Zusätzliche Sicherheitsanforderungen für Telekommunikationsnetze geplant

Bundesnetzagentur veröffentlicht Eckpunkte neuer Regeln

07. März 2019

Die Bundesnetzagentur hat Eckpunkte zusätzlicher Sicherheitsanforderungen für Telekommunikationsnetze und -dienste veröffentlicht. Die Behörde will mit den neuen Anforderungen explizit alle Netze erfassen und nur einzelne Standards. Allerdings dürften die bevorstehende Versteigerung von 5G Frequenzen und die aktuelle Diskussion über den Einsatz von Netzkomponenten von Huawei mit die Gründe für die Aktualisierung der Richtlinien sein.

Bundesnetzagentur
Bundesnetzagentur in Bonn (Foto: tarif4you.de)

»Wir passen die geltenden Sicherheitsanforderungen regelmäßig der aktuellen Sicherheitslage sowie dem Stand der Technik an«, erklärt Jochen Homann, Präsident der Bundesnetzagentur. »Die Sicherheitsanforderungen gelten für alle Netzbetreiber und Diensteerbringer und sie gelten technikneutral. Dabei werden alle Netze erfasst, nicht nur einzelne Standards wie zum Beispiel 5G«.

Überarbeitung der Sicherheitsanforderungen

Bereits heute gelten für Betreiber von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten besondere Sicherheitsanforderungen. Nun will die Bundesnetzagentur diese überarbeiten. Am 7. März 2019 veröffentlichte die Behörde die Eckpunkte der neuen Anforderungen. Insbesondere für Betreiber von öffentlichen Telekommunikationsnetzen mit erhöhtem Gefährdungspotenzial sind einige zusätzlichen Sicherheitsanforderungen geplant.

So sollen die Betreiber die Systeme nur von vertrauenswürdigen Lieferanten beziehen dürfen, die nationale Sicherheitsbestimmungen sowie Bestimmungen zum Fernmeldegeheimnis und zum Datenschutz zweifelsfrei einhalten. Dies gilt insbesondere für sicherheitsrelevante Netz- und Systemkomponenten (kritische Kernkomponenten). Diese dürfen nur eingesetzt werden, wenn sie von einer vom BSI anerkannten Prüfstelle auf IT-Sicherheit überprüft und vom BSI zertifiziert wurden. Die Definition der kritischen Komponenten soll einvernehmlich zwischen Bundesnetzagentur (BNetzA) und BSI erfolgen.

Weiterhin dürfen kritische Kernkomponenten nur nach einer geeigneten Abnahmeprüfung bei Zulieferung eingesetzt werden und müssen regelmäßig und kontinuierlich Sicherheitsprüfungen unterzogen werden. Die Netzbetreiber müssen nach den neuen Regeln auch nachweisen, dass die für ausgewählte, sicherheitsrelevante Komponenten geprüfte Hardware und der Quellcode am Ende der Lieferkette tatsächlich in den verwendeten Produkten zum Einsatz kommen. Zudem muss der Netzverkehr regelmäßig und kontinuierlich auf Auffälligkeiten hin beobachtet werden.

Neben den technischen Maßnahmen will die Bundesnetzagentur die Netze auch organisatorisch absichern. So sollen bei Planung und Aufbau der Netze »Monokulturen« durch Einsatz von Netz- und Systemkomponenten unterschiedlicher Hersteller vermieden werden. Zudem darf in sicherheitsrelevanten Bereichen nur eingewiesenes Fachpersonal eingesetzt werden. Dies soll auch bei Auslagerung von sicherheitsrelevanten Aufgaben gelten: Hier dürfen die Netzbetreiber ausschließlich fachkompetente, zuverlässige und vertrauenswürdige Auftragnehmer berücksichtigen.

Mit der Veröffentlichung der Eckpunkte wird Herstellern, Verbänden der Betreiber öffentlicher Telekommunikationsnetze und Verbänden der Anbieter öffentlich zugänglicher Telekommunikationsdienste die Gelegenheit zu einer ersten Kommentierung gegeben.

Die Sicherheitsanforderungen werden im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit erstellt. Es ist beabsichtigt, im Frühjahr 2019 einen Entwurf der neuen Sicherheitsanforderungen zu erstellen. Ein endgültige Veröffentlichung der Anforderungen soll nach der gesetzlich vorgeschriebenen Stellungnahmemöglichkeit durch Hersteller und die genannten Verbände zum Entwurf des Kataloges der Sicherheitsanforderungen sowie eines europäischen Notifizierungsverfahrens durch die Bundesnetzagentur erfolgen.

 
+++ Anzeige +++