{"id":9389,"date":"2022-08-24T10:52:12","date_gmt":"2022-08-24T08:52:12","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=9389"},"modified":"2026-01-22T13:09:08","modified_gmt":"2026-01-22T12:09:08","slug":"it-sicherheitskennzeichen-2022","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/it-sicherheitskennzeichen-2022\/","title":{"rendered":"IT-Sicherheitskennzeichen: Transparenz f\u00fcr Sicherheitsversprechen"},"content":{"rendered":"<p>Immer h\u00e4ufiger sind Produkte mit dem Internet verbunden \u2013 doch ob das Produkt sicher ist, l\u00e4sst sich nur schwer erkennen. Das <a href=\"https:\/\/www.psw-group.de\/blog\/bsi-hilfestellungen-it-sicherheit\/8867\">Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI)<\/a> m\u00f6chte mit seinem IT-Sicherheitskennzeichen solchen Situationen entgegensteuern. Der heutige Blogbeitrag verr\u00e4t Ihnen mehr \u00fcber das IT-Sicherheitskennzeichen des BSI: Nach einem kurzen Ausflug in die Historie des IT-Sicherheitskennzeichens stellen wir dar, wie die BSI-Auszeichnung funktioniert und welche Sicherheitsstandards daf\u00fcr definiert wurden. Wir lassen Kritisierende zu Wort kommen und res\u00fcmieren in unserem Fazit, ob das IT-Sicherheitskennzeichen die gew\u00fcnschte Transparenz liefern kann.<\/p>\n<h2>Das IT-Sicherheitskennzeichen des BSI<\/h2>\n<p>Die Problematik, dass Verbraucher:innen mit der Einsch\u00e4tzung der Sicherheit von mit dem Internet verbundenen Produkten wie Router oder IoT-Komponenten allein dastehen, ist dem BSI und anderen Expert:innen schon l\u00e4nger bekannt. Um an dieser Situation etwas \u00e4ndern zu k\u00f6nnen, f\u00fchrte das BSI mit dem <a href=\"https:\/\/www.psw-group.de\/blog\/it-sicherheitsgesetz-2-0\/7884\">IT-Sicherheitsgesetz 2.0<\/a> auch das IT-Sicherheitskennzeichen ein. Seit Ende 2021 ist es Herstellern von Verbraucherprodukten m\u00f6glich, ihre Produkte mit dem IT-Sicherheitskennzeichen auszeichnen zu lassen.<\/p>\n<p>Das BSI IT-Sicherheitskennzeichen gibt dabei Auskunft \u00fcber von den jeweiligen Herstellern zugesicherte Sicherheitsmerkmale von vernetzten Ger\u00e4ten sowie Anwendungen. S\u00e4mtliche Hersteller relevanter Produkte und Anwendungen k\u00f6nnen das Kennzeichen beantragen, wobei die Beantragung keiner Verpflichtung unterliegt, sondern freiwillig ist. Hat ein Hersteller das IT-Sicherheitskennzeichen beantragt, verpflichtet er sich freiwillig dazu, die vom BSI vorgegebenen Sicherheitsstandards einzuhalten.<\/p>\n<p>Anf\u00e4nglich gab es das IT-Sicherheitskennzeichen ausschlie\u00dflich f\u00fcr Breitband-Router und E-Mail-Dienste, im Mai wurden die Produktkategorien um f\u00fcnf weitere erg\u00e4nzt (s. unten). Nach und nach m\u00f6chte das BSI m\u00f6gliche Produktkategorien noch mehr ausbauen, sodass das Kennzeichen auch f\u00fcr Hersteller anderer vernetzter Ger\u00e4te\/ Dienste interessant ist. Mit der Auszeichnung durch das BSI gehen Hersteller einige Verpflichtungen ein:<\/p>\n<p>Zwar pr\u00fcft das BSI die einzelnen Produkte technisch nicht, sodass die Beh\u00f6rde auch die Einhaltung geforderter Sicherheitsmerkmale nicht garantieren kann. Jedoch pr\u00fcft die BSI-Marktaufsicht beispielsweise durch Stichproben w\u00e4hrend der Laufzeit des Kennzeichens anlasslos, inwieweit sich Hersteller und Anbieter an die Zusicherungen halten. Werden Sicherheitsl\u00fccken oder sonstige Missst\u00e4nde bekannt, k\u00f6nnen auch anlassbezogene Pr\u00fcfungen erfolgen. Erf\u00e4hrt das BSI von einem Versto\u00df gegen die Standards, hat es die Befugnis, eine technische Pr\u00fcfung der Herstellerangaben durchzuf\u00fchren. Sind die Vorw\u00fcrfe berechtigt, kann das Kennzeichen wieder entzogen werden.<\/p>\n<h3>So funktioniert das IT-Sicherheitskennzeichen vom BSI<\/h3>\n<p>Ziel des IT-Sicherheitskennzeichens ist es mitunter, Verbrauchende besser \u00fcber die Sicherheit von Produkten und Diensten aufzukl\u00e4ren. Dementsprechend soll das Kennzeichen \u2013 wie auch andere Zertifikate oder Siegel \u2013 auf dem Ger\u00e4t, auf seiner Verpackung oder aber auf der Website des Herstellers zu finden sein.<\/p>\n<p>Um Verbrauchenden einen komfortablen Zugang zu weiteren sicherheitsrelevanten Informationen zu spendieren, sollen diese \u00fcber QR-Codes bzw. Links auf den Produktetiketten abrufbar sein. Die so aufrufbaren Seiten m\u00f6chte das BSI betreiben. Sollte ein Kennzeichen ablaufen oder aufgrund der Missachtung technischer Standards widerrufen werden, so soll auch diese Information auf den hinterlegten Seiten angezeigt werden, um Verbrauchende umfassend aufzukl\u00e4ren.<\/p>\n<h3>IT-Sicherheitskennzeichen: Die definierten Standards<\/h3>\n<p>Das BSI hat Sicherheitsstandards definiert, zu denen sich Unternehmen, die ihre Produkte oder Dienste auszeichnen lassen m\u00f6chten, freiwillig verpflichten. Dabei unterscheiden sich die Sicherheitsstandards, die einzuhalten sind, je nach Produktkategorie. F\u00fcr den Start gab es lediglich zwei Kategorien:<\/p>\n<ul>\n<li>Breitbandrouter: Grundlage f\u00fcr das IT-Sicherheitskennzeichen bei Breitbandroutern ist die Erf\u00fcllung der technischen Richtlinie TR-03148 des BSI.<\/li>\n<li>E-Mail-Dienste: Die Grundlage f\u00fcr die Auszeichnung von E-Mail-Diensten bildet die technische Richtlinie TR-03108 des BSI.<\/li>\n<\/ul>\n<p>Diese beiden Kategorien wurden im Mai 2022 durch f\u00fcnf weitere erg\u00e4nzt:<\/p>\n<ul>\n<li>Smartes Fernsehen<\/li>\n<li>Smarte Lautsprecher<\/li>\n<li>Smarte Kameras<\/li>\n<li>Smarte Spielzeuge<\/li>\n<li>Smarte Reinigungs- und Gartenroboter<\/li>\n<\/ul>\n<p>Die f\u00fcnf erg\u00e4nzten Produktkategorien st\u00fctzen sich auf den noch recht jungen vom BSI vorangetriebenen Sicherheitsstandard <a href=\"https:\/\/www.etsi.org\/deliver\/etsi_en\/303600_303699\/303645\/02.01.01_60\/en_303645v020101p.pdf\" target=\"_blank\" rel=\"nofollow noopener\">ETSI EN 303 645<\/a> des Europ\u00e4ischen Instituts f\u00fcr Telekommunikationsnormen (ETSI) in Verbindung mit <a href=\"https:\/\/www.etsi.org\/deliver\/etsi_ts\/103700_103799\/103701\/01.01.01_60\/ts_103701v010101p.pdf\" target=\"_blank\" rel=\"nofollow noopener\">ETSI TS 103 701<\/a> und der <a href=\"https:\/\/www.bsi.bund.de\/DE\/Themen\/Unternehmen-und-Organisationen\/Standards-und-Zertifizierung\/Technische-Richtlinien\/TR-nach-Thema-sortiert\/tr03173\/tr-03173.html\" target=\"_blank\" rel=\"nofollow noopener\">technischen Richtlinie BSI TR-03173<\/a>. Der Sicherheitsstandard ETSI EN 303 645 soll die Sicherheit im Smart Home und im Internet of Things (IoT) einfacher kontrollierbar machen.<\/p>\n<p>F\u00fcr Produkte au\u00dferhalb der genannten Kategorien ist derzeit noch keine Antragstellung m\u00f6glich, jedoch sollen weitere Produktgruppen nach und nach folgen. Alle im Antragsprozess notwendigen Schritte beschreibt das BSI auf seiner Website, wo interessierte Unternehmen auch die Antragsunterlagen nach Produktkategorie sortiert finden.<\/p>\n<h3>Kritik am IT-Sicherheitskennzeichen des BSI<\/h3>\n<p>Kritik am IT-Sicherheitskennzeichen bzw. am Vorgehen zum Erhalt der Auszeichnung kommt mitunter vom Chaos Computer Club (CCC): In einer <a href=\"https:\/\/www.ccc.de\/de\/updates\/2021\/stellungnahme-zum-itsig2\" target=\"_blank\" rel=\"nofollow noopener\">Stellungnahme<\/a> zum seinerzeit erscheinenden IT-Sicherheitsgesetz 2.0 fand die Hackervereinigung deutliche Worte. Der CCC findet, das IT-Sicherheitskennzeichen f\u00fchre zu \u201eRessourcenverschwendung\u201c: \u201eF\u00fcr mehr IT-Sicherheit sollen Herstellerinnen sich k\u00fcnftig freiwillig selbst mit einem IT-Sicherheitskennzeichen auszeichnen d\u00fcrfen. Dies w\u00fcnschen sich insbesondere deutsche Herstellerinnen schon seit l\u00e4ngerem, um die Preise ihrer Produkte rechtfertigen zu k\u00f6nnen. Schlappe 25 Stellen im BSI werden hierf\u00fcr veranschlagt, obwohl noch nicht einmal eine unabh\u00e4ngige Pr\u00fcfung vorgesehen ist. Zielf\u00fchrender w\u00e4re die Ausweitung der Produkthaftung auf den Bereich der IT-Sicherheit und die Einf\u00fchrung eines Mindestzeitraums f\u00fcr Updates, damit mangelnde Qualit\u00e4t k\u00fcnftig nicht mehr als Preis- und Marktvorteil zum Nachteil der IT-Sicherheit missverstanden werden kann.\u201c<\/p>\n<p>Auch die linke Netzpolitikerin Anke Domscheit-Berg kritisierte die geplante Plausibilit\u00e4tspr\u00fcfung anhand eingereichter Dokumente f\u00fcr nicht aussagekr\u00e4ftig genug: \u201eNiemand erkl\u00e4rt sein eigenes Produkt freiwillig f\u00fcr unsicher\u201c, gab sie zu bedenken.<\/p>\n<p>Das BSI begegnet den Kritiken gelassen und benennt Einschr\u00e4nkungen, die Verbrauchende und Hersteller bedenken sollten: So k\u00f6nne das IT-Sicherheitskennzeichen nicht garantieren, dass IT-Produkte 100-prozentig sicher seien, dass Hersteller die definierten Standards immer und auch noch nach Ablauf der G\u00fcltigkeit des IT-Sicherheitskennzeichens erf\u00fcllen, dass Sicherheitsl\u00fccken nicht ausgeschlossen werden k\u00f6nnen oder dass Kriminelle einen Weg finden, Sicherheitsmerkmale von Produkten zu \u00fcberwinden. Das IT-Sicherheitskennzeichen sei nicht als Pr\u00fcfsiegel zu missverstehen. Vielmehr lege das BSI Kriterien fest, zu denen sich ausgezeichnete Hersteller freiwillig verpflichtet haben.<\/p>\n<h2>Schafft das IT-Sicherheitskennzeichen des BSI Transparenz f\u00fcr Sicherheitsversprechen?<\/h2>\n<p>Hersteller oder Anbieter von vernetzten Produkten oder Dienste geben oft vollmundige Versprechen \u00fcber die Sicherheit ihrer Produkte und Dienste ab \u2013 doch was dahintersteckt, k\u00f6nnen vor allem weniger versierte Nutzende nicht immer nachvollziehen. Diese L\u00fccke m\u00f6chte das BSI mit dem IT-Sicherheitskennzeichen schlie\u00dfen: Verbrauchenden soll durch erh\u00f6hte Transparenz erm\u00f6glicht werden, Sicherheitsversprechen einsch\u00e4tzen und besser informierte Kaufentscheidungen treffen zu k\u00f6nnen.<\/p>\n<p>Die Kritiken sind dabei nicht von der Hand zu weisen: Werden Unternehmen ungepr\u00fcft mit dem IT-Sicherheitskennzeichen ausgezeichnet, kann einfach keine realistische Aussage zum Einhalten etwaiger Standards getroffen werden. Das ist aber auch nicht das Ziel des BSI mit der Einf\u00fchrung des IT-Sicherheitskennzeichens.<\/p>\n<p>Vielmehr m\u00f6chte das BSI durch freiwillige Selbstverpflichtungen erreichen, Security by Design sowie by Default zu forcieren. Dar\u00fcber hinaus sollen allgemeine Schutzziele der Informationssicherheit gew\u00e4hrleistet werden: Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit von Informationen. All das sind Punkte, die der Gesetzgeber in gesetzlichen Regularien ohnehin vorgibt, die aber nach au\u00dfen hin bislang nicht zwangsl\u00e4ufig sichtbar sind. Und hier m\u00f6chte das BSI mit dem IT-Sicherheitskennzeichen ansetzen: Weniger versierten Nutzenden sollen die Kennzeichen erste Orientierung geben.<\/p>\n<div class=\"shariff\"><ul class=\"shariff-buttons theme-default orientation-horizontal buttonsize-medium\"><li class=\"shariff-button facebook shariff-nocustomcolor\" style=\"background-color:#4273c8\"><a href=\"https:\/\/www.facebook.com\/sharer\/sharer.php?u=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fit-sicherheitskennzeichen-2022%2F\" title=\"Bei Facebook teilen\" aria-label=\"Bei Facebook teilen\" role=\"button\" rel=\"nofollow\" class=\"shariff-link\" style=\"; background-color:#3b5998; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 18 32\"><path fill=\"#3b5998\" d=\"M17.1 0.2v4.7h-2.8q-1.5 0-2.1 0.6t-0.5 1.9v3.4h5.2l-0.7 5.3h-4.5v13.6h-5.5v-13.6h-4.5v-5.3h4.5v-3.9q0-3.3 1.9-5.2t5-1.8q2.6 0 4.1 0.2z\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><li class=\"shariff-button twitter shariff-nocustomcolor\" style=\"background-color:#595959\"><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fit-sicherheitskennzeichen-2022%2F&text=IT-Sicherheitskennzeichen%3A%20Transparenz%20f%C3%BCr%20Sicherheitsversprechen\" title=\"Bei X teilen\" aria-label=\"Bei X teilen\" role=\"button\" rel=\"noopener nofollow\" class=\"shariff-link\" style=\"; background-color:#000; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 24 24\"><path fill=\"#000\" d=\"M14.258 10.152L23.176 0h-2.113l-7.747 8.813L7.133 0H0l9.352 13.328L0 23.973h2.113l8.176-9.309 6.531 9.309h7.133zm-2.895 3.293l-.949-1.328L2.875 1.56h3.246l6.086 8.523.945 1.328 7.91 11.078h-3.246zm0 0\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><li class=\"shariff-button xing shariff-nocustomcolor\" style=\"background-color:#29888a\"><a href=\"https:\/\/www.xing.com\/spi\/shares\/new?url=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fit-sicherheitskennzeichen-2022%2F\" title=\"Bei XING teilen\" aria-label=\"Bei XING teilen\" role=\"button\" rel=\"noopener nofollow\" class=\"shariff-link\" style=\"; background-color:#126567; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 25 32\"><path fill=\"#126567\" d=\"M10.7 11.9q-0.2 0.3-4.6 8.2-0.5 0.8-1.2 0.8h-4.3q-0.4 0-0.5-0.3t0-0.6l4.5-8q0 0 0 0l-2.9-5q-0.2-0.4 0-0.7 0.2-0.3 0.5-0.3h4.3q0.7 0 1.2 0.8zM25.1 0.4q0.2 0.3 0 0.7l-9.4 16.7 6 11q0.2 0.4 0 0.6-0.2 0.3-0.6 0.3h-4.3q-0.7 0-1.2-0.8l-6-11.1q0.3-0.6 9.5-16.8 0.4-0.8 1.2-0.8h4.3q0.4 0 0.5 0.3z\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><li class=\"shariff-button linkedin shariff-nocustomcolor\" style=\"background-color:#1488bf\"><a href=\"https:\/\/www.linkedin.com\/sharing\/share-offsite\/?url=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fit-sicherheitskennzeichen-2022%2F\" title=\"Bei LinkedIn teilen\" aria-label=\"Bei LinkedIn teilen\" role=\"button\" rel=\"noopener nofollow\" class=\"shariff-link\" style=\"; background-color:#0077b5; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 27 32\"><path fill=\"#0077b5\" d=\"M6.2 11.2v17.7h-5.9v-17.7h5.9zM6.6 5.7q0 1.3-0.9 2.2t-2.4 0.9h0q-1.5 0-2.4-0.9t-0.9-2.2 0.9-2.2 2.4-0.9 2.4 0.9 0.9 2.2zM27.4 18.7v10.1h-5.9v-9.5q0-1.9-0.7-2.9t-2.3-1.1q-1.1 0-1.9 0.6t-1.2 1.5q-0.2 0.5-0.2 1.4v9.9h-5.9q0-7.1 0-11.6t0-5.3l0-0.9h5.9v2.6h0q0.4-0.6 0.7-1t1-0.9 1.6-0.8 2-0.3q3 0 4.9 2t1.9 6z\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><\/ul><\/div>","protected":false},"excerpt":{"rendered":"<p>Immer h\u00e4ufiger sind Produkte mit dem Internet verbunden \u2013 doch ob das Produkt sicher ist, l\u00e4sst sich nur schwer erkennen. Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) m\u00f6chte mit seinem IT-Sicherheitskennzeichen solchen Situationen entgegensteuern. Der heutige Blogbeitrag verr\u00e4t Ihnen mehr \u00fcber das IT-Sicherheitskennzeichen des BSI: Nach einem kurzen Ausflug in die Historie des IT-Sicherheitskennzeichens stellen wir dar, wie die BSI-Auszeichnung funktioniert und welche Sicherheitsstandards daf\u00fcr definiert wurden. Wir lassen [&hellip;]<\/p>\n","protected":false},"author":64,"featured_media":9398,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[379],"tags":[979,968,965,814,978],"class_list":["post-9389","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-security","tag-bsi","tag-cybersecurity","tag-cybersicherheit","tag-it-security","tag-it-sicherheitskennzeichen"],"_links":{"self":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts\/9389","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/users\/64"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/comments?post=9389"}],"version-history":[{"count":11,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts\/9389\/revisions"}],"predecessor-version":[{"id":12064,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts\/9389\/revisions\/12064"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/media\/9398"}],"wp:attachment":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/media?parent=9389"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/categories?post=9389"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/tags?post=9389"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}