Bundesnetzagentur veröffentlicht den Katalog von Sicherheitsanforderungen für Telekommunikationsnetze
Die Bundesnetzagentur (BNetzA) hat kürzlich den aktuellen Entwurf des Kataloges von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten veröffentlicht (Link). Der Katalog von Sicherheitsanforderungen für Telekommunikationsnetze wurde in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) erstellt.
An wen richtet sich der Katalog?
Der Katalog von Sicherheitsanforderungen gilt für Betreiber von Telekommunikations- und Datenverarbeitungssystemen und umfasst auch die Verarbeitung personenbezogener Daten. Die Inhalte des Katalogs bilden im Übrigen die Grundlage für das Sicherheitskonzept und für die zu treffenden technischen Vorkehrungen und sonstigen Maßnahmen zur Erreichung der Schutzziele i.S.d. § 109 TKG.
Wesentliche Inhalte des Kataloges
Der Entwurf des Kataloges sieht in seiner Anlage 1 im Wesentlichen vor, dass
- kritische Komponenten nur dann eingesetzt werden dürfen, wenn diese zertifiziert worden sind (Abschnitt 2),
- zusätzlich zur Zertifizierung kritischer Komponenten Vertrauenswürdigkeitserklärungen von Herstellern und Systemlieferanten eingeholt werden müssen (Abschnitt 3),
- die Produktintegrität jederzeit – d.h. beginnend mit der Abnahme – sichergestellt sein muss (Abschnitt 4),
- ein Sicherheitsmonitoring (MI: Monitoring-Infrastruktur) eingeführt ist, um einen dauerhaft sicheren Betrieb zu gewährleisten (Abschnitt 5),
- in sicherheitsrelevanten Bereichen nur eingewiesenes Fachpersonal eingesetzt wird (Abschnitt 6),
- zum Schutz gegen Störungen und zur Beherrschung der Risiken genügend Redundanzen vorhanden sind (Abschnitt 7) und
- durch den Einsatz von kritischen Netz- und Systemkomponenten unterschiedlicher Hersteller „Monokulturen“ zu vermeiden sind (Abschnitt 8).
BNetzA startet Konsultation zum Entwurf kritischer Funktionen
Im Zusammenhang mit dem Katalog von Sicherheitsanforderungen hat die Bundesnetzagentur (BNetzA) gleichzeitig eine Konsultation zum Entwurf einer „Liste kritischer Funktionen für öffentliche Telekommunikationsnetze und -dienste mit erhöhtem Gefährdungspotenzial“ gestartet (Link).
Die Liste kritischer Funktionen soll in Zukunft kontinuierlich aktualisiert werden, so dass neu gewonnene Erkenntnisse einfließen können. So werden etwa Ergebnisse internationaler Analysen, wie zum Beispiel seitens der Agentur der Europäischen Union für Cybersicherheit oder des Gremiums Europäischer Regulierungsstellen für elektronische Kommunikation berücksichtigt.
Als „kritisch“ werden derzeit die folgenden Funktionen angesehen:
- Teilnehmerverwaltung und kryptographische Mechanismen (sofern Bestandteil des Netzes)
- Netzwerkübergreifende Schnittstellen
- Netzwerkdienste
- Network Functions Virtualization (NFV) Management und Netzwerk-Orchestrierung (MANO) sowie Virtualisierung
- Management- und andere Unterstützungssysteme
- Transport und Informationsflussteuerung
- Lawful Interception
Stellungnahmen zur Konsultation der Liste kritischer Funktionen können bis zum 30. September 2020 abgegeben werden.
Gerne unterstützen wir Sie z.B. bei der Auswahl vertrauenswürdiger Anbieter, der Einschätzung bzw. Verringerung datenschutzrechtlicher Risiken und weiteren relevanten telekommunikations- sowie datenschutzrechtlichen Fragestellungen.
Bildnachweis: chaitawat, pixabay.com