Ganz genau

BNetzA: Sicherheitskonzept für 5G-Netze

Als Basis der kriti­schen Diskus­sion der Sicher­heit von kommenden 5G-Netzen hat die Bundes­netz­agentur in Abstim­mung mit Sicher­heits­be­hörden einen Fragen-Katalog zur Kommen­tie­rung veröf­fent­licht.
Von

Die Bundesnetzagentur hat einen umfangreichen Sicherheitskatalog für 5G-Netze zur Konsultation vorgelegt. Die Bundesnetzagentur hat einen umfangreichen Sicherheitskatalog für 5G-Netze zur Konsultation vorgelegt.
Foto/Montage: teltarif.de, Grafik: Image licensed by Ingram Image Die Bundes­netz­agentur hat heute den aktu­ellen "Entwurf des Kata­loges von Sicher­heits­an­for­de­rungen für das Betreiben von Tele­kom­mu­ni­ka­tions- und Daten­ver­ar­bei­tungs­sys­temen sowie für die Verar­bei­tung perso­nen­be­zo­gener Daten" veröf­fent­licht.

Dieser Katalog wurde im Einver­nehmen mit dem Bundesamt für Sicher­heit in der Infor­ma­ti­ons­technik und dem Bundes­be­auf­tragten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit erstellt, wie die Bundes­netz­agentur in einer Pres­se­mit­tei­lung betont.

Meinungs­bil­dung zu kriti­schen Funk­tionen

Die Bundesnetzagentur hat einen umfangreichen Sicherheitskatalog für 5G-Netze zur Konsultation vorgelegt. Die Bundesnetzagentur hat einen umfangreichen Sicherheitskatalog für 5G-Netze zur Konsultation vorgelegt.
Foto/Montage: teltarif.de, Grafik: Image licensed by Ingram Image Zugleich startet die Bundes­netz­agentur eine Anhö­rung (Konsul­ta­tion) zum "Entwurf einer Liste kriti­scher Funk­tionen". Arne Schön­bohm, Präsi­dent des BSI, erklärt, um was es geht: "Der Mobil­funk­stan­dard 5G ist eine wesent­liche tech­no­lo­gi­sche Basis für eine erfolg­reiche Digi­ta­li­sie­rung. Voraus­set­zung dafür ist ein ausge­wo­genes Maß an Infor­ma­ti­ons­si­cher­heit als Teil eines umfas­senden Risi­ko­ma­nage­ments. Dazu haben wir als Cyber-Sicher­heits­be­hörde des Bundes gemeinsam mit der Bundes­netz­agentur und dem Bundes­da­ten­schutz­be­auf­tragten den neuen Sicher­heits­ka­talog erstellt und dafür gesorgt, dass moderne, leis­tungs­fä­hige und sichere 5G-Netze aufge­baut und betrieben werden können."

Es sei wichtig, die Inte­grität von Infor­ma­tions- und Kommu­ni­ka­ti­ons­sys­temen gegen Bedro­hungen zu schützen und höchste Sicher­heits­stan­dards zu etablieren. Dazu sollen kriti­sche Funk­tionen für Tele­kom­mu­ni­ka­ti­ons­netze und -dienste einen beson­ders hohen Schutz aufweisen, fordert Dr. Wilhelm Esch­weiler, der Vize­prä­si­dent der Bundes­netz­agentur.

Katalog von Sicher­heits­an­for­de­rungen

Wer Tele­kom­mu­ni­ka­tions- und Daten­ver­ar­bei­tungs­sys­temen betreiben oder perso­nen­be­zo­gene Daten­ver­ar­beiten will, muss den Katalog von Sicher­heits­an­for­de­rungen beachten. Der Katalog soll die Grund­lage für das Sicher­heits­kon­zept und für die zu tref­fenden tech­ni­schen Vorkeh­rungen und sons­tigen Maßnahmen zur Erhö­hung der Sicher­heit der Netze und Dienste werden.

Wie könnte das aussehen?

Kriti­sche Kompo­nenten sollen "zerti­fi­ziert" werden, Hersteller und System­lie­fe­ranten müssen Vertrau­ens­wür­dig­keits­er­klä­rungen ausstellen. Die Produk­t­in­te­grität (da kann zwischen­drin keiner dran herum­bas­teln) muss sicher­ge­stellt sein, es muss ein Sicher­heits­mo­ni­to­ring geben. In sicher­heits­re­le­vanten Berei­chen darf nur einge­wie­senes "Fach­per­sonal" tätig werden. Die Systeme müssen genü­gend Redun­danz haben (wenn eine Kompo­nente ausfällt, gibts mindes­tens eine Reser­ve­kom­po­nente) und "Mono­kul­turen" (alles nur von einem Hersteller) sollen vermieden werden. Der fertige Katalog soll zur Noti­fi­zie­rung der Euro­päi­schen Kommis­sion vorge­legt werden, dabei kann es noch zu Ände­rungen kommen. Nach der soge­nannten "Noti­fi­zie­rung" wird der Katalog nicht nur in deutsch, sondern auch in engli­scher Sprache zur Verfü­gung stehen.

Liste der kriti­schen Funk­tionen

In diesem Zusam­men­hang startet die Bundes­netz­agentur eine "Konsul­ta­tion zum Entwurf einer Liste kriti­scher Funk­tionen". Das heißt, betrof­fene "Kreise" können Stel­lung nehmen. In dem Katalog finden sich zusätz­liche Sicher­heits­an­for­de­rungen für öffent­liche Tele­kom­mu­ni­ka­ti­ons­netze und -dienste mit erhöhtem Gefähr­dungs­po­ten­zial. In diesem Zusam­men­hang soll eine Liste der kriti­schen Funk­tionen für Infra­struk­turen mit erhöhtem Gefähr­dungs­po­ten­zial erstellt werden. In einem gemeinsam mit dem Bundesamt für Sicher­heit in der Infor­ma­ti­ons­technik erstellten Doku­ment werden diese kriti­schen Funk­tionen dann aufge­listet.

Diese Liste kriti­scher Funk­tionen soll künftig perma­nent aktua­li­siert und weiter entwi­ckelt werden. Da sollen inter­na­tio­nale Ergeb­nisse wie zum Beispiel von der Agentur der Euro­päi­schen Union für Cyber­si­cher­heit oder vom Gremium Euro­päi­scher Regu­lie­rungs­stellen für elek­tro­ni­sche Kommu­ni­ka­tion berück­sich­tigt werden.

Wer sich für Details inter­es­siert:

Als kritisch werden zurzeit die folgenden Funk­tionen ange­sehen:

  • Teil­neh­mer­ver­wal­tung und kryp­to­gra­phi­sche Mecha­nismen (sofern Bestand­teil des Netzes)
  • Netz­werk­über­grei­fende Schnitt­stellen
  • Netz­werk­dienste
  • Network Func­tions Virtua­liza­tion Manage­ment und Netz­werk-Orches­trie­rung (MANO) sowie Virtua­li­sie­rung
  • Manage­ment- und andere Unter­stüt­zungs­sys­teme
  • Trans­port und Infor­ma­ti­ons­flus­steue­rung
  • Das legale "Abhören" durch Ermitt­lungs­be­hörden "Lawful Inter­cep­tion" genannt
Wer noch tiefer einsteigen will, kann den Katalog der Sicher­heits­an­for­de­rungen (Version 2.0) sowie eine vorläu­fige Liste kriti­scher Funk­tionen auf der Webseite der Bundes­netz­agentur anschauen und bis zum 30. September eine Stel­lung­nahme abgeben.

Mehr zum Thema Bundesnetzagentur