Aktuelles, Experten - geschrieben von cp am Donnerstag, März 7, 2019 23:03 - ein Kommentar
Eckpunkte für Sicherheitsanforderungen von TK-Netzen veröffentlicht
[datensicherheit.de, 07.03.2019] Die Bundesnetzagentur (BNetzA) hat heute, 07.03.2019, Eckpunkte für eine Erweiterung des Katalogs an Sicherheitsanforderungen für den Betrieb von Telekommunikationsnetzen veröffentlicht. Sie wurden im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) entwickelt.
Im Rahmen ihrer Sicherheitskonzepte müssen Unternehmen zukünftig die erweiterten Sicherheitsanforderungen erfüllen. Das gilt insbesondere auch für den anstehenden Ausbau des 5G-Netzes in Deutschland, das eine zentrale kritische Infrastruktur für Zukunftstechnologien darstellt.
Technik muss höchste Sicherheitsstandards erfüllen
Angesichts der Bedeutung von 5G für die künftige Wettbewerbsfähigkeit des Standortes muss die Technik, die beim Ausbau von 5G zum Einsatz kommt, höchste Sicherheitsstandards erfüllen. Sicherheitsbedenken müssen so weit wie möglich ausgeschlossen werden. Das gilt für die eingesetzte Hard- und Software gleichermaßen.
Wesentliche Inhalte der Eckpunkte des ergänzten Sicherheitskatalogs sind:
- Systeme dürfen nur von vertrauenswürdigen Lieferanten bezogen werden, die nationale Sicherheitsbestimmungen sowie Bestimmungen zum Fernmeldegeheimnis und zum Datenschutz zweifelsfrei einhalten.
- Der Netzverkehr muss regelmäßig und kontinuierlich auf Auffälligkeiten hin beobachtet werden, und im Zweifelsfall sind geeignete Maßnahmen zum Schutz zu ergreifen.
- Sicherheitsrelevante Netz- und Systemkomponenten (kritische Kernkomponenten) dürfen nur eingesetzt werden, wenn sie von einer vom BSI anerkannten Prüfstelle auf IT-Sicherheit überprüft und vom BSI zertifiziert wurden. Kritische Kernkomponenten dürfen nur von vertrauenswürdigen Lieferanten/Herstellern bezogen werden. Dies schließt auch eine Zusicherung der Vertrauenswürdigkeit seitens der Lieferanten/ Hersteller ein.
- Sicherheitsrelevante Netz- und Systemkomponenten (kritische Kernkomponenten) dürfen nur nach einer geeigneten Abnahmeprüfung bei Zulieferung eingesetzt werden und müssen regelmäßig und kontinuierlich Sicherheitsprüfungen unterzogen werden. Die Definition der sicherheitsrelevanten Komponenten (kritische Kernkomponenten) erfolgt einvernehmlich zwischen BNetzA und BSI.
- In sicherheitsrelevanten Bereichen darf nur eingewiesenes Fachpersonal eingesetzt werden.
Es ist nachzuweisen, dass die für ausgewählte, sicherheitsrelevante Komponenten geprüfte Hardware und der Quellcode am Ende der Lieferkette tatsächlich in den verwendeten Produkten zum Einsatz kommen.
Bei Planung und Aufbau der Netze sollen „Monokulturen“ durch Einsatz von Netz- und Systemkomponenten unterschiedlicher Hersteller vermieden werden. - Bei Auslagerung von sicherheitsrelevanten Aufgaben dürfen ausschließlich fachkompetente, zuverlässige und vertrauenswürdige Auftragnehmer berücksichtigt werden.
- Für kritische, sicherheitsrelevante Netz- und Systemkomponenten (kritische Kernkomponenten) müssen ausreichend Redundanzen vorgehalten werden.
Angesichts der bevorstehenden Versteigerung der 5G-Frequenzen Mitte März begrüßt die Bundesregierung die ergänzenden Vorgaben. Die Unternehmen erhalten dank der Eckpunkte Klarheit für ihre weiteren Planungen.
Der Sicherheitskatalog ist für sie verbindlich.
Um konkrete Anforderungen auch auf Gesetzesebene abzusichern, plant die Bundesregierung darüber hinaus eine Änderung des § 109 des Telekommunikationsgesetzes im Rahmen der laufenden großen Novelle des Telekommunikationsgesetzes. Dabei soll eindeutig geregelt werden, dass die Betreiber die Einhaltung des Sicherheitskatalogs nachzuweisen haben. Auch Zertifizierungsplichten sollen auf gesetzlicher Ebene verankert werden.
Änderung des Gesetzes über das BSI beabsichtigt
Ferner beabsichtigt die Bundesregierung eine Änderung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik, mit Regelungen für Kritische Infrastrukturen und die Vertrauenswürdigkeit von Komponenten, die in kritischen Infrastrukturen zum Einsatz kommen. Kritische Kernkomponenten, die in Kritischen Infrastrukturen eingesetzt werden, sollen nur von vertrauenswürdigen Lieferanten/Herstellern bezogen werden dürfen. Diese Verpflichtung soll für die gesamte Lieferkette gelten. Der Nachweis der Vertrauenswürdigkeit wird im Rahmen der Zertifizierung nach den Vorgaben des § 9 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik zu erbringen sein.
Weitere Informationen zum Thema:
datensicherheit.de, 23.02.2019
Sicherheit in 5G-Netzen
datensicherheit.de, 13.03.2016
F5 Networks warnt vor Sicherheitsrisiken beim neuen 5G-Standard
ein Kommentar
CS-Girl
Kommentieren
Aktuelles, Experten, Veranstaltungen - Okt 2, 2024 18:15 - noch keine Kommentare
Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
weitere Beiträge in Experten
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
- BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt
- EAID-Online-Diskussion: Cybersecurity und Datenschutz im globalen Spannungsfeld
- Cybercrime: BKA meldet erfolgreichen Schlag gegen Infrastruktur digitaler Geldwäscher der Underground Economy
Aktuelles, Branche - Sep 30, 2024 18:43 - noch keine Kommentare
Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur
weitere Beiträge in Branche
- Satnam Narang kommentiert Schwachstellen im CUPS-Drucksystem
- Telegram: Lothar Geuenich plädiert für Balance zwischen Sicherheit und Verantwortung
- Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen
- NIS-2-Richtlinie macht Druck: Veraltete Software auf Geräten erhöht Cyber-Risiko
- Frust in der IT-Abteilung: Erkenntnisse einer Sophos-Umfrage unter IT-Sicherheitspersonal
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Mal sehen, ob das bei der Frequenzversteigerung auch eine Rolle spielt…