Transparenz für Sicherheitsversprechen: PSW GROUP äußert Lob und Kritik für das IT-Sicherheitskennzeichen

(Auszug aus der Pressemitteilung)

Fulda, 29.09.2022 – Ist mein Router wirklich sicher? Wie verhält es sich mit meinem E-Mail-Dienst? Viele Hersteller und Anbieter von IoT-Produkten geben vollmundige Versprechungen über die Sicherheit ihrer Dienste oder Produkte. Doch was dahintersteckt, können Verbraucherinnen und Verbraucher nicht immer nachvollziehen. Um besser einschätzen können, wie es um der Sicherheit von IT-Komponenten bestellt ist, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Ende letzten Jahres das IT-Sicherheitskennzeichen eingeführt: Seit Ende 2021 könne Hersteller von Verbraucherprodukten ihre Produkte oder Dienste freiwillig mit dem IT-Sicherheitskennzeichen auszeichnen zu lassen.

„Mit dieser freiwilligen Selbstverpflichtung möchte das BSI erreichen, dass Security by Design sowie by Default weiter forciert werden. Darüber hinaus sollen allgemeine Schutzziele der Informationssicherheit gewährleistet werden, die da sind Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Das sind zwar allesamt Punkte, die der Gesetzgeber ohnehin vorgibt, die aber nach außen hin nicht zwangsläufig sichtbar sind. Genau hier möchte das BSI mit dem IT-Sicherheitskennzeichen ansetzen. Nämlich weniger versierten Nutzenden eine erste Orientierung geben“, befürwortet Patrycja Schrenk, Geschäftsführerin der PSW GROUP (www.psw-group.de), den eingeschlagenen Weg. Die IT-Sicherheitsexpertin spart jedoch nicht mit Kritik: „Werden Unternehmen oder Dienste jedoch ungeprüft mit dem IT-Sicherheitskennzeichen ausgezeichnet, so wie es aktuell der Fall ist, kann einfach keine realistische Aussage zum Einhalten etwaiger Standards getroffen werden.“

Das BSI prüft die einzelnen Produkte oder Dienste nämlich nicht in technischer Hinsicht, sodass die Behörde auch die Einhaltung geforderter Sicherheitsmerkmale nicht garantieren kann. Stattdessen prüft die BSI-Marktaufsicht mittels Stichproben während der Laufzeit des Kennzeichens anlasslos, inwieweit sich Hersteller und Anbieter an die Zusicherungen halten. „Sämtliche Hersteller relevanter Produkte und Anwendungen können das Kennzeichen beantragen. Mit der Beantragung verpflichtet sich der Hersteller freiwillig dazu, die vom BSI vorgegebenen Sicherheitsstandards einzuhalten. Werden dem BSI während der Laufzeit des Kennzeichens Sicherheitslücken oder sonstige Missstände bekannt, können anlassbezogene Prüfungen erfolgen. Erfährt das BSI von einem Verstoß gegen die Standards, hat es die Befugnis, eine technische Prüfung der Herstellerangaben durchzuführen. Sind die Vorwürfe berechtigt, kann das Kennzeichen wieder entzogen werden“, ergänzt Patrycja Schrenk.

Das IT-Sicherheitskennzeichen gibt es inzwischen für sieben Produktkategorien: Router, E-Mail-Dienste, Fernseher, Kameras, Lautsprecher, Spielzeuge und smarte Reinigungs- und Gartenroboter, um die Sicherheit im Smart Home und im Internet of Things (IoT) kontrollierbarer zu machen. Wie auch andere Zertifikate oder Siegel soll das IT-Sicherheitskennzeichen auf dem Gerät, auf seiner Verpackung oder auf der Website des Herstellers zu finden sein. Weitere sicherheitsrelevanten Informationen sind über QR-Codes oder Links, die zu vom BSI betriebenen Webseiten führen, auf den Produktetiketten abrufbar. Sollte ein Kennzeichen ablaufen oder aufgrund der Missachtung technischer Standards widerrufen werden, so soll auch diese Information auf den hinterlegten Seiten angezeigt werden, um Verbrauchende umfassend aufzuklären.

„Das IT-Sicherheitskennzeichen ist kein Prüfsiegel. Es garantiert nicht, ob ein IT-Produkt 100-prozentig sicher ist oder dass Sicherheitslücken ausgeschlossen werden können. Es legt lediglich Kriterien und definierte Sicherheitsstandards fest, zu deren Einhaltung sich ausgezeichnete Hersteller freiwillig verpflichtet haben. Hält man sich das vor Augen, ist das Kennzeichen ein Ansatz, Verbraucherinnen und Verbrauchern eine erste Orientierung zur Sicherheit ihres Produktes zu geben“, so Patrycja Schrenk.