Die Bundesnetzagentur hat am 25.08.2021 im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit den Katalog von Sicherheitsanforderungen festgelegt.
Aus der Pressemitteilung der Bundesnetzagentur vom 25.08.2021 ergibt sich:
„Die neuen Anforderungen sichern die Telekommunikationsnetze und schützen sie gegen Bedrohungen“, sagt Jochen Homann, Präsident der Bundesnetzagentur. „Unsere Festlegungen sind ein entscheidender Schritt für eine hohe Informationssicherheit in Telekommunikationsnetzen.“
„Diese Festlegungen erreichen ein sehr hohes technologisches Sicherheitsniveau“, so BSI-Präsident Arne Schönbohm. „Die Zusammenarbeit der beteiligten Behörden ist ein gutes Beispiel dafür, wie Informationssicherheit in Digitalisierung erfolgreich gestaltet werden kann, wenn sie von Anfang an mitgedacht wird.“
Umsetzung des IT-SiG 2.0
Die Festlegung der Sicherheitsanforderungen erfolgt auf der Grundlage neuer Kompetenzen nach dem IT-SiG 2.0. Der Katalog von Sicherheitsanforderungen berücksichtigt unterschiedliche Gefährdungspotentiale und verpflichtet die Netzbetreiber und Diensteanbieter hohe Sicherheitsanforderungen zu erfüllen.
Mit den Festlegungen des Kataloges von Sicherheitsanforderungen wurden erstmals Betreiber öffentlicher Telekommunikationsnetze mit erhöhtem Gefährdungspotenzial eingestuft. An sie richtet der Katalog in Anlage 2 besondere Sicherheitsanforderungen.
Liste kritischer Funktionen
Mit Blick auf die fortschreitende Technik ist auch die Realisierung von kritischen Funktionen und damit eine besondere Gefahrenlage verbunden. Der Katalog von Sicherheitsanforderungen legt diese Funktionen fest, mit deren Hilfe kritische Komponenten in den Netzen ermittelt werden. Kritische Komponenten sind in den Netzen besonders schutzwürdig und unterliegen weiteren gesetzlichen Anforderungen wie z.B. der Zertifizierungspflicht.
Kritische Funktionen sind unter anderem Kernnetzfunktionen wie Authentifizierungs-, Roaming- und Sitzungsverwaltungsfunktionen für Endnutzer, Datentransportfunktionen für Endnutzereinrichtungen, Zugriffsrichtlinienverwaltung, Registrierung und Autorisierung von Netzwerkdiensten, Speicherung von Endnutzer- und Netzwerkdaten, Verbindung mit Mobilfunknetzen von Drittanbietern oder die Exposition der Kernnetzwerkfunktionen gegenüber externen Anwendungen.
Der Katalog von Sicherheitsanforderungen und die Liste der kritischen Funktionen ist auf der Webseite der Bundesnetzagentur unter www.bundesnetzagentur.de/sicherheitsanforderungen abrufbar.