IT-Sicherheitsgesetz 2.0: Das ist für den Verbraucherschutz drin

Veröffentlicht am: 25. Mai 2020 Autor: Ralf Koenzen Veröffentlicht in Netzpolitik Keine Kommentare

2015 war es, als das erste „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ in Kraft trat. Im Fokus damals ganz klar: der Schutz kritischer Infrastrukturen – also all jener Bereiche, die für unsere tägliche Daseinsvorsorge von elementarer Bedeutung sind, darunter: Energie, Wasser, Gesundheit, Telekommunikation, Finanzwirtschaft.

Knapp fünf Jahre später steht das „IT-SiG“ nun vor seinem ersten großen Update. Die Version 2.0 trägt einer Entwicklung Rechnung, die für Cyberkriminelle ein wahres Festmahl darstellt: die zunehmende Digitalisierung der gesamten Gesellschaft, in der nicht mehr nur klassische IT-Geräte wie Router ins Internet drängen, sondern Abermillionen von Kühlschränken, Glühbirnen und ganzen Systemen zur Haussteuerung. Und mit ihnen unzählige, nicht erkennbare Schwachstellen, Lücken und ein gigantisches Angriffspotenzial.

Besserung bringen soll nun eine Transparenzinitiative. Mit dem „IT-Sig 2.0“ nimmt ein Projekt Gestalt an, das bereits seit einigen Jahren in den Schubladen des Bundesinnnenministeriums liegt : ein „IT-Sicherheitskennzeichen“ für Consumer-Produkte, das Bürgerinnen und Bürgern erstmals die Möglichkeit geben soll, Einblicke in das IT-Sicherheitsniveau internetfähiger Geräte zu erlangen. 

Wichtige Orientierung bieten

Eine solche Orientierungshilfe ist dringend nötig. Es gibt erschreckend viele Produkte auf dem Markt, die nicht einmal grundlegende Sicherheitsfunktionen bieten – zum Beispiel ohne jegliche Verschlüsselung arbeiten, unzureichenden Kennwortschutz bieten oder erst gar keine Software-Updates zulassen, mit deren Hilfe eine bekanntgewordene Lücke geschlossen werden könnte. Besonders „heiße Kandidaten“ sind Billig-Produkte, die über Internet-Plattformen oder „Wühltisch“-Angebote in unsere Hände und Wohnungen gelangen. Das große Problem: Man sieht ihnen ihre „Risiken und Nebenwirkungen“ nicht an.

Das IT-Sicherheitskennzeichen hat das Potential, hier die Spreu vom Weizen zu trennen. Durch mehr Transparenz könnten sich Käuferinnen und Käufer künftig bewusst für Produkte entscheiden, die fest definierte Sicherheitskriterien erfüllen – und im Gegenzug jene liegenlassen, die dies nicht tun. Im besten Fall bedeutete dies nicht nur einen Wettbewerbsvorteil für Produkte mit einem Mehr an Sicherheit, sondern auch einen Anreiz für Hersteller, der IT-Sicherheit bei der Produktentwicklung mehr Beachtung zu schenken.

So sieht das Sicherheitslabel aus

Das IT-Sicherheitskennzeichen soll für Hersteller freiwillig sein. Als Grundlage könnten beispielsweise Technische Richtlinien („TR“) vom Bundesamt für Sicherheit in der Informationstechnik und entsprechende Prüfspezifikationen dienen, wie es sie heute beispielsweise bereits für Breitband-Router gibt – oder, zum Beispiel bei „Smart Home“-Produkten, entsprechende DIN- und ETSI-Normen und wiederum darauf basierende Prüfspezifikationen.

Der Prozess sieht vor, dass das Kennzeichen beim BSI beantragt und seine Nutzung bewilligt werden muss. Wie das letztlich im Detail umgesetzt und auf den Produkten sichtbar gemacht wird, muss noch festgelegt werden. Das Kennzeichen schließt damit eine Lücke in der bisherigen Zertifizierungslandschaft. Mit der klaren Zielgruppe „Konsumer“ und dem Prinzip der Herstellerselbsterklärung – eine solche kennen wir alle vom CE-Zeichen – gibt sie Auskunft über eine gewisse Basissicherheit. Nicht mehr, aber eben auch nicht weniger.

Demgegenüber stehen die „echten“ Sicherheitszertifikate des BSI, allen voran die seit Jahren etablierten „Common Criteria“-Zertifizierungen, die sich an Lösungen im Hochsicherheitsbereich richten. Oder auch die neue „Beschleunigte Sicherheitszertifizierung“ (BSZ), die derzeit in einem Pilotverfahren beim BSI läuft und eine schnellere, praxisnähere Alternative für Business-Geräte werden soll. Ihnen gemeinsam ist, dass sie erst nach aufwändigen und klar reglementierten Testverfahren verliehen werden, also eine unabhängig testierte Sicherheit bieten.

Europa fest im Blick

Im Zusammenspiel mit der „Common Criteria“- Zertifizierung und der „BSZ“ bildet das IT-Sicherheitskennzeichen also genau das ab, was auf europäischer Ebene im Rahmen des „EU Cybersecurity Acts“ anvisiert ist: nämlich ein dreistufiges Zertifizierungs- bzw. Kennzeichnungsprogramm für Produkte mit grundlegenden (Verbraucher), gehobenen und herausragenden Sicherheitsansprüchen (Wirtschaft). Auch der klar erkennbare Bezug zu Normen und Standards, auf den bei den Technischen Richtlinien und Prüfspezifikationen viel Wert gelegt wird, dürfte eine europäische Harmonisierung erleichtern.

Schwer verständlich ist daher die Kritik an einem „nationalen Alleingang“ Deutschlands, wie sie vom manchen Seiten geäußert wird. Ganz im Gegenteil: Das Innenministerium und das BSI gehen also mit gutem Beispiel voran, und es bleibt zu hoffen, dass das für Rest-Europa eine gewisse Signalwirkung entfaltet. Denn, machen wir uns nichts vor: Würden wir darauf warten, dass sich die EU-Mitgliedsstaaten auf ein einheitliches Kennzeichen verständigen, würden wir viele Jahre verlieren.

Das Kennzeichen alleine wird’s nicht richten

Das anvisierte IT-Sicherheitskennzeichen hat viele Vorteile für den Konsumenten. Wie erfolgreich das Label wird, hängt allerdings davon ab, wie schnell es gelingt, die nötigen Prüfspezifikationen für die einzelnen Produktkategorien zu entwickeln. Bislang gibt es eine solche nur für Breitband-Router, an deren Entwicklung übrigens auch LANCOM aktiv mitgearbeitet hat. Hier sind BSI und Normungsgremien – und damit auch die Hersteller-Community – gefragt. Und natürlich die EU. Denn sonst führt das tatsächlich zu einem europäischen Flickenteppich, den niemand will.

Allerdings kann ein solches, freiwilliges, Kennzeichen nur ein erster Baustein sein. Von immenser Bedeutung für mehr Cybersicherheit bei IT-Produkten ist die längst überfällige Update-Pflicht für uns Hersteller. Nur, wenn die Sicherheit eines „smarten“ Produkts über den gesamten Lebenszyklus durch ein gesetzlich geregeltes Patch-Management sichergestellt werden kann, wird aus dem derzeitigen Festmahl für Cyberkriminelle absehbar eine Durststrecke. Und wir gehen sogar noch einen Schritt weiter: Die konsequenteste Maßnahme für mehr Cybersicherheit in der Breite wären verpflichtende IT-Sicherheitsmindeststandards, also eine Art „Sicherheits-CE“, ohne die IP-fähige Produkte gar nicht erst in Europa auf den Markt gebracht werden dürften.

Verwandte Posts

Kommentieren

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.