Freiwilliges IT-Sicherheitskennzeichen des BSI

Gemäß dem IT-SiG 2.0 führt das BSI ein freiwilliges Sicherheitskennzeichen für Informationstechnik
ein (§ 9c BSIG). Als erstes sind Router und E-Mail-Dienste dran. Deren Anbieter sollen mit dem BSI-Kennzeichen Vertrauen in ihre Produkte schaffen und VerbraucherInnen Orientierung bieten können.

Anbieter müssen sich verpflichten, bestimmte technische Vorgaben einzuhalten. Maßstab sind etwa technische Richtlinien des BSI. Für die Freigabe erfolgt keine technische, sondern nur eine Plausibilitätsprüfung. Datenschutz ist ausdrücklich NICHT umfasst. Die Verwaltungsgebühr muss allerdings beglichen sein.

Das BSI bietet dann zusammenfassende Informationen zum Produkt und kann Stichproben durchführen oder anlassbezogen prüfen. Das Kennzeichen gilt im Normalfall für 2 Jahre. Das Etikett des IT-Sicherheitskennzeichens ist auf der Verpackung anzubringen (§ 9c Abs. 6 BSIG), sofern möglich, kann aber auch elektronisch veröffentlicht werden. Ein Pendant auf EU-Ebene gibt es noch nicht.

Für Sicherheit soll demnach eine plausibilisierte Selbstverpflichtung sorgen, die wichtige Aspekte ausblendet, nur national wirkt, aber verwendet werden muss? Geht es halbherziger?