Navigation und Service

Ak­tua­li­sie­rung Si­cher­heits­an­for­de­run­gen

Bundesnetzagentur aktualisiert den Katalog von Sicherheitsanforderungen

Gelegenheit zur Stellungnahme
Die Bundesnetzagentur hat mit dem Bundesamt für Sicherheit in der Informationstechnik und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit einen Entwurf für einen Katalog von Sicherheitsanforderungen erstellt.

Der Entwurf ist abrufbar unter: Katalog von Sicherheitsanforderungen, Version 2.0 (pdf / 1 MB)

Für Hersteller, Verbände der Betreiber öffentlicher Telekommunikationsnetze und Verbände der Anbieter öffentlich zugänglicher Telekommunikationsdienste wird nun die gesetzlich (§ 109 Abs. 6 S. 2 TKG) vorgesehene Gelegenheit zur Stellungnahme eingeräumt. Die Stellungnahmen zum Entwurf des Katalogs von Sicherheitsanforderungen, Version 2.0, möchten die betroffenen Adressatenkreise bitte bis zum 13. November 2019 bei der

Bundesnetzagentur für Elektrizität, Gas,
Telekommunikation, Post und Eisenbahnen
Referat IS17
An der Trift 40
66123 Saarbrücken
E-Mail: IS17.Postfach@bnetza.de
 
einreichen.


Die Frist zur Kommentierung wird bis zum 22.11.2019 verlängert.

Die Anbieter von Telekommunikationsdiensten und die Betreiber von öffentlichen Telekommunikationsnetzen sind nach § 109 Abs. 1, 2 TKG verpflichtet, angemessene technische Vorkehrungen und sonstige Maßnahmen zu treffen zum Schutz gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, und zur Beherrschung der Risiken für die Sicherheit von Telekommunikationsnetzen und –diensten. Insbesondere sind Maßnahmen gegen unerlaubte Zugriffe vorzusehen.

Die Bundesnetzagentur (BNetzA) erstellt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) - und unter Einbeziehung der Hersteller, Verbände von TK- Netzbetreibern sowie Verbände von TK- Diensteerbringern - einen Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten als Grundlage für das Sicherheitskonzept nach Absatz 4 und für die zu treffenden technischen Vorkehrungen und sonstigen Maßnahmen nach den Absätzen 1 und 2 (§ 109 Abs. 6 TKG). Die Sicherheitskonzepte sowie die Umsetzung der getroffenen technischen oder organisatorischen Schutzmaßnahmen prüft die BNetzA regelmäßig.

Aktuell überarbeitet die BNetzA gemeinsam mit BSI und BfDI den Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten. Sie liefert hierbei einen wesentlichen Beitrag zum Schutz des Fernmeldegeheimnisses, zum Schutz personenbezogener Daten sowie zur Sicherstellung der Verfügbarkeit von Netzen und Diensten.

Insbesondere für Betreiber von öffentlichen Telekommunikationsnetzen mit erhöhtem Gefährdungspotenzial sollen Sicherheitsanforderungen spezifiziert werden, die bei der Festlegung von angemessenen technischen Vorkehrungen oder sonstigen Maßnahmen zu beachten sein werden. Die Einhaltung der im Sicherheitskatalog festgelegten Anforderungen ist verbindlich. Sofern der Katalog Sicherheitsziele vorgibt, die auf unterschiedliche Weise erreicht werden können, müssen die verpflichteten Betreiber den Nachweis dafür erbringen, dass mit den von ihnen ergriffenen Maßnahmen das Ziel äquivalent erreicht wird.

Im Einzelnen sind insbesondere folgende ergänzende / zusätzliche Sicherheitsanforderungen geplant, wobei die Darstellung nicht abschließend ist:

  • Der Netzverkehr muss ständig auf Auffälligkeiten hin beobachtet werden und im Zweifelsfall sind geeignete Maßnahmen zum Schutz zu ergreifen (z.B. Netzverkehr unterbinden, Verkehr zu Störern einschränken oder unterbinden). Die Detektionsmaßnahmen müssen dem Stand der Technik entsprechen.
  • Sicherheitsrelevante Netz- und Systemkomponenten (kritische Kernkomponenten) dürfen nur eingesetzt werden, wenn sie von einer vom BSI anerkannten Prüfstelle auf IT- Sicherheit überprüft und vom BSI zertifiziert wurden. Kritische Kernkomponenten dürfen nur von solchen Lieferanten/Herstellern bezogen werden, die in geeigneter Weise ihre Vertrauenswürdigkeit zusichern. Die Verpflichtung soll für die gesamte Lieferkette gelten und Voraussetzung für die notwendige Zertifizierung der Komponenten sein. Diese Vorgaben werden im Katalog weiter konkretisiert werden. Die hierfür zugrundeliegenden Standards werden vom BSI im Benehmen mit der BNetzA veröffentlicht. Um die Verbindlichkeit der Anforderungen sicherzustellen und konkrete Anforderungen wie etwa die Zertifizierungspflicht rechtlich eindeutig abzusichern, planen die zuständigen Ministerien entsprechende gesetzliche Absicherungen, insbesondere im Rahmen der laufenden großen Novelle des Telekommunikationsgesetzes.
  • Die Festlegung der sicherheitsrelevanten Netz- und Systemkomponenten (kritische Kernkomponenten) erfolgt einvernehmlich zwischen BSI und BNetzA.
  • Sicherheitsrelevante Netz- und Systemkomponenten (kritische Kernkomponenten) dürfen nur nach einer geeigneten Abnahmeprüfung bei Zulieferung eingesetzt werden und müssen regelmäßig Sicherheitsprüfungen unterzogen werden. Sollten bei den Prüfungen Abweichungen gegenüber den Leistungsvorgaben der Netzbetreiber oder Erbringer auftreten, sind diese zu dokumentieren und einem Risikobehandlungsprozess zuzuführen. Bei Abweichungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen können, sind die BNetzA und das BSI über die zur Minderung des Risikos ergriffenen Maßnahmen umgehend zu informieren.
  • In sicherheitsrelevanten Bereichen darf nur eingewiesenes Fachpersonal mit vertieften Systemkenntnissen zur Bewertung von Gefährdungen und Schutzmaßnahmen eingesetzt werden. Dieses Personal ist in ausreichendem Umfang vorzuhalten.
  • Es ist nachzuweisen, dass die für ausgewählte, sicherheitsrelevante Komponenten geprüfte Hardware und der Quellcode am Ende der Lieferkette tatsächlich in den verwendeten Produkten zum Einsatz kommen.
  • Bei Planung und Aufbau der Netze ist eine ausreichende Diversität durch Einsatz von Netz- und Systemkomponenten unterschiedlicher Hersteller sicherzustellen. Diese Vorgabe wird von der BNetzA konkretisiert und kann etwa für das Core- bzw. Access-Network unterschiedlich ausfallen.
  • Die Netzbetreiber und Erbringer müssen bei Auslagerung von systemrelevanten Prozessen sicherstellen, dass unabhängige, fachkompetente und zuverlässige Auftragnehmer ausgewählt werden und die Einhaltung von gesetzlichen Vorgaben gewährleistet bleibt. Sie haben dies nachzuweisen.
  • Für kritische, sicherheitsrelevante Netz- und Systemkomponenten (kritische Kernkomponenten) müssen ausreichend Redundanzen vorgehalten werden. Hierfür wird eine Liste besonders kritischer Netzkomponenten (z. B. Home Location Register, Core Network, Backbone, Portierungsserver) erstellt.
  • Bei der Umsetzung der Sicherheitsanforderungen sind nationale Sicherheitsbestimmungen sowie Bestimmungen zum Fernmeldegeheimnis und zum Datenschutz einzuhalten.

Weiterführende Regelungen für Kritische Infrastrukturen und die Vertrauenswürdigkeit der in diesen eingesetzten Komponenten, welche generell für alle Betreiber von Kritischen Infrastrukturen gelten (damit auch für die darunter fallenden Telekommunikationsnetze), werden durch die Anpassung dieses Katalogs nicht berührt. Hier ist insbesondere das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik zu nennen, das in seiner jeweiligen Fassung gilt.

Hersteller, Verbände der Betreiber öffentlicher Telekommunikationsnetze und Verbände der Anbieter öffentlich zugänglicher Telekommunikationsdienste erhielten bereits in einem früheren Stadium Gelegenheit zu einer ersten Stellungnahme. Die nun vorgesehene, gesetzliche Gelegenheit zur Stellungnahme bleibt hiervon unberührt.