. Schlappe 25 Stellen im BSI werden hierfür veranschlagt, obwohl noch nicht einmal eine unabhängige Prüfung vorgesehen ist. Zielführender wäre die Ausweitung der Produkthaftung auf den Bereich der IT-Sicherheit und die Einführung eines Mindestzeitraums für Updates, damit mangelnde Qualität künftig nicht mehr als Preis- und Marktvorteil zum Nachteil der IT-Sicherheit missverstanden werden kann.“

Auch die linke Netzpolitikerin Anke Domscheit-Berg kritisierte die geplante Plausibilitätsprüfung anhand eingereichter Dokumente für nicht aussagekräftig genug: „Niemand erklärt sein eigenes Produkt freiwillig für unsicher“, gab sie zu bedenken.

Das BSI begegnet den Kritiken gelassen und benennt Einschränkungen, die Verbrauchende und Hersteller bedenken sollten: So könne das IT-Sicherheitskennzeichen nicht garantieren, dass IT-Produkte 100-prozentig sicher seien, dass Hersteller die definierten Standards immer und auch noch nach Ablauf der Gültigkeit des IT-Sicherheitskennzeichens erfüllen, dass Sicherheitslücken nicht ausgeschlossen werden können oder dass Kriminelle einen Weg finden, Sicherheitsmerkmale von Produkten zu überwinden. Das IT-Sicherheitskennzeichen sei nicht als Prüfsiegel zu missverstehen. Vielmehr lege das BSI Kriterien fest, zu denen sich ausgezeichnete Hersteller freiwillig verpflichtet haben.

Schafft das IT-Sicherheitskennzeichen des BSI Transparenz für Sicherheitsversprechen?

Hersteller oder Anbieter von vernetzten Produkten oder Dienste geben oft vollmundige Versprechen über die Sicherheit ihrer Produkte und Dienste ab – doch was dahintersteckt, können vor allem weniger versierte Nutzende nicht immer nachvollziehen. Diese Lücke möchte das BSI mit dem IT-Sicherheitskennzeichen schließen: Verbrauchenden soll durch erhöhte Transparenz ermöglicht werden, Sicherheitsversprechen einschätzen und besser informierte Kaufentscheidungen treffen zu können.

Die Kritiken sind dabei nicht von der Hand zu weisen: Werden Unternehmen ungeprüft mit dem IT-Sicherheitskennzeichen ausgezeichnet, kann einfach keine realistische Aussage zum Einhalten etwaiger Standards getroffen werden. Das ist aber auch nicht das Ziel des BSI mit der Einführung des IT-Sicherheitskennzeichens.

Vielmehr möchte das BSI durch freiwillige Selbstverpflichtungen erreichen, Security by Design sowie by Default zu forcieren. Darüber hinaus sollen allgemeine Schutzziele der Informationssicherheit gewährleistet werden: Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. All das sind Punkte, die der Gesetzgeber in gesetzlichen Regularien ohnehin vorgibt, die aber nach außen hin bislang nicht zwangsläufig sichtbar sind. Und hier möchte das BSI mit dem IT-Sicherheitskennzeichen ansetzen: Weniger versierten Nutzenden sollen die Kennzeichen erste Orientierung geben.