Zur Diskussion: Überarbeitung des Sicherheitskatalogs für Telekommunikationsnetze

Stellungnahmen zur Liste kritischer Funktionen bis 30.09.2020

Die Bundesnetzagentur hat den Entwurf des Sicherheitskatalogs für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten aktualisiert. Erstellt wurde der Katalog zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.

Der Sicherheitsanforderungskatalog gilt für Betreiber von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten ab. Er stellt die Basis für das Sicherheitskonzept und für die zu treffenden technischen Vorkehrungen zur Sicherheitssteigerung der Netze und Dienste dar.

Der Sicherheitsanforderungskatalog beinhaltet die folgenden Themenkomplexe:

  • Zertifizierung kritischer Komponenten,
  • Einholung der Vertrauenswürdigkeitserklärungen von Herstellern und Systemlieferanten,
  • Sicherstellung der Produktintegrität,
  • Einführung eines Sicherheitsmonitoring,
  • Einsatz von eingewiesenem Fachpersonal in sicherheitsrelevanten Bereichen,
  • Verfügbarkeit von genügend Redundanzen und
  • Vermeidung von Monokulturen.

Aktuell wird der Katalog zur Notifizierung der Europäischen Kommission vorgelegt. Bis zum Verfahrensabschluss können somit noch Änderungen einfließen. Zudem wird der Katalog nach der Notifizierung ebenfalls in englischer Sprache verfügbar sein.

In diesem Zusammenhang beginnt die Bundesnetzagentur das Verfahren zur Konsultation ihres Entwurfs einer Liste kritischer Funktionen in der Telekommunikation. Zusätzlich beinhaltet der Katalog die Sicherheitsanforderungen für öffentliche Telekommunikationsnetze und -dienste mit erhöhtem Gefährdungspotenzial.

Die Liste soll zukünftig stetig aktualisiert und fortgeschrieben werden. Berücksichtigt werden dabei Ergebnisse internationaler Analysen, zum Beispiel durch die Agentur der Europäischen Union für Cybersicherheit oder das Gremium Europäischer Regulierungsstellen für elektronische Kommunikation.

Aktuell werden folgende kritische Funktionen aufgelistet:

  • Teilnehmerverwaltung und kryptographische Mechanismen
  • Netzwerkübergreifende Schnittstellen
  • Netzwerkdienste
  • Network Functions Virtualization Management und Netzwerk-Orchestrierung (MANO) sowie Virtualisierung
  • Management- und andere Unterstützungssysteme

Bis zum 30.09.2020 können Stellungnahmen zur Liste kritischer Funktionen abgegeben werden.

Jetzt sind Sie gefragt und eingeladen: Veröffentlichen Sie Ihre Einschätzung – Wir haben dafür in diesem Beitrag die Kommentarfunktion freigeschaltet.

Quelle: Bundesnetzagentur.

Diskussion

Kommentieren