IT-Sicherheitskennzeichen vom BSI

Das IT-Sicherheitskennzeichen ist eine Auszeichnung, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) für Produkte oder Dienstleistungen vergeben wird. Sie dient als Nachweis und Garantie dafür, dass das Produkt oder die Dienstleistung den geltenden IT-Sicherheitsvorgaben entspricht. Um das Kennzeichen zu erhalten, muss der Hersteller nachweisen, dass sein Produkt oder seine Dienstleistung alle erforderlichen Sicherheitsanforderungen erfüllt und dies durch eine Herstellererklärung bestätigen. Die Beantragung des IT-Sicherheitskennzeichens ist freiwillig und kann nur innerhalb der vom BSI festgelegten Produktkategorien erfolgen.

Dies bedeutet, dass Hersteller von IT-Produkten oder -Dienstleistungen selbst entscheiden können, ob sie das IT-Sicherheitskennzeichen beantragen möchten oder nicht. Es ist jedoch nur möglich, für bestimmte Produktkategorien, die vom BSI festgelegt wurden, eine Zertifizierung zu erhalten. Diese Kategorien basieren auf den geltenden IT-Sicherheitsvorgaben und umfassen beispielsweise Firewalls, Antivirensoftware oder Cloud-Dienste.

Um das IT-Sicherheitskennzeichen zu erhalten, müssen Hersteller eine vollständige Prüfung ihres Produktes oder ihrer Dienstleistung durchführen und nachweisen, dass alle erforderlichen IT-Sicherheitsvorgaben erfüllt werden. Dies geschieht in Form einer Herstellererklärung, in der der Hersteller bestätigt, dass sein Produkt oder seine Dienstleistung den geltenden Sicherheitsstandards entspricht. Die Prüfung und Zertifizierung erfolgt durch unabhängige Prüfstellen, die vom BSI akkreditiert sind.

Die folgenden fünf Schritte müssen befolgt werden, um die Erteilung zu erhalten:

1. Konformitätsprüfung

Bevor Sie den Antrag für das IT-Sicherheitskennzeichen stellen, ist es wichtig, dass Sie als Hersteller oder Diensteanbieter zunächst eine gründliche Prüfung Ihres Produkts durchführen. Dabei gilt es zu überprüfen, ob Ihr Produkt alle relevanten IT-Sicherheitsanforderungen erfüllt, die für die Vergabe des Kennzeichens notwendig sind.

Diese Prüfung können Sie entweder selbst durchführen oder Sie können sich dabei von einer Konformitätsbewertungsstelle unterstützen lassen. Diese Stellen sind spezialisiert auf die Überprüfung und Bestätigung der Konformität von Produkten mit bestimmten Anforderungen. Sie können eine Konformitätsbewertungsstelle Ihrer Wahl auswählen und beauftragen, Ihre Produkte auf ihre Sicherheit hin zu überprüfen.

Sobald Sie die Konformität Ihres Produkts zu den IT-Sicherheitsanforderungen bestätigt haben, können Sie den Antrag auf Erteilung des IT-Sicherheitskennzeichens stellen.

2. Antragstellung

Sobald Ihre IT-Produkte oder -Dienstleistungen erfolgreich einer Konformitätsprüfung unterzogen wurden, steht dem Antrag für das begehrte IT-Sicherheitskennzeichen nichts mehr im Weg. Dazu können Sie ganz unkompliziert das Bundesportal nutzen und den Antrag stellen.

Bitte beachten Sie jedoch, dass für die Bearbeitung der Anträge eine Verwaltungsgebühr erhoben wird, unabhängig davon, ob der Antrag positiv oder negativ beschieden wird. Daher empfehlen wir Ihnen, sich vor der Antragstellung mit uns in Verbindung zu setzen und offene Fragen zur Beantragung eines IT-Sicherheitskennzeichens zu klären.

3. Durchführung einer Plausibilitätsprüfung durch das BSI

Sobald Sie diesen Antrag gestellt haben, wird das BSI Ihren Antrag und Ihre Herstellererklärung auf Vollständigkeit und Plausibilität prüfen. Dabei wird überprüft, ob alle erforderlichen Informationen und Unterlagen vorliegen und ob Ihre Angaben glaubwürdig sind.

Sollte für Ihr Produkt bereits ein Zertifikat gemäß § 9 BSIG oder ein anerkanntes ausländisches staatliches Kennzeichen gemäß § 6 Abs. 2 BSI-ITSiKV erteilt worden sein, kann ein vereinfachtes Prüfverfahren ohne Plausibilitätsprüfung durchgeführt werden. Dies bedeutet, dass das BSI die Sicherheitsanforderungen für Ihr Produkt bereits geprüft und bestätigt hat und somit keine weitere Plausibilitätsprüfung notwendig ist.

4. Verleihung des IT-Sicherheitskennzeichens

Nachdem Ihr Antrag auf die Nutzung des IT-Sicherheitskennzeichens vom BSI positiv geprüft wurde, erhalten Sie einen Bescheid, der Ihnen für eine bestimmte Zeit die Berechtigung zur Nutzung des entsprechenden Kennzeichens erteilt. Zusätzlich zum Bescheid erhalten Sie ein speziell für Ihr Produkt angefertigtes IT-Sicherheitskennzeichen, welches Sie auf Ihrem Produkt sowie auf dessen Verpackung oder auf der Webseite bei Diensten anbringen können. Genauere Anweisungen zur korrekten Verwendung des IT-Sicherheitskennzeichens finden Sie in der Zeichenordnung.

Mit der Erteilung des IT-Sicherheitskennzeichens erstellt das BSI außerdem eine Produktinformationsseite, die dazu dient, Verbraucherinnen und Verbraucher über Ihr Produkt und die von Ihnen abgegebene Herstellererklärung zu informieren. Diese Seite ist über einen dauerhaften Link erreichbar, der auch als QR-Code fester Bestandteil des Kennzeichens ist.

5. Nach Genehmigung: Ein Blick auf die nachgelagerte Marktaufsicht

Während der gesamten Laufzeit des Kennzeichens überprüft die Marktaufsicht des Bundesamtes für Sicherheit in der Informationstechnik (BSI), ob die in der Herstellererklärung versprochenen IT-Sicherheitseigenschaften eines Produktes auch tatsächlich erfüllt werden.

Diese Überprüfung erfolgt sowohl regelmäßig und ohne konkreten Anlass als auch gezielt aufgrund von Hinweisen oder Beschwerden. Dabei wird die Konformität des gekennzeichneten Produktes mit den zugrundeliegenden IT-Sicherheitsanforderungen der jeweiligen Produktkategorie genau unter die Lupe genommen. Das bedeutet, dass nicht nur die grundlegenden Sicherheitsanforderungen für alle Produkte gelten, sondern auch spezifische Anforderungen je nach Produkttyp berücksichtigt werden.

Durch diese umfassenden Kontrollen wird sichergestellt, dass die Produkte, die mit dem IT-Sicherheitskennzeichen ausgezeichnet sind, tatsächlich die versprochenen Sicherheitseigenschaften erfüllen. Dies ist besonders wichtig, da IT-Produkte in der heutigen Zeit eine immer größere Rolle in unserem täglichen Leben spielen.

Fazit

Das IT-Sicherheitskennzeichen ist ein freiwilliges Label für IT-Produkte, das Herstellern die Möglichkeit bietet, die Sicherheitseigenschaften ihrer Produkte anhand eines BSI-Kennzeichens erkennbar zu machen. Dadurch können sie das steigende Informationsbedürfnis der Verbraucherinnen und Verbraucher erfüllen und ihr Produkt am Markt besonders hervorheben. Die IT-Sicherheit wird dabei als Verkaufsargument genutzt.

Die Hersteller erklären, dass ihr Produkt bestimmte Sicherheitseigenschaften aufweist, die auf etablierten IT-Sicherheitsstandards basieren und vom BSI anerkannt wurden. Diese Standards haben den Anspruch, Sicherheit bereits in der Produktentwicklung zu berücksichtigen und die allgemeinen Ziele der Informationssicherheit zu gewährleisten.

Das IT-Sicherheitskennzeichen beruht auf einer Herstellererklärung über die Konformität des Produkts zu einem Standard. Das BSI prüft diese Erklärung auf Vollständigkeit und Plausibilität, jedoch findet keine technisch-inhaltliche Prüfung statt.