• Was ist das IT-Sicherheitskennzeichen?

  Das IT-Sicherheitskennzeichen ist ein freiwilliges Label für IT-Produkte. Es bietet Ihnen als Hersteller die Möglichkeit, das steigende Informationsbedürfnis der Verbraucherinnen und Verbraucher zu erfüllen, indem Sie die Sicherheitseigenschaften Ihrer IT-Produkte anhand eines BSI-Kennzeichens leicht erkennbar machen und damit Ihr Produkt besonders am Markt hervorheben. IT-Sicherheit ist ein Verkaufsargument.

  Sie als Hersteller erklären dabei, dass Ihr Produkt mit bestimmten Sicherheitseigenschaften ausgestattet ist, die auf Anforderungen einschlägiger IT-Sicherheitsstandards beruhen.

  Diese IT-Sicherheitsstandards sind etablierte Grundstandards, die vom BSI anerkannt wurden. Sie haben in der Regel den Anspruch ‚security by design‘ und ‚security by default‘ in der Produktentwicklung zu fördern sowie die Einhaltung der allgemeinen Schutzziele der Informationssicherheit bei IT-Produkten sicherzustellen.

  Das IT-Sicherheitskennzeichen beruht auf einer Herstellererklärung über die Konformität des Produktes zu einem Standard. Das BSI prüft die Herstellererklärung auf grundsätzliche Vollständigkeit und Plausibilität. Es findet dabei keine technisch-inhaltliche Prüfung statt, wie dies z.B. im Rahmen einer BSI-Zertifizierung der Fall ist.

  In einem nachgelagerten Prozess, der Marktaufsicht wird geprüft, ob die in der Herstellererklärung bestätigten Eigenschaften des Produkts bzw. bestätigten Anforderungen des zugrundeliegenden Standards während der Laufzeit erfüllt werden. Da es sich um ein Verbraucherlabel handelt, ist das IT-Sicherheitskennzeichen zusätzlich mit einem dynamischen Informationsangebot für Verbraucher auf der Website des BSI verknüpft, welches neben Transparenz über die Sicherheitseigenschaften des Produkts ggf. auch auf aktuell bestehende Sicherheitsprobleme oder Sicherheitsupdates hinweist und über Handlungsempfehlungen informiert.

• Welchen Vorteil bringt das IT-Sicherheitskennzeichen?

  Mit der zunehmenden Digitalisierung der Gesellschaft wächst das Bedürfnis von Verbraucherinnen und Verbrauchern die Sicherheitseigenschaften von IT-Produkten einfach erkennen zu können, damit sie diese schon während der Kaufentscheidung berücksichtigen können. IT-Sicherheit ist ein Verkaufsargument und kann Ihr IT-Produkt von anderen unterscheiden.

  Das IT-Sicherheitskennzeichen bietet Ihnen als Hersteller die Möglichkeit das Informationsbedürfnis der Verbraucherinnen und Verbraucher zu erfüllen, indem Sie die Sicherheitseigenschaften Ihrer IT-Produkte anhand eines BSI-Kennzeichens leicht erkennbar machen und damit Ihr Produkt besonders hervorzuheben.
  Darüber hinaus soll das IT-Sicherheitskennzeichen zu einer Sensibilisierung von Verbraucherinnen und Verbrauchern und damit zu einem verstärkten Bewusstsein für IT-Sicherheit allgemein beitragen. Das IT-Sicherheitskennzeichen kann eine Hilfe bei der Kaufentscheidung sein. Mit dem IT-Sicherheitskennzeichen können Hersteller den Kunden und Kundinnen zeigen, dass ihnen das Thema wichtig ist und so den Umsatz der Produkte ggf. erhöhen und verbessern.

• Wie lange ist das vergebene IT-Sicherheitskennzeichen gültig?

  Das IT-Sicherheitskennzeichen hat in der Regel eine Gültigkeitsdauer von mindestens zwei Jahren. Das BSI kann abweichende Laufzeiten für einzelne Produktkategorien festgelegen. Nach diesem Zeitraum erlischt die Freigabeerklärung des BSI. Folgeanträge sind jederzeit möglich.

  Durch einen rechtzeitigen Folgeantrag können Sie gewährleisten, dass Ihr IT-Produkt „lückenlos“ über ein gültiges IT-Sicherheitskennzeichen verfügt.

• Wie ist das Etikett für das IT-Sicherheitskennzeichen gestaltet?

  Das IT-Sicherheitskennzeichen besteht aus der Herstellererklärung und der dynamischen Informationskomponente nach §9c Abs. 2 IT-SiG 2.0. Das Etikett enthält einen QR-Code, welcher auf eine Webseite des BSI führt, die Informationen zum Produkt, der Laufzeit des IT-Sicherheitskennzeichens sowie aktuelle Sicherheitsinformationen (z.B. aktuell bestehende Schwachstellen oder anstehende Sicherheitsupdates) zum Produkt enthält.

  

• Gibt es Vorgaben für die Art der Verwendung des IT-Sicherheitskennzeichens?

  Das Etikett des IT-Sicherheitskennzeichens wird durch das Bundesamt für Sicherheit in der Informationstechnik in elektronischer Form zur Verfügung gestellt. Der Hersteller kann das Etikett daraufhin auf dem Produkt bzw. der Produktverpackung anbringen. Weiterhin kann der Hersteller das IT-Sicherheitskennzeichen in elektronischer Form verwenden, vor allem dann, wenn ein Aufbringen des Etiketts aus physikalischen Gründen nicht möglich ist. Wird die Freigabe des IT-Sicherheitskennzeichen entzogen oder erlischt diese aufgrund des Ablaufs der Gültigkeitsdauer, muss der Hersteller dafür Sorge tragen, dass nach dem Erlöschen der Freigabe keine weiteren Produkte mit dem Etikett des IT-Sicherheitskennzeichens auf den Markt gebracht werden.

• Ist das IT-Sicherheitskennzeichen für Hersteller entsprechender IT-Produkte verpflichtend?

  Das IT-Sicherheitskennzeichen ist freiwillig. Es bietet Ihnen als Hersteller die Möglichkeit, das steigende Informationsbedürfnis der Verbraucherinnen und Verbraucher zu erfüllen, indem Sie die Sicherheitseigenschaften Ihrer IT-Produkte anhand eines BSI-Kennzeichens leicht erkennbar machen und damit Ihr Produkt besonders hervorheben. IT-Sicherheit ist ein Verkaufsargument.

• Wie stelle ich einen Antrag auf Erteilung eines IT-Sicherheitskennzeichen für mein Produkt?

  Um das IT-Sicherheitskennzeichen zu erhalten, müssen Sie einen Antrag auf Erteilung des IT-Sicherheitskennzeichens beim BSI stellen. Eine Antragsstellung ist nur in den vom BSI definierten Produktkategorien möglich. Können Sie Ihr Produkt nicht direkt zuordnen, nehmen Sie gerne Kontakt zu uns auf.

  Der schnellste und bequemste Weg zur Beantragung eines IT-Sicherheitskennzeichens ist die Verwendung unseres Online-Antrags im Bundesportal.

• Was prüft das BSI und wie lange dauert es, bis das IT-Sicherheitskennzeichen für das Produkt freigegeben wird?

  Der Antrag wird auf Vollständigkeit geprüft und einer Plausibilitätsprüfung unterzogen. Für die Prüfung der Antragsunterlagen bis zur Freigabe des Kennzeichens gilt eine regelmäßige Frist von sechs Wochen.

• In welchen Fällen wird ein Antrag auf Erteilung des IT-Sicherheitskennzeichens abgelehnt?

  Der Antrag kann abgelehnt werden, wenn Hinweise dafür vorliegen, dass das Produkt oder die mit dem Produkt ausgelieferte Software bekannte Sicherheitslücken enthält und Produkte des Herstellers bereits Gegenstand einer Warnung oder Information nach §§ 7, 7a des BSI-Gesetzes sind oder von Maßnahmen nach § 9c Absatz 8 IT-SiG 2.0 betroffen waren.

  Ebenfalls kann der Antrag abgelehnt werden, wenn die Plausibilitätsprüfung nicht erfolgreich durchgeführt werden kann.

• Ist die Beantragung bzw. Vergabe des IT-Sicherheitskennzeichens für die Hersteller mit Kosten verbunden?

  Das BSI erhebt für die Antragsbearbeitung eine Verwaltungsgebühr nach Zeitaufwand der Prüfung (§ 9c Abs. 5 IT-SiG 2.0). Die entsprechenden Details regelt die Rechtsverordnung zum IT-Sicherheitskennzeichen.

  In der Regel befinden sich die Kosten zur Erteilung des IT-Sicherheitskennzeichen im dreistelleigen Bereich (Euro). Je nach Prüfungsaufwand können die Kosten auch im niedrigen vierstelligen Bereich (Euro) liegen.

• Wie kann man Standards für neue Produktkategorien anerkennen lassen?

  Hierfür muss der Verfasser, ein Branchenverband oder sonstige Stelle, einen Antrag auf Anerkennung eines Standards stellen. Das BSI stellt daraufhin fest, ob der vorgeschlagene Standard den Anforderungen genügt. Die Feststellung der Anerkennung wird nur befristet ausgesprochen.

• Welche Verpflichtungen gehen mit dem erteilten IT-Sicherheitskennzeichen einher?

  Der Hersteller ist verpflichtet, die Konformität des Produkts zu den für die Produktgruppe geltenden IT-Sicherheitsanforderungen über die Laufzeit des erteilten IT-Sicherheitskennzeichens aufrecht zu erhalten. Darüber hinaus hat er das BSI unaufgefordert zu informieren, wenn sich die konform erklärten Eigenschaften des Produktes ändern. Dazu gehören u.a. Störungen der Informationssicherheit des Produktes und auftretende Sicherheitslücken. Der Hersteller verpflichtet sich weiterhin, ihm bekanntwerdende Sicherheitslücken unverzüglich zu beheben und den Stand der dafür erfolgten Maßnahmen dem Bundesamt anzuzeigen. Bei Erteilung ist zudem das IT-Sicherheitskennzeichen auf dem jeweiligen Produkt oder dessen Umverpackung anzubringen, sofern die Beschaffenheit des Produkts dies ermöglicht.

• Unter welchen Voraussetzungen kann das IT-Sicherheitskennzeichen entzogen werden?

  Das IT-Sicherheitskennzeichen kann entsprechend der Vorschriften des § 9c Abs. 8 BSIG entzogen werden, wenn gegen die Herstellererklärung verstoßen wurde oder gesetzliche Voraussetzungen nicht mehr erfüllt sind.

• Wie funktioniert die Marktaufsicht für Produkte mit einem IT-Sicherheitskennzeichen?

  Produkte oder Dienste mit einem IT-Sicherheitskennzeichen unterliegen nach Erteilung des Kennzeichens einer Aufsicht durch das BSI. Die BSI Marktaufsicht kann in diesem Rahmen prüfen, ob die zugesicherten Anforderungen durch den Hersteller tatsächlich eingehalten werden. Die Produkte werden hierzu stichprobenartig oder anlassbezogen geprüft. Werden bei einem Produkt Abweichungen von der Herstellererklärung festgestellt, kann das BSI geeignete Maßnahmen zum Schutz des Vertrauens der Verbraucherinnen und Verbraucher in das IT-Sicherheitskennzeichen ergreifen. Zum Beispiel durch Bereitstellung entsprechender Informationen an die Verbraucherinnen und Verbraucher bis hin zum Entzug des IT-Sicherheitskennzeichens.

  In der Regel wird den betroffenen Herstellern eine angemessene Frist eingeräumt, um die Mängel zu beheben und den zugesicherten Zustand des Produkts wiederherzustellen, bevor Maßnahmen durch das BSI ergriffen werden.

  Weitere Informationen zur Marktaufsicht gibt es hier.

• Wer ist beim BSI fachlicher Ansprechpartner für Hersteller, die ein IT-Sicherheitskennzeichen beantragen wollen?

  Hersteller, die fachliche Fragen zum Antragsverfahren haben, können sich über das
  Servicecenter telefonisch unter 0800 2741000 oder
  per E-Mail service-center@bsi.bund.de

  oder dem allgemeinem Geschäftspostfach it-sicherheitskennzeichen@bsi.bund.de

  an die Expertinnen und Experten des BSI wenden.

• Wo ist das IT-Sicherheitskennzeichen gesetzlich geregelt?

  Erste Vorboten des IT-Sicherheitskennzeichens finden sich in der Cyber-Sicherheitsstrategie der Bundesregierung aus dem Jahr 2016 sowie im Koalitionsvertrag der Bundesregierung von 2018. Mit dem Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, dem sogenannten IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0), hat das BSI den Auftrag erhalten, ein freiwilliges Sicherheitskennzeichen einzuführen. Hierzu wurde das BSI-Gesetz (BSIG), welches unter anderen die Aufgaben und Zuständigkeiten des BSI regelt, entsprechend geändert. Details zum IT-Sicherheitskennzeichen, insbesondere zum Antragsverfahren, regelt eine konkretisierende Rechtsverordnung, die nach ihrer Finalisierung veröffentlicht wird.

• Gibt es ein IT-Sicherheitskennzeichen auf europäischer Ebene?

  Mit dem im Juni 2019 in Kraft getretenen Cybersecurity Act existiert in der EU ein Zertifizierungsrahmenwerk, das grundsätzlich auch die Möglichkeit einer europäischen Kennzeichnung sowie der weiteren Regulierung des Internets der Dinge für den gesamteuropäischen digitalen Binnenmarkt eröffnet. Derzeit gibt es noch kein einheitliches IT-Sicherheitskennzeichen auf EU-Ebene.

  Es ist gut möglich, dass sich ein europäisches Kennzeichen an bestehenden, nationalen Kennzeichen wie dem IT-Sicherheitskennzeichen orientiert. Daher kann die Beantragung eines IT-Sicherheitskennzeichens eine gute Vorbereitung für ein zukünftiges EU-Kennzeichen sein. Das BSI plant, einen Übergang des nationalen IT-Sicherheitskennzeichen zu einem eventuellen zukünftigen EU-Kennzeichen zu ermöglichen.

• Wann ist ein vereinfachtes Verfahren möglich?

  Gemäß §6 BSI-ITSiKV kann das Bundesamt auf die Plausibilitätsprüfung verzichten, wenn das Bundesamt für das Produkt ein Zertifikat nach § 9 des BSI-Gesetzes auf Grundlage des gleichen Prüfstandards erteilt hat. Vereinfacht gesagt: wurde ein Produkt bereits durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert, kann es ein vereinfachtes Verfahren durchlaufen, um ein IT-Sicherheitskennzeichen auf Basis der gleichen Prüfgrundlage zu erhalten. Desweitern kann ein vereinfachtes Verfahren angewandt werden, wenn für das Produkt ein ausländisches, staatliches Kennzeichen erteilt wurde, welches vom BSI anerkannt wird.

• Werden internationale Kennzeichen anerkannt?

  Es besteht die Möglichkeit, die Freigabe zur Nutzung eines IT-Sicherheitskennzeichens im vereinfachten Verfahren zu erlangen, wenn für ein Produkt bereits ein ausländisches staatliches Kennzeichen erteilt wurde, das vom BSI anerkannt ist.

  Derzeit werden auf Basis einer bilateralen Anerkennungsvereinbarung in der Produktkategorie "Smarte Verbrauchergeräte" Kennzeichen aus dem Cybersecurity Labelling Scheme der Cybersecurity Agency of Singapore ab Stufe 2 anerkannt.

• Sind weitere Produktkategorien geplant?

  Ja, es wird von Seiten des BSI aktiv an weiteren Produktkategorien gearbeitet, die sich am Verbrauchermarkt orientieren. Informationen zu allen aktuell verfügbaren Produktkategorien finden Sie hier.

• Kann ein IT-Sicherheitskennzeichen auch für Produktvarianten beantragt werden?

  Das IT-Sicherheitskennzeichen wird produktbezogen vergeben, sodass eine Freigabe grundsätzlich für jedes Produkt und jeden Dienst einzeln zu beantragen ist. Produktvarianten, die hinsichtlich ihrer sicherheitsrelevanten Komponenten im Wesentlichen baugleich sind und für die übereinstimmende Sicherheitseigenschaften erklärt werden, sodass nur eine einzelne Prüfung durch das BSI erforderlich ist, können in einem Antrag zusammengefasst werden. Im Genehmigungsfall wird für jede Produktvariante ein eigenes Kennzeichen erteilt.

• Welche Sicherheitsinformationen werden auf der Produktinformationsseite veröffentlicht?

  Auf der Produktinformationsseite werden neben dem Namen des Produkts und des Herstellers oder Anbieters auch jene Produktbilder veröffentlicht, die Sie zusammen mit dem Antrag einreichen.

  Weiterhin enthält die Seite eine Statusmeldung, welche anzeigt,

  • ob dem BSI aktuell Sicherheitslücken für dieses Produkt bekannt sind,
  • ob dafür vom Anbieter Updates zur Verfügung gestellt werden oder
  • ob das Kennzeichen abgelaufen ist oder zurückgezogen wurde.

  Außerdem kann auf der Produktinformationsseite nachgelesen werden,

  • wann das IT-Sicherheitskennzeichen erteilt wurde,
  • wie lange es gültig ist und
  • auf Basis welcher technischen Grundlage (Technische Richtlinie, Standard oder Norm) das IT-Sicherheitskennzeichen erteilt wird.

  Technische Details zum jeweiligen Produkt sind nicht enthalten. Auch die systemrelevanten Angaben, die Hersteller oder Anbieter im Rahmen der Antragsstellung machen, werden nicht veröffentlicht.

• Wie unterscheidet sich das IT-Sicherheitskennzeichen von einer BSI Zertifizierung und der beschleunigten Sicherheitszertifizierung?

  Das IT-Sicherheitskennzeichen soll Verbraucherinnen und Verbrauchern helfen, Informationen über grundlegende Sicherheitseigenschaften eines Produktes zu erhalten. Im Gegensatz zu einer BSI Zertifizierung oder einer Beschleunigten Sicherheitszertifizierung führt das BSI keine technische Prüfung durch. Der Hersteller prüft selbst, ob sein Produkt den vom BSI festgelegten technischen Anforderungen, wie beispielsweise einer Technischen Richtlinie oder einer Norm, entspricht. Er sichert in seiner Herstellererklärung die Konformität und die Bereitstellung bestimmter sicherheitsrelevanter Updates zu.

  Erst nach der Erteilung kann die BSI-Marktaufsicht anlassbezogen oder anlasslos stichprobenartig prüfen, ob der Hersteller sein Versprechen einhält. In diesem Rahmen kann auch eine nachträgliche technische Prüfung erfolgen. Die Kosten des IT-Sicherheitskennzeichens liegen damit deutlich unter denen einer Zertifizierung.

IT-Sicherheitskennzeichen