Zur Startseite
IT

BSI übergibt erstes IT-Sicherheitskennzeichen

Die Sicherheitsbehörde will damit VerbraucherInnen eine Orientierung geben, um Sicherheitseigenschaften von IT-Produkten leichter beurteilen zu können. Das Kennzeichen ist auch für IoT-Produkte in Vorbereitung.
01.02.2022

BSI-Präsident Arne Schönbohm (rechts) übergibt das IT-Sicherheitskennzeichen an Fabian Bock, Gründer und Geschäftsführer von mail.de (links).

Bild: © Bildkraftwerk/Peter-Paul Weiler

Sicherheitseigenschaften von IT-Produkten transparent machen und Verbraucherinnen und Verbrauchern Orientierung geben - das ist das Ziel des IT-Sicherheitskennzeichens. Im Rahmen des 18. Deutschen IT-Sicherheitskongresses hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) heute das erste IT-Sicherheitskennzeichen  übergeben.

Der E-Mail-Diensteanbieter mail.de hat insgesamt vier IT-Sicherheitskennzeichen für vier verschiedene E-Mail-Dienste erhalten. Mail.de ist damit der erste Anbieter auf dem deutschen Verbrauchermarkt, der das Versprechen in die Sicherheit seiner Dienste durch das IT-Sicherheitskennzeichen für VerbraucherInnen transparent macht, so die Bonner Behörde. Nach der Erteilung wird das IT-Sicherheits-kennzeichen durch die BSI-Marktaufsicht stichprobenartig und anlassbezogen auf Einhaltung geprüft.

Das IT-Sicherheitskennzeichen kann…

  • wichtige Fakten zu Sicherheitseigenschaften eines vernetzten Produkts verständlich zusammenfassen.
  • aufzeigen, dass sich der Hersteller eines Produkts freiwillig dazu verpflichtet hat, die Anforderungen des BSI einzuhalten.
  • fördern, dass mehr Hersteller das Sicherheitsniveau ihrer Produkte anheben, weil sie das Kennzeichen verwenden wollen.
  • Vertrauen in Geräte, Dienste und auch Hersteller schaffen.
  • KundInnen  bei der Kaufentscheidung für ein IT-Produkt helfen.

Es garantiert laut BSI aber nicht, dass ein IT-Produkt absolut sicher ist, dass die Hersteller die aufgeführten Standards jederzeit und nach Ablauf der Gültigkeit des Kennzeichens erfüllen, oder dass darüber hinaus Sicherheitslücken im Produkt bekannt werden oder ausschließen, dass Kriminelle Wege finden, die Sicherheitsmerkmale eines Produkts zu überwinden. Sobald das BSI davon Kenntnis erhält, informiert es über die Schwachstelle. Zudem könne es nicht als Prüfsiegel verstanden werden. Das BSI prüft das IT-Produkt nicht, sondern legt die Kriterien fest, denen sich die Hersteller verpflichten.

Mehr Sicherheit im Internet

Dazu erklärt Arne Schönbohm: "Das IT-Sicherheitskennzeichen schafft Transparenz und gibt Orientierung. Wir geben damit ein deutliches Signal an den Verbrauchermarkt, dass Informationssicherheit ein wichtiges Argument für die Kauf- und Nutzungsentscheidung bei IT-Produkten ist. Wir sind überzeugt, dass wir mit dem IT-Sicherheitskennzeichen einen deutlichen Schritt zu mehr Sicherheit für die Verbraucherinnen und Verbraucher im Internet machen!"

Das BSI stellt mit dem IT-Sicherheitskennzeichen VerbraucherInnen eine Orientierung zur Verfügung, mit dem Sicherheitseigenschaften von IT-Produkten leichter beurteilt werden können. Das Kennzeichen soll somit mehr Transparenz am Verbrauchermarkt schaffen und NutzerInnen die Möglichkeit bieten, vor dem Kauf von IT-Produkten eine informierte Kaufentscheidung zu treffen.  

Wie es funktioniert

Das Kennzeichen verfügt über einen Link und einen QR-Code, die zu einer spezifischen Produktinformationsseite auf der Webseite des BSI führen. Auf dieser Webseite können sich VerbraucherInnen über die vom Hersteller zugesicherten Sicherheitseigenschaften des Dienstes und über aktuelle Sicherheitsinformationen informieren.

Für das IT-Sicherheitskennzeichen in der Kategorie E-Mail-Dienste sichert der Anbieter unter anderem zu, das BSI über aktuelle Schwachstellen zu informieren und seinen Dienst mindestens bis zum Ende der aktuellen Laufzeit des Kennzeichens mit sicherheitsrelevanten Updates zu versorgen. Die Anforderungen für das IT-Sicherheitskennzeichen für E-Mail-Dienste basieren auf der Technischen Richtlinie "Sicherer E-Mail-Transport" (TR 3108).

IoT-Produkte in Vorbereitung

Derzeit kann beim BSI ein Antrag zur Erteilung eines IT-Sicherheitskennzeichen für die ersten beiden Kategorien Breitbandrouter und E-Mail-Dienste beantragt werden. Weitere Produktkategorien aus dem Bereich Internet of Things sind derzeit in Vorbereitung und werden im Laufe des Jahres veröffentlicht.

Die Anforderungen für IT-Sicherheitskennzeichen aus diesem Bereich werden voraussichtlich auf dem europäischen Standard ETSI EN 303 645 beruhen. Mit der fortlaufenden Entwicklung neuer Produktkategorien für das IT-Sicherheitskennzeichenleistet das BSI einen wichtigen Beitrag für transparente IT-Sicherheit auf dem deutschen Verbrauchermarkt.