Behörden legen Liste Kritischer Funktionen vor: Die Debatte um die Sicherheit der 5G-Netze geht weiter
Grafik: Shutterstock/kanvictory, CC0 1.0, Pixabay User Megan_Rexazin
Die Bundesnetzagentur (BNetzA) hat jüngst einen aktualisierten Katalog von Sicherheitsanforderungen für Betreiber von Telekommunikationssystemen veröffentlicht. Der gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesbeauftragten für Datenschutz und Informationsfreiheit konzipierte Katalog liegt inzwischen der Europäischen Kommission zur Notifizierung vor.
Zusätzlich veröffentlichte die Behörde eine „Liste Kritischer Funktionen“, welche Bereiche von Infrastrukturen umfasst, die nach Ansicht der Behörden einem erhöhten Gefährdungspotential unterliegen. Unternehmen, welche solche Infrastrukturen betreiben, hatten bis 30. September die Gelegenheit, zu dieser Liste Stellung zu nehmen.
Diskussion zu Rechtsrahmen der IT-Sicherheit weiterhin nicht abgeschlossen
Rund um den Sicherheitskatalog sowie die anstehenden Novellierungen des IT-Sicherheits- und des Telekommunikationsgesetzes entbrannte eine intensive Debatte, die sich vor allem um die Sicherheit beim Ausbau der neuen 5G-Netze dreht. Der Stein des Anstoßes ist in erster Linie die Vertrauenswürdigkeit einzelner Komponentenanbieter.
Die zuständigen Ressorts und die Politik ringen um eine einvernehmliche Lösung, die entscheidende Weichen nicht nur für die technologischen Standards, sondern auch für den Wettbewerb und die Industriepolitik stellen soll.
Für die ausbauenden Unternehmen und Diensteanbieter liegt die Sicherheit der Netze im ureigenen Interesse – das Vertrauen der Verbraucher in die technische Sicherheit der Netze ist eine wichtige Geschäftsgrundlage für alle Internetzugangsanbieter.
Deshalb ist es aus Sicht von Zugangsanbietern wie Telefónica Deutschland wichtig, objektiv-technische, überprüfbare sowie europaweit einheitliche Standards plus Transparenz der Sicherheitsanforderungen und des Standes der Umsetzung von Sicherheitsmaßnahmen zu erhalten. Unbedingt vermieden werden sollte hierbei eine rein politisch motivierte Herangehensweise, die mit fundamentalen Prinzipen des Rechtsstaats nicht vereinbar wäre. Denn Monokultur und die Abhängigkeit von einzelnen wenigen Anbietern ist ein weiterer Punkt, der in einem stark konsolidierten Herstellermarkt bei pauschalen Ausschlüssen drohen könnte.
Ein solcher Ausschluss soll bislang jedoch nicht erfolgen. Die Entscheider tendieren in Richtung eines Zertifizierungsverfahrens mit Option des Ausschlusses als Ultima-Ratio.
Zukünftige Sicherheitsanforderungen müssen endlich transparent werden
Vor allem in Bezug auf die Transparenz von Sicherheitsanforderungen sehen viele große Betreiber von Telekommunikationsnetzen und Anbieter von TK-Diensten in Deutschland jedoch Verbesserungsbedarf.
- Die derzeit geplanten weitreichenden sicherheitsrechtlichen Änderungen greifen stark ineinander und dürfen nicht isoliert betrachtet werden:
So arbeiten die Bundesregierung bzw. die Bundesbehörden derzeit an der Novellierung des Telekommunikationsgesetzes (TKG), an der Aktualisierung des IT-Sicherheitsgesetzes (IT-SiG 2.0) und an der Erweiterung des Katalogs der Sicherheitsanforderungen.Das Anhörungsverfahren betrifft aber ausschließlich die Liste der kritischen Funktionen. Bezüglich des Katalogs und der Anlagen 1 und 2 fand der Austausch mit dem Regelungsgeber bislang kaum statt. Und hinsichtlich der Gesetzesvorhaben zu IT-SiG 2.0 und der TKG- Novellierung bestand mangels Veröffentlichung der Referentenentwürfe gar keine Gelegenheit für einen Austausch mit dem Gesetzgeber. - Die Veröffentlichung der Regelungen erfolgt letztlich scheibchenweise, was weder sachdienlich ist, noch für einen vertrauensvollen Konsens sorgen kann.
Gerade mit der Liste der kritischen Funktionen wird die Komplexität der Regelungen um ein weiteres Dokument erhöht. Für eine schlanke und pragmatische Vorgehensweise wäre die Aufnahme der Punkte in die KRITIS Verordnung sinnvoller. - Ein inhaltlicher Kritik-Punkt an der Liste der kritischen Funktionen ist die Einordung in Komponenten mit „höherer Kritikalität“, für welche angehobene Sicherheitsvorkehrungen und -maßnahmen greifen sollen. An einer Definition des Begriffs fehlt es jedoch, was dazu führt, dass der Anwendungsbereich der angehobenen Sicherheitsvorkehrungen konturenlos und zu weit gefasst wäre. Es besteht die Gefahr, dass hier „das Kind mit dem Bade ausgeschüttet wird“ und am Ende alle Netzfunktionen und -komponenten den erhöhten Anforderungen unterliegen, während die bisherigen und in der Praxis bewährten Sicherheitsanforderungen nach § 109 TKG kaum noch greifen.
Nachhaltige Industriepolitik und internationale Standards
Es besteht kein Zweifel, dass die Bestrebungen, vertrauensvolle Anbieter von Infrastrukturkomponenten zu fördern, im Sinne einer europäischen digitalen Souveränität sind und auch von der Telekommunikationsbranche unterstützt werden.
Eine souveräne europäische Wirtschafts- und die damit eng verknüpfte Sicherheitspolitik kann jedoch nicht durch pauschalisierte Verbote erreicht werden. Denn Verbote schaffen erst recht Abhängigkeiten und verhindern gerade die politisch geforderte Diversität der Technologien.
Vielmehr sollten die digitale Souveränität und der Standortvorteil durch Förderung europäischer Forschung & Entwicklung sowie die Motivation hier ansässiger Infrastrukturanbieter zur Implementierung von innovativen Technologien wie OPEN RAN erreicht werden.