In een technische richtlijn voor breedbandrouters heeft het BSI reeds de minimale IT-beveiligingsmaatregelen vastgelegd die voor routers in de eindgebruikerssector moeten worden getroffen. Nu is daar ook een testspecificatie voor, op basis waarvan fabrikanten en testcentra in detail kunnen controleren of breedbandrouters aan de eisen voldoen.
Om de consument beter te beschermen, heeft het Bundesamt für Information Security (BSI) eind 2018 de Technical Guideline (TR) “TR-03148 Secure Broadband Routers” gepubliceerd. Voor fabrikanten van breedbandrouters zijn de richtsnoeren bedoeld om een minimumniveau van verplichte en optionele IT-beveiligingsmaatregelen vast te stellen. De bijbehorende testspecificaties die nu zijn gepubliceerd, zijn bedoeld om nog meer transparantie te creëren en zullen ook worden opgenomen in de conceptie van het IT-beveiligingslabel in het kader van de IT Security Act 2.0.
De toegangspoort tot het internet
Smartphones, spelconsoles, printers, smart-tv’s, smart home-apparaten en thuiskantoren worden met elkaar verbonden met een router als centraal knooppunt van het netwerk. De router is dus de toegangspoort tot het internet, die beschermd moet worden.
De testspecificatie van het BSI is tot stand gekomen in een samenwerkingsproces in samenwerking met fabrikanten, telecommunicatieaanbieders, verenigingen en testcentra, alsmede vertegenwoordigers van de overheid en het maatschappelijk middenveld. Deutsche Telekom Security als testinstantie en de fabrikanten Huawei, Lancom en Sphairon (een Zyxel-onderneming) hebben de bruikbaarheid in het kader van proof-of-concepts bewezen.
Het IT-beveiligingsmerk
Dit betekent dat fabrikanten nu de mogelijkheid hebben om te controleren of hun producten voldoen aan de eisen van de technische richtsnoeren en om, in combinatie met een verklaring van de fabrikant, het door het BSI geplande IT-beveiligingsmerk te gebruiken. Het keurmerk wordt ontwikkeld als onderdeel van de uitvoering van de cyberveiligheidsstrategie van de Duitse regering om consumenten in staat te stellen in de toekomst de cyberveiligheid van IT-producten en -diensten te beoordelen.
Fabrikanten die belangstelling hebben voor certificering van hun producten, kunnen een desbetreffende aanvraag bij het BSI indienen. Met het oog op de beoordeling van de bekwaamheden door het BSI worden testcentra en leveranciers van IT-beveiligingsdiensten ook aangemoedigd om hun werknemers te laten erkennen als TR-examinatoren.