KRITIS-Sektor IT und TK

Im KRITIS-Sektor Informationstechnik und Telekommunikation erbringen KRITIS-Betreiber zwei kritische Dienstleistungen zur Versorgung der Allgemeinheit mit öffentlicher Telefonie, Internet und Datenspeicherung:

  1. Sprach- und Datenübertragung: Zugang, Übertragung, Vermittlung und Steuerung von Sprach- und Datennetzen
  2. Datenspeicherung und -verarbeitung: Housing, IT-Hosting und Vertrauensdienste

Erbringt ein Betreiber im Sektor diese kritischen Dienstleistungen in eigenen Anlagen und überschreitet dabei Schwellenwerte von 500 Tsd. versorgten Personen, wird er zum KRITIS-Betreiber. Die Anlagen und Schwellenwerte im Sektor sind unten aufgelistet.

KRITIS-Betreiber

Änderungen IT-Sicherheitsgesetz 2.0

2.0 Mit dem Entwurf der neuen KRITIS-Verordnung 2.0 ändern sich die Definitionen der Anlagen und Schwellenwerte im Sektor wahrscheinlich deutlich:

  1. TLD-Registry kommt als neue Anlage zur Registrierung von Domainnamen unterhalb einer Top-Level-Domain hinzu, mit den bisher bestehenden DNS-Schwellenwerten
  2. Schwellenwerte von IXPs sinken auf 100 angeschlossene AS
  3. Schwellenwerte von Rechenzentren sinken auf 3,5 MW Leistung, die von Serverfarmen (u.a. Cloud) sinken auf 10 Tsd. physische und 15 Tsd. virtuelle Instanzen

In der neuen EU-Regulierung NIS2 und RCE werden IT-Provider noch umfassender als Digital Infrastructure und Digital Services reguliert.

IT-SiG 2.0

DE Das neue IT-Sicherheitsgesetz 2.0

Die wichtigsten Änderungen im neuen KRITIS-Gesetz 2.0
Deutsch ∙ 12 Folien PDF ∙ Mai 2021

Pflichten als Kritische Infrastruktur

Unternehmen, die mit ihren Anlagen die definierten Schwellenwerte als Kritische Infrastruktur überschreiten, fallen als KRITIS-Betreiber unter die KRITIS-Regulierung und unterliegen dann einer Fülle von Cyber Security Pflichten:

  1. Identifikation KRITIS-Anlagen: Betreiber müssen sich selbst als KRITIS identifizieren.
  2. Registrierung als KRITIS: Meldung der KRITIS-Anlagen und Registrierung beim BSI
  3. KRITIS-Meldepflichten: Informationen zu IT-Störungen, Angriffen und Vorfällen ans BSI
  4. KRITIS-Geltungsbereich: KRITIS-Anlagen definieren und Scope im Unternehmen festlegen
  5. Cyber Security in KRITIS: Technische und organisatorische Maßnahmen zum Management von IT-Sicherheit (ISMS), Risiken, Kontinuität (BCMS) und Technologien
  6. KRITIS-Prüfungen: Umsetzung der Cyber Security Maßnahmen durch Prüfungen nachweisen

up

Anlagen

Die folgenden KRITIS-Anlagen sind im Sektor IT und TK definiert.

aus BSI-KritisV Stand Juni 2017, Anhang 4, S.14-16
Nr. Anlage Beschreibung Schwellenwert
1. Sprach- und Datenübertragung (Dienstleistung)
1.1.1 Ortsgebundenes Zugangsnetz Zugang zu einem öffentlichen Telefon-, Datenübermittlungs-, Internetzugangsdienst 100 Tsd.Teilnehmeranschlüsse
§3 Nr. 21 TKG
1.2.1 Übertragungsnetz Übertragung von Sprache und Daten für öffentlich zugängliche Telefondienste, Datenübermittlungsdienste, Internetzugangsdienste 100 Tsd.Teilnehmer des Dienstes
§3 Nr. 21 TKG
1.3.1 IXP Verbindung zwischen mehr als zwei unabhängigen AS zum direkten Austausch von Netzwerkverkehr 300angeschlossene AS
(Jahresschnitt)
1.4.1 DNS-Resolver im Zugangsnetz eines Internet Service Providers zur Namensauflösung, auch rekursiv/iterativ 100 Tsd.Teilnehmer im Zugangsnetz
1.4.2 Autoritative DNS-Server (autoritative) Namensauflösung gemäß Kap. 5 RFC 7719 aus lokalen Zonen/Informationen 250 Tsd.Domains, autoritativ oder delegiert
2. Datenspeicherung und -verarbeitung (Dienstleistung)
2.1.1 Rechenzentrum geeignete Umgebung für Unterbringung und Betrieb zentraler IT-Komponenten wie Server oder Netzwerktechnik in mind. zehn Racks 5 MWvertraglich vereinbarte Leistung (am 30.6.)
2.2.1 Serverfarm zwei oder mehrere (auch virtuelle) Computer, die im IT-Netzwerk Dienste bereitstellen 25 Tsd.laufende Instanzen
(Jahresschnitt)
2.2.2 Content Delivery Netzwerk regional verteilte und über das Internet verbundene Server zur Auslieferung von Inhalten, insb. große Mediendateien 75 TB/Jahrausgeliefertes Datenvolumen
2.3.1 Erbringung von Vertrauensdiensten vertrauenswürdige dritte Instanz (Trusted Third Party) zur Bescheinigung von Identitäten in elektronischer Kommunikation 500 Tsd.
10 Tsd.
qualifizierte Zertifikate
Serverzertifikate

up

Schwellenwerte

Die Schwellenwerte im Sektor Informationstechnik und Telekommunikation sind wie folgt.

Netze

Für Zugangs- und Übertragungsnetze (1.1.1 bis 1.2.1) abgeleitet aus §1 Abs. 1 Nr. 2 PTSG:

IXP

Für 1.3.1 wird der Schwellenwert unter Annahme einer Anzahl von 50 000 Autonomen Systemen aus allen Netzen abgeleitet für den Bedarf von 500 Tsd. versorgten Personen aus einer Gesamtbevölkerung von 80 Mio.:

DNS

Der Schwellenwert für DNS-Resolver (1.4.1) orientiert sich am Zugangsnetz, das dieser bedient. Für DNS-Server (1.4.2) wird unter Annahme von 40 Millionen in der Bundesrepublik Deutschland verwalteten Domains für den Bedarf von 500 Tsd. Personen ›abgeleitet‹:

Housing

Der Schwellenwert für Rechenzentren (2.1.1) bezieht sich auf die vertraglich vereinbarte Leistung und ist in der KritisV ohne Herleitung.

Hosting

Die Schwellenwerte für Serverfarmen (2.2.1) und Content Delivery Networks (2.2.2) sind ähnlich wie bei DNS-Server ›abgeleitet‹ unter Annahme von 4 Millionen in der Bundesrepublik Deutschland verwalteten Servern und eines Transportvolumens von 11 826 000 TB pro Jahr:

Vertrauensdienste

Die Schwellenwerte für Vertrauensdienste (2.3.1) sind in der KritisV ohne Herleitung:

Fristen

Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren. Beim Versorgungsgrad versorgte Teilnehmer (bei Netzen 1.1.1 und 1.2.1) muss dies zum 30. Juni des Vorjahres ermittelt werden, ebenso bei der vertraglich vereinbarten Leistung in Rechenzentren.

up

Weitere Regulierung

Anbieter von Telekommunikationsnetzen und -diensten fallen neben der KRITIS-Regulierung auch unter das TKG und TMG — mit unterschiedlichen Anforderungen für IT-Sicherheit und teilweise Meldewegen an die BNetzA.

Dieser Abschnitt ist in Arbeit

Telekommunikations­gesetz

Folgt

Telemediengesetz

Folgt

up

Weitere Informationen

Literatur

  1. ENISA-Studie Telecom Security During a Pandemic, European Union Agency for Cybersecurity, November 2020
  2. ENISA-Report Telecom Services Security Incidents 2019 Annual Analysis, European Union Agency for Cybersecurity, July 2020

Branchenstandards

  1. Branchenspezifischer Sicherheitsstandard zur IT-Sicherheit [Bereiche Housing und Hosting], UP KRITIS -BAK Datacenter & Hosting mit CDN
  2. Liste der kritischen Funktionen für öffentliche Telekommunikationsnetze und -dienste, Ergänzung zur Anlage 2 des Katalogs von Sicherheitsanforderungen, Bundesnetzagentur 20.04.2020

Quellen

  1. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
  2. Post- und Telekommunikations­sicherstellungsgesetz - PTSG vom 24. März 2011 (BGBl. I S. 506, 941), das durch Artikel 7 des Gesetzes vom 4. November 2016 (BGBl. I S. 2473) geändert worden ist
  3. Telekommunikationsgesetz (TKG) vom 22. Juni 2004 (BGBl. I S. 1190), das zuletzt durch Artikel 13 des Gesetzes vom 30. März 2021 (BGBl. I S. 448) geändert worden ist
  4. Telemediengesetz (TMG) vom 26. Februar 2007 (BGBl. I S. 179; 2007 I S. 251), das zuletzt durch Artikel 12 des Gesetzes vom 30. März 2021 (BGBl. I S. 448) geändert worden ist