COMPUTERWOCHE
Alternatives Drucklayout:
› reiner Text
Link: https://www.computerwoche.de/a/produkttests-ja-aber-bitte-mit-standards,3549704

IT-Sicherheitsgesetz 2.0

Produkttests ja - aber bitte mit Standards

Datum:09.09.2020
Autor(en):Stefan Vollmer
Das IT-Sicherheitsgesetz 2.0 wird derzeit heiß diskutiert. Im Mittelpunkt steht dabei vor allem die Einführung eines IT-Sicherheitskennzeichens - ein zweischneidiges Schwert.

Nicht nur standardisierte Hardware-Kompatibilität will die EU erreichen. Das IT-Sicherheitsgesetz 2.0 zielt vor allem auf umfassende Sicherheitsstandards für IT-Produkte ab.
Foto: Igor Nikushin - shutterstock.com

Im Entwurf zum IT-Sicherheitsgesetz 2.01 ist unter Artikel 9a ein "IT-Sicherheitskennzeichen" vorgesehen, dass das BSI alle auf dem Markt befindlichen IT-Produkte auf deren IT-Sicherheit prüft. Darüber hinaus sollen IT-Produkte getestet werden, die sich in der Entwicklung befinden, also noch nicht erhältlich sind. Der Begriff IT-Produkte umfasst dabei Soft- und Hardware.

Über die Ergebnisse soll das BSI laut dem Entwurf vom Mai 2020 auch andere Aufsichtsbehörden und deren Ministerien informieren. Zentrale Bedeutung hat dabei das geplante IT-Sicherheitskennzeichen, das mehr Transparenz für Verbraucher schaffen soll.

Lesetipp: IT-Sicherheitsgesetz 2.0 - Die Aufrüstung des BSI2

IT-Sicherheitsgesetz 2.0: Was einheitliche Standards bringen

Ein solcher Sicherheitstest ist sinnvoll, denn neue Technologien drängen permanent auf den Markt und finden auch in IT-Produkten Verwendung. Ohne ein standardisiertes Vorgehen bei der Prüfung der Hard- und Software aber wird es schwierig, angesichts der Bedrohungslage den Anschluss nicht zu verlieren. Darüber hinaus spricht der Gesetzestext von verschiedenen Niveau-Stufen. Sicherlich ist es richtig, bei einer Prüfung verschiedener Kriterien unterschiedliche Stufen der Sicherheit zu erreichen. Besonders Verbraucher tun sich durch transparente Informationen bei der Auswahl sicherer IT-Produkte so deutlich leichter. Auch für die Hersteller sind klare und verlässliche Anforderungen begrüßenswert, denn sie können sich an diesem Katalog bei der Entwicklung oder Weiterentwicklung der Geräte orientieren.

Am wichtigsten sind einheitliche Prüfstandards von Produkten, die noch in der Entwicklung und damit noch nicht am Markt verfügbar sind. Allerdings ist es schier unmöglich, diese Vielzahl an Geräten vollumfänglich zu testen. Wenn jedoch bereits in der Konzeption oder Produktion einheitliche Standards3 eingehalten werden, kann es gelingen, den Verbrauchern nicht nur ein Gefühl von Sicherheit zu geben, sondern den tatsächlichen Schutz in einem vernetzten Ökosystem zu erhöhen.

Um einheitliche Prüfungsvoraussetzungen zu gewährleisten, bedarf es Standards, nach denen europaweit geprüft wird. Dieses Standards sollten bei minimalem Aufwand so viele Kriterien wie nötig abdecken. Jedoch muss bedacht werden, dass eine solche Produktprüfung trotzdem nur eine Momentaufnahme darstellt. Die Verantwortung, sich auch während des Lebenszyklus eines solchen IT-Gerätes Gedanken zum Thema IT-Sicherheit zu machen, wird mit einer initialen Prüfung nicht abgedeckt. Auf Basis einer standarisierten ersten Prüfung fallen weitere Tests im Produktlebenszyklus allerdings leichter.

Lesetipp: Ex-und-Hopp-Elektronik - Der "Lebenszyklus vieler Geräte wird immer kürzer4

IT-Sicherheitskennzeichen: Extremfall KRITIS

IT-Produkte in KRITIS5-Umgebungen müssen besondere Kriterien erfüllen. Hier bedarf es einer intensiveren Prüfung, denn kritische Infrastrukturen sollen die Allgemeinheit vor Schaden bewahren und zur öffentlichen Sicherheit beitragen. Sicherheitslücken bei einem IT-Produkt im KRITS6-Umfeld dürfen keinesfalls Auslöser von Störfällen beispielsweise einem Stromausfall, einem Werksunfall oder dem Verlust von personenbezogenen Daten sein.

Der Gesetzesentwurf dient daher vor allem als Hinweis auf eine Überprüfung der aktuell von KRITIS-Betreibern7 eingesetzten IT-Produkte. Wünschenswert wäre es, wenn hier künftig nur noch geprüfte und zertifizierte IT-Produkte zum Einsatz kämen, die nach klaren Anforderungen abgegrenzt sind. Vor allem unter dem Gesichtspunkt der Verschmelzung von IT und OT8, der sogenannten IT/OT-Konvergenz also, gewinnt diese Diskussion an Bedeutung. Die KRITIS-Sicherheit darf jedoch nur als Spitze des Machbaren gesehen werden, nicht als Standard, den alle IT-Produkte erfüllen müssen.

Sicherheitskennezeichen: Mit Security-Siegel zum Erfolg

Letztlich wird ein IT-Sicherheitskennzeichen nur Erfolg haben, wenn es EU-weit eingeführt wird und die Anforderungen der verschiedenen Mitgliedsstaaten erfüllt. Darüber hinaus sollte die Zertifizierung unabhängig von der Prüfung erfolgen, also nicht allein durch den Staat. Die Gefahr hier: Die Anforderungen könnten entweder zu niedrig oder zu hoch angesetzt werden.

Darüber hinaus ist eine gewisse Schnelligkeit und Präzision bei der Zertifizierung erforderlich, um den Markteintritt der Produkte nicht zu verzögern. Am wichtigsten ist jedoch, dass dem Käufer verständlich gemacht werden sollte, dass sich das jeweilige Testat nur auf die aktuelle Version eines Produktes bezieht. Software- und IT-Produkte benötigen ein permanentes Sicherheitstestat über ihren gesamten Lebenszyklus9, sonst sind Gütesiegel und Produkttests schnell veraltet. (bw)

Links im Artikel:

1 https://www.bsi.bund.de/DE/Themen/KRITIS/IT-SiG/it_sig_node.html
2 https://www.computerwoche.de/a/die-aufruestung-des-bsi,3549048
3 https://www.computerwoche.de/a/security-by-design-umsetzen,3546232
4 https://www.computerwoche.de/a/der-lebenszyklus-vieler-geraete-wird-immer-kuerzer,3220874
5 https://www.computerwoche.de/a/was-kritische-infrastrukturen-brauchen,3548210
6 https://www.kritis.bund.de/SubSites/Kritis/DE/Publikationen/Sektoruebergreifend/Leitfaeden/Leitfaden_Schutz-Kritis.html
7 https://www.computerwoche.de/a/was-kritische-infrastrukturen-brauchen,3548210
8 https://www.channelpartner.de/a/so-unterscheiden-sich-it-und-ot,3335362
9 https://www.computerwoche.de/a/mit-ci-cd-durchstarten,3548375
IDG Tech Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.