IT-Sicherheitskennzeichen: BSI muss keine "Tiefenprüfung" durchführen
Das Innenministerium will mit einer Verordnung die Basis schaffen, dass das BSI noch dieses Jahr das umstrittene Logo-Programm für IT-Sicherheit starten kann.
Das Bundesinnenministerium (BMI) hat am Mittwoch einen Referentenentwurf für eine Verordnung zum geplanten IT-Sicherheitskennzeichen für Verbraucher veröffentlicht. Demnach wird das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) "keine Tiefenprüfung der erklärten Sicherheitsvorgaben" von Herstellern von IT-Produkten wie Smartphones, Laptops oder Anwendersoftware durchführen müssen. Schon vorab hatte es Kritik gegeben, dass die Aussagekraft des vorgesehenen Logo-Programms beschränkt sein dürfte.
Prinzipiell soll das Kennzeichen laut dem Ressort "hybrid" angelegt werden "über eine Herstellererklärung" zugesagter Produkteigenschaften und die flankierenden, gesetzlich vorgegebenen IT-Sicherheitsinformationen. Auf beide werde auf dem entsprechenden Etikett verwiesen. Der Produzent soll dem BSI dafür "in eigener Verantwortung" aktuelle Sicherheitsinformationen zur "Konformität des Produktes" zur Verfügung stellen.
"Gängige Hilfsmittel" zeigen eventuell Sicherheitsinformationen
Die Herstellererklärung enthalte die Zusicherung, dass der Artikel für die festgelegte Dauer die für die einschlägige Produktkategorie geltenden IT-Sicherheitsanforderungen erfülle, heißt es weiter in dem Entwurf für die "BSI-ITSiKV". Die Laufzeit des Kennzeichens "beträgt regelmäßig zwei Jahre". Je nach Produktkategorie sind aber Abweichungen möglich. Bei einem Verstoß soll die Teilnahmeoption an dem Programm "unverzüglich" widerrufen werden können.
Der Aufkleber soll den Verbraucher generell in die Lage versetzen, sich ohne erhebliche Hürden "mittels gängiger technischer Hilfsmittel" wie einer App über die Art und Aussage der Herstellererklärung gegenüber den Vorgaben des Bundesamtes, die eventuell zur Verfügung stehenden aktuellen Sicherheitsinformationen und die Laufzeit des Kennzeichens zu informieren. Er muss zumindest einen Verweis auf die zugehörige BSI-Webseite enthalten und die Behörde nennen.
"Ernstliche Zweifel an der Herstellererklärung"
Das Bundesamt führe anhand der eingereichten Unterlagen des Produzenten im Sinne des IT-Sicherheitsgesetzes 2.0, auf dem das Vorhaben beruht, "eine Plausibilitätsprüfung" durch, schreibt das BMI. Es könne die Durchsicht von Herstellerdokumenten dafür "auf qualifizierte Dritte" übertragen. Das BSI darf zudem einschlägige Normen, Standards oder branchenabgestimmte IT-Sicherheitsvorgaben heranziehen, bei deren Einhaltung das Kennzeichen quasi automatisch gewährt wird.
Trotz der nicht erforderlichen Untersuchung zugesicherter Eigenschaften verweist das Ministerium auf Fälle, "in denen der Antrag auf Freigabe ablehnt werden kann". Dabei liege es nahe, etwa bereits bekannte potenzielle Probleme mit dem Produkt wie Sicherheitslücken oder vorheriges Fehlverhalten des Herstellers anhand einschlägiger Warnungen in die Abwägung einzubeziehen. Das BSI könne die Freigabe auch dann verweigern, wenn unabhängig von den eingereichten Unterlagen "ernstliche Zweifel an der Herstellererklärung" bestünden. Ferner sei es möglich, die Freigabe zu widerrufen, wenn Verstöße gegen die Versprechen erkannt würden, also "die zugesicherten IT-Sicherheitseigenschaften nicht vorliegen".
Erlaubnis für Testkäufe
Insgesamt soll mit der Initiative die IT-Sicherheit von Verbrauchergütern durch das freiwillige IT-Sicherheitskennzeichen für bestimmte Produktkategorien "transparent, verständlich und aktuell" abgebildet werden. Für die Hersteller werde so ein Anreiz geschaffen, die IT-Security "in den Fokus der Kaufentscheidung rücken zu können". Verbraucher würden etwa in die Lage versetzt zu überprüfen, ob das jeweilige IT-Produkt beziehungsweise dessen Hersteller aktuelle Sicherheitsstandards ausreichend berücksichtige.
Das Kennzeichen kann laut dem Entwurf "mit einer grafischen Darstellung" ausgestaltet werden, um mit so einem Logo bildlich für den Verbraucher einen "sofortigen Wiedererkennungswert" zu erzeugen. Eine Aufsicht über Produkte und Hersteller, die das Plazet zur Nutzung des Kennzeichens erhalten haben, erfolge für die Dauer dieser Freigabe. Sie erfolge auf der Grundlage eines Marktüberwachungskonzeptes, das das BSI erarbeiten soll, sowie "anlassbezogen reaktiv" statt. Eingeschlossen ist etwa die Erlaubnis, Testkäufe durchzuführen.
"Ressourcenverschwendung"
Die Bundesregierung muss den Entwurf noch befürworten, was vor der Bundestagswahl im September erfolgen soll. Drei Jahre nach Inkrafttreten der Rechtsverordnung sollen Teile der Exekutive die Kernbestandteile der BSI-ITSiKV erstmals evaluieren. Der Einbezug externer Experten ist dabei nicht vorgesehen.
Der Digitalexperte der FDP, Manuel Höferlin, hatte bei der 1. Lesung der Novelle des IT-Sicherheitsgesetzes moniert, dass das freiwillige Kennzeichen nicht ausreiche. Er drängte zusätzlich darauf, eine Produkthaftung einzuführen. "Niemand erklärt sein eigenes Produkt freiwillig für unsicher", gab auch die linke Netzpolitikerin Anke Domscheit-Berg zu bedenken. Die geplante Plausibilitätsprüfung durch das BSI anhand eingereichter Papiere sei bei Weitem nicht aussagekräftig genug. Der Chaos Computer Club (CCC) tat das Kennzeichen, für das beim BSI "schlappe 25 Stellen" veranschlagt worden seien, als "Ressourcenverschwendung" ab.
(bme)
