Mehr Transparenz in der IoT-Sicherheit Wie das IT-Sicherheitskennzeichen die IoT-Security stärken kann

Hersteller und Anbieter können ihre IT-Produkte mit dem freiwilligen IT-Sicherheitskennzeichen des BSI auszeichnen. Eine technische Prüfung ist damit allerdings nicht verbunden, wie Kritiker betonen. Trotzdem kann das IT-Sicherheitskennzeichen viel bewirken, gerade im Internet of Things (IoT). Das Sicherheitsbewusstsein und die Transparenz im Markt können profitieren.

Anbieter zum Thema

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird ein freiwilliges IT-Sicherheitskennzeichen einführen. Damit sollen Verbraucherinnen und Verbraucher die Möglichkeit erhalten, sich leichter über vom Hersteller zugesicherte Sicherheitsfunktionen von vernetzten, internetfähigen Produkten und Diensten zu informieren. (Symbolbild)
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird ein freiwilliges IT-Sicherheitskennzeichen einführen. Damit sollen Verbraucherinnen und Verbraucher die Möglichkeit erhalten, sich leichter über vom Hersteller zugesicherte Sicherheitsfunktionen von vernetzten, internetfähigen Produkten und Diensten zu informieren. (Symbolbild)
(© Skórzewiak - stock.adobe.com)

Mit dem IT-Sicherheitsgesetz 2.0 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Auftrag erhalten, ein freiwilliges IT-Sicherheitskennzeichen einzuführen. Damit sollen Verbraucherinnen und Verbraucher die Möglichkeit erhalten, sich leichter über vom Hersteller zugesicherte Sicherheitsfunktionen von vernetzten, internetfähigen Produkten und Diensten zu informieren.

Das IT-Sicherheitskennzeichen soll in Zukunft zum Beispiel auf den Verpackungen von Produkten aufgebracht sein. Das Etikett des IT-Sicherheitskennzeichens enthält dann einen Link und einen QR-Code, den Verbraucherinnen und Verbraucher scannen können. Darüber gelangen sie auf eine Webseite des BSI mit aktuellen Sicherheitsinformationen zum Produkt, wie dieses Beispiel zeigt.

Offensichtlich steigt so die Transparenz, und das ist auch dringend notwendig: Während mehr und mehr Alltagsgegenstände mit dem Internet und mit anderen smarten Dingen vernetzt werden, ist es für Verbraucherinnen und Verbraucher immer schwieriger zu beurteilen, welche Geräte und Dienste welche Sicherheitseigenschaften besitzen, so das BSI.

Security by Design als Wettbewerbsvorteil

„Je häufiger das IT-Sicherheitskennzeichen genutzt wird, desto einfacher, schneller und breiter können wir wichtige Sicherheitsinformationen einzelner Geräte zu den Menschen bringen“, so Arne Schönbohm, Präsident des BSI. „Unsere Informationen können dabei helfen, Sicherheitslücken in digitalen Alltagsgeräten schnell und zuverlässig zu schließen. Das IT-Sicherheitskennzeichen ist ein sichtbares Symbol für eine wichtige Botschaft: Informationssicherheit ist die Voraussetzung für eine erfolgreiche Digitalisierung!“

Die Idee dahinter ist, dass es für Hersteller und Anbieter immer interessanter wird, möglichst schon zu Beginn für Sicherheit zu sorgen und Schwachstellen so schnell wie möglich zu schließen.

So erklärt das BSI: Herstellern bietet das IT-Sicherheitskennzeichen die Möglichkeit, über dieses zu kennzeichnen, dass ihre Produkte einschlägige IT-Sicherheitsstandards erfüllen. Dies kann ein Anreiz sein, bereits während der Entwicklungsphase neuer Produkte und Dienste wichtige Sicherheitsanforderungen zu berücksichtigen. Hersteller können damit das steigende Informationsbedürfnis der Verbraucherinnen und Verbraucher erfüllen und ihr Produkt am Markt hervorheben, da IT-Sicherheit bei der Kaufentscheidung eine Rolle spielt.

Keine Prüfung, aber Marktüberwachung

Zu Beginn muss der Antragsteller insbesondere eine Zusicherung darüber abgeben, dass er die zugrundeliegenden Anforderungen für sein Produkt oder seine Dienstleistung geprüft hat und diese erfüllt. Ist der Nachweis plausibel, erfolgt die Erteilung des IT-Sicherheitskennzeichens seitens BSI.

Das Fehlen einer Tiefenprüfung durch das BSI wurde bereits mehrfach kritisiert von Verbraucherschützern, Verbänden und Wirtschaftsvertretern.

Auch wenn es die Vorabprüfung nicht gibt, so ist doch eine Aufsicht vorgesehen: Nach der Erteilung des IT-Sicherheitskennzeichens überprüft die durch das IT SiG 2.0 ermöglichte BSI-Marktaufsicht am Standort Freital anlasslos (z. B. durch Stichproben) die Einhaltung der Anforderungen bei einzelnen Produkten. Bei Bekanntwerden von Schwachstellen in Produkten mit Sicherheitskennzeichen prüft das BSI die Informationen, setzt sich mit dem Hersteller in Verbindung und stellt entsprechende Informationen für die Verbraucherinnen und Verbraucher auf der zum Kennzeichen gehörigen Internetseite zur Verfügung.

Folgen für die Sicherheit, gerade im IoT

Bislang können Anträge für IT-Sicherheitskennzeichen in den Kategorien Breitbandrouter und E-Mail-Dienste gestellt werden. Das BSI plant zeitnah, das IT-Sicherheitskennzeichen für weitere Kategorien zu öffnen. Man erwartet, dass dies dann auch Bereiche wie Smart Home umfassen wird.

Das IT-Sicherheitskennzeichen ist zwar freiwillig und auch kein Zertifikat oder Gütesiegel, das nach einer unabhängigen Prüfung verliehen wird. Trotzdem kann es einiges für die Sicherheit erreichen, gerade bei IoT, da es dort zum einen bisher eher schlecht um die Sicherheit vieler Geräte bestellt ist, die Anwenderinnen und Anwender sich der Risiken nicht bewusst sind und die Absicherung im IoT durchaus komplex ist.

Zudem kann eine steigende Transparenz für die Sicherheit bei Verbraucherprodukten im IoT auch der IoT-Sicherheit in Unternehmen helfen, nicht nur, weil auch private IoT-Geräte zum betrieblichen Risiko werden können. Man denke nur an Home-Office in Verbindung mit Smart-Home-Produkten.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Big Data, Analytics & AI

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Es ist aber auch generell zu erwarten, dass eine Zunahme an Transparenz die Erwartungen der Nutzer an IoT-Sicherheit erhöht, dass sich Anwenderinnen und Anwender zunehmend für die Sicherheitseigenschaften von IoT-Lösungen interessieren, privat wie beruflich, und dass die Hersteller erkennen, dass der Markt zunehmend nach Sicherheitsinformationen verlangt.

Wenn aber mehr Transparenz in der IoT-Sicherheit entsteht, bildet sich auch ein Druck auf die Umsetzung von Sicherheitsmaßnahmen, denn welcher Anbieter oder Hersteller will schon mit Schwachstellen in der Öffentlichkeit „glänzen“.

Der Bedarf an Sicherheitsinformationen und deren Bedeutung auf dem Markt können schließlich den Weg ebnen für wirkliche IoT-Sicherheitssiegel, auf Basis von vorherigen, unabhängigen Tiefenprüfungen. Wie in anderen IT-Bereichen werden Zertifizierungen auch im IoT an Bedeutung gewinnen. Das IT-Sicherheitskennzeichen kann dabei durchaus als ein Wegbereiter gesehen werden.

(ID:47930292)