32. Jahrgang : Das IT-Sicherheitskennzeichen auf Wachstums- und Transformationskurs : Rück- und Ausblick auf das Cybersicherheitslabel des BSI
Ob Smartphone, Smart-TV oder E-Mail-Dienst: Immer mehr digitale Produkte und Dienste tragen das IT-Sicherheitskennzeichen des BSI. Seit seiner Einführung Ende 2021 hat sich das freiwillige Label zu einem sichtbaren Zeichen für grundlegende IT-Sicherheitsstandards mit Fokus auf den Verbrauchermarkt entwickelt – und gewinnt zunehmend an Relevanz. Dieser Beitrag gibt einen Überblick über den aktuellen Stand, Entwicklungsperspektiven sowie Chancen, die das IT-Sicherheitskennzeichen vier Jahre nach seiner Markteinführung bietet – für Hersteller, Verbraucherinnen und Verbraucher und den digitalen Binnenmarkt gleichermaßen.
Mehr als 600 gekennzeichnete Produkte und Dienste sowie stetig wachsende Kategorien zeigen: Das Kennzeichen ist im Markt angekommen. Gleichzeitig steht das IT-Sicherheitskennzeichen vor einem bedeutenden Entwicklungsschritt: Die gesetzliche Evaluierung hat konkrete Ansatzpunkte für die Weiterentwicklung geliefert – in Richtung eines flexibleren, mehrstufigen Modells, das nicht nur für Verbraucherprodukte, sondern auch für digitale Dienste, Software und perspektivisch für B2B- und B2G-Anwendungen tragfähig wäre. Ergänzt durch internationale Anerkennungsabkommen, freiwillige Zusatzanforderungen auf Basis der Technischen Richtlinie BSI TR03183 „Cyber-Resilienz-Anforderungen“ [1] und damit erste Anknüpfungspunkte an den kommenden EU-weiten Cyber-Resilience-Act (CRA), gewinnt das Kennzeichen an Spielraum zur Weiterentwicklung und Transformation.
Neue Produktkategorien
Nachdem das IT-Sicherheitskennzeichen in den Jahren 2021 und 2022 zunächst nur in den Produktkategorien „Breitbandrouter“ und „E‑Mail-Dienste“ beantragt werden konnte, stehen Antragstellern heute vier weitere Kategorien zur Verfügung: So wurde beispielsweise 2024 das erste Kennzeichen in der Kategorie „Videokonferenzdienste“ an die Open Talk GmbH übergeben, gefolgt vom Anbieter Zoom. Im Frühjahr 2025 reichte Axis Communications den bis dato umfangreichsten Antrag für 167 Produkte in der Kategorie „Smarte Verbrauchergeräte“ ein. Zuletzt kam im Spätsommer 2025 die „Smarte Sicherheitstechnik“ für das private Smarthome als neueste Produktkategorie dazu.
Das zeigt: Da die Abdeckung des IT-Sicherheitskennzeichens von Produktkategorien im Hardwarebereich bereits hoch ist, gibt es noch viel Raum für die Entwicklung neuer Produktkategorien in den Bereichen digitale Dienste, Software und Apps. Deshalb wird das BSI bei der Entwicklung neuer Produktkategorien künftig den Fokus mehr auf die Erweiterung für digitale Dienste, Software und Apps legen.
Die Evaluierung des Kennzeichens hat potenzielle Bedarfe in den Bereichen Kommunikation und Messaging, Streaming und Unterhaltung, Cloud-Dienste sowie Fitness identifiziert. Damit könnte sich der Nutzen des IT-Sicherheitskennzeichens für Verbraucherinnen und Verbraucher in Zukunft noch weiter erhöhen.
Ausweitung internationaler Anerkennung
In einer globalisierten Wirtschaft sind international anschlussfähige Kennzeichnungssysteme gefragt – Systeme, die sich an etablierten Standards orientieren und Verfahren in anderen Ländern berücksichtigen. Vor diesem Hintergrund hat das BSI zwei gegenseitige Anerkennungsabkommen mit anderen Ländern geschlossen, die nationale Cybersicherheitslabel betreiben.
Zum einen findet das IT-Sicherheitskennzeichen für Produkte in den Kategorien „Smarte Verbrauchergeräte“ und „Breitbandrouter“ in Singapur Anerkennung. Somit können entsprechende Produkte mit dem deutschen IT-Sicherheitskennzeichen des BSI in Singapur ein Cybersecurity Label der singapurischen Cyber Security Agency (CSA) auf Stufe 2 erhalten. Kennzeichen aus Singapur der Stufe 2 oder höher wiederum ermöglichen es Herstellern, ein vereinfachtes Antragsverfahren zur Erteilung des deutschen IT-Sicherheitskennzeichens zu durchlaufen.
Abbildung 1: Nach der Unterzeichnung des gegenseitigen Anerkennungsabkommens für „Smarte Verbrauchergeräte“ auf der IFA im September 2025 Berlin – v.l.n.r.: Friederike Dahns (Bundesministerium des Innern), YoungSun Choi, (Industry Ministry of Science and ICT of Republic of Korea) und SangJung Lee, (KISA)
Zum anderen hat das BSI mit der südkoreanischen Korea Internet & Security Agency (KISA) ein äquivalentes Abkommen für Produkte der Kategorie „Smarte Verbrauchergeräte“ geschlossen (Abb. 1). So kann ein ConsumerIo T-Gerät, das mit dem koreanischen „Certification of IoT Cybersecurity“-(CIC)-Label auf den Stufen „Basic“ oder „Standard“ gekennzeichnet wurde, in Deutschland das vereinfachte Antragsverfahren für die Erteilung des deutschen IT-Sicherheitskennzeichens durchlaufen. Außerdem können verbraucherbezogene IoT-Geräte, die ein deutsches IT-Sicherheitskennzeichen tragen, auf Antrag in Südkorea das CIC-Label der Stufe „Lite“ erhalten. Auf Stufe „Basic“ kann das koreanische Label erteilt werden, sofern wenige zusätzliche Sicherheitsanforderungen erfüllt werden.
Im Frühjahr 2025 fungierte das BSI zudem in enger Zusammenarbeit mit der singapurischen CSA gemeinsam als Gastgeber einer internationalen Labellingkonferenz in Berlin: Expertinnen und Experten aus den Cybersicherheitsbehörden von neun Ländern tauschten sich über nationale Ansätze aus und diskutierten über gemeinsame Wege zur Harmonisierung von IT-Sicherheitskennzeichnungen (Abb. 2).
Abbildung 2: Expertinnen und Experten aus neun internationalen Cybersicherheitsbehörden tagten im Frühjahr 2025 in Berlin
Ziel dieser Initiative ist es, ein international kohärentes System zu schaffen, das sowohl den Anforderungen der Märkte als auch dem Schutz der Verbraucherinnen und Verbraucher gerecht wird. Das BSI wird diesen Dialog auch künftig begleiten. Deutschland hat mit dem IT-Sicherheitskennzeichen ein praxiserprobtes Schema geschaffen, an dem sich andere Länder orientieren können.
Einstiegshilfe in den CRA
Der Cyber-Resilience-Act (CRA) wird EU-weit verbindliche Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen einführen. Demnach werden Hersteller von Produkten mit digitalen Elementen ab 2027 verpWebsite aufrufenflichtet sein, grundlegende Cybersicherheitsanforderungen für angemessene Produktsicherheit und Schwachstellenbehandlung umzusetzen.
Die Anforderungen des IT-Sicherheitskennzeichens in der Produktkategorie „Smarte Verbrauchergeräte“ decken schon heute eine Vielzahl an grundlegenden Produktanforderungen für smarte Verbrauchergeräte ab, die auch im CRA adressiert werden. Hierzu zählen unter anderem der Schutz übermittelter Daten durch angemessene Kryptografie, der Schutz von Geräten und Diensten durch geeignete Kontrollmechanismen, die sichere Durchführung von Updates und die Minimierung von Angriffsflächen.
Zur Unterstützung der Hersteller hat das BSI jetzt freiwillige Zusatzanforderungen auf Basis der Technischen Richtlinie BSI TR-03183 „Cyber-Resilienz-Anforderungen“ [1] in das IT-Sicherheitskennzeichen eingebunden. So wurden in der dreiteiligen Richtlinie, die kontinuierlich aktualisiert und weiterentwickelt wird, Anforderungen an Hersteller und Produkte in Anlehnung an die Anforderungen des CRA zusammengestellt. Die Teile bieten eine Orientierung für die generellen Anforderungen des CRA, zum Thema „Software Bill of Materials“ (SBOM) sowie zum Umgang mit Schwachstellenmeldungen.
Hersteller können ab sofort bei der Beantragung des IT-Sicherheitskennzeichens als freiwillige Zusatzanforderung erklären, dass sie die Anforderungen der BSI TR-03183 erfüllen. Dadurch gibt das Kennzeichen, gemeinsam mit der genannten TR, entlang der Aspekte Risikobewertung, technische Anforderungen, Dokumentation, Herstellerselbstprüfung, Herstellererklärung, Schwachstellenbehandlung und Marktaufsicht eine praxisnahe Einstiegshilfe in den CRA.
Quo vadis?
Die gesetzliche Evaluierung des IT-Sicherheitskennzeichens [2], die im Sommer 2025 veröffentlicht wurde, zeigt einen deutlichen Bedarf an einer Weiterentwicklung über den bisherigen Anwendungsbereich hinaus. Aktuell ist das Kennzeichen auf Produkte für Verbraucherinnen und Verbraucher beschränkt, allerdings verzeichnet das BSI weiteres Interesse in anderen Bereichen: Sowohl im B2B (Business to Business) als auch im B2G (Business to Government) ist die flexiblere und umfassendere Kennzeichnung von Cybersicherheit gefragt. Zahlreiche Anfragen an das BSI belegen diesen Bedarf, konnten bisher jedoch nicht bedient werden, da die bestehende Rechtsgrundlage dies nicht zulässt.
Der CRA führt zunächst keine zusätzliche Kennzeichnung speziell für IT-Sicherheit ein – das bekannte CE-Kennzeichen deckt in Zukunft auch die grundlegenden Cybersecurity-Anforderungen ab. Hersteller, die laut CRA zukünftig in die Default-Kategorie fallen und nur einer Selbsterklärung unterliegen, können mit dem IT-Sicherheitskennzeichen schon jetzt ihre Verpflichtung zur IT-Sicherheit auch optisch herausstellen. Dies gilt ebenso für Produkte wie Software-as-a-Service (SaaS), die nicht durch den CRA erfasst sind.
Weiterentwicklung zum flexiblen mehrstufigen Kennzeichenschema
Die Evaluierung schlussfolgert: Es hätte viele Vorteile, das IT-Sicherheitskennzeichen langfristig zu einem flexiblen, mehrstufigen Modell weiterzuentwickeln. So könnte es sich besser an die Bedürfnisse unterschiedlicher Zielgruppen anpassen lassen – und auch Zielgruppen wie kleine und mittlere Unternehmen sowie staatliche Akteure adressieren. Damit das IT-Sicherheitskennzeichen sein volles Potenzial entfalten kann, ist vor diesem Hintergrund mittelfristig die Anpassung des aktuellen Rechtsrahmens notwendig.
Literatur
[1] Bundesamt für Sicherheit in der Informationstechnik (BSI), Cyber-Resilienz-Anforderungen, Technische Richtlinie BSI TR-03183, Portalseite, August 2025, www.bsi.bund.de/dok/TR-03183
[2] Bundesamt für Sicherheit in der Informationstechnik (BSI), Evaluierungsbericht zum IT-Sicherheitskennzeichen des Bundesamts für Sicherheit in der Informationstechnik (BSI), Evaluierung gemäß § 14 der Verordnung zum IT-Sicherheitskennzeichen des Bundesamts für Sicherheit in der Informationstechnik (BSI-ITSiKV), August 2025, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/IT-Sicherheitskennzeichen/ITSiK_Evaluierungsbericht.pdf