Erteilungsgrundlage und Technische Richtlinie

Das IT-Sicherheitskennzeichen wird auf Grundlage des §9c BSI Gesetz erteilt.

Geräte der Kategorie Router können das IT-Sicherheitskennzeichen erhalten, wenn der Hersteller die Konformität des Gerätes mit der Technischen Richtlinie für Breitbandrouter BSI TR-03148 versichert. Die Herstellererklärung zur Produktkategorie Router finden Sie hier.

Die folgende Auflistung gibt einen vereinfachten Überblick über einige erklärte Sicherheitsfunktionalitäten. Ausführliche Beschreibungen der erforderlichen und empfohlenen Anforderungen finden Sie in der Technischen Richtlinie und der zugehörigen Testspezifikation.

Informationen zu den erforderlichen und empfohlenen Geräteeigenschaften

1. Transparenz

Der Hersteller sichert zu, transparente Informationen hinsichtlich der Sicherheit des Gerätes zur Verfügung zu stellen.

Diese beinhalten insbesondere:

• Informationen über die Verfügbarkeit von Sicherheitsupdates, die Version der Router-Firmware, den Status der Firewall oder aktivierte und deaktivierte Services.
• Die Möglichkeit, Information über sicherheitsrelevante Ereignisse (beispielsweise: fehlgeschlagene Login-Versuche oder Änderungen in den Einstellungen) zu erhalten, optional per App oder E-Mail.
• Keine versteckten Funktionalitäten.

2. Zugangsberechtigung

Der Hersteller sichert Mechanismen zu (z.B. Passwort, PIN oder elektronischer Schlüssel), sodass nur berechtigte Personen auf das Gerät zugreifen können.

Zu diesen Mechanismen zählen beispielsweise:

• Ein ausreichend starker Berechtigungsmechanismus beim Einloggen mittels hinreichend starker Passwortabfrage.
• Eine Änderung des werksseitig voreingestellten Passworts in ein individuelles Passwort begleitet von einem Mechanismus, der die Stärke des gewählten Passwortes anzeigt.
• Eine Änderung des werksseitigen Passworts in ein individuelles Passwort für das WLAN-Netzwerk.
• Eine Firewall, die das Gerät von unberechtigten Zugriffen schützt.

Das Gerät kann, entsprechend den Empfehlungen der Richtlinie, auch folgende Funktionen beinhalten:

• Eine Zwei-Faktor-Authentifizierung während des Anmeldeprozesses.
• Die Änderung des voreingestellten Passworts für Login und WLAN-Netzwerk bereits während der Inbetriebnahme.

3. Aktualisierung

Der Hersteller erklärt, für das Gerät bei Bekanntwerden von Sicherheitslücken unverzüglich Sicherheitsupdates bereitzustellen.

Dies umfasst beispielsweise:

• Eine verschlüsselte Funktion zur Aktualisierung der Firmware (Gerätesoftware).
• Die Bereitstellung von Sicherheitsupdates für die Dauer der Gültigkeit des IT-Sicherheitskennzeichens.

Die Technische Richtlinie empfiehlt weiterhin:

• Einen automatischen Updatemechanismus, der ab Werk aktiviert ist.
• Einen Mechanismus zur automatischen Einspielung von Firmwareaktualisierungen mit der Möglichkeit zur Deaktivierung und der manuellen Verwaltung des Einspielens von Firmwareupdates.

4. Verschlüsselung

Der Hersteller sichert zu, dass die Kommunikation des Geräts, die Interaktionen und bestimmte lokal gespeicherte Daten (z. B. Anmeldedaten) mit Verschlüsselungsverfahren gemäß der Technischen Richtlinie abgesichert sind.

Dies betrifft insbesondere:

• Die Verschlüsselung von Zugriffen auf den Router über WAN (z.B. per App), optional über WLAN.
• Die Bereitstellung einer Verschlüsselung mittels des Standards WPA 2 oder höher für das WLAN der Nutzerinnen und Nutzer bzw. für Gäste-WLAN.

Einige Geräte können, entsprechend der Technische Richtlinie, auch zusätzlich Funktionen besitzen:

• Eine Möglichkeit der Bereitstellung von sicherheitsrelevanten Informationen per App.
• Eine verschlüsselte Kommunikation bei Nutzung der App.

5. Datenbereinigung und Datenhygiene

Der Hersteller erklärt, dass das Gerät Mechanismen besitzt, um Daten wirksam zu löschen, sodass diese nicht ohne Weiteres wiederhergestellt werden können.

Dazu gehören beispielsweise:

• Ein Rücksetzungsmechanismus, durch den alle gespeicherten Daten und Einstellungen unwiderruflich gelöscht werden (beispielsweise durch einen Reset-Knopf).