Das IT-Sicherheitskennzeichen des BSI: wertloses Siegel oder echtes Sicherheits-Plus?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) vergibt seit Ende letzten Jahres ein IT-Sicherheitskennzeichen für IT-Produkte, IT-Services und Software. Unternehmen können das Sicherheitskennzeichen beantragen und nach erfolgreicher Plausibilitätsprüfung als Qualitätssiegel bei der Produktvermarktung nutzen. Kritiker sehen Schwächen in dieser „Zertifizierung light“.

Prüfsiegel, hinter denen Bundesbehörden stehen, genießen bei Konsumenten einen durchweg guten Ruf. Sei es die TÜV-Plakette für Fahrzeuge oder der Blaue Engel für besonders umweltfreundliche Produkte: Käufer fühlen sich unterm Strich bei ihren Konsum-Entscheidungen wohler, wenn das Produkt der Begierde eine Plakette trägt, die auf eine durchgeführte staatliche Kontrolle hindeutet. Mit dem IT-Sicherheitskennzeichen will das BSI nun bei Kunden von IT-Produkten, IT-Software und IT-Dienstleistungen für ein ebensolches Gefühl sorgen und hat Ende letzten Jahres begonnen, Anträge von IT-Unternehmen und Produzenten anzunehmen, die sich um die BSI-Plakette bewerben. Die erste Übergabe des Kennzeichens fand im Februar dieses Jahres statt. Der E-Mail-Anbieter mail.de ist das erste Unternehmen Deutschlands, das mit dem IT-Sicherheits-Siegel an die Öffentlichkeit treten darf.

Einfaches Verfahren: Plausibilitätsprüfung aufgrund von Dokumenten-Checks

Das BSI verweist darauf, dass IT-Produkte und Services im IOT-Zeitalter nicht mehr nur als separierte Produkte und Services zu sehen sind, sondern als multipel vernetzte digitale Komponenten. Daher sei das IT-Sicherheitssiegel ein wichtiger Schritt zu mehr Sicherheit in der digitalen Welt. Mit dem Siegel sollen Bewerber dazu verpflichtet werden, von der Produktentwicklung bis zur Vermarktung höchste Sicherheits-Levels zu garantieren – und genau darüber soll das IT-Sicherheitssiegel Zeugnis ablegen. Allerdings ist das Prüfverfahren eines, das etliche Kritiker auf den Plan gerufen hat. Denn das Prozedere bei einer Bewerbung um das neue Siegel ist denkbar einfach.

Das Bewerber-Unternehmen sendet mit dem Antragsformular lediglich eine ausführliche Produktbeschreibung mit umfassender schriftlicher Dokumentation ein. Dabei sind auch die Nachweise dafür einzureichen, dass alle geltenden Sicherheitsnormen und -vorschriften beachtet worden sind, bevor das Produkt Marktreife erlangt hat. Das BSI schreitet dann zur sogenannten Plausibilitäts-Prüfung: Es wird von Behörden-Prüfern kontrolliert, ob die Unterlagen glaubhaft, nachvollziehbar und transparent darlegen, wie es um die Sicherheit des Produkts steht. Weder eine physische Produktprüfung noch sonstige Testverfahren ergänzen die Plausibilitätsprüfung. Wird die Plausibilität attestiert, darf das antragstellende Unternehmen dann nach Zahlung einer Gebühr – je nach Aufwand ist von einer drei- oder gering vierstelligen Summe die Sprache – das IT-Sicherheits-Siegel offiziell verwenden.

Kritiker bemängeln ungenügendes Prüfungs-Prozedere

Dieses Verfahren wird von Kritikern allerdings als sehr problematisch angesehen. Denn gerade Software-Produkte sind ungeheuer komplex und einem ständigen Wandel durch Updates ausgesetzt. Dasselbe trifft auf digitale Gadgets oder Endgeräte zu: Durch einen einfachen Austausch der Software lässt sich jedes Gerät beliebig verändern, auch was seine Sicherheitsfeatures angeht. So kam auch der Chaos Computer Club zur Aussage, die 25 geschaffenen Stellen für die Prüfung der Anträge im BSI seien eher „Ressourcenverschwendung“ und eine wirklich sicherheitsrelevante Aussage könne das Siegel keineswegs darstellen.

Generell ist außerdem zu befürchten, dass die antragstellenden Unternehmen sich eher leidenschaftslos mit einer schlüssigen Dokumentation für die Antragstellung beschäftigen, statt ihre Produkte tatsächlich im Sinne der Kunden so sicher wie möglich zu machen.

Fazit

Das Sicherheits-Siegel des BSI ist freilich erst der Auftakt zu einer wünschenswerten behördlichen Sicherheits-Zertifizierung von IT-Produkten und ein Schritt in die richtige Richtung. Allerdings sollte der Plausibilitätsprüfung aufgrund einer Dokumentationssichtung nach und nach eine professionelle technische Prüfung folgen, die die Produktsicherheit holistisch überprüft.