TK-Sicherheits­katalog

KRITIS-Betreiber im Sektor Telekommunikation, die in KRITIS-Anlagen ein öffentliches Tele­kommunikations­netz oder Tele­kommunikations­dienste betreiben, müssen sich (auch) an das TKG halten. Für diese Anlagen ist das BSIG nicht einschlägig (§8d Abs. 2 Nr. 1 BSIG) sondern das Telekommunikations­gesetz, für das der Sicherheitskatalog der BNetzA umzusetzen ist.

Dieser Sicherheitskatalog konkretisiert die Anforderungen des TKG an Betreiber von öffentlicher Telekommunikations­infrastruktur und -diensten mit Umfangreichen Cyber Security Maßnahmen zum Schutz der TK-Dienste, Anlagen und Infrastruktur.

Telecommunications

Mapping TKG Katalog 2.0 Maßnahmen und KRITIS

Abgleich Sicherheits­katalog zu BSI KRITIS-Anforderungen.
PDF ∙ OpenKRITIS-Analyse Sicherheits­katalog 2.0 ∙ 2023

Telekommunikation und KRITIS

Übersicht

Der von der BNetzA herausgegebene Katalog von Sicherheits­anforderungen 2.0 ist die Grundlage für das Sicherheitskonzept und die zu treffenden Sicherheits­vorkehrungen von Telekommunikations-Anbietern mit folgenden Inhalten.

aus BNetzA Sicherheitskatalog 2.0 Stand 2020
Kategorie Inhalt
Sicherheits­maßnahmen
Kapitel 3
  • Organisation (Sicherheits- und Risiko-Management)
  • Personelle Sicherheit
  • IT-Sicherheit, physische Sicherheit, Kommunikations­sicherheit
  • Sicherheit im Betrieb
  • Störungen und Sicherheits­vorfälle
  • Notfall­management
  • Überwachung, Test und Übung
Rechtliche Grundlagen
Kapitel 4
  • Fernmelde­geheimnis
  • Personen­bezogene Daten
  • TK-Infrastruktur und Dienste
Umsetzung
Kapitel 5
  • Definition Betroffenheit TK
  • Kritikalität und Gefährdungen
  • Festlegung Maßnahmen
  • Sicherheits­konzept
  • Sicherheits­beauftragter
  • Umsetzen/Überprüfen
TK mit IP-Infrastruktur
Anlage 1
  • Weitere Anforderungen für TK-Anbieter mit IP-Infrastruktur
    (separates Dokument im Dokument)
  • Infrastruktur: Routing und Protokolle
  • Infrastruktur: Monitoring, Meldungen, Kooperation
  • Allgemein: Authentisierung und 2FA
  • Internetzugang: Information von Kunden
  • VoIP-Vorkehrungen
  • DNS: Schutz und DNSSEC
Erhöhtes Gefährdungs­potenzial
Anlage 2
  • Zusätzliche Sicherheits­anforderungen für erhöhte Kritikalität
    (separates Dokument im Dokument)
  • Zertifizierung kritischer Komponenten
  • Vertrauenswürdigkeit von Herstellern
  • Integrität von Produkten
  • Monitoring
  • Kryptographie
  • Fachpersonal
  • Redundanzen
  • Keine Monokulturen

up

Sicherheits­maßnahmen und KRITIS

Der Sicherheitskatalog 2.0 der BNetzA fordert bei TK-Betreibern IT-Sicherheit in Netzen und Diensten — im folgenden mit den BSI KRITIS-Anforderungen abgeglichen. Die Tabelle ist auch als PDF verfügbar, die TKG 2.0 Anforderungen sind auch im Mapping von KRITIS-Anforderungen zu Security Standards enthalten, mit ISO 27001, C5 und NIST.

OpenKRITIS Mapping von Sicherheitskatalog 2.0 BNetzA und Konkretisierung der Anforderungen BSI 2020
Ohne Anspruch auf Vollständigkeit.
Nr. Sicherheitskatalog KRITIS (und C5)
3.1 Organisation
3.1.1 Organisations- und Risikomanagement BSI-1 (OIS-01)
BSI-13 (OIS-06)
BSI-14 (OIS-07)
BSI-15 (BCM-02)
BSI-16 (B3S)
3.1.2 Sicherheitsrollen und Verantwortlichkeiten BSI-3 (OIS-03)
3.1.3 Lieferantenmanagement BSI-98 (DLL-01)
BSI-99 (DLL-02)
3.2 Sicherheit im Personalmanagement
3.2.1 Sicherheitsüberprüfung BSI-56 (HR-01)
3.2.2 Sicherheitswissen und Sensibilisierung BSI-68 (HR-03)
3.2.3 Personelle Veränderungen BSI-70 (HR-05)
3.2.4 Umgang mit Verstößen BSI-79 (HR-04)
3.3 Sicherheit von Daten, Systemen und Einrichtungen
3.3.1 Sicherer Umgang mit sensiblen Daten und Informationen BSI-34 (KRY-03)
BSI-11 (AM-07)
BSI-55 (MDM-01)
3.3.2 Physische und elementare Schutzanforderungen BSI-72 (PS-01)
BSI-73 (PS-02)
BSI-74 (PS-03)
BSI-76 (PS-05)
3.3.3 Versorgungssicherheit BSI-71 (BCM-05)
BSI-75 (PS-04)
3.3.4 Zugriffs- und Zugangskontrolle BSI-58 (IDM-01)
BSI-59 (IDM-02)
BSI-60 (IDM-03)
BSI-61 (IDM-04)
BSI-62 (IDM-05)
BSI-63 (IDM-06)
BSI-64 (IDM-09)
BSI-28 (IDM-10)
BSI-29 (IDM-11)
BSI-30 (IDM-12)
3.3.5 Integrität und Verfügbarkeit BSI-45 (BEI-03)
BSI-21 (RB-05)
BSI-34 (KRY-03)
BSI-68 (HR-03)
3.3.6 Vertraulichkeit der Kommunikation BSI-32 (KRY-01)
BSI-33 (KRY-02)
BSI-34 (KRY-03)
BSI-35 (KRY-04)
BSI-36 (KOS-01)
BSI-37 (KOS-02)
BSI-26 (IDM-07)
BSI-27 (IDM-08)
3.4 Betriebsführung
3.4.1 Betriebsverfahren BSI-20 (RB-01)
BSI-20 (RB-02)
3.4.2 Änderungsmanagement BSI-45 (BEI-03)
BSI-46 (BEI-04)
BSI-47 (BEI-05)
BSI-48 (BEI-06)
BSI-49 (BEI-07)
BSI-50 (BEI-08)
BSI-51 (BEI-09)
BSI-52 (BEI-10)
BSI-58 (IDM-01)
3.4.3 Asset Management BSI-5 (AM-01)
BSI-6 (AM-02)
BSI-10 (AM-06)
3.5 Störungen und Sicherheitsvorfälle
3.5.1 Erkennen von Sicherheitsvorfällen und Störungen BSI-36 (KOS-01)
BSI-37 (KOS-02)
BSI-80 (SIM-05)
3.5.2 Umgang mit Sicherheitsvorfällen und Störungen BSI-77 (SIM-01)
BSI-78 (SIM-02)
BSI-82 (SIM-07)
3.5.3 Kommunikation und Meldung von Sicherheitsvorfällen BSI-79 (SIM-03)
BSI-81 (SIM-06)
BSI-100 (-)
3.6 Not- oder Ausfallmanagement
3.6.1 Aufrechterhaltung (Business Continuity Management) BSI-17 (BCM-01)
BSI-22 (RB-06)
BSI-22 (RB-09)
3.6.2 Wiederanlauf (Disaster Recovery Management) BSI-18 (BCM-03)
3.7 Überwachungs- und Testverfahren
3.7.1 Überwachungs- und Protokollierung BSI-90 (RB-10)
BSI-90 (RB-14)
BSI-91 (RB-12)
BSI-92 (RB-13)
3.7.2 Notfallübungen BSI-19 (BCM-04)
3.7.3 Testen von Netzwerk- und IT-Systemen BSI-49 (BEI-07)
BSI-51 (BEI-09)
BSI-53 (BEI-11)
BSI-95 (RB-18)
BSI-84 (RB-21)
BSI-86 (SPN-02)
BSI-87 (SPN-03)
3.8 Beurteilung der Sicherheit­smaßnahmen
Strategie zur Beurteilung von Sicherheit­smaßnahmen BSI-14 (OIS-07)
BSI-16 (-)
BSI-53 (BEI-11)
BSI-95 (RB-18)
3.9 Einhaltung gesetzlicher Anforderungen
Stelle und Überwachung Compliance BSI-2 (OIS-02)
BSI-17 (BCM-01)
BSI-86 (SPN-02)

up

Erhöhtes Gefährdungs­potenzial

Betreiber

Betreiber und Netze mit erhöhtem Gefährdungs­potenzial oder erhöhter Kritikalität werden im TKG mehrfach erwähnt und im Sicherheitskatalog definiert. Dort werden unter Einstufung der Kritikalität (5.1.2) verschiedene Kritikalitäts­stufen von TK-Netzen und Diensten vorgenommen.

Unter die höchste Stufe Erhöhte Kritikalität fallen Dienste und Netze, die für das Gemeinwohl eine herausragende Bedeutung haben — bis jetzt ausschließlich öffentliche Telekommunikations­netze des Mobilfunks der 5. Generation mit Frequenz­zuteilungen.

Kritische Komponenten

Bestimmte Kritische Komponenten (aus dem IT-Sicherheitsgesetz 2.0) dürfen durch Betreiber mit erhöhtem Gefährdungs­potenzial nur mit Zertifizierung nach TR-03163, einer Erklärung des Herstellers und Freigabe des BMI eingesetzt werden, §165 (4) TKG. Der Sicherheitskatalog 2.0 definiert die Liste der kritischen Funktionen bei Betreibern, die unter diese Anforderung fallen:

eigene Zusammenstellung, Stand August 2021
Bereich Kritische Komponenten oder Funktionen
Öffentliche 5G-Mobilfunknetze
  • Core network functions
  • NFV management and network orchestration (MANO)
  • Management systems and supporting services
  • Radio Access Network (RAN)
  • Transport and transmission
  • Internetwork exchanges

Angriffserkennung

Betreiber mit erhöhtem Gefährdungs­potenzial müssen zu ihren Cyber Security Maßnahmen nach §165 TKG explizit auch Systeme zur Angriffserkennung einsetzen — analog zum IT-Sicherheitsgesetz 2.0. Diese Systeme nach Stand der Technik dienen zur automatisierten Erfassung und Abwehr von Gefahren in der TK-Infrastruktur und Diensten. §165 (3) TKG

up

Weitere Informationen

Literatur

  1. Mapping Sicherheitskatalog 2.0 und KRITIS (PDF), OpenKRITIS, März 2022
  2. KRITIS-Sektor Informations­technik und Telekommunikation, OpenKRITIS
  3. BSI führt Zertifizierung für 5G-Komponenten ein, Pressemitteilung BSI, 05.07.2022, Bundesamt für Sicherheit in der Informationstechnik

Quellen

  1. Katalog von Sicherheits­anforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungs­systemen sowie für die Verarbeitung personen­bezogener Daten nach § 109 Telekommunikations­gesetz (TKG), Bundesnetzagentur (BNetzA), Version 2.0, 29.04.2020
  2. Liste der kritischen Funktionen nach § 109 Abs. 6 TKG für öffentliche Telekommunikations­netze und -dienste mit erhöhtem Gefährdungs­potenzial, Bundesnetzagentur (BNetzA), 18.08.2021
  3. Ausnahmeregelungen für Betreiber im Sektor IT und TK, Webseite des Bundesamts für Sicherheit in der Informationstechnik, 28.1.2021
  4. Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen, Bundesamt für Sicherheit in der Informationstechnik, Version 1.0, 28.2.2020