Was ist das IT-Sicherheitskennzeichen?

Viele Produkte und Dienste aus unserem Alltag und Berufsleben nutzen personenbezogene Daten, vom E-Mail-Programm bis zum Router. Damit sind auch Risiken verbunden. Für Verbraucher ist es schwer einzuschätzen, ob ein mit dem Internet und der Datenverarbeitung zusammenhängendes Produkt oder eine Dienstleistung ein ausreichend hohes Sicherheitsniveau bietet oder nicht. Ein neues Siegel soll zeigen, welche Sicherheitsmerkmale eine Dienstleistung oder ein Produkt bietet. Seit Ende 2021 haben Hersteller die Möglichkeit, Ihre Produkte mit dem sogenannten IT-Sicherheitskennzeichen versehen zu lassen, das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vergeben wird.

Wenn ein Hersteller sich mit dem IT-Sicherheitskennzeichen auszeichnen lässt, verpflichtet er sich dazu, für die Dauer der Gültigkeit des Kennzeichens alle gesetzlich vorgegebenen Sicherheitsstandards einzuhalten. Die Dauer beträgt in der Regel zwei Jahre. Zum Erhalt des Kennzeichens reicht der Hersteller relevante Unterlagen ein, die vom BSI auf die Einhaltung von Sicherheitsstandards geprüft werden. Der Hersteller muss sich für die Dauer der Gültigkeit des IT-Sicherheitskennzeichens stichprobenartigen Kontrollen durch das BSI unterziehen, mit denen sichergestellt wird, dass der Hersteller sich weiterhin an die Vorgaben hält. Ist das nicht der Fall, kann das BSI dem Hersteller das IT-Sicherheitskennzeichen auch wieder entziehen.

Um welche Sicherheitsstandards es konkret geht, hängt vom jeweiligen Produkt bzw. der jeweiligen Dienstleistung ab. Bislang werden vorrangig Breitband-Router und E-Mail-Provider mit dem IT-Sicherheitskennzeichen versehen. Seit 2022 können auch Hersteller von smarten Geräten wie Kameras, Fernsehern oder Lautsprechern das IT-Sicherheitskennzeichen beantragen. Künftig sollen weitere Produkte folgen.

Das IT-Sicherheitskennzeichen wird als Etikett auf der Produktverpackung oder dem Produkt selbst angebracht oder auf der Website des Herstellers eingebunden. Über einen QR-Code gelangen Verbraucher dann auf eine Seite mit weiteren Informationen zu den Sicherheitsstandards des Produkts. Dabei ist maximale Transparenz gegeben, denn auf der entsprechenden Seite wird auch angezeigt, wenn einem Hersteller das IT-Sicherheitskennzeichen wegen mangelnder Sicherheitsstandards entzogen wurde.

Das IT-Sicherheitskennzeichen liefert gerade Verbrauchern, die sich nicht gut mit Technik auskennen, wichtige Hinweise zu den Sicherheitsstandards, die ein Produkt oder eine Dienstleistung abdeckt. So verstehen Laien besser, welche Sicherheitseigenschaften ein IT-Produkt überhaupt hat und worauf es ankommt. Das macht Kaufentscheidungen komplexer, aber auch durchdachter. Verbraucher können also nun die Erfüllung von IT-Sicherheitsstandards in ihre Kaufentscheidung miteinbeziehen, da sie mehr Informationen dazu erhalten.

Hersteller wiederum werden durch das Vertrauen, das das IT-Sicherheitskennzeichen bei Verbrauchern erweckt, dazu animiert, die IT-Sicherheit bei der Entwicklung ihres Produkts oder ihrer Dienstleistung in den Fokus zu stellen. Das könnte dafür sorgen, dass Verbraucher künftig mehr IT-Produkte und IT-Dienstleistungen mit hohen Sicherheitsstandards geboten bekommen.

Im Moment ist die Auszeichnung mit dem IT-Sicherheitskennzeichen für Hersteller noch freiwillig. Dennoch bringt das Kennzeichen für Hersteller starke Vorteile mit sich. Kunden assoziieren das IT-Sicherheitskennzeichen mit Seriosität. Gibt ein Hersteller seinen Kunden mit transparenten Angaben die Möglichkeit, sich über die Sicherheitsstandards informieren, wird ihm automatisch mehr Vertrauen entgegengebracht. Damit können Hersteller sich positiv von der Konkurrenz abheben. Vor allem jetzt, wo das IT-Sicherheitskennzeichen noch freiwillig ist, kann ein Hersteller seine Bereitschaft zu einer transparenten Kommunikation und Wahrung der Sicherheitsstandards aus eigener Motivation heraus zeigen.

Das IT-Sicherheitskennzeichen ist im Moment lediglich eine Zusicherung des Herstellers, die gesetzlich vorgegebenen Sicherheitsstandards einzuhalten. Ob dies der Fall ist, wird vom BSI vor Vergabe des Kennzeichens nicht umfassend geprüft. Verbraucher können also nie ganz sicher gehen, dass die propagierten Sicherheitsstandards wirklich gegeben sind, sondern müssen den Angaben des Herstellers vertrauen. Außerdem verhindert die Vergabe des Kennzeichens nicht, dass es zu Sicherheitsvorfällen und Datenschutzverstößenkommt. Erfährt das BSI im Nachhinein davon, kann es Verbraucher darüber informieren, solche Risiken jedoch nicht verhindern. Das IT-Sicherheitskennzeichen ist aktuell also nicht sonderlich aussagekräftig und biete keine Garantie für die Erfüllung von Sicherheitsstandards.

Möchte ein Hersteller dem Verbraucher kommunizieren, dass die Sicherheitsstandards von ihm eingehalten werden, dann bedeutet das IT-Sicherheitskennzeichen für ihn im Grunde keine Nachteile. Das gilt natürlich nur, wenn dieses Versprechen aus ernst gemeint ist. Ist das IT-Sicherheitskennzeichen einmal vergeben, sollten Hersteller jedoch penibel darauf achten, dass die Sicherheitsstandards erfüllt bleiben. Wird das Kennzeichen entzogen, erfährt der Verbraucher davon, was sich negativ auf den Ruf des Herstellers auswirken kann. Da trotz aller Vorkehrungen immer ein Restrisiko für Sicherheitsvorfälle und Datenschutzverstöße besteht, kann die Auszeichnung mit dem IT-Sicherheitskennzeichen für Hersteller also auch ein Risiko bedeuten.

Das IT-Sicherheitskennzeichen können Sie in nur wenigen Schritten schnell und unkompliziert beantragen.

1. Sie laden die Unterlagen zur Beantragung des IT-Sicherheitskennzeichens herunter, füllen diese aus und senden den unterschriebenen Antrag zusammen mit der Herstellererklärung an das BSI.
2. Das BSI prüft Ihre Unterlagen auf Plausibilität.
3. Hat Ihr Antrag die Plausibilitätsprüfung bestanden, erhalten Sie vom BSI einen Bescheid. Dieser berechtigt Sie zur Nutzung des IT-Sicherheitskennzeichens für eine bestimmte Laufzeit. Dazu erhalten Sie direkt auch ein auf Ihr Produkt oder Ihre Dienstleistung zugeschnittenes IT-Sicherheitskennzeichen, das Sie nun an Ihrem Produkt anbringen oder auf Ihrer Website einbinden können. Das Kennzeichen führt über einen QR-Code zu einer vom BSI erstellten Produktinformationsseite.
4. Nach Auszeichnung mit dem Kennzeichen wird vom BSI während der Laufzeit geprüft, ob Ihr Produkt oder Ihre Dienstleistung die IT-Sicherheitsstandards erfüllt.

Unabhängig vom IT-Sicherheitskennzeichen sollten Unternehmen auf die Einhaltung von Vorgaben zu IT-Sicherheit und Datenschutz achten. Dabei gibt es viele gesetzliche Regelungen und Richtlinien zu beachten. Datenschutzkonzepte, IT-Sicherheitskonzepte und spezifische Prozesse müssen implementiert werden, um ein angemessenes Sicherheitsniveau zu gewährleisten. Diese Garantie ist für Verbraucher letztlich wichtiger als die Auszeichnung mit dem IT-Sicherheitskennzeichen. Damit Sie sich voll und ganz auf die Entwicklung und Optimierung Ihrer Produkte und Dienstleistungen konzentrieren können, lohnt sich die Beauftragung eines externen Informationssicherheitsbeauftragten (ISB). Er berät Unternehmen bei Fragen rund um die IT-Sicherheit und stellt die Compliance mit allen relevanten gesetzlichen Vorgaben sicher.

Mit einem externen ISB schaffen Sie für Ihr Unternehmen die Grundlage, um guten Gewissens die laufende Einhaltung der IT-Sicherheitsstandards zu garantieren und das IT-Sicherheitskennzeichen mit Recht auf Ihren Produkten und Ihrer Website präsentieren zu können. So sind Sie auch durchgehend gut gerüstet für die stichprobenartigen Kontrollen durch das BSI während der Laufzeit Ihres IT-Sicherheitskennzeichens.

Auch wenn das IT-Sicherheitskennzeichen aktuell noch kein Prüfzeichen ist, dass die Einhaltung der Sicherheitsstandards garantiert, ist es ein Schritt in die richtige Richtung. Es sensibilisiert Verbraucher für die Bedeutung von IT-Sicherheit beim Einsatz von smarten Produkten und IT-Dienstleistungen und motiviert Unternehmen dazu, für ein angemessen hohes Schutzniveau zu sorgen. Zusammen mit einem umfangreichen Informationsmanagement-System und einem DSGVO-konformen Datenschutzkonzept zeigen Unternehmen mit dem IT-Sicherheitskennzeichen Verantwortungsbewusstsein in Sachen IT-Sicherheit und Datenschutz, was zunehmend wichtiger wird.