Auf die Betreiber von Telekommunikations- und Datenverarbeitungssystemen kommen erhöhte Sicherheitsvorschriften zu. Die Bundesnetzagentur hat dazu am Montag den Entwurf eines neuen Anforderungskatalogs veröffentlicht und zur Konsultation gestellt. Basis für die umfassende Novelle ist Paragraf 167 Telekommunikationsgesetz (TKG). Mit dem Schritt will die Regulierungsbehörde den Katalog an die TKG-Novelle 2021 und den aktuellen Stand der Technik anpassen. Ziel ist, die Schutzmaßnahmen der Anbieter von TK-Diensten gegen aktuelle Bedrohungen und neue, technologiegetriebene Gefährdungspotenziale auch im Lichte der jahrelangen Huawei-Debatte zu verschärfen.

Eine wesentliche Neuerung ist die Erweiterung des Adressatenkreises aufgrund der überarbeiteten Definition von Telekommunikationsdiensten nach Paragraf 3 TKG. Einbezogen werden Anbieter nummernunabhängiger interpersoneller Kommunikationsdienste – dazu gehören Messenger-Dienste wie WhatsApp, Signal oder Threema. Diese müssen demnach künftig angemessene Vorkehrungen zum Schutz des Fernmeldegeheimnisses und personenbezogener Daten treffen.

Um die Maßnahmen verhältnismäßig zu halten, unterteilt die Behörde die Verpflichteten in drei Stufen von Gefährdungspotenzialen, die wiederum mit einem spezifischen Anforderungsprofil einhergehen. Ein erhöhtes Gefährdungsrisiko liegt vor, wenn eine „herausragende Bedeutung für das Gemeinwohl“ besteht. Entsprechende Betreiber müssen die vorgesehenen vollumfänglichen Schutzmaßnahmen einhalten. Ein „normales“ oder „gehobenes“ Gefährdungspotenzial soll vorliegen, wenn Anbieter weniger als zehn Mitarbeiter und einen Jahresumsatz von unter zwei Millionen Euro haben beziehungsweise eine überschaubare „Bedeutung für das Gemeinwohl“ haben.

Regierung kann kritische Komponenten verbieten

Den Kern der Verschärfung bildet die Behandlung von 5G-Netzen, die ein zentrales neues Gefährdungspotenzial darstellen und pauschal dem erhöhten Gefährdungspotenzial zugeordnet werden. Der Regulierer begründet das damit, dass 5G-Netze das künftige Rückgrat digitalisierter Volkswirtschaften darstellten, Milliarden von Systemen verbänden und sensible Informationen in Kritischen Infrastrukturen (Kritis) verarbeiteten.

Betreiber eines öffentlichen 5G-Mobilfunknetzes sollen daher zusätzlich spezifische Sicherheitsanforderungen erfüllen müssen. So trifft sie dem Entwurf nach etwa die Pflicht, kritische Funktionen und zugehörige Komponenten im Sinne des Gesetzes für das Bundesamt für Sicherheit in der Informationstechnik (BSI) festzulegen sowie diese Bestandteile zertifizieren zu lassen.

Laut der gesetzlich verankerten „Huawei-Klausel“ kann die Bundesregierung den Einsatz „kritischer Komponenten“ bei „voraussichtlichen Beeinträchtigungen der öffentlichen Sicherheit und Ordnung“ untersagen. Hersteller müssen eine Garantieerklärung abgeben.

Huawei-Klausel wird umgesetzt

Die vorgesehenen 5G-Sonderregelungen umfassen zudem Anforderungen zur Diversität in der Lieferkette und im Netzaufbau zum Reduzieren systemischer Risiken. Hinzu kommen sollen spezifische Maßnahmen zum Schutz der Identität und Privatheit der Teilnehmer sowie zum Sicherstellen der Vertraulichkeit und Integrität von Nutz- und Signalisierungsdaten. Enthalten sind ferner besondere Schutzvorkehrungen gegen Angriffe auf eine virtuelle Netzarchitektur sowie beim Einsatz von Cloud-Diensten.

Mit Anhang C konkretisiert die Bundesnetzagentur die technischen Anforderungen für paketvermittelte Netze, deren Anbindung an das Internet ein erhebliches Gefahrenpotenzial birgt. Die Maßnahmen decken aktuelle Cyber-Bedrohungen wie DDoS-Angriffe sowie Vorgaben zum Implementieren von DNSSEC (DNS Security Extensions) und Schutzmechanismen gegen Cache-Poisoning ab. Auch die Inter-Domain-Routing-Sicherheit soll erhöht werden durch Vorkehrungen zum Absichern des BGP-Routings (Border Gateway Protocol). Die Weitergabe falscher Routing-Informationen will die Behörde verhindern, Datenverkehr mit gefälschten Quell-IP-Adressen unterbinden. Enthalten sind zudem weitere Vorschriften zum Schutz vor Malware sowie zur Abwehr von Spam und Phishing.

Der Entwurf stellt im Kern die technische und regulatorische Umsetzung der politischen Entscheidung dar, die Sicherheit deutscher 5G-Netze signifikant zu erhöhen. Zugleich sollen die Risiken, die von Komponenten aus nicht-vertrauenswürdigen Staaten wie China ausgehen könnten, gemindert werden.

Stabile Datenverbindung „überlebenswichtig“

„Aufgrund der sich verändernden Gefährdungslage ist nachvollziehbar, dass der Sicherheitskatalog auf den Prüfstand gestellt wird“, erklärte Sven Knapp, Leiter des Hauptstadtbüros des Bundesverbands Breitbandkommunikation (Breko), heise online. „Telekommunikationsanbieter tragen eine große Sicherheitsverantwortung, da stabile Datenverbindungen in vielen Bereichen überlebenswichtig sind.“ Auch mit Blick auf die aktuelle geopolitische Lage investierten die Betreiber schon von sich aus immer stärker in die IT- und Netzsicherheit.

Im Einklang mit den Gesetzesvorgaben hat der Regulierer das Papier gemeinsam mit dem BSI und der Bundesdatenschutzbeauftragten Louisa Specht-Riemenschneider erstellt. Hersteller und Verbände können bis zum 19. Dezember Stellung dazu nehmen, bevor die Vorschriften finalisiert werden.

(wpl)