[datensicherheit.de, 27.03.2024] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) meldet die Veröffentlichung einer Handreichung zum Thema „5G-Campusnetze“: Der Mobilfunkstandard 5G sei eine Schüsseltechnologie, welche sich zum größten Infrastrukturvorhaben des kommenden Jahrzehnts entwickele und die Digitalisierung von Staat, Wirtschaft und Gesellschaft auf eine vollkommen neue Basis stelle. Um Daten zu schützen und die Verfügbarkeit sogenannter 5G-Campusnetze zu gewährleisten, müssten sich die Anwender selbst um deren Absicherung kümmern. Eine jetzt veröffentlichte TeleTrusT-Handreichung soll sich nun an alle interessierten Unternehmen, Institutionen und Organisationen richten, welche bereits 5G-Netze produktiv oder als Testkonzept betreiben. Konkret angesprochen werden solle die Ebene der IT-Administration und IT-Leitung.

Potenzialreiche 5G-Technik kann Digitalisierung deutlichen Schub geben

5G-Technik habe das Potenzial, der Digitalisierung in den kommenden Jahren einen deutlichen Schub zu geben. „Um dies erfolgreich zu realisieren, muss die IT-Sicherheit ausreichend berücksichtigt werden. Die Sicherheit von öffentlichen 5G-Netzen soll in Deutschland durch Regulierung erreicht werden. Die IT-Sicherheit privater 5G-Netze ist dagegen freiwillig und liegt in der Verantwortung der Betreiber.“ Betreiber sogenannter 5G-Campusnetze müssten nur eine Nutzungslizenz für die Frequenzen bei der Bundesnetzagentur beantragen – weitere Auflagen an die Auswahl der Technik und minimaler IT-Sicherheitsmaßnahmen gebe es dagegen nicht.

Aktuell würden 5G-Campusnetze unter anderem in der Logistik für die Steuerung von führerlosen Transportsystemen, für die Vernetzung von IoT-Geräten (Internet der Dinge {und Dienste} / Internet-of-Things) in der Gebäudeautomation oder beim Produktionsprozess im industriellen Umfeld zur Steuerung und Überwachung von Maschinen und Robotern in Echtzeit verwendet. Aber auch im medizinischen oder landwirtschaftlichen Bereich fänden 5G-Campusnetze bereits Anwendung.

5G-Campusnetze erfordern in der Regel komplexes IT-Sicherheitsmanagment

5G-Campusnetze seien in der Regel komplex in Bezug auf ihre Architektur und die große Anzahl unterstützter Gerätetypen (IoT-Geräte). Dies könne potenziell eine Reihe von Angriffsvektoren eröffnen. In 5G-Netzen komme verstärkt auch Virtualisierung zum Einsatz, welche Flexibilität und Effizienz ermögliche. „Aber dies bringt auch neue Sicherheitsrisiken durch Schwachstellen in Virtualisierungstechnologien mit sich, z.B. nicht wirksame Separierung von Gastsystemen.“ Die Hardwarekomponenten eines 5G-Campusnetzes benötigten darüber hinaus einen adäquaten Schutz vor physischen Zugriffen.

Zur Eindämmung potenzieller Bedrohungen müssten in 5G-Campusnetzen geeignete IT-Sicherheitsmaßnahmen umgesetzt werden. Dazu gehörten unter anderem starke Authentifizierungs- und Verschlüsselungsverfahren, regelmäßige Überwachung des Netzwerkverkehrs, Netzwerksegmentierung und regelmäßige Sicherheitsupdates. „Die jetzt publizierte TeleTrusT-Handreichung dient hierbei als Orientierungshilfe. Neben einem Überblick zu Betriebsmodellen, Einsatz- und Bedrohungsszenarien ist der TeleTrusT-Handreichung ein ergänzender Fragenkatalog beigefügt. Dieser listet wichtige Fragen auf, die beim Aufbau und Betrieb eines 5G-Campusnetzes gestellt werden sollten, um bei der Auswahl der Technologie, des Anbieters und des Betriebsmodells auch die IT-Sicherheit zu berücksichtigen.“

Hilfsmittel für Institutionen und Unternehmen, um IT-Sicherheit privater 5G-Netze zu gewährleisten

Die Publikation wurde demnach in der TeleTrusT-AG „Smart Grids / Industrial Security“ erarbeitet. Sebastian Fritsch (secuvera GmbH), Koordinator der Erarbeitung, erläutert: „Neue 5G-Netzbetreiber erhalten mit der Handreichung eine praktische Fragenliste, um mit Anbietern neben funktionalen Aspekten auch die IT-Sicherheit noch vor der Beschaffung zu diskutieren.“ Die Autorengruppe habe Workshops mit Anwendern und Anbietern von 5G-Campusnetzen durchgeführt und einen niederschwelligen Einstieg in das Thema erstellt. Diese Handreichung richte sich primär an die IT-Verantwortlichen und Administratoren in Organisationen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) habe das Projekt unterstützt. Uwe Hoppenz, BSI-Fachbereichsleiter SZ3 (Cyber-Sicherheit in mobilen Infrastrukturen und Chiptechnologie), kommentiert: „Die bereitgestellte Handreichung dient als Hilfsmittel für Institutionen und Unternehmen, um die IT-Sicherheit ihrer privaten 5G-Netze von der Planungs- bis hin zur Betriebsphase zu gewährleisten.“

Weitere Informationen zum Thema:

TeleTrusT Bundesverband IT-Sicherheit e.V.
5G-Campusnetze

[datensicherheit.de, 19.06.2023] Laut einer aktuellen Meldung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) ist eine Neuauflage der Broschüre „Datenschutz und Telekommunikation“ erschienen – nach einer umfangreichen Überarbeitung kann demnach die „Info 5“ zur Telekommunikation nun bezogen werden: „Die Broschüre können Sie als PDF-Datei herunterladen oder als gedruckte Version bestellen.“

Abbildung: BfDI

Der BfDI: Telekommunikation ist der Taktgeber unserer Digitalen Gesellschaft

Telekommunikation als Rückgrat der modernen Informationsgesellschaft

Telekommunikation sei das Rückgrat der modernen Informationsgesellschaft – in einem ständig im Wandel befindlichen Marktumfeld sei es der Datenschutz, welcher einen wesentlichen „Vertrauensanker“ schaffe.

Rechtliche und technische Fragestellungen zum Datenschutz und zur Telekommunikation

Mit der neuen „Info 5“ möchte der BfDI eine Handreichung für diese komplexe Materie bieten. Diese Broschüre adressiere dabei insbesondere typische rechtliche und technische Fragestellungen, welche „in der täglichen Beratungspraxis des BfDI von Bedeutung sind“.

Weitere Informationen zum Thema:

BfDI, 20.06.2023
Datenschutz und Telekommunikation (Info 5)

[datensicherheit.de, 10.05.2023] Laut einer aktuellen Meldung des Bundesverbands IT-Sicherheit e.V. (TeleTrusT) wurde eine überarbeitete Fassung der eigenen Handreichung „Stand der Technik“ veröffentlicht:

Abbildung: TeleTrusT

Stand der Technik 2023 – Technische und Organisatorische Maßnahmen

Orientierung auch der IT-Sicherheit am Stand der Technik gefordert

Laut TeleTrusT fordern nationale und auch europäische Rechtsquellen die Orientierung auch der IT-Sicherheit am sogenannten Stand der Technik – „lassen aber in Teilen unbeantwortet, was im Detail darunter zu verstehen ist“.

In Deutschland arbeiten demnach die im TeleTrusT organisierten Fachkreise kontinuierlich an einer Handreichung, deren aktualisierte Fassung jetzt veröffentlicht wurde.

Dokument 2023 zum Stand der Technik in der IT-Sicherheit mit konkreten Hinweisen und Handlungsempfehlungen

Sowohl nationale als auch europäische Gesetzgeber enthielten sich weitgehend konkreter, detaillierter technischer Anforderungen und Bewertungskriterien: „Den Gesetzesadressaten werden auch kaum methodische Ansätze geliefert.“ Diese Ausgestaltung, zumal in einem dynamischen Marktumfeld, bleibe den Fachkreisen überlassen.

Das vom TeleTrusT veröffentlichte Dokument zum Stand der Technik in der IT-Sicherheit soll vor diesem Hintergrund „konkrete Hinweise und Handlungsempfehlungen“ geben.

Handreichung zum Stand der Technik für Unternehmen, Anbieter und Dienstleister

Diese Handreichung solle Unternehmen, Anbietern und Dienstleistern Hilfestellung zur Bestimmung des Standes der Technik in der IT-Sicherheit bieten und könne als Referenz z.B. für vertragliche Vereinbarungen, Vergabeverfahren bzw. für die Einordnung implementierter Sicherheitsmaßnahmen dienen. „Es ersetzt nicht eine technische, organisatorische oder rechtliche Beratung bzw. Bewertung im Einzelfall.“

„Die seit 2019 etablierte und fachlich breit anerkannte TeleTrusT-Handreichung wurde nach gründlicher Überarbeitung in Deutsch und Englisch neu veröffentlicht.“

Weitere Informationen zum Thema:

TeleTrusT Bundesverband IT-Sicherheit e.V.
Stand der Technik in der IT-Sicherheit

Bundesverband IT-Sicherheit e.V. TeleTrusT
IT-Sicherheitsgesetz und Datenschutz-Grundverordnung: Handreichung zum Stand der Technik / Technische und organisatorische Maßnahmen

[datensicherheit.de, 16.06.2021] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat die „zweite Handreichung für ein sicheres IT-Ökosystem in Deutschland und Europa“ veröffentlicht. Laut TeleTrusT beschreibt das Dokument „auf technisch hohem Niveau, welche Maßnahmen nötig sind, um eine ,Secure Platform‘ zu realisieren“.

TeleTrusT: Digitale Souveränität Grundlage erfolgreicher Digitalisierung und nachhaltiger Wettbewerbsfähigkeit

Digitale Souveränität sei die Grundlage erfolgreicher Digitalisierung und nachhaltiger Wettbewerbsfähigkeit Deutschlands und Europas. Dazu gehöre „ein grundlegendes Maß an Unabhängigkeit von fernöstlich und US-amerikanisch dominierten Lieferketten durch relevante innereuropäische Technologieproduktion“.
Zudem seien sogenannte Technologie-Landschaften „komplexitätsminimiert und transparent“ aufzustellen. Nachhaltige IT-Sicherheit sollte stets ein relevantes Entscheidungskriterium sein – sowohl im Design- als auch im Einkaufsprozess von Technologien. Aktuell sei all dies nicht gegeben.

2. TeleTrusT-Handreichung liefert Empfehlungen in höchster fachlicher Tiefe und Breite

„Digitale Souveränität ist aktuell in allen politischen Diskussionen präsent. Die Nicht-Verfügbarkeit von heimischer Halbleiterfertigung hat höchste politische Aufmerksamkeit erlangt, so dass eine europäische Halbleiter-Allianz proklamiert wird. Als engagierte Mitglieder des TeleTrusT-Arbeitskreises ,Secure Platform‘ haben wir diese Themen bereits seit 2019 auf unserer Agenda“, erläutert Dr. André Kudra, Leiter des TeleTrusT-Arbeitskreises „Secure Platform“, und betont:
„Heute leisten wir erneut einen Beitrag zur Stärkung der europäischen Digitalen Souveränität. Unsere zweite Handreichung liefert in höchster fachlicher Tiefe und Breite Empfehlungen, wie sichere technische Plattformen architekturell und systemisch zu realisieren sind.“ Für die Phase 3 sei TeleTrusT entschlossen, eine entsprechende Realisierung voranzutreiben.

TeleTrusT-Handreichung soll helfen, manipulationssichere Verarbeitung technisch sicherzustellen

Diese Handreichung des TeleTrusT-Arbeitskreises sei ein umfassendes Werk, welches der Problemstellung in Sachen Abhängigkeit von außereuropäisch dominierten Lieferketten Rechnung trage. Ausgangspunkt sei weiterhin die Förderung Digitaler Souveränität durch die Stärkung bzw. Schaffung eines „europäischen IT-Ökosystems“, um manipulationssichere Verarbeitung technisch sicherzustellen.
Das Konzept baue auf dem etablierten IT-Schichtenmodell auf und erweitere dieses gezielt. Ein Angriffsmodell mit staatlichen Akteuren, Lieferanten, Betreibern und externen Angreifern werde darübergelegt, um konkrete Anknüpfungspunkte für technische Empfehlungen abzuleiten.

Weitere Informationen zum Thema:

TeleTrusT, Secure Platform
2. Handreichung (2021) / Technische Empfehlungen für das europäische IT-Ökosystem

[datensicherheit.de, 13.06.2018] Zum „Stand der Technik“ hinsichtlich Datensicherheitsfragen gemäß IT-Sicherheitsgesetz und DSGVO hat der Bundesverband IT-Sicherheit e.V. (TeleTrusT) eine revidierte und erweiterte Handreichung veröffentlicht. Mit dem „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz / ITSiG) verfolgt der Gesetzgeber demnach das Ziel, Defizite der Sicherheit informationstechnischer Systeme abzubauen. Daneben gilt seit dem 25. Mai 2018 die EU-Datenschutz-Grundverordnung (DSGVO) mit ihren hohen Anforderungen an die technischen und organisatorischen Maßnahmen. Beide Rechtsquellen fordern die Orientierung der IT-Sicherheit am sogenannten Stand der Technik, lassen aber laut TeleTrusT unbeantwortet, was im Detail darunter zu verstehen ist.

Detaillierung technischer Anforderungen und Bewertungskriterien erforderlich

Der TeleTrusT hat nach eigenen Angaben seine Handreichung zum Stand der Technik überarbeitet und im Lichte neuer Erkenntnisse erweitert. Täglich zeigten Meldungen zu Sicherheitsverletzungen in Unternehmen und Behörden, dass dringender Handlungsbedarf zur Verbesserung der IT-Sicherheit bestehe.
Artikel 32 DSGVO regelt zur „Sicherheit der Verarbeitung“, dass „unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen sind.
Damit solle ein dem Risiko angemessenes Schutzniveau gewährleistet werden, z.B. durch Maßnahmen wie Verschlüsselung. Sowohl der nationale als auch der europäische Gesetzgeber enthielten sich jedoch konkreter, detaillierter technischer Anforderungen und Bewertungskriterien für die sicherheitsrelevanten technischen und organisatorischen Maßnahmen. Den Gesetzesadressaten würden auch keinerlei methodische Ansätze geliefert. Diese Ausgestaltung, zumal in einem dynamischen Marktumfeld, müsse den Fachkreisen überlassen bleiben.

Hilfestellung zur Bestimmung des Standes der Technik

TeleTrusT möchte die Rechtslage mit der fachlichen Kompetenz der organisierten IT-Sicherheitswirtschaft in Deutschland flankieren und ergänzen. Eine eigene Expertengruppe habe die bestehende „TeleTrusT-Handreichung zum Stand der Technik“ überarbeitet und ergänzt. Dieses Dokument gebe konkrete Hinweise und Handlungsempfehlungen.
„Unsere Handreichung zum Stand der Technik soll Unternehmen, Anbietern und Dienstleistern Hilfestellung zur Bestimmung des ,Standes der Technik‘ im Sinne des IT-Sicherheitsgesetzes und der Datenschutz-Grundverordnung geben. Das Dokument kann dabei als Referenz für vertragliche Vereinbarungen, Vergabeverfahren bzw. für die Einordnung implementierter Sicherheitsmaßnahmen dienen“, erläutert Rechtsanwalt Karsten U. Bartels LL.M. von HK2 Rechtsanwälte, zugleich TeleTrusT-Vorstand und Leiter der TeleTrusT-AG „Recht“.
„Mit der Handreichung in der Auflage 2018 setzen wir einen weiteren Meilenstein in der Bestimmung des ,Standes der Technik‘ von technischen und organisatorischen Sicherheitsmaßnahmen. Das soll auch in Zukunft so bleiben“, betont Tomasz Lawicki von AC Schwerhoff, zugleich Leiter des TeleTrusT-Arbeitskreises „Stand der Technik“.
Die Handreichung verstehe sich als Ausgangspunkt bei der Ermittlung von gesetzlichen IT-Sicherheitsmaßnahmen; sie ersetze nicht eine technische, organisatorische oder rechtliche Beratung bzw. Bewertung im Einzelfall.

Weitere Informationen zum Thema:

TeleTrusT
Arbeitskreis „Stand der Technik“

TeleTrusT
IT-Sicherheitsgesetz und Datenschutz-Grundverordnung: Handreichung zum „Stand der Technik“ technischer und organisatorischer Maßnahmen / Revidierte und erweiterte Ausgabe 2018

[datensicherheit.de, 01.03.2017] Die kryptographische Währung „Bitcoin“ und die als „Blockchain“ bekannte dahinterstehende Technologie sind aktuelle Hype-Themen, jedoch inhaltlich einem breiteren Publikum noch weitgehend unbekannt. Daher hat der Bundesverband IT-Sicherheit e.V. (TeleTrusT) jetzt eine Handreichung zum Umgang mit der sogenannten Blockchain veröffentlicht.

Vertrauenswürdige IT- und Netz-Infrastrukturen entwickeln!

Grundlegend sei, dass Blockchains kryptographische Funktionen verwendeten und als dezentrale Systeme arbeiteten. Sichere IT spiele dabei eine wesentliche Rolle. Schließlich gehe es darum, mit der Blockchain-Technologie vertrauenswürdige IT- und Netz-Infrastrukturen zu entwickeln.
Praktische Anwendungsfälle mit Bezug zu IT-Sicherheit seien daher zentrales Thema der Handreichung.

Elektronische Identitäten und Zugriffskontrollmechanismen

Oftmals werde die Blockchain mit „Bitcoin“ auf eine sehr spezielle Anwendung reduziert. Im Fokus der TeleTrusT-Publikation stehe daher das Potenzial der Blockchain-Technologie insgesamt.
Diese zeige auf, welche Anwendungen von Blockchains profitieren könnten und für wen diese Anwendungen dann praktischen Nutzen entfalteten. Dabei könnten am Ende sowohl komplett offene Anwendungsfälle als auch Anwendungen für geschlossene Nutzergruppen in Betracht kommen. Exemplarisch werde dies im Umfeld von elektronischen Identitäten und Zugriffskontrollmechanismen dargestellt.

Enorme Potenzial der Blockchain-Technologie

Dr. André Kudra, Leiter der TeleTrusT-Arbeitsgruppe „Blockchain“, sieht gute Chancen für eine Verbreitung der Technologie und damit für die IT-Sicherheitswirtschaft:
„Für TeleTrusT ist in Bezug auf die Blockchain insbesondere ,IT Security made in Germany‘ von Bedeutung. Deutschland kann den Ausbau einer sicheren IT-Infrastruktur vorantreiben und nationale und internationale Vertrauensräume mit sicheren IT-Anwendungen schaffen“, so Kudra. Das enorme Potenzial der Blockchain-Technologie biete hierfür interessante Möglichkeiten.

Weitere Informationen zum Thema:

TeleTrusT
TeleTrusT-Positionspapier zu „Blockchain“ / Handreichung zum Umgang mit der Blockchain

datensicherheit.de, 21.03.2017
Manifest zur IT-Sicherheit auf der CeBIT 2017 an BMI und BMWi überreicht

[datensicherheit.de, 28.05.2016] Der Gesetzgeber hat zur Stärkung der Cyber-Sicherheit Unternehmen durch das IT-Sicherheitsgesetz verpflichtet, bei Auswahl, Implementierung und Betrieb von IT-Sicherheitsmaßnahmen den sogenannten „Stand der Technik“ zu berücksichtigen. Dies gelte für Betreiber Kritischer Infrastrukturen (KRITIS) wie für jedes Nicht-KRITIS-Unternehmen, welches eine Website oder einen anderen Telemediendienst betreibt. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat hierzu eine Handreichung veröffentlicht, die den Unternehmen als Handlungsempfehlung und Orientierung zur Ermittlung des Standes der Technik in der IT-Sicherheit dienen soll.

Einzigartige Handreichung für die Unternehmenspraxis

Diese Handreichung soll den anwendenden Unternehmen und Anbietern (Hersteller, Dienstleister) gleichermaßen Hilfestellung zur Bestimmung des „Standes der Technik“ geben. Das nach TeleTrusT-Angaben von einer interdisziplinären Expertengruppe erarbeitete Dokument enthält in strukturierter Form detaillierte, praxisrelevante Hinweise.
Das Dokument biete eine fachliche Basis zur Umsetzung der gesetzlichen Anforderungen und eigne sich ebenso als Vertragsreferenz für Vereinbarungen über IT-Sicherheitsleistungen, sagt RA Karsten U. Bartels LL.M., TeleTrusT-Vorstand und Leiter der TeleTrusT-AG „Recht“. Diese Handreichung für die Unternehmenspraxis sei in dieser Form bislang einzigartig und schließe eine Lücke, die der Gesetzgeber durch den Rahmencharakter der bisherigen Regelungen belassen habe.

TeleTrusT mit eigenem Arbeitskreis „Stand der Technik“

TeleTrusT beteiligt sich nach eigenen Angaben mit dem Arbeitskreis „Stand der Technik“ an der inhaltlichen Ausgestaltung des IT-Sicherheitsgesetzes und begleitender Regelungen. Der Arbeitskreis habe die Zielsetzung, aus Sicht der IT-Sicherheitslösungsanbieter und -berater den betroffenen Wirtschaftskreisen Handlungsempfehlungen und Orientierung zu geben.
Gleichzeitig seien sich die Autoren dessen bewusst, dass es sich aufgrund der schnelllebigen Entwicklung der IT-Sicherheitslösungen um dynamische Inhalte handele. Zugleich sei die Handreichung auch ein fachliches Angebot an den Gesetz- und Verordnungsgeber, zu den abstrakt-generellen Rahmenvorschriften komplementäre, konkrete und prüfbare Angaben zur Verfügung zu stellen.

Angemessene Vorkehrungen zur Vermeidung von Störungen treffen

Betreiber Kritischer Infrastrukturen hätten eine Frist von zwei Jahren, angemessene Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Durch das ITSiG seien Unternehmen („KRITIS“ und „Nicht-KRITIS“) gefordert, ihre Sicherheitsmaßnahmen im Hinblick auf die Aktualität und Wirksamkeit zu überprüfen, betont Tomasz Lawicki, Leiter des TeleTrusT-Arbeitskreises „Stand der Technik“. Diese TeleTrusT-Handreichung zum Stand der Technik unterstütze Unternehmen dabei, den Zustand der Sicherheitsmaßnahmen realistisch einzuschätzen und gegebenenfalls Nachbesserungen abzuleiten – sie trage dadurch branchenübergreifend zur Erhöhung der Informationssicherheit bei, so Lawicki.

Weitere Informationen zum Thema:

TeleTrusT
Stand der Technik / IT-Sicherheitsgesetz

TeleTrusT
Handreichung „Stand der Technik“