Schutz­maß­nah­men

• Allgemeines
  • IP-Kryptosysteme
  • Regelungen TKÜV-CA, Kurzbezeichnung "Policy" der Bundesnetzagentur, Referat IS 16
  • Schwerpunkte der Policy
  •  Antrag TKÜ-VPN

Allgemeines

Zum Schutz des IP-basierten Übergabepunktes gemäß technischem Standard des Europäischen Standardisierungsinstituts ETSI werden bestimmte Kryptosysteme auf der Basis des Sicherheitsstandards für das Internet (IPsec-Protokollfamilie) eingesetzt, um die Teilnetze der berechtigten Stellen und der Verpflichteten zu einem virtuellen privaten Netzwerk (VPN) zu verbinden. Zur Verwaltung wird eine Infrastruktur zum Austausch von öffentlichen Schlüsseln (PKI) eingerichtet, die von der Bundesnetzagentur als zentrale Registrierungs- und Zertifizierungsinstanz betrieben wird. Darüber hinaus verwaltet die Bundesnetzagentur die innerhalb des VPN zugelassenen Sicherheitsbeziehungen in einer Access Control List (ACL), die mittels eines Verzeichnisdienstes über Lightweight Directory Access Protocol (LDAP) bereitgestellt wird.

IP-Kryptosysteme

Um die in IP-Netzen hoch einzustufenden Schutzanforderungen an eine gesicherte Übertragung zu gewährleisten, können nur solche IP-Kryptosysteme eingesetzt werden, die bestimmte Anforderungen erfüllen, die von der Bundesnetzagentur in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert wurden. Im Rahmen einer Herstellerbefragung wurde ein IP-Kryptosystem bestimmt. Für ein auf der Grundlage einer zweiten Befragung definiertes weiteres IP-Kryptosystem konnte die notwendige vollständige Interoperabilität nicht nachgewiesen werden.

Lediglich das in der Tabelle aufgeführte IP-Kryptosystem kann auf der Grundlage der Telekommunikationsüberwachungsverordnung (TKÜV) eingesetzt werden

Anzahl	Hersteller	Produkt	Ansprechpartner
1	secunet Security Networks Aktiengesellschaft zur Internetseite der secunet	SINA Box	E-Mail an Secunet

Die jeweiligen Kryptosysteme sind grundsätzlich Bestandteile der technischen Einrichtungen der berechtigten Stellen oder der Verpflichteten; insofern fällt Planung, Betrieb, Wartung und Entstörung (Betrieb eines eigenen SYSLOG-Servers) in die Zuständigkeit des jeweiligen Betreibers des Teilnetzes.

Die Technische Richtlinie zur Umsetzung gesetzlicher Maßnahmen zur Überwachung der Telekommunikation und zur Auskunftserteilung (TR TKÜV) enthält im Teil A, Anlage A.2 die hierzu notwendigen technischen Regelungen.

Zusätzlich werden hier die Regelungen für die Registrierungs- und Zertifizierungsinstanz (TKÜV-CA) kurz Policy veröffentlicht, auf die im Abschnitt IP-Kryptosysteme der TR TKÜV verwiesen wird.

Regelungen TKÜV-CA, Kurzbezeichnung "Policy" der Bundesnetzagentur, Referat IS 16

Eine detaillierte Beschreibung des Gesamtprozesses sowie die Auflistung der für die Teilnahme am VPN benötigten Angaben enthält die TKÜV-VPN (SINA-Policy), Version 3.0 (pdf / 726 KB) bereitgestellte Policy der TKÜV-CA.

Schwerpunkte der Policy

• Identität und Leistungen der Instanz TKÜV-CA
• Regeln zur Registrierung der Teilnehmer / Verfahrensablauf
• Angaben zur Erstellung des Zertifikates (einschließlich IP-Konfiguration)
• Widerruf von Zertifikaten / Sperren
• Optionsauswahl zum Managementsystem
• Test der Kryptosysteme
• Verschiedenes

 Antrag TKÜ-VPN

• Der Antrag zum TKÜ-VPN ist im Downloadbereich zu finden, dieser gliedert sich in die Bereiche Registrierung und Technik. In beiden Teilbereichen können unabhängig voneinander Neuerungen, Änderungen oder Löschungen angegeben werden. Bitte senden Sie uns den Antrag postalisch im Original und per E-Mail mit PGP-Verschlüsselung an is16.Postfach@bnetza.de.