Registrierung TK-Komponente

Sicherheit der nationalen Mobilfunknetze

Der Gesetzgeber hat die Notwendigkeit von höheren Sicherheitskriterien im Mobilfunksektor erkannt und setzt diese seit 2020 im Aufbau der deutschen -Netze um. Damit einhergehend sind anerkannte Zertifikate für die sicherheitsrelevanten Komponenten eines Mobilfunknetzes verpflichtend. Als nationale Cyber-Sicherheitsbehörde ist das für die Prüfung von kritischen Netzwerkkomponenten zum Nachweis ihrer objektiven Sicherheitseigenschaften zuständig.

Die gesetzliche Grundlage dazu schafft das Telekommunikationsgesetz (): Zum einen ist im § 165 die Zertifizierungspflicht der sicherheitsrelevanten Komponenten verankert. Zum anderen legt der § 167 fest, dass die Bundesnetzagentur im Einvernehmen mit dem und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit einen Katalog von Sicherheitsanforderungen erstellt. Dieser Katalog ist für die Betreiber von -Infrastrukturen maßgeblich und wird fortlaufend an technische Entwicklungen angepasst.

Registrierung kritischer -Komponenten

Gemäß § 66 müssen Betreiber kritischer Anlagen bis zum Erlass einer Rechtsverordnung nach § 5 Absatz 1 KRITISDachG die bei ihnen zum Einsatz kommenden Typen von kritischen Komponenten nach § 33 Absatz 2 dem übermitteln. Änderungen dieser Angaben sind gemäß § 33 Absatz 5 einmal jährlich an das zu übermitteln. Da das zum jetzigen Zeitpunkt noch keine Rechtsverordnung nach § 56 Absatz 6 erlassen hat, sind für den -Sektor derzeit ausschließlich kritische Komponenten eines öffentlichen -Mobilfunknetzes nach der Liste der kritischen Funktionen definiert. Aus diesem Grund sind derzeit auch ausschließlich Betreiber öffentlicher -Mobilfunknetze verpflichtet, die bei Ihnen zum Einsatz kommenden Typen kritischer Komponenten gemäß § 33 Absatz 2 an das zu übermitteln.

Betreiber öffentlicher -Mobilfunknetze werden gebeten, die Angaben mithilfe des bereitgestellten Excel-Musters aufzubereiten und anschließend unter Verwendung des -Schlüssels oder des -Zertifikats verschlüsselt an [email protected] zu übermitteln.

Technische Richtlinie "Sicherheit in -Infrastrukturen"

Mit dem -Sicherheitsgesetz 2.0 wurde die Zertifizierung für -Netzwerkkomponente in Deutschland gesetzlich vorgeschrieben. Das Telekommunikationsgesetz () regelt hierzu die Zertifizierungspflicht in § 165 Absatz 4.

Der von der Bundesnetzagentur im Einvernehmen mit dem und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit erstellte Katalog von Sicherheitsanforderungen nach § 167 regelt die Details zur Umsetzung der Zertifizierungspflicht. So gilt, dass beginnend ab dem 01.01.2026 kritische Komponenten vor ihrem erstmaligen Einsatz in -Telekommunikationsnetzen zertifiziert werden müssen. Die hierfür zu verwendenden Zertifizierungsschemata sowie die jeweiligen Anwendungsbereiche und Anforderungen regelt die Technische Richtlinie -03163 "Sicherheit in -Infrastrukturen" des . Zur Zertifizierung von kritischen -Komponenten stehen die Schemata Common Criteria, und zur Verfügung.

Standardisierung und Zertifizierung: Internationale Gremientätigkeiten des

Die Sicherheit in den Netzen unterliegt sowohl der nationalen Regulierung durch das als auch der europäischen Regulierung. Der Cybersecurity Act () benennt die Zertifizierung als mögliche freiwillige Maßnahme, solange die Mitgliedstaaten dies nicht durch eigene nationale Gesetzgebung als verpflichtend einführen. Deutschland hat diesen verpflichtenden Weg gewählt und mit dem -Sicherheitsgesetz 2.0 die Zertifizierung für Netzwerkkomponenten gesetzlich im verankert.

Um die deutschen Sicherheitsinteressen auch auf europäischer Ebene zu vertreten, ist das in den maßgeblichen Gremien zu aktiv und gestaltet die europäische Umsetzung der Regulierung mit. Eines der wichtigsten Gremien ist derzeit die Arbeitsgruppe bei der zur Erstellung eines europäischen Cybersicherheitszertifizierungsschemas ( Scheme). Dort arbeiten Fachexperten aus der Industrie und den europäischen Behörden an dem zukünftigen Schema zur Zertifizierung von Komponenten. Überwacht wird die Arbeit der Experten durch die Arbeitsgruppe bei der Europäischen Kommission sowie der mit den Vertretern der einzelnen Mitgliedstaaten.

Neben der Teilnahme an Arbeitsgruppen zur Regulierung bei der Europäischen Kommission und der bringt sich das auch bei der Standardisierung von - und -Technologien ein, um Security-by-Design von Anfang an mitzudenken. Hierzu beteiligt sich das in den Industriegremien der und sowie in den technischen Standardisierungsgremien bei und /. In der engagiert sich das derzeit bei der Standardisierung von Open- mit dem Schwerpunkt auf Sicherheitsaspekten.

Als Mitglied der vernetzt sich das auch auf internationaler Ebene, um Sicherheitsinteressen zu vertreten. Seit kurzem ist das auch selbst mit eigenen Beiträgen in den Industriegremien aktiv, um Erkenntnisse aus dem nationalen Zertifizierungsschema einzubringen.

-Campusnetze

Unternehmen die als eingestuft sind und den Regularien der - unterliegen, können eigenständig private Netze betreiben. Diese -Campusnetze sind typischerweise nur dann als kritisch einzustufen, wenn sie an Prozessen beteiligt sind, die zur Erbringung der kritischen Dienstleistung gemäß der - erforderlich sind. In diesem Fall sind die Anforderungen aus §8a umzusetzen. In allen anderen Nutzungsszenarien handelt es sich um ein privates -Netz, welches keiner Regulierung unterliegt. In diesem Fall kann zur Absicherung des -Netzes auf die -Grundschutz-Profile zur Absicherung von -Campusnetzen zurückgegriffen werden.

Weitere Informationen zur Absicherung von -Campusnetzen sind unter folgendem Link aufrufbar: Absicherung von -Campusnetzen

Links und Downloads

Veröffentlichungen des

Die Technische Richtlinie -03163: Sicherheit in -Infrastrukturen und der zugehörigen Anhang sind unter folgendem Link aufrufbar:

Technische Richtlinie -03163: Sicherheit in -Infrastrukturen
-03163 Anhang A: Auswahlhilfe und zulässige Anforderungsdokumente

Studien und Risikoanalysen

Studien zu geeigneten Sicherheitsvorgaben in öffentlichen -Mobilfunknetzen in Deutschland
Risikoanalysen
Open- Risikoanalyse

Die -Grundschutz-Profile zur Absicherung von -Campusnetzen und die zugehörigen Benutzerdefinierten Bausteine sind unter folgenden Links aufrufbar:

Absicherung von -Campusnetzen im Fremdbetrieb:
-Grundschutz-Profil zur Absicherung von -Campusnetzen im Fremdbetrieb
-Grundschutz-Profil zur Absicherung von -Campusnetzen im Fremdbetrieb Anlagen

Absicherung von -Campusnetzen im Eigenbetrieb:
-Grundschutz-Profil zur Absicherung von -Campusnetzen im Eigenbetrieb
-Grundschutz-Profil zur Absicherung von -Campusnetzen im Eigenbetrieb Anlagen

Zugehörige benutzerdefinierte Bausteine:
Benutzerdefinierter Baustein INF.bd.1 Ortsveränderliche Einhausung für -Systeme
Benutzerdefinierter Baustein INF.bd.1 Ortsveränderliche Einhausung für -Systeme Kreuzreferenztabelle
Benutzerdefinierter Baustein CON.bd.1 Verwaltung von -Karten
Benutzerdefinierter Baustein CON.bd.1 Verwaltung von -Karten Kreuzreferenztabelle
Benutzerdefinierter Baustein NET.bd.2.3 Betrieb privater -Campusnetze
Benutzerdefinierter Baustein NET.bd.2.3 Betrieb privater -Campusnetze Kreuzreferenztabelle

Veröffentlichungen der

Der von der veröffentlichte Katalog von Sicherheitsanforderungen ist unter folgendem Link aufrufbar:
Katalog von Sicherheitsanforderungen

Die von der veröffentlichte Liste der kritischen Funktionen ist unter folgendem Link aufrufbar:
Liste der kritischen Funktionen für öffentliche Telekommunikationsnetze und -dienste mit erhöhtem Gefährdungspotenzial

Aktuelles

Folgende Liste zeigt Presse- und Kurzmitteilungen des der letzten 360 Tage mit Bezug zu den Themen und .