Fast genau zwei Jahre ist es her, da tauchte das Thema zum ersten Mal offiziell in einem politischen Papier auf: Im Rahmen ihrer im November 2016 vorgestellten „Cybersicherheits-Strategie für Deutschland“ stellte die Bundesregierung ihre Pläne für ein neues Sicherheits-Gütesiegel für IT-Produkte vor. Dieses Siegel sollte es Anwendern erleichtern, „bei der Kaufentscheidung für neue IT-Produkte […] leicht und schnell fest[zu]stellen […], welches Angebot sicher ausgestaltet ist und hierdurch zum Schutz der Daten beiträgt“.
Vergangenen Freitag hat das BSI nach zwei Jahren intensiver Zusammenarbeit mit Herstellern, Verbraucherschützern und Netzbetreibern die erste Grundlage für dieses neue Gütesiegel in Bonn vorgestellt: die Technische Richtlinie für Breitband-Router (BSI TR-03148).
Wichtiger Baustein für mehr IT-Sicherheit
Um die Bedeutung der „TR“ zu unterstreichen, waren neben BSI-Präsident Arne Schönbohm auch hochrangige Vertreter aus dem Bundesinnen- und Bundeswirtschaftsministerium angereist, um die Richtlinie vorzustellen. Sie alle betonten, wie wichtig Technische Richtlinien und ein entsprechendes Siegel für mehr Sicherheit im Netz wären. Wer allerdings gehofft hatte, dass mit der TR auch gleich das sowohl in der Cyber-Sicherheitsstrategie von 2016 als auch im Koalitionsvertrag von 2018 angekündigte Siegel vorgestellt würde, muss sich noch gedulden. Offenbar müssen vor dessen Einführung erst noch die rechtlichen Rahmenbedingungen angepasst werden.
Die Verantwortlichen beim BSI rechnen daher damit, dass Hersteller ihre Produkte erst gegen Ende 2019 mit dem neuen IT-Sicherheits-Gütesiegel werden versehen können. Dann soll es Anwendern dabei helfen, das Sicherheitsniveau eines Produktes tatsächlich beurteilen zu können. Außerdem hofft man, dass mit dem freiwilligen Gütesiegel ein gewisser Druck auf diejenigen Hersteller ausgeübt wird, für die das Label aufgrund mangelnder Sicherheit in weiter Ferne ist. Durch mehr Transparenz für die Verbraucher sollen sie animiert werden, zukünftig doch mehr in die Sicherheitseigenschaften ihrer Produkte zu investieren. Schließlich ist der deutsche Markt beileibe kein kleiner.
Herstellerselbsterklärung
Unabhängig davon können wir als Hersteller per sofort die Konformität mit der Technischen Richtlinie erklären. Ein Siegel gibt es dafür zwar nicht – der Verbraucher profitiert aber dennoch von einem gehörigen Mehr an Transparenz. Die Konformitätserklärung erfolgt in Eigenregie durch den Hersteller. Ganz so, wie wir es beispielsweise vom CE-Kennzeichen her kennen.
Unabhängig davon können wir als Hersteller per sofort die Konformität mit der Technischen Richtlinie erklären. Ein Siegel gibt es dafür zwar nicht – der Verbraucher profitiert aber dennoch von einem gehörigen Mehr an Transparenz. Die Konformitätserklärung erfolgt in Eigenregie durch den Hersteller.
Dies wird sich auch mit der Einführung des Gütesiegels nicht ändern. Denn dieser Weg wurde bewusst gewählt, um in möglichst kurzer Zeit möglichst viele Produkte gegen die Kriterien testen zu können, ohne im Flaschenhals der Zertifizierungsstellen stecken zu bleiben. Die Grundlage für die Bewertung bildet stets eine Technische Richtlinie, wie sie nun erstmals für die Breitband-Router präsentiert wurde.
Technische Richtlinie für Breitband-Router als Blaupause
Die TR Router wieder dient nur als Blaupause für andere internetfähige Produkte. Unter dem Eindruck wiederholter, breit angelegter Cyber-Attacken auf Internet-Router (Stichwort: Botnetze) – und nicht zuletzt dem dadurch entstandenen öffentlichen Druck – boten sich die Geräte aus Sicht der Politik als „Pilotkunde“ für die Technische Richtlinie geradezu an.
Der nächste Bereich, für den eine Technische Richtlinie kommen soll, sind „Smart Home“ Produkte. Dass hier eine Kennzeichnung dringend erforderlich ist, darin sind sich Experten einig. Denn bis heute ist es so, dass tonnenweise höchst unsicherer Smart Home-Produkte über Aktionsangebote im Handel oder Plattformen im Internet direkt aus China in unsere Häuser gelangen und dort ein immenses Cybersicherheitsrisiko darstellen. Eine Chance für die Nutzer, sichere von unsicheren Produkten zu unterscheiden? Bislang Fehlanzeige.
Gütesiegel & Zertifizierungen gehen Hand in Hand
Ziehen Verbraucher und Hersteller mit, haben die Technischen Richtlinien und das zukünftige Gütesiegel tatsächlich das Potential, die Spreu vom Weizen zu trennen und nach und nach in immer mehr Bereichen für ein höheres IT-Sicherheitsniveau zu sorgen. Allerdings zielen beide auf internetfähige Produkte ab, wie sie im Privathaushalt, im Home-Office oder in kleineren Firmen und Gewerben zum Einsatz kommen. Die Schicht darüber – die Wirtschaft – steht nicht im Fokus.
Doch auch hier tut sich was. Derzeit sammelt das BSI im Rahmen eines Pilotverfahrens Erfahrung mit einem weiteren, neuen Sicherheitskennzeichen. Die „Beschleunigte Sicherheitszertifizierung“ – kurz BSZ – hat zum Ziel, B2B-Lösungen auszuzeichnen, die ein sehr hohes Sicherheitsniveau aufweisen. Sie orientiert sich an den bewährten Common Criteria, visiert aber eine deutlich schnellere, praxistauglichere Zertifizierung an. Falls alles nach Plan läuft, könnten die ersten zertifizierten Produkte ebenfalls 2019 verfügbar sein.
Teil des EU Cybersecurity Act
Übrigens setzt die deutsche Politik sowohl mit dem Gütesiegel als auch mit der BSZ einen wesentlichen Baustein des kommenden EU Cybersecurity Acts um. Dieser sieht vor, dass ab 2019 in ganz Europa ein einheitlicher Rahmen für IT-Sicherheitszertifizierungen gelten soll, der es Verbrauchern wie Wirtschaft ermöglicht, das tatsächliche Sicherheitsniveau internetfähiger Produkte und Dienste tatsächlich zu beurteilen und eine fundierte Kauf- und Investitionsentscheidung zu fällen.
Alles in allem sind die Technischen Richtlinien und perspektivisch das Sicherheitssiegel sowie die Zertifikate ein guter, erster Schritt zu mehr Cybersicherheit. Was wir außerdem noch brauchen, sind verpflichtende IT-Sicherheits-Mindeststandards für alle internetfähigen Geräte sowie eine gesetzliche Pflicht für Hersteller, bekannte Sicherheitslücken über Updates zu schließen. Kämen diese auch noch, hätten wir sehr, sehr viel geschafft.
Lancom-Router sind TR-konform
Die Technische Richtlinie für Breitband-Router steht übrigens trotz der jetzigen Veröffentlichung noch ganz am Anfang. Sie wird kontinuierlich weiterentwickelt, um neue Trends und die schnellen Innovationszyklen in der Branche abzubilden.
Dennoch war es uns natürlich auch jetzt schon wichtig, festzustellen, ob LANCOM Router den Lackmustest gegen die TR bestehen. Dies ist nach eingehender Prüfung für alle aktuellen Router-Modelle der Fall. Einzige Voraussetzung: Sie nutzen LCOS 10.20 oder höher.
PS: In vielen Bereichen gehen wir mit unseren Sicherheitsfunktionen weit über die Vorgaben der TR hinaus, die eher grundlegende Anforderungen definiert. Dazu zählen beispielsweise unsere sehr weitgehende Update-Politik, besonders sichere Verfahren beim Aufbau von VPN-Verbindungen oder auch die neueste WLAN-Verschlüsselung WPA3.
#Netzpalaver #Lancom
