Navigation und Service

Schutz­maß­nah­men

Informationen zum Schutz des Internetprotokoll (IP)-basierten Übergabepunktes für Überwachungsmaßnahmen und Auskunftersuchen

Allgemeines

Zum Schutz des IP-basierten Übergabepunktes gemäß Technischen Standard des Europäischen Standardisierungsinstituts (etsi) werden bestimmte Kryptosysteme auf der Basis des Sicherheitsstandards für das Internet (IP-sec) Protokollfamilie eingesetzt, um die Teilnetze der berechtigten Stellen (BSN) und der Verpflichteten zu einem virtuellen privaten Netzwerk (VPN) zu verbinden. Zur Verwaltung wird eine Infrastruktur zum Austausch von öffentlichen Schlüsseln (PKI) eingerichtet, die von der Bundesnetzagentur als zentrale Registrierungs- und Zertifizierungsinstanz betrieben wird. Darüber hinaus verwaltet die Bundesnetzagentur die innerhalb des VPN zugelassenen Sicherheitsbeziehungen in einer Access Control List (ACL), die mittels eines lightweight directory access protocoll (LDAP) Verzeichnisdienstes bereitgestellt wird.

IP-Kryptosysteme

Um die in IP Netzen hoch einzustufenden Schutzanforderungen an eine gesicherte Übertragung zu gewährleisten, können nur solche IP-Kryptosysteme eingesetzt werden, die bestimmte Anforderungen erfüllen, die von der Bundesnetzagentur in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert wurden. Im Rahmen einer Herstellerbefragung wurde ein IP-Kryptosystem bestimmt. Für ein auf der Grundlage einer zweiten Befragung definiertes weiteres IP-Kryptosystem konnte die notwendige vollständige Interoperabilität nicht nachgewiesen werden.

Lediglich das in der Tabelle aufgeführte IP-Kryptosystem kann auf der Grundlage der Telekommunikationsüberwachungsverordnung (TKÜV) eingesetzt werden:

Firmen

AnzahlHerstellerProduktAnsprechpartner
1

secunet
Security Networks

Aktiengesellschaft

Ammonstraße 72
01067 Dresden
zur Internetseite secunet

SINA BoxHerr Neef
elektronische Nachricht an

Die jeweiligen Kryptosysteme sind grundsätzlich Bestandteile der technischen Einrichtungen der BSN oder der Verpflichteten; insofern fällt Planung, Betrieb, Wartung und Entstörung ( Betrieb eines eigenen SYSLOG-Servers ) in die Zuständigkeit des jeweiligen Betreibers des Teilnetzes.

Die Technische Richtlinie zur Umsetzung gesetzlicher Maßnahmen zur Überwachung der Telekommunikation und zum Auskunftersuchen für Verkehrsdaten (TR TKÜV) enthält im Teil A, Anlage A.2 die hierzu notwendigen technischen Regelungen.

Zusätzlich werden hier die Regelungen für die Registrierungs- und Zertifizierungsinstanz (TKÜV-CA) kurz Policy veröffentlicht, auf die im Abschnitt IP Krptosysteme der TR TKÜV verwiesen wird.

Regelungen TKÜV-CA, Kurzbezeichnung "Policy" der Bundesnetzagentur, Referat IS 16

Eine detaillierte Beschreibung des Gesamtprozesses sowie die Auflistung der für die Teilnahme am VPN benötigten Angaben enthält die hier bereitgestellte Policy der TKÜV-CA.

Schwerpunkte der Policy:

  • Identität und Leistungen der Instanz TKÜV-CA
  • Regeln zur Registrierung der Teilnehmer / Verfahrensablauf
  • Angaben zur Erstellung des Zertifikates (einschließlich IP-Konfiguration)
  • Widerruf von Zertifikaten / Sperren
  • Optionsauswahl zum Managementsystem
  • Test der Kryptosysteme
  • Verschiedenes

 Antrag TKÜ-VPN

  • Der Antrag zum TKÜ-VPN ist im Bereich Downloads zu finden, dieser gliedert sich in die Bereiche Registrierung und Technik. In beiden Teilbereichen können unabhängig voneinander Neuerungen, Änderungen oder Löschungen angegeben werden. Bitte lassen Sie uns den Antrag postalisch original unterschrieben sowie per Email mit PGP-Verschlüssellung an das Postfach is16.Postfach@bnetza.de zukommen.
Stand: 06.03.2014

Kontakt

Referat IS 16
Sicherstellung der Telekommunikation und des Postwesens, technische Umsetzung von Überwachungsmaßnahmen

Bundesnetzagentur
Canisiusstraße 21
55122 Mainz
Telefax 06131 18 5632
E-Mail: IS16.Postfach@BNetzA.de