Zertifiziert, aber nicht geprüft

Jetzt kommt es also, das IT-Sicherheitskennzeichen, an dem Endnutzer sichere IT-Produkte erkennen sollen. Zunächst für DSL-Router und Maildienste, später dann auch für Smartphones, Drucker, Laptops et cetera. Das IT-Sicherheitskennzeichen bestätigt, dass ein Gerät oder Dienst grundlegende Sicherheitsanforderungen erfüllt. Zuständig für die Vergabe wie auch für die Definition der Anforderungen für jede Produktkategorie ist das BSI.

Untersucht das BSI jetzt also Hunderte Router und Maildienste akribisch auf ihre Sicherheit? Prüft nach jedem Update, ob neue Sicherheitslücken entstanden sind? Checkt bei jeder neuen Sicherheitslücke, ob als sicher zertifizierte Produkte betroffen sind? Das wäre ganz schön viel zu prüfen für eine Behörde, die ja auch noch viele andere Aufgaben zu erfüllen hat. Daher ist das federführende Innenministerium realistisch geblieben: Das BSI muss keine vertiefte Prüfung der Herstellerangaben vornehmen, heißt es im Entwurf der Verordnung.

Im Wesentlichen bescheinigen die Hersteller die Sicherheit ihrer Produkte also selbst, indem sie gegenüber dem BSI erklären, die einschlägigen Sicherheitsanforderungen einzuhalten. Das BSI prüft nur noch auf Plausibilität. Die Kritik, dass doch kein Hersteller sein eigenes Produkt für unsicher erklären wird, ist völlig berechtigt: Das IT-Sicherheitskennzeichen ist keine Garantie für ein sicheres Gerät.

Aber es scheidet die Hersteller, denen IT-Sicherheit nicht völlig egal ist, von denjenigen, denen schon der Antrag beim BSI zu viel Mühe macht. Und es erinnert Nutzer daran, dass die Sicherheit auch bei vertrauten Alltagsgegenständen wie DSL-Routern ein wichtiges Thema ist.

Vor allem aber erklären Anbieter mit dem IT-Sicherheitskennzeichen verbindlich, dass sie bestimmte Sicherheitsstandards einhalten. Darauf kann man sie dann auch festnageln, womöglich bis hin zu einer Haftbarkeit für unsichere Geräte und Dienste – zumal das BSI bei Verdacht auch tiefer prüfen und das Label wieder entziehen kann. Das ist schon ein erheblicher Fortschritt. Und wer weiß, vielleicht wirkt das IT-Sicherheitskennzeichen sogar verkaufsfördernd. Dann würde sich die Investition in Sicherheit endlich mal in klingender Münze auszahlen.