BNetzA: Sicherheitskonzept für 5G-Netze
Die Bundesnetzagentur hat einen umfangreichen Sicherheitskatalog für 5G-Netze zur Konsultation vorgelegt.
Foto/Montage: teltarif.de, Grafik: Image licensed by Ingram Image
Die Bundesnetzagentur hat heute den aktuellen "Entwurf des Kataloges von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten" veröffentlicht.
Dieser Katalog wurde im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit erstellt, wie die Bundesnetzagentur in einer Pressemitteilung betont.
Meinungsbildung zu kritischen Funktionen
Die Bundesnetzagentur hat einen umfangreichen Sicherheitskatalog für 5G-Netze zur Konsultation vorgelegt.
Foto/Montage: teltarif.de, Grafik: Image licensed by Ingram Image
Zugleich startet die Bundesnetzagentur eine Anhörung (Konsultation) zum "Entwurf einer Liste kritischer Funktionen".
Arne Schönbohm, Präsident des BSI, erklärt, um was es geht: "Der Mobilfunkstandard 5G ist eine wesentliche technologische Basis für eine erfolgreiche Digitalisierung. Voraussetzung dafür ist ein ausgewogenes Maß an Informationssicherheit als Teil eines umfassenden Risikomanagements. Dazu haben wir als Cyber-Sicherheitsbehörde des Bundes gemeinsam mit der Bundesnetzagentur und dem Bundesdatenschutzbeauftragten den neuen Sicherheitskatalog erstellt und dafür gesorgt, dass moderne, leistungsfähige und sichere 5G-Netze aufgebaut und betrieben werden können."
Es sei wichtig, die Integrität von Informations- und Kommunikationssystemen gegen Bedrohungen zu schützen und höchste Sicherheitsstandards zu etablieren. Dazu sollen kritische Funktionen für Telekommunikationsnetze und -dienste einen besonders hohen Schutz aufweisen, fordert Dr. Wilhelm Eschweiler, der Vizepräsident der Bundesnetzagentur.
Katalog von Sicherheitsanforderungen
Wer Telekommunikations- und Datenverarbeitungssystemen betreiben oder personenbezogene Datenverarbeiten will, muss den Katalog von Sicherheitsanforderungen beachten. Der Katalog soll die Grundlage für das Sicherheitskonzept und für die zu treffenden technischen Vorkehrungen und sonstigen Maßnahmen zur Erhöhung der Sicherheit der Netze und Dienste werden.
Wie könnte das aussehen?
Kritische Komponenten sollen "zertifiziert" werden, Hersteller und Systemlieferanten müssen Vertrauenswürdigkeitserklärungen ausstellen. Die Produktintegrität (da kann zwischendrin keiner dran herumbasteln) muss sichergestellt sein, es muss ein Sicherheitsmonitoring geben. In sicherheitsrelevanten Bereichen darf nur eingewiesenes "Fachpersonal" tätig werden. Die Systeme müssen genügend Redundanz haben (wenn eine Komponente ausfällt, gibts mindestens eine Reservekomponente) und "Monokulturen" (alles nur von einem Hersteller) sollen vermieden werden. Der fertige Katalog soll zur Notifizierung der Europäischen Kommission vorgelegt werden, dabei kann es noch zu Änderungen kommen. Nach der sogenannten "Notifizierung" wird der Katalog nicht nur in deutsch, sondern auch in englischer Sprache zur Verfügung stehen.
Liste der kritischen Funktionen
In diesem Zusammenhang startet die Bundesnetzagentur eine "Konsultation zum Entwurf einer Liste kritischer Funktionen". Das heißt, betroffene "Kreise" können Stellung nehmen. In dem Katalog finden sich zusätzliche Sicherheitsanforderungen für öffentliche Telekommunikationsnetze und -dienste mit erhöhtem Gefährdungspotenzial. In diesem Zusammenhang soll eine Liste der kritischen Funktionen für Infrastrukturen mit erhöhtem Gefährdungspotenzial erstellt werden. In einem gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik erstellten Dokument werden diese kritischen Funktionen dann aufgelistet.
Diese Liste kritischer Funktionen soll künftig permanent aktualisiert und weiter entwickelt werden. Da sollen internationale Ergebnisse wie zum Beispiel von der Agentur der Europäischen Union für Cybersicherheit oder vom Gremium Europäischer Regulierungsstellen für elektronische Kommunikation berücksichtigt werden.
Wer sich für Details interessiert:
Als kritisch werden zurzeit die folgenden Funktionen angesehen:
- Teilnehmerverwaltung und kryptographische Mechanismen (sofern Bestandteil des Netzes)
- Netzwerkübergreifende Schnittstellen
- Netzwerkdienste
- Network Functions Virtualization Management und Netzwerk-Orchestrierung (MANO) sowie Virtualisierung
- Management- und andere Unterstützungssysteme
- Transport und Informationsflussteuerung
- Das legale "Abhören" durch Ermittlungsbehörden "Lawful Interception" genannt