IT-Sicherheitskennzeichen
Verbraucherinnen und Verbraucher müssen über die Cyberresilienz aller relevanten Produkte, dies umfasst Hard- und Softwarelösungen gleichermaßen, informiert werden. Ein cyberresilienter Router, für den Updates angeboten werden, hilft der Cybersicherheit eines Haushalts nur begrenzt, wenn die mit dem Router vernetzten Produkte signifikante Cybersicherheitsschwachstellen aufweisen. Zudem muss berücksichtigt werden, dass sich besonders in den Softwareapplikationen auf dem Laptop oder PC Schwachstellen befinden. Das IT-Sicherheitskennzeichen sollte daher auch explizit für reine Softwareprodukte gelten, ganz gleich ob physisch oder digital vertrieben, und entsprechend im Wortlaut ausgestaltet werden. Zudem muss das BSI gewährleisten, dass das IT-SiK einen klar abgegrenzten Fokus auf Endverbraucherinnen und -verbraucher hat. Es bedarf einer eindeutigen Kommunikation durch das BSI, dass das IT-SiK keine geeignete Informationsquelle zur Cybersicherheit von Produkten für KRITIS-Betriebe sowie mittelständische oder multinationale Unternehmen ist. Einzig Klein- und Kleinstunternehmen, die regelmäßig keine IT-Sicherheitsfachkraft haben, sollten das IT-SiK ebenfalls als Unterstützung bei Kaufentscheidungen verwenden. In diesem Zusammenhang wäre sicherzustellen, dass das IT-SiK nicht höherwertige Prüfbescheinigungen schwächt oder entwertet. Das BSI sollte ferner regelmäßig auf internationale Normen und Standards, im Rahmen des CSA entwickelte Cybersicherheitszertifizierungsschemata sowie den Anforderungen eines zukünftigen europäischen Cybersicherheitsrechtsakts auf Basis des NLF verweisen. Nationale Ansätze sollten angesichts der hochgradig in internationale Wertschöpfungsnetzwerke eingebundenen deutschen Industrie die Ausnahme darstellen. Änderungsvorschläge der deutschen Industrie (1) Das Bundesamt kann soll – wo immer möglich – für die konkreten Sicherheitsanforderungen auf bestehende Vorgaben, Standards, Technische Richtlinien, Prüfgrundlagen oder branchenabgestimmte IT-Sicherheitsvorgaben verweisen und bemüht sich um den Gleichlauf mit international etablierten Standards. § 12 Aufsicht Regelungsgegenstand Eine Aufsicht über Produkte und herstellende Unternehmen, welche die Freigabe zur Nutzung des ITSiK erhalten haben, erfolgt für die Dauer der Freigabe auf Basis eines vom BSI erarbeiteten Überwachungskonzeptes und anlassbezogen reaktiv. Zur effektiven Marktaufsicht kann das Bundesamt Testkäufe vornehmen. BDI-Bewertung Nach Ansicht der deutschen Industrie wird der Erfolg eines IT-SiK maßgeblich vom Vertrauen der Verbraucherinnen und Verbraucher in das Kennzeichen abhängen. Eine effiziente Marktaufsicht ist umso wichtiger, ob der Bedeutung, die ein IT-SiK für die Kaufentscheidung hätte. Laut einer Studie im Auftrag des BMI würden 70 Prozent der Verbraucherinnen und Verbraucher eher der Sicherheit eines Produktes mit einem (wie auch immer ausgestalteten) IT-Sicherheitskennzeichen vertrauen. 71 Prozent würden zudem ein Produkt mit einem Kennzeichen eher kaufen als eines ohne Kennzeichen. Die Studie zeigt zudem, dass zwei Drittel der Verbraucherinnen und Verbraucher bereit wären, für ein Produkt mit einem IT-Sicherheitskennzeichen mehr Geld auszugeben als für ein vergleichbares
12