USA starten IT-Sicherheitskennzeichen "U.S. Cyber Trust Mark"
Das WeiĂźe Haus hat den Start des "U.S. Cyber Trust Mark", einem freiwilligen IT-Sicherheitskennzeichen, bekannt gegeben.
(Bild: Erstellt mit KI in Bing Designer durch heise online / dmk)
In den USA startet mit dem "U.S. Cyber Trust Mark" ein Anlauf zur Einführung eines freiwilligen IT-Sicherheitskennzeichens. Verbraucher sollen daran erkennen können, dass internetverbundene "smarte" Geräte sicher sind.
Das erinnert an das seit 2022 verfügbare IT-Sicherheitskennzeichen des Bundesamts für Sicherheit in der Informationstechnik (BSI). Mit Inkrafttreten des Cyber Resiliance Acts (CRA) in der EU wird jedoch im hiesigen Wirtschaftsraum ein Mindestmaß an Cybersicherheit Pflicht, das US-Label bleibt hingegen zumindest vorerst freiwillig. Während für das ebenfalls freiwillige BSI-Zertifikat Unternehmen lediglich Antragsformulare ausfüllen müssen, über die das BSI eine Plausibilitätsprüfung vornimmt, sieht der "U.S. Cyber Trust Mark" eine Prüfung der Geräte vor.
Mehrere Organisationen prĂĽfberechtigt
Das WeiĂźe Haus teilt mit, dass insgesamt elf Unternehmen derartige PrĂĽfungen vornehmen dĂĽrfen: CSA America Testing & Certification, LLC; CTIA Certification LLC; DEKRA Certification Inc.; Intertek Testing Services NA, Inc; ioXt Alliance; Palindrome Technologies; SGS North America Inc; Telecommunications Industry Association; TĂśV Rheinland of N.A.; TĂśV SĂśD America sowie UL LLC. Letztere Firma, auch als UL Solutions bekannt, hat dabei die administrative FĂĽhrungsrolle (Lead Administrator) fĂĽr das "U.S. Cyber Trust Mark".
(Bild:Â FCC)
Die Federal Communications Commission (FCC) hat eine eigene Webseite fĂĽr das "U.S. Cyber Trust Mark" eingerichtet. Dort sind die verfĂĽgbaren Informationen versammelt. Logos gibt es in unterschiedlichen AusfĂĽhrungen auf einer weiteren Webseite.
Das Programm soll der Zertifizierung der IT-Sicherheit von IoT-Geräten dienen, hier stehen insbesondere drahtlose Geräte im Fokus: internetverbundene Sicherheitskameras, stimmaktivierte Shopping-Geräte, smarte Appliances, Fitness-Tracker, Garagentoröffner und Babymonitore zählt die FCC beispielhaft auf. Medizinische und kabelgebundene Geräte fallen explizit nicht in den Rahmen des Cyber-Trust-Mark-Programms, ebenso wenig Produkte für Herstellung und industrielle oder Enterprise-Nutzung sowie IoT-Produkte, die auf Listen, die die nationale Sicherheit betreffen, stehen.
Auf zertifizierten Geräten findet sich neben dem Cyber-Trust-Mark-Logo ein QR-Code, der zu weiteren Informationen führt. Etwa, wie lange das Produkt Support erhält, und ob Software-Patches und Sicherheitsupdates automatisch installiert werden und wie Kunden an diese herankommen. Außerdem sollen dadurch Anleitungen zur Änderung von Standard-Passwörtern und der sicheren Gerätekonfiguration zu finden sein.
Die FCC will zudem mit anderen US-Bundesbehörden an einer internationalen Anerkennung des Labels arbeiten sowie die gegenseitige Anerkennung von internationalen Labels – wie dem IT-Sicherheitskennzeichen des BSI – vorantreiben.
(dmk)