Fragen und Antworten für Verbraucherinnen und Verbraucher zum IT-Sicherheitskennzeichen
![Bild-Dokument für das Frontend Bild-Dokument für das Frontend](/SiteGlobals/Frontend/Images/kopfbereich.png?__blob=normal&v=9)
-
Mit dem IT-Sicherheitskennzeichen erhalten Sie die Möglichkeit, sich über von Herstellern zugesicherte Sicherheitsfunktionalitäten von vernetzten, internetfähigen Geräte und -Diensten zu informieren. Dafür finden Sie das IT-Sicherheitskennzeichen zum Beispiel auf Produktverpackungen digital vernetzter Geräte. Das Etikett des IT-Sicherheitskennzeichens enthält einen Link und einen QR-Code, den Sie einfach scannen können. Darüber gelangen Sie auf die produktspezifische Informationsseite beim BSI. Hier erhalten Sie Informationen über die Laufzeit des Kennzeichens, die Sicherheitseigenschaften des Gerätes und aktuelle Statusinformationen z.B. ob eine Schwachstelle bekannt ist oder ein Update vorliegt.
Das BSI kann das IT-Sicherheitskennzeichen auf Antrag erteilen, nachdem der Hersteller sein Produkt auf Konformität mit den vom BSI vorgegebenen IT-Sicherheitsanforderungen getestet hat. Das BSI prüft die Antragsunterlagen auf Plausibilität und fordert bei Bedarf weitere Nachweise an. Nach positiver Prüfung wird das Kennzeichen erteilt und das Produkt unterliegt ab sofort und für die Dauer der Gültigkeit der BSI Marktaufsicht. Diese kann jederzeit anlasslos oder anlassbezogen prüfen, ob die erforderlichen Eigenschaften eingehalten werden. In letzter Konsequenz kann das Kennzeichen bei Nichteinhaltung der zugesagten IT-Sicherheitseigenschaften vom BSI entzogen werden.
-
Auf einer produktspezifischen Webseite beim BSI werden Informationen zu den zugrundeliegenden Anforderungen, der Laufzeit des Kennzeichens und Informationen zum Produktstatus bereitgestellt, etwa ob Schwachstellen bekannt sind oder Sicherheitsupdates zur Verfügung stehen. Ziel ist es, Verbraucherinnen und Verbraucher damit eine informierte, selbstbestimmte und fundierte Kaufentscheidung zu ermöglichen.
Das BSI stellt mit dem IT-Sicherheitskennzeichen grundsätzliche Kriterien der IT-Sicherheit für vernetzte, internetfähige Geräte und Dienste zur Verfügung. Mit Beantragung des IT-Sicherheitskennzeichens verspricht der Hersteller die Einhaltung dieser Kriterien, welche durch die BSI-Marktaufsicht stichprobenartig oder anlassbezogen gezielt geprüft werden.
-
Ob ein IT-Gerät oder ein Onlinedienst das IT-Sicherheitskennzeichen erhalten hat, erkennen Sie anhand des aufgebrachten Etiketts, das sich zum Beispiel auf der Umverpackung des Produkts, dem Produkt selbst oder auf der Produkt-Webseite des Herstellers befindet. Nach dem Scannen des auf dem IT-Sicherheitskennzeichen befindlichen QR-Codes oder die Eingabe des Kurzlinks erfolgt eine Weiterleitung auf die produktspezifische Informationsseite beim BSI. Dort sind insbesondere die Sicherheitsinformationen zum jeweiligen Produkt abrufbar, die Laufzeit des Kennzeichens und aktuelle Statusinformationen zum Produkt.
-
Nein, das IT-Sicherheitskennzeichen gilt nicht unbegrenzt. Ein Produkt erhält das IT-Sicherheitskennzeichen grundsätzlich für die Dauer, die in der jeweiligen Produktkategorie des BSI definiert ist. Im Normalfall sind das zwei Jahre. Nach Ablauf der festgelegten Dauer erlischt die Gültigkeit des IT-Sicherheitskennzeichens und es darf nicht weiter genutzt werden. Für eine weitere Verwendung durch den Hersteller muss dieser einen Folgeantrag stellen. Das Ablaufdatum für das jeweilige Produkt ist direkt auf der Produktinformationsseite einsehbar.
-
Das IT-Sicherheitskennzeichen wird nach Produktkategorien erteilt, denen unterschiedliche, der Kategorie angemessene, technische Anforderungen zugrunde liegen. Gehören die Produkte zu einer der verfügbaren Produktkategorien, können sie das Kennzeichen erhalten. Es werden aktuell die folgenden Produktkategorien angeboten:
- Breitbandrouter für den privaten Bereich und für Kleinunternehmen. Die Erteilung erfolgt gemäß der BSI TR-03148.
- E-Mail-Dienste, also in der Regel E-Mail-Provider, bei denen Sie ein E-Mail-Postfach einrichten können. Die Erteilung erfolgt gemäß BSI TR-03108.
- . Smarte Verbrauchergeräte, wie sie im zugrundeliegenden europäischen Standard ETSI EN 303 645 beschrieben sind. Die Erteilung basiert auf diesem Standard in Kombination mit ETSI TS 103 701 und BSI TR-03173. Dies sind in der Regel vernetzte Geräte für Endanwenderinnen und -anwender wie zum Beispiel smarte Fernseher, smarte Lautsprecher, smarte Spielzeuge und Smarthome-Produkte.
Weitere marktorientierte Produktkategorien sind in Vorbereitung.
-
Alle gekennzeichneten Produkte unterliegen der BSI-Marktaufsicht. Diese kann jederzeit anlasslos oder bei einem konkreten Hinweis die Einhaltung der Herstellererklärung überprüfen. Werden Abweichungen von der Herstellererklärung oder Schwachstellen bemerkt, kann die BSI Marktaufsicht auf der jeweiligen Produktinformationswebseite darüber informieren. Bei Nichteinhalten der erforderlichen IT-Sicherheitseigenschaften, kann das BSI in letzter Konsequenz das Kennzeichen des betreffenden Produkts entziehen. Auch darüber wird auf der Produktinformationsseite informiert.
-
Bei Produkten, die das IT-Sicherheitskennzeichen tragen, hat der Hersteller zugesichert, dass diese im Auslieferungszustand bestimmte IT-Sicherheitsfunktionalitäten aufweisen. Absolute Sicherheit kann jedoch niemand garantieren. Unter Umständen können die Geräte also dennoch, etwa durch Kriminelle, angegriffen werden. In diesem Fall unterstützt das IT-Sicherheitskennzeichen, da der Hersteller sich bei dessen Verwendung dazu verpflichtet, über aufgetretene Sicherheitslücken zu informieren und diese ohne Verzögerung zu beheben. Außerdem liegt es auch in der Hand der Verbraucherinnen und Verbraucher, beispielsweise vom Hersteller angebotene Updates immer kurz nach Erscheinen zu installieren, da diese oftmals Sicherheitslücken schließen. Daher empfiehlt das BSI, den automatischen Updatemechanismus von Produkten zu aktivieren. Updates werden dann gleich installiert, sobald sie verfügbar werden. Die Funktion finden Sie meist in den Einstellungen des jeweiligen Produkts.
-
Mit dem Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, dem sogenannten IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0), erhielt das BSI 2021 den Auftrag, ein freiwilliges Sicherheitskennzeichen für Informationstechnik einzuführen. Hierzu wurde das BSI-Gesetz (BSIG), welches unter anderem die Aufgaben und Zuständigkeiten des BSI regelt, um den neuen § 9c BSIG ergänzt. Details zum IT-Sicherheitskennzeichen, insbesondere zum Antragsverfahren, regelt eine konkretisierende Rechtsverordnung (BSI-ITSiKV).
-
Um das IT-Sicherheitskennzeichen zu erhalten, müssen Hersteller zuerst ihr Produkt auf Konformität mit den vom BSI aufgestellten IT-Sicherheitsanforderungen prüfen. Dann können sie einen Antrag beim BSI stellen und erklären, dass ihr Gerät oder Dienst diesen technischen Standards entspricht.
Das IT-Sicherheitskennzeichen wird in Kategorien erteilt, denen unterschiedliche Anforderungen zugrunde liegen. Das können laut Gesetz Technische Richtlinien des BSI (wie z.B. für die Kategorie Breitbandrouter), internationale Normen (wie z.B. für die Kategorie Smarte Verbrauchergeräte) oder auch anerkannte Branchenstandards sein.Der Hersteller verpflichtet sich mit Antragstellung, Schwachstellen zu melden, ohne Verzögerung zu beheben und entsprechende Updates zur Verfügung zu stellen.
Im Rahmen der Beantragung prüft das BSI die eingereichten Unterlagen und fordert ggf. weitere Nachweise an, um die Einhaltung der IT-Sicherheitseigenschaften bewerten zu können. Bei positiver Bewertung wird das Kennzeichen erteilt.
Das gekennzeichnete Produkt unterliegt ab diesem Zeitpunkt der BSI-Marktaufsicht, und zwar für die gesamte Dauer, die das Kennzeichen gültig ist. Die Marktaufsicht kann jederzeit Produkte auf Konformität testen. So wird sichergestellt, dass die IT-Sicherheitseigenschaften nicht nur bei Antragstellung bzw. bei der einmaligen Prüfung, sondern für die gesamte Laufzeit eingehalten werden.
-
Das IT-Sicherheitskennzeichen ist freiwillig. Es gibt also keine Verpflichtung für Hersteller, einen entsprechenden Antrag beim BSI zu stellen. Nach aktueller EU-Gesetzgebung ist ein verpflichtendes nationales Kennzeichen nicht möglich. IT-Sicherheit sollte jedoch ein starkes Kaufargument für Verbraucherinnen und Verbraucher sein. Das IT-Sicherheitskennzeichen ist somit eine Gelegenheit für Hersteller und Diensteanbieter, Vertrauen in ihre Produkte zu schaffen und Verbraucherinnen und Verbrauchern Orientierung zu bieten.
-
Mit dem im Juni 2019 in Kraft getretenen Cybersecurity Act (CSA) existiert in der EU ein Zertifizierungsrahmenwerk, das grundsätzlich auch die Möglichkeit einer Kennzeichnung für den gesamteuropäischen digitalen Binnenmarkt eröffnet. Derzeit gibt es jedoch kein einheitliches IT-Sicherheitskennzeichen auf EU-Ebene.
Mit dem für etwa 2025/26 geplanten EU Cyber Resilience Act (CRA) sollen grundlegende IT-Sicherheitsanforderungen für IT-Geräte verpflichtend werden. Derzeit ist eine Art Selbsterklärung für Hersteller geplant.
Das IT-Sicherheitskennzeichen bietet also auch über europäische Anforderungen hinaus ein großes Plus an Informationen für Verbraucherinnen und Verbraucher dank der produktspezifischen Informationsseite und den dort enthaltenen Statusmeldungen.
-
Das BSI als die Cybersicherheitsbehörde des Bundes informiert Bürgerinnen und Bürger auf unterschiedlichen Kanälen wie etwa seiner Webseite, im Podcast ‚Update verfügbar‘, im Newsletter ,Sicher informiert‘ sowie auf seinen Social-Media-Kanälen bei Facebook, YouTube, LinkedIn, Instagram, X und Mastodon über wichtige Empfehlungen, Neuigkeiten und Warnungen aus der Welt der Cybersicherheit.
Auf den produktspezifischen Unterseiten des IT-Sicherheitskennzeichens finden Sie zudem allgemeine „Tipps und Tricks“ zum Thema Cybersicherheit.
-
Über den QR-Code und Kurzlink werden Sie zur individuellen Produktinformationsseite des gekennzeichneten Produktes geführt. Beim BSI ist für jedes Produkt mit einem IT-Sicherheitskennzeichen eine solche Webseite hinterlegt. Diese enthält:
- Produktname,
- Name des Herstellers oder des Anbieters,
- Bilder des gekennzeichneten Produkts sowie
- das dazugehörige IT-Sicherheitskennzeichen,
- dessen Laufzeit
- und die zugrundeliegenden Sicherheitsanforderungen.
Ein wichtiger Bestandteil ist die dynamische Sicherheitsinformation, die Auskunft darüber gibt, ob
- dem BSI aktuell Sicherheitslücken für dieses Produkt bekannt sind,
- dafür Updates zur Verfügung gestellt werden,
- das Kennzeichen abgelaufen ist oder
- es zurückgezogen wurde.
-
Ja, nutzen Sie hierfür das Meldeformular für Schwachstellen.
-
Die Produktinformationsseite des IT-Sicherheitskennzeichens besitzt eine Statusanzeige mit aktuellen Sicherheitsinformationen zum Produkt.
Sie zeigt an, ob dem BSI für das entsprechende Produkt sicherheitsrelevante Schwachstellen bekannt und für diese Updates verfügbar sind, durch welche die Schwachstellen geschlossen werden. Wenn ein Sicherheitsupdate zur Verfügung steht, erkennen Sie dies am grünen Update-Symbol.
Sie gelangen zur Produktinformationsseite Ihres Produktes, indem Sie entweder den QR-Code auf dem IT-Sicherheitskennzeichen einscannen, den abgedruckten Kurzlink in Ihren Browser eingeben oder im Verzeichnis der erteilten IT-Sicherheitskennzeichen nach Ihrem Produkt suchen.
-
Die Produktinformationsseite des IT-Sicherheitskennzeichens besitzt eine Statusanzeige mit aktuellen Sicherheitsinformationen zum Produkt. Diese Statusanzeige zeigt an, ob das Produkt sicherheitsrelevante Schwachstellen besitzt, die dem BSI bekannt sind.
Erkennbar ist dies entweder am gelben Hinweis-Symbol oder an einem grünen Update-Symbol, sofern der Anbieter dafür bereits ein Update zur Verfügung stellt.
Sie gelangen zur Produktinformationsseite Ihres Produktes, indem Sie entweder den QR-Code auf dem IT-Sicherheitskennzeichen mit Ihrem Smartphone scannen, den abgedruckten Kurzlink in Ihren Browser eingeben oder hier nach Ihrem Gerät suchen.
Darüber hinaus informiert das BSI auch allgemein, z.B. auf seiner Startseite, über ihm bekannt gewordene Schwachstellen, unabhängig vom IT-Sicherheitskennzeichen.
-
Fälschungen bei Kennzeichen können vorkommen. Korrekte IT-Sicherheitskennzeichen können Sie jedoch leicht hieran erkennen:
- Beim Scannen des auf dem Etikett aufgebrachten QR-Codes oder beim Aufrufen des Kurzlinks werden Sie auf die jeweilige Produktinformationsseite auf der Website des BSI weitergeleitet. Die Zieladresse im Browser startet immer mit https://www.bsi.bund.de/ .
- Der Kurzlink auf dem IT-Sicherheitskennzeichen lautet immer https://bsi.bund.de/dok/sik-xxxxx oder https://bsi.bund.de/it-sik/xxxxx. XXXXX steht dabei für die individuelle mindestens 5-stellige Kennzeichennummer.
- Alle korrekt erteilten Kennzeichen und Produkte finden Sie in unserem Verzeichnis.
Zusammengefasst: Das IT-Sicherheitskennzeichen ist gefälscht, wenn QR-Code oder Kurzlink nicht zu einer Webseite innerhalb des BSI-Webauftritts führen und wenn es nicht in unserem Verzeichnis zu finden ist.
-
Das IT-Sicherheitskennzeichen ist eine Kennzeichnung, kein Zertifikat. Eine Produktzertifizierung bestätigt, dass eine konkrete Produktversion bestimmte Sicherheitseigenschaften erfüllt. Dies wird im Rahmen der Erlangung des Zertifikats durch eine unabhängige Stelle geprüft. Eine Zertifizierung spiegelt in der Regel eine geprüfte Konformität zu einem Tag X wider.
Das IT-Sicherheitskennzeichen ist eine Produktkennzeichnung. Der Hersteller hat dabei sein Gerät oder Dienst anhand von Sicherheitsvorgaben, die das BSI vorgibt, selbst geprüft. Das BSI prüft im Antragsverfahren insbesondere Angaben des Herstellers zum Vorgehen bei der Eigenprüfung und einige technische Angaben auf Plausibilität und Nachvollziehbarkeit. Dabei erfolgt zunächst keine technische Prüfung durch das BSI. Nach der Erteilung unterliegt das Produkt der BSI-Marktaufsicht, und zwar für die gesamte Dauer, die das Kennzeichen gültig ist. Die Marktaufsicht prüft anlasslos stichprobenartig und anlassbezogen, z.B. bei Bekanntwerden von Schwachstellen, ob die Anforderungen über die Laufzeit erfüllt werden. Der Hersteller hat sich mit dem Kennzeichen bereiterklärt, die Sicherheitseigenschaften für die gesamte Dauer der Gültigkeit aufrecht zu erhalten, z.B. mittels Updates.