BSI und internationale Kooperationspartner fordern sichere IT-Produkte

Das BSI warnt: Qualitätsmängel in Soft- und Hardware-Produkten vergrößern Angriffsfläche für Cyber-Kriminelle

[datensicherheit.de, 13.04.2023] Laut einer aktuellen Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vergrößern Qualitätsmängel in Soft- und Hardware-Produkten die Angriffsfläche für Cyber-Kriminelle und gefährden damit ganze IT-Infrastrukturen. Das BSI appelliert daher an die Hersteller von IT-Produkten, Sicherheitsaspekte bereits bei der Entwicklung stärker zu berücksichtigen und die Geräte in einer sicheren Konfiguration auszuliefern. Gemeinsam mit seinen Partnerbehörden in den USA (CISA), Kanada (CCCS), Großbritannien (NCSC UK), den Niederlanden (NCSC NL), Australien (ACSC) und Neuseeland (CERT-NZ) hat das BSI daher am 13. April 2023 Empfehlungen an IT-Hersteller veröffentlicht, die Grundsätze „security-by-design“ und „security-by-default“ stärker in ihre Produktentwicklung zu implementieren, und gibt Hinweise zur Umsetzung.

BSI fordert Hersteller auf, IT-Sicherheit von Anfang mitzudenken

„Sichere Soft- und Hardware bilden die Grundlage für den sicheren Einsatz von IT-Produkten in Staat, Wirtschaft und Gesellschaft“, betont Dr. Gerhard Schabhüser, Vizepräsident des BSI. Das BSI fordert daher die Hersteller auf, „IT-Sicherheit von Anfang mitzudenken und es den Anwenderinnen und Anwendern durch eine sichere Vorkonfiguration es so einfach wie möglich zu machen, ihre Produkte sicher zu nutzen“.

Die neue Handreichung richtet sich laut BSI an Hersteller von IT-Produkten und zeigt anhand konkreter Beispiele auf, „wie wichtig ein hoher Stellenwert der IT-Sicherheit bei der Entwicklung und Auslieferung der Produkte ist“. So seien wiederholt Krankenhäuser, Kommunen und zahlreiche Unternehmen Opfer von erfolgreichen Cyber-Angriffen auf IT-Produkte mit Schwachstellen geworden. Die Folgen bekämen Bürger oft unmittelbar zu spüren – „wenn Operationen verschoben werden müssen oder kommunale Dienstleistungen nicht mehr angeboten werden können“.

IT-Sicherheitskennzeichen des BSI soll Orientierung bieten

Daneben fordern die o.g. Cyber-Sicherheitsbehörden auch, dass die sicherheitsrelevanten Produkteigenschaften für Verbraucher erkennbar und verständlich sein sollen. In Deutschland stehe dazu das IT-Sicherheitskennzeichen des BSI zur Verfügung, welches entsprechende Orientierung biete. Mit dem „Cyber-Resilience-Act“ stelle zudem auch die Europäische Union (EU) die Cyber-Sicherheit von IT-Produkten über ihren gesamten Lebenszyklus in den Mittelpunkt der aktuellen Gesetzgebung.

Die gemeinsame internationale Veröffentlichung verdeutlicht aus Sicht des BSI, „dass Fragen der IT- Sicherheit nur im Verbund mit gleichgesinnten internationalen Partnern gelöst werden können“. Sie unterstreiche zudem die Bedeutung des Themas und den „dringenden Handlungsbedarf“.

Weitere Informationen zum Thema:

Cybersecurity and Infrastructure Security Agency NSA | FBI | ACSC | NCSC-UK | CCCS | BSI | NCSC-NL | CERT NZ | NCSC-NZ, 13.04.2023
Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default

Bundesamt für Sicherheit in der Informationstechnik
Transparente Sicherheit durch das IT-Sicherheitskennzeichen