Navigation und Service

Ak­tua­li­sie­rung Si­cher­heits­an­for­de­run­gen

Bundesnetzagentur aktualisiert den Katalog von Sicherheitsanforderungen

Anhörung zum Katalog von Sicherheitsanforderungen
Hersteller und Verbände sind zu einer Anhörung am 12.06.2019 in die Bundesnetzagentur eingeladen. Um bei der Anhörung teilzunehmen, können sich Hersteller sowie Verbände von Netzbetreibern oder Diensteerbringern bis zum 29.05.2019 anmelden. Die Teilnahme muss unter Benennung der teilnehmenden Personen und eines Ansprechpartners unter der E-Mail-Adresse IS17.Postfach@bnetza.de mitgeteilt und angemeldet werden. Die Teilnehmeranzahl muss auf zwei Personen je Institution/Organisation beschränkt werden. Nach der Anmeldung erhalten die Teilnehmer eine Bestätigung ihrer Teilnahme sowie weitere Informationen.

Die Anbieter von Telekommunikationsdiensten und die Betreiber von öffentlichen Telekommunikationsnetzen sind nach § 109 Abs. 1, 2 TKG verpflichtet, angemessene technische Vorkehrungen und sonstige Maßnahmen zu treffen zum Schutz gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, und zur Beherrschung der Risiken für die Sicherheit von Telekommunikationsnetzen und –diensten. Insbesondere sind Maßnahmen gegen unerlaubte Zugriffe vorzusehen.

Die Bundesnetzagentur (BNetzA) erstellt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) - und unter Einbeziehung der Hersteller, Verbände von TK- Netzbetreibern sowie Verbände von TK- Diensteerbringern - einen Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten als Grundlage für das Sicherheitskonzept nach Absatz 4 und für die zu treffenden technischen Vorkehrungen und sonstigen Maßnahmen nach den Absätzen 1 und 2 (§ 109 Abs. 6 TKG). Die Sicherheitskonzepte sowie die Umsetzung der getroffenen technischen oder organisatorischen Schutzmaßnahmen prüft die BNetzA regelmäßig.

Aktuell überarbeitet die BNetzA gemeinsam mit BSI und BfDI den Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten. Sie liefert hierbei einen wesentlichen Beitrag zum Schutz des Fernmeldegeheimnisses, zum Schutz personenbezogener Daten sowie zur Sicherstellung der Verfügbarkeit von Netzen und Diensten.

Insbesondere für Betreiber von öffentlichen Telekommunikationsnetzen mit erhöhtem Gefährdungspotenzial sollen Sicherheitsanforderungen spezifiziert werden, die bei der Festlegung von angemessenen technischen Vorkehrungen oder sonstigen Maßnahmen zu beachten sein werden. Die Einhaltung der im Sicherheitskatalog festgelegten Anforderungen ist verbindlich. Sofern der Katalog Sicherheitsziele vorgibt, die auf unterschiedliche Weise erreicht werden können, müssen die verpflichteten Betreiber den Nachweis dafür erbringen, dass mit den von ihnen ergriffenen Maßnahmen das Ziel äquivalent erreicht wird.

Im Einzelnen sind insbesondere folgende ergänzende / zusätzliche Sicherheitsanforderungen geplant, wobei die Darstellung nicht abschließend ist:

  • Der Netzverkehr muss ständig auf Auffälligkeiten hin beobachtet werden und im Zweifelsfall sind geeignete Maßnahmen zum Schutz zu ergreifen (z.B. Netzverkehr unterbinden, Verkehr zu Störern einschränken oder unterbinden). Die Detektionsmaßnahmen müssen dem Stand der Technik entsprechen.
  • Sicherheitsrelevante Netz- und Systemkomponenten (kritische Kernkomponenten) dürfen nur eingesetzt werden, wenn sie von einer vom BSI anerkannten Prüfstelle auf IT- Sicherheit überprüft und vom BSI zertifiziert wurden. Kritische Kernkomponenten dürfen nur von solchen Lieferanten/Herstellern bezogen werden, die in geeigneter Weise ihre Vertrauenswürdigkeit zusichern. Die Verpflichtung soll für die gesamte Lieferkette gelten und Voraussetzung für die notwendige Zertifizierung der Komponenten sein. Diese Vorgaben werden im Katalog weiter konkretisiert werden. Die hierfür zugrundeliegenden Standards werden vom BSI im Benehmen mit der BNetzA veröffentlicht. Um die Verbindlichkeit der Anforderungen sicherzustellen und konkrete Anforderungen wie etwa die Zertifizierungspflicht rechtlich eindeutig abzusichern, planen die zuständigen Ministerien entsprechende gesetzliche Absicherungen, insbesondere im Rahmen der laufenden großen Novelle des Telekommunikationsgesetzes.
  • Die Festlegung der sicherheitsrelevanten Netz- und Systemkomponenten (kritische Kernkomponenten) erfolgt einvernehmlich zwischen BSI und BNetzA.
  • Sicherheitsrelevante Netz- und Systemkomponenten (kritische Kernkomponenten) dürfen nur nach einer geeigneten Abnahmeprüfung bei Zulieferung eingesetzt werden und müssen regelmäßig Sicherheitsprüfungen unterzogen werden. Sollten bei den Prüfungen Abweichungen gegenüber den Leistungsvorgaben der Netzbetreiber oder Erbringer auftreten, sind diese zu dokumentieren und einem Risikobehandlungsprozess zuzuführen. Bei Abweichungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen können, sind die BNetzA und das BSI über die zur Minderung des Risikos ergriffenen Maßnahmen umgehend zu informieren.
  • In sicherheitsrelevanten Bereichen darf nur eingewiesenes Fachpersonal mit vertieften Systemkenntnissen zur Bewertung von Gefährdungen und Schutzmaßnahmen eingesetzt werden. Dieses Personal ist in ausreichendem Umfang vorzuhalten.
  • Es ist nachzuweisen, dass die für ausgewählte, sicherheitsrelevante Komponenten geprüfte Hardware und der Quellcode am Ende der Lieferkette tatsächlich in den verwendeten Produkten zum Einsatz kommen.
  • Bei Planung und Aufbau der Netze ist eine ausreichende Diversität durch Einsatz von Netz- und Systemkomponenten unterschiedlicher Hersteller sicherzustellen. Diese Vorgabe wird von der BNetzA konkretisiert und kann etwa für das Core- bzw. Access-Network unterschiedlich ausfallen.
  • Die Netzbetreiber und Erbringer müssen bei Auslagerung von systemrelevanten Prozessen sicherstellen, dass unabhängige, fachkompetente und zuverlässige Auftragnehmer ausgewählt werden und die Einhaltung von gesetzlichen Vorgaben gewährleistet bleibt. Sie haben dies nachzuweisen.
  • Für kritische, sicherheitsrelevante Netz- und Systemkomponenten (kritische Kernkomponenten) müssen ausreichend Redundanzen vorgehalten werden. Hierfür wird eine Liste besonders kritischer Netzkomponenten (z. B. Home Location Register, Core Network, Backbone, Portierungsserver) erstellt.
  • Bei der Umsetzung der Sicherheitsanforderungen sind nationale Sicherheitsbestimmungen sowie Bestimmungen zum Fernmeldegeheimnis und zum Datenschutz einzuhalten.

Weiterführende Regelungen für Kritische Infrastrukturen und die Vertrauenswürdigkeit der in diesen eingesetzten Komponenten, welche generell für alle Betreiber von Kritischen Infrastrukturen gelten (damit auch für die darunter fallenden Telekommunikationsnetze), werden durch die Anpassung dieses Katalogs nicht berührt. Hier ist insbesondere das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik zu nennen, das in seiner jeweiligen Fassung gilt.

Hersteller, Verbände der Betreiber öffentlicher Telekommunikationsnetze und Verbände der Anbieter öffentlich zugänglicher Telekommunikationsdienste erhalten schon in einem frühen Stadium Gelegenheit zu einer ersten Stellungnahme. Die gesetzlich vorgesehene Gelegenheit zur Stellungnahme gemäß § 109 Abs. 6 S. 2 TKG nach Fertigstellung eines Entwurfs des Kataloges wird hiervon nicht berührt.

Stellungnahmen richten Sie bitte an die

Bundesnetzagentur für
Elektrizität, Gas, Telekommunikation, Post
und Eisenbahnen
Tulpenfeld 4
53113 Bonn

unter dem Stichwort: TK- Sicherheit.