Künftig sollen nach den neuen Vorgaben der Bundesnetzagentur "vertrauenswürdige Lieferanten" die "nationale Sicherheitsbestimmungen sowie Bestimmungen zum Fernmeldegeheimnis und zum Datenschutz zweifelsfrei einhalten" müssen.
Bild: © xiaoliangge/AdobeStock

Höhere Sicherheitsanforderungen für Telekommunikationsnetze

Die Bundesnetzagentur hat Eckpunkte zusätzlicher Sicherheitsanforderungen für Telekommunikationsnetze und -dienste veröffentlicht. Bis zum Frühjahr soll dazu ein Entwurf stehen. Für den umstrittenen chinesischen Ausrüster Huawei könnte das Folgen haben.

In Deutschland zeichnen sich verschärfte Anforderungen für die Sicherheit von Telekommunikationsnetzen ab, mit denen der chinesische Ausrüster Huawei vom 5G-Ausbau ausgeschlossen werden könnte. In neuen Vorgaben der Bundesnetzagentur wird der Begriff eines "vertrauenswürdigen Lieferanten" eingeführt, der "nationale Sicherheitsbestimmungen sowie Bestimmungen zum Fernmeldegeheimnis und zum Datenschutz zweifelsfrei einhalten" muss.

Die Bundesnetzagentur überarbeitet derzeit die Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten. Die Anforderungen gelten für alle Netze und "nicht nur einzelne Standards wie zum Beispiel 5G", betonte Netzagentur-Präsident Jochen Homann zur Veröffentlichung der Eckpunkte der Vorgaben am Donnerstag.

Anpassungen an die aktuelle Sicherheitslage

Insbesondere für Betreiber von öffentlichen Telekommunikationsnetzen mit erhöhtem Gefährdungspotenzial sollen Sicherheitsanforderungen spezifiziert werden, die bei der Festlegung von angemessenen technischen Vorkehrungen oder sonstigen Maßnahmen zu beachten sein werden.

"Wir passen die geltenden Sicherheitsanforderungen regelmäßig der aktuellen Sicherheitslage sowie dem Stand der Technik an", erklärt Jochen Homann, Präsident der Bundesnetzagentur. Die Sicherheitsanforderungen gelten für alle Netzbetreiber und Diensteerbringer.

Folgende zusätzliche Anforderungen geplant:

  • Systeme dürfen nur von vertrauenswürdigen Lieferanten bezogen werden, die nationale Sicherheitsbestimmungen sowie Bestimmungen zum Fernmeldegeheimnis und zum Datenschutz zweifelsfrei einhalten.
  • Der Netzverkehr muss regelmäßig und kontinuierlich auf Auffälligkeiten hin beobachtet werden und im Zweifelsfall sind geeignete Schutzmaßnahmen zu ergreifen.
  • Sicherheitsrelevante Netz- und Systemkomponenten dürfen nur eingesetzt werden, wenn sie von einer vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannten Prüfstelle auf IT- Sicherheit überprüft und vom BSI zertifiziert wurden. Kritische Kernkomponenten dürfen nur von vertrauenswürdigen Lieferanten/Herstellern bezogen werden. Dies schließt auch eine Zusicherung der Vertrauenswürdigkeit seitens der Lieferanten/Hersteller ein.
  • Sicherheitsrelevante Netz- und Systemkomponenten dürfen nur nach einer geeigneten Abnahmeprüfung bei Zulieferung eingesetzt werden und müssen regelmäßig und kontinuierlich Sicherheitsprüfungen unterzogen werden. Die Definition der sicherheitsrelevanten Komponenten (kritische Kernkomponenten) erfolgt einvernehmlich zwischen BNetzA und BSI.
  • In sicherheitsrelevanten Bereichen darf nur eingewiesenes Fachpersonal eingesetzt werden.
  • Es ist nachzuweisen, dass die für ausgewählte, sicherheitsrelevante Komponenten geprüfte Hardware und der Quellcode am Ende der Lieferkette tatsächlich in den verwendeten Produkten zum Einsatz kommen.
  • Bei Planung und Aufbau der Netze sollen "Monokulturen" durch Einsatz von Netz- und Systemkomponenten unterschiedlicher Hersteller vermieden werden.
  • Bei Auslagerung von sicherheitsrelevanten Aufgaben dürfen ausschließlich fachkompetente, zuverlässige und vertrauenswürdige Auftragnehmer berücksichtigt werden.
  • Für kritische, sicherheitsrelevante Netz- und Systemkomponenten müssen ausreichend Redundanzen vorgehalten werden.

Bis Frühjahr 2019 Entwurf zu den neuen Sicherheitsforderungen

Das Bundeswirtschaftsministerium erklärte, Netzbetreiber werden die Einhaltung des Sicherheitskatalogs nachweisen müssen. Dafür solle das Telekommunikationsgesetz geändert werden. Verbände der Betreiber öffentlicher Telekommunikationsnetze und Verbände der Anbieter öffentlich zugänglicher Telekommunikationsdienste können zum Eckpunktepapier ihre Kommentierung geben. Bis Frühjahr 2019 soll ein Entwurf der neuen Sicherheitsanforderungen erstellt werden. (sg)