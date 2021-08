Die Bundesnetzagentur hat am Mittwoch die zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Datenschutzbeauftragten den Katalog der Sicherheitsanforderungen für kritische IT-Infrastrukturen festgezurrt. Der Katalog entspricht in weiten Teilen dem bereits bekannten Entwurf. Die Behörde hat darüber hinaus die Liste kritischer Funktionen überarbeitet, anhand derer die Netzbetreiber die Komponenten identifizieren können, die künftig einer Zertifizierungspflicht unterliegen.

Der überarbeitete Sicherheitskatalog gilt für Betreiber von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten. "Diese Festlegungen erreichen ein sehr hohes technologisches Sicherheitsniveau", sagte BSI-Präsident Arne Schönbohm. Der Katalog enthält detaillierte Vorgaben, wie etwa Netzbetreiber die Integrität und Sicherheit ihrer Systeme zu überwachen und wie sie bei Vorfällen zu reagieren haben. "Die neuen Anforderungen sichern die Telekommunikationsnetze und schützen sie gegen Bedrohungen", erklärte Chefregulierer Jochen Homann. Den Entwurf hatte die Behörde bereits im vergangenen Jahr vorgelegt.

Chinesische Ausrüster im Fokus

Diese üblichen Vorgaben wurden vor dem Hintergrund der Debatte über die Sicherheit der 5G-Netze ausgedehnt, um die Netzinfrastruktur gegen einen befürchteten Zugriff durch ausländische Regierungen oder Nachrichtendienste abzusichern. Dabei stehen die chinesischen Ausrüster Huawei und ZTE im Fokus, denen eine zu enge Verbindung zur chinesischen Regierung nachgesagt werden. Die gesetzliche Grundlage wird deshalb auch "Lex Huawei" genannt.

Auf Grundlage des zweiten IT-Sicherheitsgesetzes und des zum 1. Dezember 2021 in Kraft tretenden neuen Telekommunikationsgesetzes (TKG) legt die Bundesnetzagentur allgemeine Anforderungen für den Betrieb kritischer oder datenschutzrelevanter Dienste fest. Dazu gehören allgemeine Sicherheitsvorkehrungen für Betriebsanlagen und -abläufe sowie Vorkehrungen zur Wahrung des Telekommunikationsgeheimnisses und des Schutzes von Kundendaten. Im Hinblick auf die Debatte über Huawei sind auch die Vorgaben zur Vertrauenswürdigkeit von Lieferanten und verlangte Zusicherungen von Bedeutung.

"Erhöhtes Gefährdungspotenzial"

Mit dem Katalog von Sicherheitsanforderungen werden Betreiber öffentlicher Telekommunikationsnetze erstmals als Unternehmen mit erhöhtem Gefährdungspotenzial eingestuft. Für sie legt die Bundesnetzagentur nun die Kriterien fest, nach denen kritische Komponenten künftig von einer anerkannten Institution geprüft und durch das BSI zertifiziert werden müssen. Welche Komponenten das sind, lässt sich anhand der überarbeiteten Liste der kritischen Funktionen ermitteln. Auf der ist jetzt auch vom Funknetz die Rede, dafür ist der Abschnitt für "Lawful Interception" aus dem Entwurf gestrichen worden.

Liste der kritischen Funktionen: Links der Entwurf vom 29. April 2020, rechts die aktuelle Fassung vom 18. August 2021. (Bild: Screenshots)

Zu den kritischen Funktionen zählen etwa im Kernnetz die Authentifizierung, Sitzungsverwaltung, Roaming sowie Datentransport sowie die Zugriffsrichtlinienverwaltung. Darüber hinaus sind Management und Orchestrierung virtualisierter Netzwerkfunktionen betroffen, was im Hinblick auf das Engagement der Netzbetreiber bei Open RAN von Bedeutung sein dürfte. Auf der Funkseite listet die Bundesnetzagentur nur das "5G-RAN Management" als kritische Funktion. Was darunter genau zu verstehen ist und welche Komponenten unter die Zertifizierungspflicht fallen, wird sich dann wohl in der Umsetzung ergeben.

Die Regeln gelten ab dem 1. Januar 2026 grundsätzlich für alle neu in Betrieb genommenen Komponenten. Bis dahin gibt es eine Übergangsfrist. Neue Komponenten, die bis dahin in Betrieb genommen werden, müssen bis spätestens zum Stichtag zertifiziert werden, sobald zwei vergleichbare zertifizierte Produkte von unterschiedlichen Herstellern erhältlich sind, auch früher. Erhält eine Komponente keine Zertifizierung oder verliert diese, muss sie bis 2025 ausgetauscht werden. Für Bestandskomponenten, die nicht mehr neu verbaut werden, wird keine nachträgliche Zertifizierung verlangt.

