IT-SIG 2.0: Was bringt eine Sicherheitskennzeichnung?

Das Ziel: Mehr Transparenz bei IT-Sicherheit

Besonders bemerkenswert ist dabei das IT-Sicherheitskennzeichen. Einerseits ist es Teil der im IT-Sicherheitsgesetz 2.0 geplanten Maßnahmen zur „Erhöhung der Resilienz des nationalen IT-Ökosystems mit Fokus auf den Umgang mit Schwachstellen in Hardware, Software und Online-Dienstleistungen (unter anderem IT-Sicherheitskennzeichen, Patch-Bereitstellung, Zwei-Faktor-Authentisierung und Einführen eines nationalen Schwachstellenmanagements)“.

Andererseits soll das BSI auch Aufgaben des Verbraucherschutzes erhalten und zukünftig mit dem „IT-Sicherheitskennzeichen“ die IT-Sicherheit von Produkten sichtbar machen. Es versteht sich, dass die IT-Sicherheit nicht nur im Rahmen des digitalen Verbraucherschutzes mehr Transparenz benötigt, auch Unternehmen müssen wissen, ob die von ihnen genutzten IT-Produkte die erforderliche Sicherheit bieten können. Trotzdem ist eine Sicherheitskennzeichnung bei Verbraucherprodukten zweifellos wichtig und sinnvoll.

Eigenschaften des geplanten IT-Sicherheitskennzeichens

Über das geplante Sicherheitskennzeichen sagt der Entwurf des IT-SIG 2.0 insbesondere aus:

• Das Kennzeichen beinhaltet eine Erklärung des Herstellers der jeweiligen Produkte, in welcher dieser das Vorliegen bestimmter IT-Sicherheitseigenschaften des Produkts für zutreffend erklärt (Herstellererklärung), und eine Information des Bundesamtes über Sicherheitslücken oder sonstige Informationen über sicherheitsrelevante IT-Eigenschaften (BSI-Sicherheitsinformation).
• Das Bundesamt soll in regelmäßigen Abständen sowie anlassbezogen prüfen, ob die Vorgaben des IT-Sicherheitskennzeichens eingehalten werden. Werden bei einem das IT-Sicherheitskennzeichen tragenden Produkt Abweichungen vom abgegeben Herstellerversprechen oder Sicherheitslücken festgestellt, kann das Bundesamt die geeigneten Maßnahmen treffen, insbesondere Informationen über den elektronischen Verweis in geeigneter Weise darstellen (BSI-Sicherheitsinfo) (sogenannter „elektronischer Beipackzettel“), die Freigabe zur Nutzung des IT-Sicherheitskennzeichens widerrufen und die Werbung mit dem IT-Sicherheitskennzeichen sowie die Nutzung des IT-Sicherheitskennzeichens untersagen.

Branchenverbände sehen Sicherheitskennzeichen positiv, aber ...

Die Digitalwirtschaft steht einem IT-Sicherheitskennzeichen grundsätzlich positiv und offen gegenüber, so der Digitalverband Bitkom (PDF).

Der Bitkom weist aber auf wichtige Punkte hin, die bei einem IT-Sicherheitskennzeichen zu bedenken sind:

Da die Unternehmen der Digitalwirtschaft auf internationalen Märkten agieren, ist eine mindestens europaweit einheitliche Einführung eines IT-Sicherheitskennzeichens von höchster Priorität.

Es sollte vermieden werden, dass das IT-Kennzeichen ausschließlich auf Grundlage von technischen Richtlinien des BSI, welche sich nicht auf internationale Standards beziehen, vergeben wird. Eine anschließende Internationalisierung würde sich dadurch äußerst schwierig gestalten, so Bitkom.

Ein Kennzeichen berge außerdem die Gefahr, dass der Verbraucher sich durch den Kauf eines ausgezeichneten Gerätes in vollkommener Sicherheit wägt und einen sorgsamen Umgang mit dem Produkt nicht mehr gewährleistet ist. Dem Verbraucher müsse klar gemacht werden, dass es sich hier nur um ein Mindestmaß an Sicherheit handelt und dass der richtige Umgang mit dem Gerät eine weitere unverzichtbare Komponente ist.

Es gelte, eine stete Überwachung der gekennzeichneten Produkte sicherzustellen, um Missbrauch des Kennzeichens zu verhindern.

Ein weiterer Punkt: Ein IT-Sicherheitskennzeichen sei nur als eine kleine Komponente eines umfassenden Konzeptes für mehr IT-Sicherheit zu verstehen, so der Bitkom. Das Ziel eines höheren IT-Sicherheitsniveaus könne nur erreicht werden, wenn Hersteller und Anwender, Infrastrukturbetreiber und Strafermittlungsbehörden gemeinsam darauf hinwirken und ihre jeweilige Verantwortung innerhalb des Ökosystems übernehmen.

Kritik am IT-Sicherheitskennzeichen

Es gibt aber auch durchaus kritische Stimmen zu dem geplanten IT-Sicherheitskennzeichen, darunter die „Vorläufige Bewertung des Referentenentwurfs zum IT-Sicherheitsgesetz 2.0“ von der Stiftung Neue Verantwortung:

„Die gesetzliche Regelung von freiwilligen IT-Sicherheitskennzeichen lässt wenig Potenzial für mehr IT-Sicherheit erkennen, wird aber vermutlich eine große Anzahl an Ressourcen unter anderem beim BSI beanspruchen. Fraglich ist, warum diese Norm nicht durch die Förderung bestehender Projekte (zum Beispiel Trustable Technology Mark for the Internet of Things) gefördert wird.“

IT-SIG 2.0: Verbraucher, aber auch KRITIS im Blick

Die Entwürfe zum IT-Sicherheitsgesetz 2.0 zeigen: Das geplante IT-Sicherheitskennzeichen soll sich an die Verbraucher richten, doch es gibt ebenfalls Bestrebungen, auch für Unternehmen die IT-Sicherheit transparenter zu machen, speziell für Betreiber kritischer Infrastrukturen.

Das Beratungshaus PwC kommentierte das geplante IT-Sicherheitsgesetz 2.0 dann auch so: „Neu ist, dass für die KRITIS-Kernkomponenten zukünftig explizit Mindeststandards durch das BSI definiert werden. Auch dürfen dafür zukünftig nur noch solche Komponenten von Herstellern verbaut werden, für die eine „Vertrauenswürdigkeitserklärung“ abgegeben wurde, die also demnach über ein BSI-Sicherheitskennzeichen verfügen. Diese Anforderung schließt die gesamte Zulieferkette des Herstellers ausdrücklich ein.“

Parallelen zum Datenschutz

Es zeigt sich also, dass mit (Mindest-)Standards, Herstellererklärungen und Sicherheitskennzeichnungen dem Problem begegnet werden soll, dass sich IT-Sicherheit nicht so einfach und schnell beurteilen lässt, wie es bei einer Kaufentscheidung oder bei Vertragsverhandlungen erforderlich wäre.

Eine ähnliche Situation herrscht im Datenschutz, wo Unternehmen sicherstellen müssen, dass das Datenschutzniveau bei dem Dienstleister (Auftragsverarbeiter) der Wahl angemessen ist. Hier werden die Datenschutz-Zertifizierungen nach Datenschutz-Grundverordnungen helfen.

Mit Zertifizierungen und Kennzeichnungen für Sicherheit und Datenschutz werden zweifellos Instrumente geschaffen, die die Entscheidungen der Anwender unterstützen und die die Sicherheits- und Datenschutzmaßnahmen der Anbieter beflügeln werden, für die Compliance und für den Erfolg auf dem Markt.