Beschaffung & IT-Sicherheit

Das IT-Gütesiegel kommt

| Autor: Susanne Ehneß

IT-Sicherheit soll künftig erkennbar sein
IT-Sicherheit soll künftig erkennbar sein (© Zerbor/ stock.adobe.com)

Die Bundesregierung plant die Einführung eines freiwilligen ­IT-Gütesiegels. Bürger und öffentliche Einrichtungen sollen damit beim Kauf internetfähiger Geräte unterstützt werden.

Auf Einladung des Bundesinnenministeriums, des Bundesministeriums der Justiz und für Verbraucherschutz sowie des Bundesministeriums für Wirtschaft und Energie haben sich zahlreiche Experten getroffen, um über das Thema „IT-Gütesiegel“ zu beraten. Gemeinsam diskutierten sie Anforderungen an die Sicherheit ­internetfähiger Geräte sowie an ­einen korrespondierenden Gütesiegelprozess.

Die Vorschläge aus dem Expertenkreis – etwa zu einer Erweiterung des europäischen Rechtsrahmens zur Produktsicherheit und Produkthaftung – sollen nun von den einladenden Ministerien zusammen ausgewertet werden.

Strategie zur Einführung des IT-Gütesiegels

Eine Art Prüfsiegel für IT-Sicherheit einzuführen ist Teil der Cyber-Sicherheitsstrategie der Bundesregierung. Dort wurde 2016 festgelegt, eine solche Zertifizierung zu schaffen. „Die Bundesregierung wirbt daher insbesondere bei Herstellern von Standardtechnologien für eine erhöhte Testierbereitschaft und wird ein Basis-Zertifizierungsverfahren für sichere IT-Verbraucherprodukte einführen, dessen Kriterien durch das BSI festgelegt werden“, heißt es im Wortlaut.

„Die Anwender sollen künftig auf Basis eines einheitlichen Gütesiegels bei der Kaufentscheidung für neue IT-Produkte und bei der Inanspruchnahme entsprechender Dienstleistungen leicht und schnell feststellen können, welches Angebot sicher ausgestaltet ist und hierdurch zum Schutz der Daten beiträgt. Cyber-Sicherheit soll dadurch für jedermann verständlicher und leichter realisierbar gemacht werden“, lautet die Forderung in der niedergeschriebenen Cyber-­Sicherheitsstrategie.

Diese Ankündigung hat der Deutsche Bundestag aufgegriffen und die Bundesregierung im April 2017 aufgefordert, den Vorschlag unter Einbeziehung von Verbraucherschützern, Wirtschaftsvertretern, IT-Sicherheitsexperten und Gewerkschaften auszuarbeiten. Im Auftrag des BMI wurde entsprechend eine Konzeption ausgearbeitet.

Nationale und europäische Initiativen

Deren Potenzialanalayse ergab, „dass momentan eine Vielzahl von Ansätzen diskutiert werden, diese jedoch nicht ausgereift sind. Euro­päische Initiativen wie die ‚European Cyber Security Organisation‘ (ECSO) und die ‚European Alliance of IoT Innovation‘ (AIOTI) sind dabei vor allem durch die Indus­trie geförderte Initiativen, die IT-Sicherheit als neuen Wettbewerbsfaktor im Markt verankern wollen. Obwohl diese Initiativen zumeist sehr jung sind, ist ein hohes Interesse und großer Zulauf der Unternehmen zu bemerken. Dies ­unterstreicht die Brisanz der IT-Sicherheits-Thematik im euro­päischen Kontext“. Das geplante IT-Sicherheits-Gütesiegel könne als Wegbereiter für eine europäische Lösung dienen.

Auf nationaler Ebene liege der ­Fokus der meisten Gütesiegel und Initiativen auf dem Datenschutz. In diesem Zusammenhang nennt die Studie das „Gütesiegel Datenschutz M-V“, das „Datenschutz-Gütesiegel beim ULD“ und „EuroPriSe“. „Obwohl Datenschutzbestimmungen bei der Erteilung des IT-Sicherheits-Gütesiegels Anwendung finden sollen, werden diese Gütesiegel nur wenige Auswirkungen auf die Umsetzung des IT-Sicherheits-Gütesiegels haben.

Es hat sich darüber hinaus gezeigt, dass diese Gütesiegel lediglich eine geringe Verbreitung im Markt erreicht haben. Weitere Initiativen im Bereich IT-Sicherheit und Datenschutz fokussieren stark auf ­Unternehmen und die öffentliche Verwaltung.“

Der Endverbraucherfokus, welcher durch das IT-Sicherheits-Gütesiegel vornehmlich angestrebt wird, sei bislang gering ausgeprägt. Verbraucher würden vor allem durch Gütesiegel auf Anwendungs- und Dienstleistungsebene, jedoch nicht auf Produktebene angesprochen – wie beim „Trusted App“-Siegel des TÜViT sowie dem durch private Unternehmen initiierten „Trusted Shops“-Gütesiegel.

Verantwortlich: BSI

Die Konzeption empfiehlt mehrere Träger bei der Umsetzung des Gütesiegels: „Als Verantwortlicher für die Kriteriendefinition bietet sich das BSI in Kooperation mit Verbänden, Herstellern und Verbraucherschützern an. Eine mögliche Schirmherrschaft ist in Zusammenarbeit zwischen den zuständigen Ministerien festzulegen. Für die Erteilung des Siegels sollte das BSI ebenfalls hauptverantwortlich sein.“

Die operativen Aufgaben könnten externe Stellen übernehmen: „Zur Erhöhung des Bekanntheitsgrads und der Verbreitung des IT-Sicherheits-Gütesiegels sollte ein breites Unterstützernetzwerk aufgebaut werden. Hierzu zählen Multiplikatoren, wie der Bitkom, der SRIW, der ZVEI, der BDI, der Deutschland sicher im Netz e. V. und die Allianz für Cybersicherheit.“

Welche Produkte?

In der Konzeption wird empfohlen, eine Pilotierung für erste Produktgruppen durchzuführen. „Aufgrund einer ausgeprägten Verbraucherrelevanz und der hohen Verbreitung bietet es sich an, zum Beispiel Smart-Home- und Smart-TV-Produkte sowie Internetzugangs-Router als erste relevante Produktgruppen für ein IT-Sicherheits-Gütesiegel zu berücksichtigen“, heißt es im Papier.

Kommentar zu diesem Artikel abgeben
Von Deutschland sicher im Netz wurden auch mir am 23.08.2017 hunderte E-Mailadressesm der...  lesen
posted am 05.09.2017 um 07:41 von Unregistriert


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44868929 / Projekte & Initiativen)