In den USA startet mit dem "U.S. Cyber Trust Mark" ein Anlauf zur Einführung eines freiwilligen IT-Sicherheitskennzeichens. Verbraucher sollen daran erkennen können, dass internetverbundene "smarte" Geräte sicher sind.
Anzeige
Das erinnert an das seit 2022 verfügbare IT-Sicherheitskennzeichen des Bundesamts für Sicherheit in der Informationstechnik (BSI). Mit Inkrafttreten des Cyber Resiliance Acts (CRA) in der EU wird jedoch im hiesigen Wirtschaftsraum ein Mindestmaß an Cybersicherheit Pflicht, das US-Label bleibt hingegen zumindest vorerst freiwillig. Während für das ebenfalls freiwillige BSI-Zertifikat Unternehmen lediglich Antragsformulare ausfüllen müssen, über die das BSI eine Plausibilitätsprüfung vornimmt, sieht der "U.S. Cyber Trust Mark" eine Prüfung der Geräte vor.
Das Weiße Haus teilt mit, dass insgesamt elf Unternehmen derartige Prüfungen vornehmen dürfen: CSA America Testing & Certification, LLC; CTIA Certification LLC; DEKRA Certification Inc.; Intertek Testing Services NA, Inc; ioXt Alliance; Palindrome Technologies; SGS North America Inc; Telecommunications Industry Association; TÜV Rheinland of N.A.; TÜV SÜD America sowie UL LLC. Letztere Firma, auch als UL Solutions bekannt, hat dabei die administrative Führungsrolle (Lead Administrator) für das "U.S. Cyber Trust Mark".
Das "U.S. Cyber Trust Mark" hat ein Logo, das Hersteller für erfolgreich getestete Geräte nutzen können.
Die Federal Communications Commission (FCC) hat eine eigene Webseite für das "U.S. Cyber Trust Mark" eingerichtet. Dort sind die verfügbaren Informationen versammelt. Logos gibt es in unterschiedlichen Ausführungen auf einer weiteren Webseite.
Das Programm soll der Zertifizierung der IT-Sicherheit von IoT-Geräten dienen, hier stehen insbesondere drahtlose Geräte im Fokus: internetverbundene Sicherheitskameras, stimmaktivierte Shopping-Geräte, smarte Appliances, Fitness-Tracker, Garagentoröffner und Babymonitore zählt die FCC beispielhaft auf. Medizinische und kabelgebundene Geräte fallen explizit nicht in den Rahmen des Cyber-Trust-Mark-Programms, ebenso wenig Produkte für Herstellung und industrielle oder Enterprise-Nutzung sowie IoT-Produkte, die auf Listen, die die nationale Sicherheit betreffen, stehen.
Auf zertifizierten Geräten findet sich neben dem Cyber-Trust-Mark-Logo ein QR-Code, der zu weiteren Informationen führt. Etwa, wie lange das Produkt Support erhält, und ob Software-Patches und Sicherheitsupdates automatisch installiert werden und wie Kunden an diese herankommen. Außerdem sollen dadurch Anleitungen zur Änderung von Standard-Passwörtern und der sicheren Gerätekonfiguration zu finden sein.
Die FCC will zudem mit anderen US-Bundesbehörden an einer internationalen Anerkennung des Labels arbeiten sowie die gegenseitige Anerkennung von internationalen Labels – wie dem IT-Sicherheitskennzeichen des BSI – vorantreiben.
(
Kommentare