Router und E-Mail Was Sie zum neuen IT-Sicherheitssiegel wissen sollten
News folgenRouter-Hersteller und E-Mail-Anbieter können jetzt ein Sicherheitssiegel beim BSI beantragen. Verbraucher sollen damit mehr Transparenz erhalten. Was bedeutet das?
Im Mai vergangenen Jahres trat das vom Bundestag beschlossene Sicherheitsgesetz 2.0 in Kraft. Damit hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Auftrag erhalten, ein IT-Sicherheitskennzeichen einzuführen. Das ist nun mit dem Beginn des neuen Jahres geschehen – das Kennzeichen ist da.
Was kann das IT-Sicherheitskennzeichen?
Das Logo soll Transparenz für Verbraucher schaffen, indem "Sicherheitseigenschaften digitaler Produkte auf einen Blick erkennbar werden", schreibt das BSI. Denn es sei immer schwieriger zu beurteilen, "welche Geräte und Dienste welche Sicherheitseigenschaften besitzen".
Konkret bedeutet das, wer ein digitales Produkt mit dem Logo kauft, kann anhand eines QR-Codes oder eines Links eine Internetseite des BSI aufrufen. Für jedes Produkt will die Behörde eine eigene Seite erstellen. Dort sollen unter anderem sicherheitsrelevante Eigenschaften des Geräts oder Dienstes vermerkt werden.
Außerdem will das BSI auf den Seiten auch vermerken, wenn die Laufzeit des Zertifikats ausgelaufen ist, Updates für das Produkt notwendig oder Sicherheitslücken bekanntgeworden sind.
Welche Produkte werden mit dem Logo gekennzeichnet?
Vorerst können nur Hersteller von Breitbandroutern oder E-Mail-Anbieter das IT-Sicherheitskennzeichen beantragen. Später sollen weitere Produktgruppen im Bereich Smart Home folgen, wie die Verbraucherzentralen auf ihren Seiten schreiben. Wann das genau sein wird, sei unklar.
Wie wird das Kennzeichen beantragt?
Anbieter der beiden Produktkategorien Router und E-Mail-Dienst können einen Antrag auf Erteilung eines IT-Sicherheitskennzeichens auf den Seiten des BSI herunterladen. Vor der Einreichung des Dokuments beim BSI sollen die Hersteller prüfen, ob ihr Produkt die vom BSI festgelegten Sicherheitsstandards erfüllt.
Für Breitbandrouter ist das die technische Richtlinie "Secure Broadband Router" (BSI TR-03148), E-Mail-Anbieter müssen die technische Richtlinie "Sicherer E-Mail-Transport" (BSI TR-03108) beachten. In den Dokumenten hat das BSI festgelegt, welche Sicherheitsfunktionen wie zum Beispiel Übertragungsprotokolle oder Passwort-Abfragen ein Produkt erfüllen muss.
Das BSI prüft danach, ob ein Herstellerantrag vollständig ist und die Angaben plausibel sind. Sollte alles in Ordnung sein, erhält der Hersteller die Erlaubnis zur Nutzung des IT-Sicherheitskennzeichens für eine bestimmte Laufzeit. Laut des IT-Branchenverbands Bitkom soll das Zertifikat zwei Jahre gültig sein, bevor es erneuert werden muss.
Werden die Sicherheits-Standards der Hersteller geprüft?
Hier lautet die Antwort: Jein. Das BSI prüft laut eigenen Angaben lediglich den Antrag des Herstellers, aber führt keine technische Prüfung durch und trifft keine Aussagen zum Datenschutz. Die Behörde behält sich aber vor, "jederzeit die Einhaltung der Herstellererklärung" zu prüfen. Das kann stichprobenartig geschehen, schreibt das BSI.
Ansonsten verlässt sich die Behörde auf die Zusicherung des Herstellers, sich an die Richtlinien zu halten. Die Unternehmen verpflichten sich auch, das BSI über bekanntgewordene Sicherheitslücken in ihren zertifizierten Produkten zu informieren.
Welchen Schutz bietet das Zertifikat den Verbrauchern?
Käufer der mit einem vom BSI-Logo versehenen Produkte haben keinen Schutz davor, Opfer eines Hackerangriffs zu werden. Durch die Pflichten des Herstellers, sich an die Richtlinien des BSI zu halten, kann der Verbraucher aber davon ausgehen, dass gewisse Sicherheitsstandars vorhanden sind. Außerdem müssen Schwachstellen dem BSI gemeldet werden, so dass der Käufer eines Produkts davon ausgehen kann, dass sein Router oder E-Mail-Dienst regelmäßig vom Entwickler auf Sicherheitslücken geprüft wird.
Das BSI rät: Es liege auch in der Hand der Verbraucher, "vom Hersteller angebotene Updates immer kurz nach Erscheinen zu installieren, um das IT-Sicherheits-Level des Gerätes aufrechtzuerhalten". Der Kunde sollte sich also nicht allein darauf verlassen, dass er ein sicheres Produkt erworben hat, sondern sich auch selbst um die Sicherheit bemühen.
- BSI - Das IT-Sicherheitskennzeichen ist da
- Verbraucherzentrale.de
