zurück zum Artikel

Die Bundesnetzagentur hat eine aktuelle Fassung des Sicherheitskatalogs und der Anforderungen an die Vertrauenswürdigkeit von Ausrüstern wie Huawei vorgelegt.

Die Bundesnetzagentur hat einen aktuellen Entwurf des Sicherheitskatalogs für kritische Telekommunikations- und Datenverarbeitungssysteme vorgelegt. Das mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesbeauftragten für den Datenschutz abgestimmte Papier soll die bisherigen Sicherheitsanforderungen des Telekommunikationsgesetzes (TKG), wie sie etwa für Netzbetreiber gelten, modernisieren und im Hinblick auf den neuen Mobilfunkstandard 5G zukunftssicher machen. Dabei spielen auch Bedenken hinsichtlich der Vertrauenswürdigkeit chinesischer Hardwarelieferanten eine Rolle.

Der Katalog [1] gelte für Betreiber von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten, teilte die Bundesnetzagentur am Dienstag mit. Er enthält detaillierte Vorgaben, wie zum Beispiel Netzbetreiber die Integrität und Sicherheit ihrer Systeme zu überwachen und wie sie bei Vorfällen zu reagieren haben. Einen ersten Entwurf hatte die Bundesnetzagentur im vergangenen Oktober vorgelegt [2].

"Höchste Sicherheitsstandards"

"Es ist wichtig, die Integrität von Informations- und Kommunikationssystemen gegen Bedrohungen zu schützen und höchste Sicherheitsstandards zu etablieren", sagt Wilhelm Eschweiler, Vizepräsident der Bundesnetzagentur. "Hierzu sollen kritische Funktionen für Telekommunikationsnetze und -dienste einen besonders hohen Schutz aufweisen". Diese Funktionen haben die Behörden in einer Liste [3] zusammengefasst. Darin sind unter anderem Teilnehmerverwaltung, netzwerkübergreifende Schnittstellen und die Schnittstellen für Sicherheitsbehörden [4] aufgeführt ("Lawful Interception").

"Der Mobilfunkstandard 5G ist eine wesentliche technologische Basis für eine erfolgreiche Digitalisierung", sagte BSI-Chef Arne Schönbohm. "Voraussetzung dafür ist ein ausgewogenes Maß an Informationssicherheit als Teil eines umfassenden Risikomanagements. Dazu haben wir als Cyber-Sicherheitsbehörde des Bundes gemeinsam mit der Bundesnetzagentur und dem Bundesdatenschutzbeauftragten den neuen Sicherheitskatalog erstellt und dafür gesorgt, dass moderne, leistungsfähige und sichere 5G-Netze aufgebaut und betrieben werden können."

Chinesische Ausrüster

Im Hinblick auf die Debatte über die Beteiligung chinesischer Ausrüster wie Huawei und ZTE am Ausbau der 5G-Netze ist die zweite Anlage relevant, die "zusätzliche Sicherheitsanforderungen für öffentliche Telekommunikationsnetze und -dienste mit erhöhtem Gefährdungspotenzial" enthält. Diese Anforderungen sind maßgeschneidert für den bisher von der Bundesregierung verfolgten Ansatz [5], dass kritische Infrastruktur zertifiziert werden und die Vertrauenswürdigkeit der Lieferanten garantiert werden muss.

Die Betreiber von Telekommunikationsnetzen müssen demnach dafür Sorge tragen, dass kritische Komponenten identifiziert sowie zertifiziert werden und die Produktintegrität sichergestellt ist. Sie müssen ihre Anlagen kontinuierlich überwachen, dürfen in sicherheitsrelevanten Bereichen nur eingewiesenes Fachpersonal einsetzen und sollten technische Monokulturen vermeiden. Die "Diversität" in den Netzen könnte künftig auch "durch die Anwendung offener Standards, wie etwa Open RAN, unterstützt werden", heißt es in dem Papier.

5G ist Vertrauenssache

Hinsichtlich des umstrittenen Einsatzes chinesischer Technik in 5G-Netzen – alle drei deutschen Netzbetreiber planen ihr Funknetz auch mit Huawei – verdient das Kapitel zur Vertrauenswürdigkeit der Lieferanten und Hersteller besondere Aufmerksamkeit. Lieferanten und Ausrüster müssen demnach detaillierte Zusicherungen in Bezug auf Produktintegrität und Zusammenarbeit in Sicherheitsfragen machen. Bei Verstößen sollen Vertragsstrafen greifen, die individuell auszuhandeln sind.

Kein Zugriff durch Dritte

Netzbetreiber sollen demnach insbesondere verpflichtet werden, ihre Bezugsquellen auf Vertrauenswürdigkeit zu untersuchen. Dazu müssen sie eine umfassende Erklärung der Lieferanten einholen, in der diese unter anderem versichern, dass sie keine Informationen an Dritte weitergeben, dass Informationen nicht an "ausländischen Stellen" gelangen und dass sie tatsächlich in der Lage sind, die "Weitergabe von vertraulichen Informationen von oder über seinen Kunden an Dritte abzulehnen".

Diese Bedingungen sind maßgeschneidert für den Einsatz von Huawei in deutschen Netzen. Der wird nicht nur in der Union mit Skepsis gesehen [6]: Abgesehen von bisher unbewiesenen Spionagevorwürfen der US-Regierung [7] zeigen sich deutsche Politiker aller Fraktion besorgt, dass Huawei zur Zusammenarbeit mit der chinesischen Regierung gezwungen werden könnte. Mit den entsprechenden Zertifizierungen und der glaubhaften Versicherung, nicht von Peking zur Kooperation gezwungen zu werden, stünde dem Einsatz von Huawei nichts im Wege.

[8]

Huawei begrüßte den "sachorientierten und auf technischen Standards basierenden Ansatz" der Bundesregierung. "Dadurch bleiben gleiche Wettbewerbsbedingungen für alle 5G-Netzausrüster erhalten", erklärte ein Sprecher gegenüber heise online. "Deutschland hat für alle Anbieter höhere und einheitliche Sicherheitsstandards festgelegt." Damit würden "alle Technologieanbieter gleichermaßen eingeladen, sich fair am Wettbewerb um die Bereitstellung von 5G-Technologie zu beteiligen, wenn sie die Sicherheitsanforderungen erfüllen." Huawei verspricht, "transparent mit Regulierungsbehörden, Kunden und Branchenorganisationen zusammenarbeiten."

Kill-Switch in Berlin

Doch will sich die Bundesregierung für den Fall der Fälle offenbar eine Option offen halten. Wie die Frankfurter Allgemeine Zeitung unter Berufung auf Regierungskreise berichtet, soll die Bundesregierung einem Lieferanten trotz Zertifizierung durch das BSI die Zulassung verweigern können, wenn Bundeskanzleramt, Auswärtiges Amt, Innen- und Wirtschaftsministerium einvernehmlich Bedenken haben. Zuletzt hatte die britische Regierung eine Kehrtwende vollzogen und will Huawei nun vom Ausbau ausschließen [9].

Der Sicherheitskatalog wird nun zur Notifizierung der Europäischen Kommission vorgelegt, die in Sachen 5G-Sicherheit bei einigen EU-Ländern noch Handlungsbedarf sieht [10]. Bis zum Abschluss dieses Verfahrens kann es noch zu Änderungen kommen. Zudem können interessierte Parteien noch bis Ende September zur vorgeschlagenen Liste der kritischen Funktionen Stellung nehmen. Diese Liste soll zudem kontinuierlich aktualisiert und fortgeschrieben werden. Der rechtliche Rahmen soll mit Änderungen am Telekommunikationsgesetz und vor allem dem IT-Sicherheitsgesetz 2.0 bilden. Dabei ist die Bundesregierung auch durch die Corona-Krise in Verzug geraten; beim IT-Sicherheitsgesetz zieht sich die Ressortabstimmung zwischen den Ministerien in die Länge. (vbr [11])

URL dieses Artikels:
https://www.heise.de/-4867966

Links in diesem Artikel:
[1] https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Anbieterpflichten/OeffentlicheSicherheit/KatalogSicherheitsanforderungen/KatalogSicherheitsanforderungen2.pdf?__blob=publicationFile&v=3
[2] https://www.heise.de/news/5G-Netze-Bundesnetzagentur-legt-Entwurf-fuer-Sicherheitskatalog-vor-4558399.html
[3] https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Anbieterpflichten/OeffentlicheSicherheit/KatalogSicherheitsanforderungen/ListekritischeFunktionen.pdf?__blob=publicationFile&v=2
[4] https://www.heise.de/news/US-Regierung-Huawei-soll-Backdoors-fuer-Strafverfolger-zur-Spionage-nutzen-4658494.html
[5] https://www.heise.de/news/Merkel-Bei-5G-Netz-Anbieter-nicht-von-vornherein-ausschliessen-4597961.html
[6] https://www.heise.de/news/5G-Netze-Bundesregierung-muss-Huawei-Frage-beantworten-4844780.html
[7] https://www.heise.de/news/5G-Mobilfunk-Im-US-Kampf-gegen-Huawei-steht-Europa-im-Fokus-4666580.html
[8] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[9] https://www.heise.de/news/5G-Netze-Briten-schliessen-Huawei-aus-4843863.html
[10] https://www.heise.de/news/5G-Sicherheit-EU-Kommission-sieht-noch-Handlungsbedarf-4852378.html
[11] mailto:vbr@heise.de

Copyright © 2020 Heise Medien