Security
13.08.2020, 08:01 Uhr
13.08.2020, 08:01 Uhr
Bundesnetzagentur veröffentlicht Sicherheitskatalog für Telekommunikationsnetze
Damit Telekommunikationsnetze ausfallsicher und vor Angriffen geschützt sind, hat die Bundesnetzagentur einen Katalog an Sicherheitsanforderungen als Entwurf vorgelegt. Beim Branchenverband Eco trifft das Papier auf Zustimmung.
Die Bundesnetzagentur hat den aktuellen Entwurf des Kataloges von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten veröffentlicht. Der Katalog wurde gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit erstellt. Zugleich startet die Bundesnetzagentur eine Konsultation zum Entwurf einer Liste kritischer Funktionen.
Sicherheitsanforderungen an Betreiber von Telekommunikationssystemen
Der Katalog von Sicherheitsanforderungen gilt für Betreiber von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten. Er ist die Grundlage für das Sicherheitskonzept und für die zu treffenden technischen Vorkehrungen und sonstigen Massnahmen zur Erhöhung der Sicherheit der Netze und Dienste.
Der Katalog sieht insbesondere vor, dass:
- kritische Komponenten zertifiziert werden,
- Vertrauenswürdigkeitserklärungen von Herstellern und Systemlieferanten eingeholt werden,
- die Produktintegrität sichergestellt ist,
- ein Sicherheitsmonitoring eingeführt ist,
- nur eingewiesenes Fachpersonal in sicherheitsrelevanten Bereichen eingesetzt wird,
- genügend Redundanzen vorhanden sind und
- Monokulturen vermieden werden.
- kritische Komponenten zertifiziert werden,
- Vertrauenswürdigkeitserklärungen von Herstellern und Systemlieferanten eingeholt werden,
- die Produktintegrität sichergestellt ist,
- ein Sicherheitsmonitoring eingeführt ist,
- nur eingewiesenes Fachpersonal in sicherheitsrelevanten Bereichen eingesetzt wird,
- genügend Redundanzen vorhanden sind und
- Monokulturen vermieden werden.
Der Katalog wird nun zur Notifizierung der Europäischen Kommission vorgelegt. Bis zum Abschluss dieses Verfahrens kann es zu Änderungen kommen. "Der Mobilfunkstandard 5G ist eine wesentliche technologische Basis für eine erfolgreiche Digitalisierung. Voraussetzung dafür ist ein ausgewogenes Mass an Informationssicherheit als Teil eines umfassenden Risikomanagements. Dazu haben wir als Cyber-Sicherheitsbehörde des Bundes gemeinsam mit der Bundesnetzagentur und dem Bundesdatenschutzbeauftragten den neuen Sicherheitskatalog erstellt und dafür gesorgt, dass moderne, leistungsfähige und sichere 5G-Netze aufgebaut und betrieben werden können", sagt Arne Schönbohm, Präsident des BSI.
"Es ist wichtig, die Integrität von Informations- und Kommunikationssystemen gegen Bedrohungen zu schützen und höchste Sicherheitsstandards zu etablieren. Hierzu sollen kritische Funktionen für Telekommunikationsnetze und -dienste einen besonders hohen Schutz aufweisen", ergänzt Wilhelm Eschweiler, Vizepräsident der Bundesnetzagentur.
Liste für kritische Funktionen soll kontinuierlich aktualisiert werden
Der Katalog enthält zusätzliche Sicherheitsanforderungen für öffentliche Telekommunikationsnetze und -dienste mit erhöhtem Gefährdungspotenzial. In diesem Zusammenhang soll eine Liste der kritischen Funktionen für Infrastrukturen mit erhöhtem Gefährdungspotenzial erstellt werden. In einem gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik erstellten Dokument werden diese kritischen Funktionen aufgelistet.
Die Liste kritischer Funktionen soll künftig kontinuierlich aktualisiert und fortgeschrieben werden. Ergebnisse internationaler Analysen, wie zum Beispiel seitens der Agentur der Europäischen Union für Cybersicherheit oder des Gremiums Europäischer Regulierungsstellen für elektronische Kommunikation wurden und werden berücksichtigt. Als kritisch werden zurzeit die folgenden Funktionen angesehen:
- Teilnehmerverwaltung und kryptographische Mechanismen (sofern Bestandteil des Netzes)
- Netzwerkübergreifende Schnittstellen
- Netzwerkdienste
- Network Functions Virtualization Management und Netzwerk-Orchestrierung (MANO) sowie Virtualisierung
- Management- und andere Unterstützungssysteme
- Transport und Informationsflussteuerung
- Lawful Interception (rechtmässige Überwachung)
Der Katalog von Sicherheitsanforderungen (Version 2.0) sowie die vorläufige Liste kritischer Funktionen sind als Entwurf auf der Webseite der Bundesnetzagentur. Stellungnahmen zur Liste kritischer Funktionen können nun bis zum 30.09.2020 abgegeben werden.
- Teilnehmerverwaltung und kryptographische Mechanismen (sofern Bestandteil des Netzes)
- Netzwerkübergreifende Schnittstellen
- Netzwerkdienste
- Network Functions Virtualization Management und Netzwerk-Orchestrierung (MANO) sowie Virtualisierung
- Management- und andere Unterstützungssysteme
- Transport und Informationsflussteuerung
- Lawful Interception (rechtmässige Überwachung)
Der Katalog von Sicherheitsanforderungen (Version 2.0) sowie die vorläufige Liste kritischer Funktionen sind als Entwurf auf der Webseite der Bundesnetzagentur. Stellungnahmen zur Liste kritischer Funktionen können nun bis zum 30.09.2020 abgegeben werden.
Der Verband der Internetwirtschaft Eco begrüsst, dass die Bundesnetzagentur dem politischen Druck nicht nachgegeben und den Fokus auf sachgerechte Kriterien für die Sicherheit von Telekommunikationsnetzen gelegt hat. Dies betreffe insbesondere die Neutralität gegenüber Herstellern und deren Herkunftsländern.
Damit bezieht sich der Eco auf die Diskussion um Huawei. Die US-amerikanische Regierung wirft Huawei Spionage und eine zu grosse Nähe zu den chinesischen Behörden vor. Sie hat den chinesischen Technologiekonzern deshalb vom Aufbau ihrer 5G-Mobilfunknetze ausgeschlossen und übt Druck auf europäische Regierungen aus, ihrer Entscheidung zu folgen.
Lob vom Eco
Klaus Landefeld, Eco-Vorstand Infrastruktur und Netze, kommentiert: "Der neue Sicherheitskatalog der Bundesnetzagentur bietet eine geeignete Grundlage, um die Netzsicherheit in Deutschland zu verbessern und gleichzeitig digitale Infrastrukturen nachhaltig und transparent auszubauen. Die Bundesnetzagentur hat ganz richtig erkannt, dass digitale Souveränität nicht Abschottung oder Protektionismus bedeutet, sondern sich an objektiven und angemessenen Kriterien für Alle zur Stärkung der IT-Sicherheit und der Integrität der Netze orientiert."
Gleichzeitig übt Landefeld aber auch Kritik: So ist neben der jetzt in die Anhörung gegebenen Liste mit Nennung der kritischen Funktionen, eine zweite zusätzliche durch das Bundesamt für Sicherheit in der Informationstechnik zu erstellende technische Richtlinie vorgesehen, die beide jedoch erst zu einem späteren Zeitpunkt veröffentlicht werden sollen. Die Folge: Die betroffenen Unternehmen hätten dadurch weder Planungs- noch Rechtssicherheit. Landefeld befürchtet, dass sich der Ausbau der 5G-Netze dadurch noch weiter verzögern werde.