5G-Netze: Bundesnetzagentur legt Entwurf für Sicherheitskatalog vor

In der Debatte um die Sicherheit der Mobilfunknetze stellt die Regulierungsbehörde neue Anforderungen an Netzbetreiber und Zulieferer zur Diskussion.

In Pocket speichern vorlesen Druckansicht 9 Kommentare lesen
5G Symbolbild

(Bild: heise online/vbr)

Lesezeit: 4 Min.

Die Bundesnetzagentur hat ihren Entwurf für eine Neufassung des Sicherheitskatalogs für Telekommunikationsnetze und IT-Systeme vorgelegt. Der Entwurf, zu dem nun noch die beteiligten Unternehmen und Verbände Stellung nehmen können, beruht auf einem Eckpunktepapier, das die Regulierungsbehörde im Frühjahr vorgelegt hatte. "Es ist wichtig, Informations- und Kommunikationssysteme gegen Bedrohungen zu schützen", erläutert Jochen Homann, Präsident der Bundesnetzagentur. "Hierzu leisten die aktualisierten Sicherheitsanforderungen für Telekommunikationsnetze und -dienste einen wichtigen Beitrag."

Die gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erarbeiteten Sicherheitsanforderungen sehen unter anderem vor, das technische Komponenten und Software in kritischen Bereichen zertifiziert werden müssen. Netz- und Systembetreiber müssen darüber hinaus einen Nachweis der Vertrauenswürdigkeit von Lieferanten und Herstellern der eingesetzten Technik einholen. Zudem soll in sicherheitsrelevanten Bereichen "nur eingewiesenes Fachpersonal" eingesetzt werden.

"Mit dem aktualisierten Sicherheitskatalog stellen wir durch technische Anforderungen an Telekommunikationsnetze sicher, dass Vertraulichkeit, Integrität und Verfügbarkeit der Kommunikation auf einem hohen Niveau gewährleistet werden", erklärt BSI-Präsident Arne Schönbohm. Das BSI soll den Plänen der Bundesregierung zufolge eine zentrale Rolle bei der Bewertung der Komponenten und der Netzsicherheit spielen. So soll das Bundesamt unter anderem die geforderte Zertifizierung für sicherheitsrelevante Netz- und Systemkomponenten übernehmen.

Das Kriterium der Vertrauenswürdigkeit war zuletzt in die Diskussion geraten. Verschiedene Medien hatten unter Berufung auf Quellen in den beteiligten Ministerien berichtet, die Anforderung der Vertrauenswürdigkeit sei auf Wunsch der Kanzlerin im Entwurf abgeschwächt worden. Regierungssprecher Steffen Seibert weist diese Darstellung zurück: Es habe "keine Intervention des Bundeskanzleramts gegeben, um die von der Bundesnetzagentur entworfenen Sicherheitsanforderungen abzumildern", sagte er am Montag vor der Bundespressekonferenz.

Während es im Eckpunktepapier hieß, Systeme dürften "nur von vertrauenswürdigen Lieferanten bezogen werden, die nationale Sicherheitsbestimmungen sowie Bestimmungen zum Fernmeldegeheimnis und zum Datenschutz zweifelsfrei einhalten", wird das Kriterium der Vertrauenswürdigkeit im nun vorgelegten Entwurf auf gut zwei Seiten etwas genauer umrissen. So heißt es, die Zertifizierung alleine sei "keine Aussage zur Vertrauenswürdigkeit der jeweiligen Bezugsquelle". Diese müsse separat erfolgen, die Bundesnetzagentur setzt dabei auf eine Reihe von Verpflichtungen und Versicherungen der Anbieter.

So sollen die "Bezugsquellen" – das können Händler oder Hersteller sein – verschiedene Garantien hinsichtlich der Datensicherheit vor allem vertraulicher Informationen und deren Weitergabe an Dritte abgeben. Darüber hinaus sollen Zulieferer versichern, dass sie "rechtlich und tatsächlich in der Lage" sind, eine Weitergabe von vertraulichen Informationen an Dritte abzulehnen. Diese Formulierung ist im Hinblick auf die Debatte um Huawei und die mögliche Rechtspflicht des Unternehmens, im Falle des Falls mit dem chinesischen Geheimdienst zu kooperieren, bemerkenswert.

Zudem sollen Zulieferer garantieren, dass sie keine Hintertüren in die Infrastruktur einbauen. Die mögliche Existenz solcher Backdoors oder gar eines Killswitches war in der Debatte um die Beteiligung von Huawei am 5G-Ausbau wiederholt als Sicherheitsrisiko beschworen worden, ohne dass es dazu einen konkreten Anlass gegeben hätte. Die Bezugsquellen sollen darüber hinaus verpflichtet werden, auf Anfrage konkrete Angaben über die Produktentwicklung der sicherheitsrelevanten Produkte zu machen.

"Die technische Fortentwicklung der Mobilfunknetze bedeutet mehr Geschwindigkeit, Effizienz und Effektivität in wirtschaftlichen und behördlichen Abläufen, mehr Komfort und Bequemlichkeit im privaten Bereich", erklärt Schönbohm. "Dies wird uns jedoch nur dann gelingen, wenn wir von Anfang an für ein angemessenes Risikomanagement sorgen, etwa durch den Einsatz geeigneter Verschlüsselungsverfahren." Die betroffenen Unternehmen und Verbände können nun bis zum 13. November 2019 Kommentare und Stellungnahmen abgeben. (vbr)