IT-Sicherheitsgesetz 2.0

Produkttests ja - aber bitte mit Standards

Kommentar  09.09.2020
Von 
Stefan Vollmer ist Director Cyber Security Strategy bei ESG Elektroniksystem- und Logistik-GmbH. Davor verantwortete er als CTO die technologische Entwicklung der BU Cyber Security Services bei der TÜV SÜD AG. Seine Karriere begann Vollmer, nach seinem Studium der Elektro- und Informationstechnik, als Systeminformatiker bei Rhode & Schwarz. Danach folgte eine Anstellung als Cyber-Security-Analyst bei Airbus Defense & Space.
Das IT-Sicherheitsgesetz 2.0 wird derzeit heiß diskutiert. Im Mittelpunkt steht dabei vor allem die Einführung eines IT-Sicherheitskennzeichens - ein zweischneidiges Schwert.
Nicht nur standardisierte Hardware-Kompatibilität will die EU erreichen. Das IT-Sicherheitsgesetz 2.0 zielt vor allem auf umfassende Sicherheitsstandards für IT-Produkte ab.
Nicht nur standardisierte Hardware-Kompatibilität will die EU erreichen. Das IT-Sicherheitsgesetz 2.0 zielt vor allem auf umfassende Sicherheitsstandards für IT-Produkte ab.
Foto: Igor Nikushin - shutterstock.com

Im Entwurf zum IT-Sicherheitsgesetz 2.0 ist unter Artikel 9a ein "IT-Sicherheitskennzeichen" vorgesehen, dass das BSI alle auf dem Markt befindlichen IT-Produkte auf deren IT-Sicherheit prüft. Darüber hinaus sollen IT-Produkte getestet werden, die sich in der Entwicklung befinden, also noch nicht erhältlich sind. Der Begriff IT-Produkte umfasst dabei Soft- und Hardware.

Über die Ergebnisse soll das BSI laut dem Entwurf vom Mai 2020 auch andere Aufsichtsbehörden und deren Ministerien informieren. Zentrale Bedeutung hat dabei das geplante IT-Sicherheitskennzeichen, das mehr Transparenz für Verbraucher schaffen soll.

Lesetipp: IT-Sicherheitsgesetz 2.0 - Die Aufrüstung des BSI

IT-Sicherheitsgesetz 2.0: Was einheitliche Standards bringen

Ein solcher Sicherheitstest ist sinnvoll, denn neue Technologien drängen permanent auf den Markt und finden auch in IT-Produkten Verwendung. Ohne ein standardisiertes Vorgehen bei der Prüfung der Hard- und Software aber wird es schwierig, angesichts der Bedrohungslage den Anschluss nicht zu verlieren. Darüber hinaus spricht der Gesetzestext von verschiedenen Niveau-Stufen. Sicherlich ist es richtig, bei einer Prüfung verschiedener Kriterien unterschiedliche Stufen der Sicherheit zu erreichen. Besonders Verbraucher tun sich durch transparente Informationen bei der Auswahl sicherer IT-Produkte so deutlich leichter. Auch für die Hersteller sind klare und verlässliche Anforderungen begrüßenswert, denn sie können sich an diesem Katalog bei der Entwicklung oder Weiterentwicklung der Geräte orientieren.

Am wichtigsten sind einheitliche Prüfstandards von Produkten, die noch in der Entwicklung und damit noch nicht am Markt verfügbar sind. Allerdings ist es schier unmöglich, diese Vielzahl an Geräten vollumfänglich zu testen. Wenn jedoch bereits in der Konzeption oder Produktion einheitliche Standards eingehalten werden, kann es gelingen, den Verbrauchern nicht nur ein Gefühl von Sicherheit zu geben, sondern den tatsächlichen Schutz in einem vernetzten Ökosystem zu erhöhen.

Um einheitliche Prüfungsvoraussetzungen zu gewährleisten, bedarf es Standards, nach denen europaweit geprüft wird. Dieses Standards sollten bei minimalem Aufwand so viele Kriterien wie nötig abdecken. Jedoch muss bedacht werden, dass eine solche Produktprüfung trotzdem nur eine Momentaufnahme darstellt. Die Verantwortung, sich auch während des Lebenszyklus eines solchen IT-Gerätes Gedanken zum Thema IT-Sicherheit zu machen, wird mit einer initialen Prüfung nicht abgedeckt. Auf Basis einer standarisierten ersten Prüfung fallen weitere Tests im Produktlebenszyklus allerdings leichter.

Lesetipp: Ex-und-Hopp-Elektronik - Der "Lebenszyklus vieler Geräte wird immer kürzer

IT-Sicherheitskennzeichen: Extremfall KRITIS

IT-Produkte in KRITIS-Umgebungen müssen besondere Kriterien erfüllen. Hier bedarf es einer intensiveren Prüfung, denn kritische Infrastrukturen sollen die Allgemeinheit vor Schaden bewahren und zur öffentlichen Sicherheit beitragen. Sicherheitslücken bei einem IT-Produkt im KRITS-Umfeld dürfen keinesfalls Auslöser von Störfällen beispielsweise einem Stromausfall, einem Werksunfall oder dem Verlust von personenbezogenen Daten sein.

Der Gesetzesentwurf dient daher vor allem als Hinweis auf eine Überprüfung der aktuell von KRITIS-Betreibern eingesetzten IT-Produkte. Wünschenswert wäre es, wenn hier künftig nur noch geprüfte und zertifizierte IT-Produkte zum Einsatz kämen, die nach klaren Anforderungen abgegrenzt sind. Vor allem unter dem Gesichtspunkt der Verschmelzung von IT und OT, der sogenannten IT/OT-Konvergenz also, gewinnt diese Diskussion an Bedeutung. Die KRITIS-Sicherheit darf jedoch nur als Spitze des Machbaren gesehen werden, nicht als Standard, den alle IT-Produkte erfüllen müssen.

Sicherheitskennezeichen: Mit Security-Siegel zum Erfolg

Letztlich wird ein IT-Sicherheitskennzeichen nur Erfolg haben, wenn es EU-weit eingeführt wird und die Anforderungen der verschiedenen Mitgliedsstaaten erfüllt. Darüber hinaus sollte die Zertifizierung unabhängig von der Prüfung erfolgen, also nicht allein durch den Staat. Die Gefahr hier: Die Anforderungen könnten entweder zu niedrig oder zu hoch angesetzt werden.

Darüber hinaus ist eine gewisse Schnelligkeit und Präzision bei der Zertifizierung erforderlich, um den Markteintritt der Produkte nicht zu verzögern. Am wichtigsten ist jedoch, dass dem Käufer verständlich gemacht werden sollte, dass sich das jeweilige Testat nur auf die aktuelle Version eines Produktes bezieht. Software- und IT-Produkte benötigen ein permanentes Sicherheitstestat über ihren gesamten Lebenszyklus, sonst sind Gütesiegel und Produkttests schnell veraltet. (bw)