Neue Sicherheitsrichtlinien für 5G-Netze

Die Bundesnetzagentur hat gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit eine neue Version des Katalogs für Sicherheitsanforderungen für kritische IT-Infrastrukturen veröffentlicht. Der überarbeitete Katalog berücksichtigt verschiedene Gefährdungspotentiale und gilt für Betreiber von Telekommunikations- und Datenverarbeitungssystemen. In dem Katalog finden sich detaillierte Vorgaben, anhand welcher Netzbetreiber Integrität und Sicherheit ihrer Systeme gewährleisten können, wie auch Vorgaben, wie bei Vorfällen zu reagieren ist. Neu ist, dass Betreiber von öffentlichen Telekommunikationsnetzen als Unternehmen mit erhöhtem Gefährdungspotenzial eingestuft werden.

Die Behörde hat ebenfalls die Liste kritischer Funktionen überarbeitet. So werden unter anderem die Authentifizierung, Sitzungsverwaltung, Roaming, und Datentransport als kritische Funktionen von Kernnetzen eingestuft sowie das Management und die Orchestrierung virtualisierter Netzwerkfunktionen. Auf der Funkseite wird hingegen lediglich das 5G-RAN Management genannt. Anhand dieser Liste legt die Bundesnetzagentur nun auch Kriterien fest, anhand welcher kritische Komponenten in Zukunft einer Zertifizierungspflicht unterliegen werden. Die Prüfungen solcher kritischen Komponenten werden künftig von einer anerkannten Institution erfolgen sowie die Zertifizierung durch das BSI.

Diese Verschärfung der Sicherheitsstandards lässt sich auf die Debatte rund um die Sicherheit der 5G-Netze zurückführen. Ziel der Maßnahme ist es, die Netzinfrastruktur gegen einen befürchteten Zugriff durch ausländische Regierungen oder Nachrichtendienste abzusichern. Explizit werden die chinesischen Ausrüster Huawei und ZTE, aufgrund ihrer engen Verbindung zur chinesischen Regierung, verdächtigt die Sicherheit und Integrität der Telekommunikationsnetze zu gefährden.

Die neuen Regeln gelten ab dem 1. Januar 2026 für alle neu in den Betrieb genommenen Komponenten, wobei bis dahin neu in den Betrieb genommene Komponenten bis zu diesem Zeitpunkt zertifiziert sein müssen. Falls jedoch schon vorher zwei vergleichbare zertifizierte Produkte von unterschiedlichen Herstellern verfügbar sind, muss die Zertifizierung bereits früher erfolgen. Komponenten ohne Zertifizierung müssen demnach bis ins Jahr 2025 ausgetauscht werden.

Weitere Informationen finden Sie hier: heise online.

Die Pressemitteilung von BNetzA finden Sie hier.