Bundesnetzagentur veröffentlicht Katalog von Sicherheitsanforderungen

Die Bundesnetzagentur hat am 11.08.2020 die endgültige Fassung des Katalogs von Sicherheitsanforderungen nach §§ 109 TKG veröffentlicht. Die bereits in der im Oktober 2019 veröffentlichten Entwurfsfassung vorgesehenen Neuregelungen wurden weitestgehend in die Endfassung aufgenommen (eine Übersicht zu den damaligen Neuerungen der Entwurfsfassung finden Sie auf unserer Website). Daher soll im Folgenden insbesondere auf die zwischen Entwurfs- und Endfassung entstandenen Neuerungen sowie auf die vorgesehenen Übergangsfristen eingegangen werden. 
Sicherheit von Daten, Systemen und Einrichtungen:

• Zum sicheren Umgang mit sensiblen Daten, wie Verkehrs-, Steuer- oder Inhaltsdaten, auf Mobilen Endgeräten oder Wechseldatenträgern empfiehlt die BNetzA neben der Nutzung von Verschlüsselungstechnologien die Nutzung eines Mobile Device Managements (MDM). 
• Zum Schutz der Integrität und Verfügbarkeit von Netzwerk- und Informationssystemen muss sichergestellt werden, dass die Software von Netzwerk- und Informationssystemen nicht unberechtigt manipuliert werden kann. Hierfür sollten Maßnahmen zur Dokumentation von Änderungen und Erkennung unberechtigter Zugriffe getroffen werden.
• Aus der Entwurfsfassung wurden folgende Passagen gestrichen:

1. „Endgeräte sollten derart vorkonfiguriert werden, dass dem Fernmeldegeheimnis unterliegende Daten nur auf Wunsch des Nutzers gespeichert werden.“
2. „ Anruflisten bei VoIP-Routern [sollten] erst bei einer aktiven Wahl des Nutzers […] aktiviert werden.“

• Die Ausführungen zur Gefährdungsanalyse nach § 109 Abs. 4 Nr. 2 TKG wurden aktualisiert:
  „Zur Erstellung [der] Prognose wird die Vornahme einer Gefährdungsanalyse – regelmäßig bestehend aus einer Schutzbedarfs-, Bedrohungs- und Risikoanalyse – erforderlich. […] Maßgeblich für die Bestimmung einer Kritikalität ist die Bedeutung des zu schützenden Telekommunikationsnetzes oder -dienstes.“
  
  Die (abstrakte) Einstufung der Kritikalität erfolgt anhand der folgenden Stufen:

1. Standardkritikalität: Alle öffentlichen Telekommunikationsnetze und -dienste
2. Gehobene Kritikalität: Öffentliche Telekommunikationsnetze und -dienste, sofern sie für das Gemeinwohl eine größere Bedeutung haben. Als Anhaltspunkt für eine größere Bedeutung aufgrund der Teilnehmerzahl können die Regelungen des Gesetzes zur Sicherstellung von Postdienstleistungen und Telekommunikationsdiensten in besonderen Fällen (Post- und Telekommunikationssicherstellungsgesetz – PTSG) herangezogen werden (d.h. ab 100.000 Teilnehmern).
3. Erhöhte Kritikalität: Öffentliche Telekommunikationsnetze und -dienste, sofern sie für das Gemeinwohl eine herausragende Bedeutung haben. Neben der Teilnehmerzahl können auch Besonderheiten des Telekommunikationsnetzes/-dienstes auf eine bestimmte Bedeutung für das Gemeinwohl hindeuten. Ausdrücklich erwähnt werden hier zunächst nur öffentliche 5G-Mobilfunknetze mit Frequenzzuteilungen.

• Wurde bereits auf Grundlage des bisherigen Kataloges von Sicherheitsanforderungen (Version 1.1 v. 07.01.2016) ein Sicherheitskonzept entwickelt, kann dieses weiter bestehen. Soll hiervon jedoch aufgrund eines Bestandsschutzes abgewichen werden, sind diese Abweichungen zu dokumentieren und es ist darzulegen, dass bestehende Maßnahmen ausreichen. 
  
  Die Anforderungen des Katalogs sind spätestens ein Jahr nach Inkrafttreten, also bis zum 19.08.2021, zu erfüllen. 

Aus Anlage 1, welche die Anforderungen an TK-Diensteanbieter mit IP-Infrastruktur regelt, ergeben sich folgende Neuerungen: 

• Für den Netzbetrieb erforderliche Dienste müssen durch geeignete Maßnahmen und Komponenten vor DoS-/DDoS-Angriffen geschützt werden. Als Beispiele werden Zugriffsbeschränkungen (bzw. ACLs), Paketfilter oder DDoS-Mitigation-Devices genannt.
• Zur Detektion von Botnetzen sollen Diensteanbieter nicht zur Aufzeichnung des Telekommunikationsinhalts, sondern stattdessen zur Aufschaltung auf bestehende Verbindungen berechtigt sein, wenn eine betriebliche Notwendigkeit besteht und mildere Mittel nicht zielführend sind. 

Anlage 2, die zusätzliche Sicherheitsanforderungen für öffentliche Telekommunikationsnetze und -dienste mit erhöhtem Gefährdungspotenzial vorsieht, sieht folgende Übergangsfristen und Änderungen vor: 

• Komponenten zur Realisierung kritischer Funktionen dürfen nur dann eingesetzt werden, wenn sie von einer anerkannten Prüfstelle überprüft und zertifiziert worden sind. Sofern keine entsprechenden Zertifizierungsschemata (geregelt in der durch das BSI entworfenen Technischen Richtlinie) vorliegen, müssen Netzbetreiber und Diensteerbringer vorübergehend sonstige geeignete und angemessene technische Maßnahmen zur Gefahrenabwehr treffen. 
• Für die Zertifizierung besteht eine Übergangsfrist bis zum 31.12.2025, wenn der Pflichtige nachweisen kann und dokumentiert, dass dadurch keine zusätzlichen Gefährdungen zu erwarten sind und keine relevanten Sicherheitsverletzungen nach § 109 Abs. 5 TKG auftreten können. Eine Zertifizierung ist jedoch bereits vor Ablauf der Übergangsfrist erforderlich, wenn mindestens zwei geeignete, entsprechend zertifizierte Produkte unterschiedlicher Hersteller am Markt verfügbar sind.
• Bestandskomponenten, die nicht mehr neu verbaut werden, müssen nicht nachträglich zertifiziert werden. Erhält jedoch eine bereits im Netz eingesetzte kritische Komponente keine Zertifizierung oder verliert diese, muss sie bis 2025 ersetzt werden.  
• Die BNetzA ist zuständig, die Einhaltung dieser Vorgaben sicherzustellen. 
• Betreiber öffentlicher Kommunikationsnetze oder Erbringer öffentlich zugänglicher Telekommunikationsdienste mit erhöhter Kritikalität müssen zusätzlich zur Zertifizierung eine Erklärung über die Vertrauenswürdigkeit der Herstellern/Lieferanten kritischer Komponenten einholen. Zusätzlich zu den bereits in der Entwurfsfassung genannten Inhalten der Erklärung muss diese eine Erklärung beinhalten, ob und wie die Bezugsquelle sicherstellen kann, dass die kritische Komponente über keine technischen Eigenschaften verfügt, die geeignet sind, missbräuchlich auf Sicherheit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur einwirken zu können.
• Zur Vermeidung von Monokulturen sollen für das Kern-Netz (Backbone und Core Network), das Transportnetz und für Zugangsnetze (Radio Access Networks / Wired Access Networks) Komponenten von mindestens zwei unterschiedlichen Herstellern verwendet werden, sofern nicht Eigenentwicklungen der MNO (Mobilfunknetzbetreiber) zum Einsatz kommen. Netze sollen topologisch so gestaltet werden, dass bei kritischen Netzfunktionen und Netzelementen Diversität gegeben ist. Die BNetzA schlägt hierfür die Entwicklung offener Standards, wie etwa Open RAN, vor. 

Die BNetzA erstellt (und aktualisiert) gemeinsam mit dem BSI eine Liste kritischer Funktionen in Telekommunikationsnetzen. Kritische Komponenten müssen bis spätestens ein Jahr nach Veröffentlichung der Liste der kritischen Funktionen identifiziert und dokumentiert werden. Ein geplanter Einbau von kritischen Komponenten muss dann beim BSI und der BNetzA angezeigt werden. Die BNetzA hat zeitgleich mit der Endfassung des Sicherheitskatalogs einen ersten Entwurf dieser Liste veröffentlicht. 

Der Entwurf sieht zunächst 7 Kategorien von kritischen Funktionen vor: 

1. Teilnehmerverwaltung und kryptische Mechanismen (sofern Bestandteil des Netzes)
2. Netzwerkübergreifende Schnittstellen 
3. Netzwerkdienste
4. NVF Management und Netzwerk-Orchestrierung (MANO) sowie Virtualisierung 
5. Management- und andere Unterstützungssysteme
6. Transport und Informationsflussteuerung 
7. Lawful Interception (gesetzlich vorgesehene Überwachungsmaßnahmen)

Stellungnahmen zu diesem Entwurf können noch bis zum 30.09.2020 abgegeben werden. Bei etwaigen Stellungnahmen zum Entwurf sowie der weiteren Analyse der aus dem Katalog erwachsenden Verpflichtungen sind wir gerne behilflich.

Wir danken unserem studentischen Mitarbeiter Julian Drechsler für die Unterstützung.