KRITIS-Sektor IT und TK

Im KRITIS-Sektor Informationstechnik und Telekommunikation erbringen KRITIS-Betreiber zwei kritische Dienstleistungen zur Versorgung der Allgemeinheit mit öffentlicher Telefonie, Internet und Datenspeicherung:

Erbringen Betreiber diese kritischen Dienstleistungen in eigenen Anlagen und überschreiten dabei Schwellenwerte (meist 500 Tsd. versorgte Personen), werden sie KRITIS-Betreiber. Der Sektor erweitert sich um viele Einrichtungen in NIS2.

Telekommunikations-Anbieter unterliegen neben KRITIS paralleler Regulierung durch das TKG und dem BSIG nur teilweise (§8a Abs. 2 Nr. 1 BSIG). Im TK-Sektor gibt es dazu auch genehmigungs­pflichtige kritische Komponenten (5G).

Unternehmen

NIS2 im Sektor IT und Telekommunikation

Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung deutlich. Die Gesetze sind in Arbeit und sollen Oktober 2024 in Kraft treten. Neben den KRITIS-Betreibern kommen viele neue Unternehmen nach Größe dazu.

  1. Betreiber kritischer Anlagen (KRITIS-Betreiber) stellen weiterhin mit KRITIS-Methodik die Betroffenheit einzelner Anlagen nach KRITIS-Verordnung und KRITIS-Dachgesetz fest
       KRITIS-Anlage über Schwellenwert (in der Regel ≥ 500 Tsd. versorgte Personen)
  2. Besonders wichtige Einrichtungen werden nach Größe des Unternehmens im Sektor identifiziert
    G Unternehmen ab 250 Mitarbeitern oder
    G Unternehmen ab 50 Mio. EUR Umsatz und Bilanz ab 43 Mio. EUR
    U Sonderfälle: qTSP, TLD, DNS, TK-Anbieter
  3. Wichtige Einrichtungen werden nach Größe des Unternehmens im Sektor identifiziert
    M Unternehmen ab 50 Mitarbeitern oder
    M Unternehmen ab 10 Mio. EUR Umsatz und Bilanz ab 10 Mio. EUR
    U Vertrauensdienste

Bei den Einrichtungen erweitert sich der IT und TK-Sektor um Managed Services Provider (MSP, Installation, Verwaltung, Betrieb, Wartung von IKT-Produkten, Netzen, Anwendungen, Systemen durch Unterstützung oder aktive Verwaltung) und Managed Security Service Provider (MSSP, ein MSP für Risikomanagement im Bereich Cybersicherheit).

Die Pflichten ab Oktober 2024 erweitern sich je nach Betreiber-Gruppe.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Oktober 2023
* - TK von einigen NIS2-Pflichten ausgeschlossen (TK-Sicherheitskatalog); einige IT-Provider (Cloud etc.) werden spezielle EU-Vorgaben befolgen müssen
** - IT und TK von Dachgesetz-Pflichten größtenteils ausgeschlossen
Thema Betreiber kritischer Anlagen Einrichtungen
Gesetz NIS2-Umsetzung KRITIS-Dachgesetz NIS2-Umsetzung
Fristen ab 2024 ab 2026 ab 2024
Scope Kritische Anlage* Kritische Anlage** Unternehmen
Pflichten Registrierung
Vorfallsmeldungen
Kundenmeldungen
Sanktionen
Prüfungen
Registrierung
Vorfallsmeldungen

Sanktionen
Registrierung
Vorfallsmeldungen
Kundenmeldungen
Sanktionen
Maßnahmen Informationssicherheit*
Risikomanagement*
IT-Sicherheit*
Angriffserkennung SzA*
Resilienz
Risikomanagement
Physische Sicherheit
Informationssicherheit*
Risikomanagement*
IT-Sicherheit*
Nachweise Audits Stichproben Stichproben
Regulator BSI
TK mit BNetzA
BBK BSI
TK mit BNetzA

Für bestimmte TK-Betreiber* gilt der Sicherheits­katalog der BNetzA, der §30 Cybersecurity Maßnahmen von NIS2 äquivalent abbilden soll. Für einige IT-Betreiber* (Cloud und andere) soll es spezielle Vorgaben der EU geben, welche die §30 Maßnahmen konkretisieren. Von den Dachgesetz-Pflichten scheint der Sektor größtenteils ausgeschlossen.

Die Gesetze sind noch in Arbeit, Anpassungen an Pflichten und Maßnahmen sind möglich.

up

Anlagen

Die folgenden KRITIS-Anlagen sind im Sektor IT und TK definiert.

aus BSI-KritisV August 2023, Anhang 4
Nr. Anlage Beschreibung Schwellenwert
1.
Sprach- und Datenübertragung (Dienstleistung)
1.1.1 Zugangsnetz Zugang zu Sprachkommunikation, öffentlich zugänglicher Daten­übertragung oder Internetzugang, z.B. Glasfaser, Mobilfunk 100 Tsd.Teilnehmeranschlüsse
§3 Nr. 58 TKG
1.2.1 Übertragungsnetz Übertragung von Sprache und Daten für Sprach­kommunikation, öffentlich zugängliche Daten­übertragung oder Internetzugang, z.B. Backbone, Core-Netze 100 Tsd.Vertragspartner des Dienstes
1.2.2 Seekabelanlandestation Anbindung Sprach- und Datenüber­tragung dienenenden Seekabel an landgestützte TK-Netze 1angebundene Seekabel
1.3.1 IXP Einrichtung zur Zusammen­schaltung von unabhängigen Autonomen Systemen (AS) zum direkten Austausch von Internet­datenverkehr 100angeschlossene AS
(Jahresschnitt)
1.4.1 DNS-Resolver im Zugangsnetz eines Internet Service Providers zur Namensauflösung, auch rekursiv/iterativ 100 Tsd.Vertragspartner im Zugangsnetz
1.4.2 Autoritative DNS-Server Namensauflösung gem. Kap. 5 RFC 7719 aus lokalen Zonen/Informationen 250 Tsd.Domains, autoritativ oder delegiert
1.4.3 TLD Name-Registry Registrierung von Domain-Namen in einer Top Level Domain 250 Tsd.Domains, verwaltet oder betrieben
2.
Datenspeicherung und -verarbeitung (Dienstleistung)
2.1.1 Rechenzentrum Umgebung für Unterbringung und Betrieb zentraler IT-Komponenten wie Server oder Netzwerktechnik in mind. zehn Racks 3,5 MWvertraglich vereinbarte Leistung
2.2.1 Serverfarm Physische oder virtuelle Instanzen, die im IT-Netzwerk Dienste bereitstellen 10 Tsd.
15 Tsd.
physische Instanzen
virtuelle Instanzen
2.2.2 Content Delivery Netzwerk Regional verteilte und über das Internet verbundene Server zur Auslieferung und Zwischen­speicherung von Inhalten 75 TB/Jahrausgeliefertes Datenvolumen
2.3.1 Erbringung von Vertrauensdiensten Vertrauens­würdige Instanz (Trusted Third Party) zur Bescheinigung von Identitäten in elektronischer Kommunikation 500 Tsd.
10 Tsd.
qualifizierte Zertifikate
Serverzertifikate

Neuerungen 2023

Mit der KRITIS-Verordnung 2023 ändern sich Anlagen:

up

Schwellenwerte

Netze

Für Zugangs- und Übertragungsnetze (1.1.1 bis 1.2.1) abgeleitet aus §1 Abs. 1 Nr. 2 PTSG:

IXP

Für 1.3.1 wird der Schwellenwert mit der wirtschaftlichen und regionalen Relevanz der betroffenen IXPs erklärt:

DNS

Der Schwellenwert für DNS-Resolver (1.4.1) orientiert sich am Zugangsnetz, das dieser bedient. Für DNS-Server (1.4.2) und TLD-Registry (1.4.3) wird unter Annahme von 40 Millionen in der Bundesrepublik Deutschland verwalteten Domains für den Bedarf von 500 Tsd. Personen ›abgeleitet‹:

Housing

Der Schwellenwert für Rechenzentren (2.1.1) bezieht sich auf die vertraglich vereinbarte Leistung und ist in der KritisV ohne Herleitung.

Hosting

Die Schwellenwerte für Serverfarmen (2.2.1) und Content Delivery Networks (2.2.2) sind ähnlich wie bei DNS-Server ›abgeleitet‹ unter Annahme von 1,6 Millionen physischen und 2,4 Millionen virtuellen in der Bundesrepublik Deutschland verwalteten Serverinstanzen und eines Transportvolumens von 11.826.000 TB pro Jahr:

Vertrauensdienste

Die Schwellenwerte für Vertrauensdienste (2.3.1) sind in der KritisV ohne Herleitung:

Fristen

Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren. Beim Versorgungsgrad versorgte Teilnehmer (bei Netzen 1.1.1 und 1.2.1) muss dies zum 30. Juni des Vorjahres ermittelt werden, ebenso bei der vertraglich vereinbarten Leistung in Rechenzentren.

up

NIS2-Einrichtungen ab 2024

Durch die NIS2-Umsetzung kommen ab 2024 viele Unternehmen als Einrichtungen dazu, mit eigenen Sektordefinitionen, Teilsektoren und Einrichtungsarten. Betroffen sind jeweils ganze Unternehmen: Großunternehmen als besonders wichtige Einrichtung, mittlere Unternehmen als wichtige Einrichtung.

aus NIS2-Umsetzungsgesetz, Entwurf Stand Oktober 2023
† - Definitionen und Herleitung aus dem Gesetz, teils sinngemäß
Nr. Teilsektor Einrichtungsart Besonderheit†
Informationstechnik und Telekommunikation (Sektor, Anlage 1)
6.1.1 Internet-Knoten Internet Exchange Points, IXPs: Netzeinrichtung zur Zusammenschaltung von mehr als zwei unabhängigen Netzen (autonomen Systemen) zur Erleichterung des Austauschs von Internet-Datenverkehr
6.1.2 DNS-Dienstanbieter ausgenommen Root-Nameserver;
Für Internet-Endnutzer öffentlich verfügbare rekursive Dienste oder autoritative Dienste zur Auflösung von Domain-Namen für Dritte
6.1.3 TLD-Namensregister Einrichtung zur Registrierung von Internet-Domain-Namen innerhalb einer Top Level Domain (TLD), inkl. der Nameserver, Datenbanken und Verteilung von TLD-Zonendateien
6.1.4 Cloud-Computing-Dienste CSP, digitaler Dienst, der auf Abruf Verwaltung und Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechen­ressourcen ermöglicht, auch auf mehrere Standorte verteilt
6.1.5 Rechenzentrumsdienste Dienst zur Unterbringung, Verbindung und Betrieb von IT- und Netzaus­rüstungen für Datenspeicher-, Datenverarbeitungs- und Daten­transport­diensten sowie Anlagen und Infrastrukturen für die Leistungs­verteilung und Umgebungs­kontrolle
6.1.6 Inhaltszustellnetze Content Delivery Networks, CDNs
Netz dezentraler Server für hohe Verfügbarkeit oder Zustellung digitaler Inhalte und Dienste für Internetnutzer im Auftrag von Inhalte- und Diensteanbietern
6.1.7 Vertrauensdienstanbieter TSP und qTSP, im Sinne Art. 3 Nr. 19 (EU) Nr. 910/2014
6.1.8 Öffentliche elektronische Kommunikations­netze Anbieter von öffentlich zugänglichen Telekommunikations­netzen (TK)
6.1.9 Öffentlich zugängliche elektronische Kommunikations­dienste Anbieter von TK-Diensten (Telekommunikation)
6.1.10 Managed Services Provider MSP: Installation, Verwaltung, Betrieb, Wartung von IKT-Produkten, -Netzen, -Infrastruktur, -Anwendungen, Netz- und Informationssysteme durch Unterstützung oder aktive Verwaltung bei/für Kunden
6.1.11 Managed Security Services Provider MSSP, ein MSP, der Unterstützung für Risiko­management im Bereich der Cyber­sicherheit erbringt

up

Kritische Komponenten

Telekommunikation

Kritische Komponenten wurden mit dem IT-Sicherheitsgesetz 2.0 eingeführt und erstmalig im TK-Sektor bestimmt. In öffentlichen Mobilfunknetzen der 5. Generation (5G-Netze) dürfen nur zertifizierte Produkte nach TR-03163 (Sicherheit in TK-Infrastrukturen) eingesetzt werden.

aus BNetzA Liste der kritischen Funktionen, Stand August 2021
5G-Netzwerke Funktionen
Core network functions
  • Authentifizierung, Roaming und Sitzungsverwaltung für Endnutzer
  • Datentransport für Endnutzer-Einrichtungen
  • Zugriffsrichtlinien-Verwaltung
  • Registrierung und Autorisierung von Netzwerkdiensten
  • Speicherung von Endnutzer- und Netzwerkdaten
  • Verbindung mit Mobilfunknetzen von Drittanbietern
  • Exposition der Core network functions zu externen Anwendungen
  • Zuordnung von Endgeräten zu Network Slices
NFV management and
network orchestration (MANO)
  • Management und Orchestrierung virtualisierter Netzwerk­funktionen
Management systems and
supporting services
  • Sicherheitsfunktionen des Management-Systems
Radio Access Network (RAN)
  • 5G-RAN Management
Transport and transmission
  • Sprach- und Datentransport mit erhöhter Relevanz
Internetwork exchanges
  • IP-Netzwerk außerhalb Räumlichkeiten (Netzwerkdienste Dritter)

Anhand der kritischen Funktionen müssen Betreiber die kritischen Komponenten, d.h. IT-Systeme, identifizieren. Der Prozess dazu wird von der BNetzA nach der Liste beschrieben.

up

Regulierung und Standards

Telekommunikation

Anbieter von Telekommunikations­netzen und -diensten im KRITIS Sektor IKT fallen neben KRITIS unter weitere Regulierung mit zusätzlichen TK Sicherheits-Anforderungen.

Ausnahmeregelungen Telekommunikation

KRITIS-Betreiber, die ein öffentliches Telekommunikations­netz betreiben oder öffentlich zugängliche Telekommunikations­dienste erbringen (§8d Abs. 2 Nr. 1 BSIG), müssen für diese Anlagen keine KRITIS-Maßnahmen nach §8a (1) BSIG umsetzen oder nach §8a (3) prüfen lassen. Für KRITIS-Anlagen mit diesen Funktionen gilt das Telekommunikations­gesetz; die Ausnahmen betreffen aber nur einzelne Absätze des BSIG und ausschließlich TK-Anlagen.

Telekommunikations­gesetz (TKG)

Das Telekommunikationsgesetz TKG, das im November 2021 umfangreich überarbeitet wurde, regelt die Pflichten der Betreiber von Telekommunikations­infrastruktur und -diensten. Dazu gehören unter anderem folgende Anforderungen zu IT-Sicherheit:

Die Ausführungen zu IT-Sicherheit waren früher größtenteils in §109 TKG enthalten, das novellierte TKG 2021 ist seit 1. Dezember 2021 in Kraft.

Sicherheitskatalog 2.0

Der von der BNetzA herausgegebene Katalog von Sicherheits­anforderungen 2.0 ist die Grundlage für das Sicherheitskonzept nach §166 TKG und die zu treffenden Sicherheits­vorkehrungen nach §165 TKG. Der Katalog enthält folgende Inhalte:

aus BNetzA Sicherheitskatalog 2.0 Stand 2020
Kategorie Inhalt
Sicherheits­maßnahmen
Kapitel 3
Umfangreiche Cyber Security Maßnahmen für TK-Anbieter und Betreiber
Rechtliche Grundlagen
Kapitel 4
Zum Schutz von Fernmelde­geheimnis, personen­bezogenen Daten, TK-Infrastruktur und Diensten
Umsetzung
Kapitel 5
Hilfestellungen und Vorgaben zur Umsetzung der Anforderungen
TK mit IP-Infrastruktur
Anlage 1
Enthält weitere Anforderungen für TK-Anbieter mit IP-Infrastruktur (separates Dokument im Dokument)
Erhöhtes Gefährdungspotenzial Anlage 2 Zusätzliche Sicherheits­anforderungen für Netze und Dienste erhöhter Kritikalität (separates Dokument im Dokument

Abschnitt zu TMG in Arbeit

Branchenstandards

Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.

B3S

Industrienormen

up

Weitere Informationen

Literatur

  1. Mapping Sicherheitskatalog 2.0 und KRITIS (PDF), OpenKRITIS, Mai 2023
  2. Telekommunikation und KRITIS, zum TKG, Sicherheitskatalog, OpenKRITIS
  3. ENISA-Studie Telecom Security During a Pandemic, European Union Agency for Cybersecurity, November 2020
  4. ENISA-Report Telecom Services Security Incidents 2019 Annual Analysis, European Union Agency for Cybersecurity, July 2020
  5. Assessment of EU Telecom Security Legislation, European Union Agency for Cybersecurity, July 2021
  6. Telekommunikation und KRITIS zum TK-Sicherheitskatalog und TKG-Anforderungen, OpenKRITIS 2022
  7. Rückblicke auf die gemeldeten IT-Sicherheits­vorfälle der Branche Telekommunikation, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik
  8. BSI führt Zertifizierung für 5G-Komponenten ein, Pressemitteilung BSI, 05.07.2022, Bundesamt für Sicherheit in der Informationstechnik

Quellen

  1. Dritte Verordnung zur Änderung der BSI-Kritisverordnung, BGBl. 2023 I Nr. 53 vom 01.03.2023
  2. BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
  3. Post- und Telekommunikations­sicherstellungsgesetz - PTSG vom 24. März 2011 (BGBl. I S. 506, 941), das durch Artikel 7 des Gesetzes vom 4. November 2016 (BGBl. I S. 2473) geändert worden ist
  4. Telekommunikationsgesetz (TKG) vom 23. Juni 2021 (BGBl. I S. 1858), das zuletzt durch Artikel 8 des Gesetzes vom 10. September 2021 (BGBl. I S. 4147) geändert worden ist
  5. Telemediengesetz (TMG) vom 26. Februar 2007 (BGBl. I S. 179; 2007 I S. 251), das zuletzt durch Artikel 12 des Gesetzes vom 30. März 2021 (BGBl. I S. 448) geändert worden ist
  6. Liste der kritischen Funktionen nach § 109 Abs. 6 TKG für öffentliche Telekommunikations­netze und -dienste mit erhöhtem Gefährdungs­potenzial, Bundesnetzagentur (BNetzA), 18.08.2021