Handlungsbedarf.

Es stellt sich die Frage, ob das Thema IT-Sicherheit überhaupt ohne gesetzlichen Zwang (etwa durch ein Äquivalent zur CE-Kennzeichnung) in den Griff zu bekommen ist. IT-Sicherheit ist vor allem erst einmal ein Kostenfaktor ohne offensichtlichen Nutzen, sie wird immer im Hintergrund bleiben, da kann man noch so viele Appelle an Hersteller und Nutzer richten. Da sollte die Politik auch mal den Mumm haben sich über Bedenkenträger die "Innovationsbremse" und "Regulierungswut" schreien hinwegzusetzen.

Wenn sich nämlich erst einmal kriminelle Strukturen gebildet haben, die den nachlässigen Status quo ausnutzen, dann ist es zu spät.

Ein Siegel bringt nichts. Es stellt nur den aktuellen Status fest. Schon morgen kann was heute sicher galt eine gefährliche Lücke sein.

Es wird zu einer Minimalschwelle, man arbeitet auf das Ziel "Sicherheitssiegel" hin und macht nicht mehr. Warum mehr Aufwand investieren, wenn die Anforderungen bereits erfüllt sind.

Es wird zum Sicherheitsrisiko. Fallen die Vorgaben in deutscher Gründlichkeit zu detailliert aus, dürfen neuere und bessere Standards nicht genutzt werden. Solange das Siegel die neuen Standards nicht enthält müssen dürfen nur die alten unsicheren Verfahren verwendet werden. Hier können durch die Hintertür auch unsichere Verfahren im Interesse der 3Buchstaben-Dienste durchgedrückt werden.

Als Beispiel, DE-Mail wird zur Kommunikation als einziges sicheres Verfahren zum Nachrichtenaustausch eingestuft. Wer das Siegel möchte muss zukünftig DE-Mail verwenden.

Aufwand und Kosten für den regelmäßigen Sicherheitstüv für das Siegel können unter Umständen nur große Unternehmen stemmen. So wird der Betrieb eines Internetshops und Internetportale für kleine Firmen und Einzelkämpfer erheblich erschwert.