23.10.2019

Neue Anforderungen für Telekommunikationsnetzbetreiber: IT-Sicherheit darf 5G nicht ausbremsen

Die Bundesnetzagentur hat am 15. Oktober neue Sicherheitsanforderungen für Telekommunikationsnetzbetreiber veröffentlicht, die sie gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Beauftragten für Datenschutz und Informationsfreiheit des Bundes erarbeitet hat und startete damit gleichzeitig die Konsultation zum Entwurf dieser Sicherheitsanforderungen.

Der Verband der Internetwirtschaft bemängelt, dass viele der berechtigten Kritikpunkte der Internetbranche nicht oder kaum berücksichtigt worden sind. Mit den formulierten überzogenen Sicherheitsvorgaben läuft Deutschland Gefahr, das Gigabitziel und 5G ein weiteres Mal zu verfehlen und könnte so im internationalen Vergleich noch weiter zurückfallen.

Zwar unterstützt eco das Bestreben der Bundesnetzagentur, die IT-Sicherheit in Deutschland weiter zu stärken und Monokulturen im Telekommunikationsbereich zu vermeiden, jedoch erkennt der Verband der Internetwirtschaft auch Nachbesserungsbedarf im Entwurf: als besonders nachteilig erachtet eco die weiterhin anhaltende Rechtsunsicherheit für Unternehmen, da die Festlegung kritischer Kernkomponenten erst zu Beginn 2020 erfolgen soll. Außerdem ist unklar, welche Unternehmen außer Mobilfunkdienste-Anbieter mit mehr als 100.000 Kunden, noch von verschärften Auflagen betroffen sein könnten.

Die Kritikpunkte in der Kurzzusammenfassung:

  • Die Bundesnetzagentur und die anderen Behörden sind bei Ihrer Auffassung geblieben, einen Weg zu wählen, der unabhängig von konkreten Herstellern und deren Herkunftsländern ist. An einigen Stellen wurde ein harmonisierter Ansatz gewählt, der Empfehlungen von BEREC und ENISA miteinbeziehen will.
  • Leider wurden in dem vorliegenden Entwurf von der Bundesnetzagentur die vorgebrachten Kritikpunkte nicht berücksichtigt: Nach wie vor ist der Adressatenkreis von Netzbetreibern mit „erhöhter Kritikalität“ nicht hinreichend konkretisiert und definiert worden.
  • Der Entwurf sieht undifferenziert vor, dass jede Hard- und Software grundsätzlich als kritisch angesehen werden könnte. Es fehlen Unterscheidungen von Herstellersoftware, OpenSource und selbst hergestellte Software von Netzbetreibern. Eine Festlegung kritischer Kernkomponenten soll erst zu Beginn 2020 mittels einer Liste erfolgen.

Insgesamt bietet der Entwurf der Bundesnetzagentur für eco jedoch eine fundierte Diskussionsgrundlage zur Konsultation. Die vorab eingereichte eco Stellungnahme zu den Eckpunkten für Sicherheitsanforderungen für Telekommunikationsnetzbetreiber der Bundesnetzagentur ist hier online.

Der Entwurf für neue Sicherheitsanforderungen wurde bereits im Amtsblatt veröffentlicht, Weitere Stellungnahmen dazu sind bis zum 13.11.2019 möglich. eco wird diese Gelegenheit nutzen und den Entwurf ebenfalls kommentieren.