Bundesnetzagentur veröffentlicht Eckpunkte zusätzlicher Sicherheitsanforderungen für Telekommunikationsnetze
Präsident Homann: "Anforderungen gelten für alle Unternehmen gleichermaßen
"
Ausgabejahr 2019
Erscheinungsdatum 07.03.2019
Die Bundesnetzagentur hat heute Eckpunkte zusätzlicher Sicherheitsanforderungen für Telekommunikationsnetze und -dienste veröffentlicht.
"Wir passen die geltenden Sicherheitsanforderungen regelmäßig der aktuellen Sicherheitslage sowie dem Stand der Technik an
", erklärt Jochen Homann, Präsident der Bundesnetzagentur. "Die Sicherheitsanforderungen gelten für alle Netzbetreiber und Diensteerbringer und sie gelten technikneutral. Dabei werden alle Netze erfasst, nicht nur einzelne Standards wie zum Beispiel 5G.
"
Überarbeitung der Sicherheitsanforderungen
Die Bundesnetzagentur überarbeitet derzeit die Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten. Insbesondere für Betreiber von öffentlichen Telekommunikationsnetzen mit erhöhtem Gefährdungspotenzial sollen Sicherheitsanforderungen spezifiziert werden, die bei der Festlegung von angemessenen technischen Vorkehrungen oder sonstigen Maßnahmen zu beachten sein werden.
Im Einzelnen sind folgende zusätzliche Anforderungen geplant:
- Systeme dürfen nur von vertrauenswürdigen Lieferanten bezogen werden, die nationale Sicherheitsbestimmungen sowie Bestimmungen zum Fernmeldegeheimnis und zum Datenschutz zweifelsfrei einhalten.
- Der Netzverkehr muss regelmäßig und kontinuierlich auf Auffälligkeiten hin beobachtet werden, und im Zweifelsfall sind geeignete Maßnahmen zum Schutz zu ergreifen.
- Sicherheitsrelevante Netz- und Systemkomponenten (kritische Kernkomponenten) dürfen nur eingesetzt werden, wenn sie von einer vom BSI anerkannten Prüfstelle auf IT- Sicherheit überprüft und vom BSI zertifiziert wurden. Kritische Kernkomponenten dürfen nur von vertrauenswürdigen Lieferanten/Herstellern bezogen werden. Dies schließt auch eine Zusicherung der Vertrauenswürdigkeit seitens der Lieferanten/ Hersteller ein.
- Sicherheitsrelevante Netz- und Systemkomponenten (kritische Kernkomponenten) dürfen nur nach einer geeigneten Abnahmeprüfung bei Zulieferung eingesetzt werden und müssen regelmäßig und kontinuierlich Sicherheitsprüfungen unterzogen werden. Die Definition der sicherheitsrelevanten Komponenten (kritische Kernkomponenten) erfolgt einvernehmlich zwischen BNetzA und BSI.
- In sicherheitsrelevanten Bereichen darf nur eingewiesenes Fachpersonal eingesetzt werden.
- Es ist nachzuweisen, dass die für ausgewählte, sicherheitsrelevante Komponenten geprüfte Hardware und der Quellcode am Ende der Lieferkette tatsächlich in den verwendeten Produkten zum Einsatz kommen.
- Bei Planung und Aufbau der Netze sollen „Monokulturen“ durch Einsatz von Netz- und Systemkomponenten unterschiedlicher Hersteller vermieden werden.
- Bei Auslagerung von sicherheitsrelevanten Aufgaben dürfen ausschließlich fachkompetente, zuverlässige und vertrauenswürdige Auftragnehmer berücksichtigt werden.
- Für kritische, sicherheitsrelevante Netz- und Systemkomponenten (kritische Kernkomponenten) müssen ausreichend Redundanzen vorgehalten werden.
Mit der Veröffentlichung der Eckpunkte wird Herstellern, Verbänden der Betreiber öffentlicher Telekommunikationsnetze und Verbänden der Anbieter öffentlich zugänglicher Telekommunikationsdienste die Gelegenheit zu einer ersten Kommentierung gegeben.
Die Sicherheitsanforderungen werden im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit erstellt. Es ist beabsichtigt, im Frühjahr 2019 einen Entwurf der neuen Sicherheitsanforderungen zu erstellen. Ein endgültige Veröffentlichung der Anforderungen soll nach der gesetzlich vorgeschriebenen Stellungnahmemöglichkeit durch Hersteller und die genannten Verbände zum Entwurf des Kataloges der Sicherheitsanforderungen sowie eines europäischen Notifizierungsverfahrens durch die Bundesnetzagentur erfolgen.
Informationen zu den derzeit geltenden Sicherheitsanforderungen sind auf den Internetseiten der Bundesnetzagentur unter www.bundesnetzagentur.de/sicherheitsanforderungen veröffentlicht.