BSI und Internationale Cyber-Sicherheitsbehörden fordern sicherere IT-Produkte
von Tina Siering
Bildquelle: cisa.gov
Sichere IT-Produkte: BSI veröffentlicht Leitfaden für IT-Hersteller
Qualitätsmängel in Soft- und Hardware-Produkten gefährden IT-Infrastrukturen und eröffnen Cyberkriminellen immer neue und immer mehr Angriffsmöglichkeiten. Das BSI appelliert daher an IT-Hersteller, Sicherheitsaspekte bereits bei der Entwicklung stärker zu berücksichtigen und Geräte sicher zu konfigurieren:
Gemeinsam mit internationalen Partnerbehörden in den USA (CISA), Kanada (CCCS), Großbritannien (NCSC UK), den Niederlanden (NCSC NL), Australien (ACSC) und Neuseeland (CERT-NZ) hat das BSI Empfehlungen in Form eines Leitfadens an IT-Hersteller veröffentlicht, um die Prinzipien "security-by-design" und "security-by-default" stärker in der Produktentwicklung zu verankern.
Zusätzlich zu den Tipps zur Umsetzung und technischen Empfehlungen zur Standardisierung werden mehrere Grundprinzipien dargelegt, die den Softwareherstellern helfen sollen, die Softwaresicherheit in ihre Designprozesse einzubauen, bevor sie ihre Produkte entwickeln, konfigurieren und ausliefern.
Dr. Gerhard Schabhüser, Vizepräsident des BSI, betont die Bedeutung sicherer Soft- und Hardware für den Einsatz in Staat, Wirtschaft und Gesellschaft. Die Handreichung zeigt anhand konkreter Beispiele den hohen Stellenwert von IT-Sicherheit bei der Entwicklung und Auslieferung von Produkten. Krankenhäuser, Kommunen und Unternehmen wurden wiederholt Opfer erfolgreicher Cyberangriffe auf verwundbare IT-Produkte, was sich unmittelbar negativ vor allem auf die Bürgerinnen und Bürger auswirkte, wenn bspw. Krankenhäuser Operationen absagen mussten oder kommunale Dienstleistungen auf einmal nicht mehr angeboten werden konnten. Das BSI fordert die Hersteller explizit auf, IT-Sicherheit von Anfang mitzudenken und es Anwendern durch eine sichere Vorkonfiguration so einfach wie möglich zu machen, Produkte sicher zu nutzen.
Sicherere Produkteigenschaften für Verbraucherinnen und Verbraucher
Die Cyber-Sicherheitsbehörden fordern zudem, dass sicherheitsrelevante Produkteigenschaften für Verbraucherinnen und Verbraucher erkennbar und verständlich sein sollten.
In Deutschland steht das IT-Sicherheitskennzeichen des BSI zur Orientierung zur Verfügung. Die Europäische Union setzt mit dem Cyber-Resilience-Act (CRA) die Cyber-Sicherheit von IT-Produkten entlang ihres gesamten Lebenszyklus in den Fokus der Gesetzgebung. Ziel: Die Cybersicherheit von Produkten, die miteinander oder mit dem Internet verbunden werden können, nachhaltig zu verbessern. Die Vorgaben des Cyber-Resilience-Act betreffen alle Unternehmen, die Produkte mit digitalen Elementen herstellen. Darüber hinaus bestehen Pflichten für Händler und Importeure, es gibt keine größenabhängigen Ausnahmen.
Die jetzt neue, gemeinsame internationale Veröffentlichung des BSI unterstreicht die Notwendigkeit der Zusammenarbeit mit Partnern und den dringenden Handlungsbedarf im Bereich IT-Sicherheit. Der gemeinsame Leitfaden soll dazu eine internationale Diskussion über die wichtigsten Prioritäten, Investitionen und Entscheidungen anregen, die erforderlich sind, um künftig IT-Produkte zu entwickeln, bei denen die Technologien sicher, geschützt und widerstandsfähig sind - und zwar sowohl im Design als auch in der Standardausführung.
Hier geht es zum Leitfaden: https://www.cisa.gov/sites/default/files/2023-04/principles_approaches_for_security-by-design-default_508_0.pdf