de en
Nexia Ebner Stolz

Wirtschaftsprüfung

Neue Sicherheitsvorgaben für den 5G-Rollout

Ab 2020 soll auch in Deutschland das 5G-Netz zur Verfügung stehen. 5G ist der neueste Standard für mobiles Internet und Mobiltelefonie. Zum sicheren Betrieb und zur Sicherheit der Mobilfunknetze wurde seitens der Bundesnetzagentur bereits im Frühjahr ein Eckpunktepapier veröffentlicht.

Das 5G-Netz soll die Digi­ta­li­sie­rung vie­ler Lebens­be­rei­che, die Ver­net­zung von Maschi­nen in der Indu­s­trie und intel­li­gen­ten Gerä­ten unter­stüt­zen. Der grund­sätz­li­che Unter­schied zwi­schen dem der­zeit aktu­el­len Mobil­funk­stan­dard 4G (LTE) und 5G sind die höhe­ren Band­b­rei­ten, die erreicht wer­den kön­nen. Dar­über hin­aus gehö­ren eine ver­bes­serte Kryp­to­gra­fie, ein siche­re­res Roa­ming sowie wei­tere Maß­nah­men zur Absi­che­rung der Sig­na­li­sie­rung zwi­schen unter­schied­li­chen Mobil­funk­net­zen zu den Inno­va­tio­nen. Ins­be­son­dere ver­spricht man sich von 5G aber auch, dass beste­hende Sicher­heits­lü­cken vor­he­ri­gen Tech­no­lo­gien gesch­los­sen wer­den.

Die Ein­füh­rung des 5G-Net­zes soll aber nicht das Ende der LTE-Fre­qu­enz­bän­der bedeu­ten, son­dern im Ideal­fall eine Ergän­zung, um zukünf­tig eine noch grö­ßere Kapa­zi­tät und sch­nel­lere Netz­ge­schwin­dig­kei­ten bedie­nen zu kön­nen. Zudem müs­sen die bei­den Mobil­funk­stan­dards noch eine Zeit lang neben­ein­an­der arbei­ten, bevor in Deut­sch­land eine flächen­de­ckende Ver­füg­bar­keit des 5G-Net­zes vor­han­den ist.

5G ist dabei weni­ger ein „Netz“ - wie bspw. noch bei den Vor­gän­ger­tech­no­lo­gien - son­dern viel­mehr ein Bau­kas­ten, aus dem man Dienste und Struk­tu­ren mit unter­schied­lichs­ten Eigen­schaf­ten gleich­zei­tig rea­li­sie­ren kann. Dazu gehört die Rea­li­sie­rung sepa­ra­ter vir­tu­el­ler Netze inn­er­halb öff­ent­li­cher Infra­struk­tu­ren, aber auch die Mög­lich­keit, geo­gra­phisch beg­renzte 5G-Nut­zungs­li­zen­zen zu erwer­ben.

Sicher­heits­ka­ta­log für Tele­kom­mu­ni­ka­ti­ons­netze und IT-Sys­teme

Durch die Bun­des­netza­gen­tur, das Bun­de­s­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) und der Bun­des­be­auf­tragte für den Daten­schutz und die Infor­ma­ti­ons­f­rei­heit (BfDI) ist im Oktober 2019 auf­bau­end auf dem Eck­punk­te­pa­pier aus dem Früh­jahr eine Neu­fas­sung des Sicher­heits­ka­ta­logs für Tele­kom­mu­ni­ka­ti­ons­netze und IT-Sys­teme vor­ge­legt wor­den. Diese Neu­fas­sung sieht spe­zi­fi­sche Sicher­heit­s­an­for­de­run­gen vor, wel­che durch Tele­kom­mu­ni­ka­ti­ons­be­t­rei­ber und ent­sp­re­chende Zulie­fe­rer ein­zu­hal­ten sind. Die Sicher­heit­s­an­for­de­run­gen betref­fen dabei im Wesent­li­chen den Betrieb von Tele­kom­mu­ni­ka­ti­ons­net­zen.

Zusätz­lich zu den Stan­dard­si­cher­heit­s­an­for­de­run­gen, wur­den für öff­ent­lich zugäng­li­che Tele­kom­mu­ni­ka­ti­ons­netze und -dienste mit erhöh­tem Gefähr­dungs­po­ten­tial spe­zi­fi­sche Sicher­heit­s­an­for­de­run­gen defi­niert.

Neue Sicher­heit­s­an­for­de­run­gen

Die „spe­zi­fi­schen Sicher­heit­s­an­for­de­run­gen“ tref­fen auch das 5G-Netz. Dies zeigt, dass dem Auf­bau des 5G-Net­zes in Deut­sch­land deut­lich höhere Sicher­heit­s­an­for­de­run­gen zugrunde gelegt wer­den, als noch bei 3G oder 4G.

Ein zen­tra­ler Aspekt im Rah­men der Sicher­heit­s­an­for­de­run­gen sieht dabei vor, dass tech­ni­sche Kom­po­nen­ten und Soft­ware in kri­ti­schen Berei­chen zer­ti­fi­ziert wer­den müs­sen. Dies soll durch das BSI erfol­gen. Zer­ti­fi­zie­rungs­vor­aus­set­zung ist, dass Lie­fe­r­an­ten oder Her­s­tel­ler ihre Ver­trau­ens­wür­dig­keit zusi­chern. Im Detail ist dies im Sicher­heits­ka­ta­log defi­niert. In die­sem Zusam­men­hang sol­len Sys­teme aus­sch­ließ­lich von Lie­fe­r­an­ten bezo­ge­nen wer­den, wel­che die Bestim­mun­gen zum Fern­mel­de­ge­heim­nis und zum Daten­schutz ein­hal­ten. Sofern kri­ti­sche Pro­zesse durch einen Netz­be­t­rei­ber aus­ge­la­gert wer­den, ste­hen diese in der Ver­ant­wor­tung nach­zu­wei­sen, dass bei den Dienst­leis­tern ent­sp­re­chende Sicher­heits­stan­dards und -anfor­de­run­gen ein­ge­hal­ten wur­den und wer­den.

Dar­über hin­aus sind sei­tens der Netz- und Sys­tem­be­t­rei­ber fol­gende Anfor­de­run­gen zu erfül­len:

  • Sicher­stel­lung der Pro­dukt­in­te­gri­tät
  • Ein­füh­rung eines Sicher­heits­moni­to­rings
  • Beson­dere Anfor­de­run­gen an das Per­so­nal in sicher­heits­re­le­van­ten Berei­chen
  • Gewähr­leis­tung aus­rei­chen­der Redundan­zen
  • Ver­mei­dung von Mono­kul­tu­ren

Aus­blick

Betrof­fene Ver­bände und Unter­neh­men hat­ten bis ein­sch­ließ­lich 13.11.2019 die Mög­lich­keit, Stel­lung zu dem vor­ge­s­tell­ten Sicher­heits­ka­ta­log zu neh­men. Aktu­ell wer­den diese Stel­lung­nah­men geprüft und der Kata­log fina­li­siert.

nach oben