Sicherheitskennzeichen für IT des BSI: echtes Sicherheits-Label?

Seit Endes des letzten Jahres will das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit einem Sicherheits-Kennzeichen für mehr Qualität im IT-Business sorgen. Unternehmen können das Sicherheitskennzeichen beantragen und nach erfolgreicher Plausibilitätsprüfung als Qualitätssiegel bei der Produktvermarktung nutzen. Es werden allerdings Stimmen laut, die mit dem Testverfahren nicht einverstanden sind.

Produktkennzeichnungen, die den Anschein erwecken, als stünden staatliche Institutionen zu 100 Prozent hinter dem Verfahren, genießen in der Bevölkerung ein hohes Ansehen. Blauer Engel, TÜV-Plakette, Grüner Punkt: Sie vermitteln Konsumenten ein Gefühl der Sicherheit und sind wertvolle Marketing-Features. Mit dem IT-Sicherheitskennzeichen will das BSI nun bei Kunden von IT-Produkten, IT-Software und IT-Dienstleistungen für ein ebensolches Gefühl sorgen und hat Ende letzten Jahres begonnen, Anträge von IT-Unternehmen und Produzenten anzunehmen, die sich um die BSI-Plakette bewerben. Die erste Übergabe des Kennzeichens fand im Februar dieses Jahres statt. Der E-Mail-Anbieter mail.de ist das erste Unternehmen Deutschlands, das mit dem IT-Sicherheits-Siegel an die Öffentlichkeit treten darf. Nun bleibt mit Spannung abzuwarten, ob sich dies auch in positiven geschäftlichen Entwicklungen niederschlägt.

Statt physischer Prüfung Plausibilitäts-Prüfung

IT-Produkte sind heute häufig Netzkomponenten, die über viele Schnittstellen kommunizieren. Es geht also darum, nicht nur eine Produktsicherheit zu überprüfen, sondern auch im Hinblick auf die Vernetzung zu beurteilen, wie sicher ein IT-Produkt oder eine IT-Dienstleistung ist. Mit dem Siegel sollen Bewerber dazu verpflichtet werden, von der Produktentwicklung bis zur Vermarktung höchste Sicherheits-Levels zu garantieren – und genau darüber soll das IT-Sicherheitssiegel Zeugnis ablegen. Allerdings ist das Prüfverfahren eines, das etliche Kritiker auf den Plan gerufen hat.

Denn das Prozedere bei einer Bewerbung um das neue Siegel ist denkbar einfach. Das Bewerber-Unternehmen sendet mit dem Antragsformular lediglich eine ausführliche Produktbeschreibung mit umfassender schriftlicher Dokumentation ein. Dabei sind auch die Nachweise dafür einzureichen, dass alle geltenden Sicherheitsnormen und -vorschriften beachtet worden sind, bevor das Produkt Marktreife erlangt hat. Das BSI schreitet dann zur sogenannten Plausibilitäts-Prüfung: Es wird von Behörden-Prüfern kontrolliert, ob die Unterlagen glaubhaft, nachvollziehbar und transparent darlegen, wie es um die Sicherheit des Produkts steht. Weder eine physische Produktprüfung noch sonstige Testverfahren ergänzen die Plausibilitätsprüfung. Geht das Plausibilitätsverfahren gut, zahlt das Unternehmen nur noch eine geringe Gebühr, von drei, oder vierstelligen Beträgen ist die Rede, und erhält dann das Sicherheitssiegel mit dem Recht, es offiziell zu verwenden.

Das Prüfungsverfahren halten viele für unzureichend

Viele Kritiker halten nicht viel von dem Prüfungsverfahren, wie es sich derzeit darstellt. Ein Hauptargument: IT-Produkte sind permanenten Updates ausgesetzt, was die Sicherheitslage nach jedem Aufspielen neuer Software verändert. Dasselbe trifft auf digitale Gadgets oder Endgeräte zu: Durch einen einfachen Austausch der Software lässt sich jedes Gerät beliebig verändern, auch was seine Sicherheitsfeatures angeht. So kam auch der Chaos Computer Club zur Aussage, die 25 geschaffenen Stellen für die Prüfung der Anträge im BSI seien eher „Ressourcenverschwendung“ und eine wirklich sicherheitsrelevante Aussage könne das Siegel keineswegs darstellen.

Außerdem weisen die Kritiker darauf hin, dass die Unternehmen sich angesichts der Prüfung unter Umständen eher dafür einsetzen, eine schlüssige Dokumentation zu erstellen, als sich wahrhaft um die Sicherheit ihrer Produkte zu kümmern.

Fazit: Mit seinem Sicherheits-Siegel geht das BSI einen Schritt in die richtige Richtung. Allerdings sollte die Behörde nach einer Anlaufphase auch physische und elektronische Testverfahren ergänzen, um eine authentische Sicherheit-Beurteilung zu garantieren.