de en
Nexia Ebner Stolz

Wirtschaftsprüfung

Neue Sicherheitsvorgaben für den 5G-Rollout

Ab 2020 soll auch in Deutsch­land das 5G-Netz zur Verfügung ste­hen. 5G ist der neu­este Stan­dard für mo­bi­les In­ter­net und Mo­bil­te­le­fo­nie. Zum si­che­ren Be­trieb und zur Si­cher­heit der Mo­bil­funk­netze wurde sei­tens der Bun­des­netz­agen­tur be­reits im Frühjahr ein Eck­punk­te­pa­pier veröff­ent­licht.

Das 5G-Netz soll die Di­gi­ta­li­sie­rung vie­ler Le­bens­be­rei­che, die Ver­net­zung von Ma­schi­nen in der In­dus­trie und in­tel­li­gen­ten Geräten un­terstützen. Der grundsätz­li­che Un­ter­schied zwi­schen dem der­zeit ak­tu­el­len Mo­bil­funk­stan­dard 4G (LTE) und 5G sind die höheren Band­brei­ten, die er­reicht wer­den können. Darüber hin­aus gehören eine ver­bes­serte Kryp­to­gra­fie, ein si­che­re­res Roa­ming so­wie wei­tere Maßnah­men zur Ab­si­che­rung der Si­gna­li­sie­rung zwi­schen un­ter­schied­li­chen Mo­bil­funk­net­zen zu den In­no­va­tio­nen. Ins­be­son­dere ver­spricht man sich von 5G aber auch, dass be­ste­hende Si­cher­heitslücken vor­he­ri­gen Tech­no­lo­gien ge­schlos­sen wer­den.

Die Einführung des 5G-Net­zes soll aber nicht das Ende der LTE-Fre­quenzbänder be­deu­ten, son­dern im Ide­al­fall eine Ergänzung, um zukünf­tig eine noch größere Ka­pa­zität und schnel­lere Netz­ge­schwin­dig­kei­ten be­die­nen zu können. Zu­dem müssen die bei­den Mo­bil­funk­stan­dards noch eine Zeit lang ne­ben­ein­an­der ar­bei­ten, be­vor in Deutsch­land eine flächen­de­ckende Verfügbar­keit des 5G-Net­zes vor­han­den ist.

5G ist da­bei we­ni­ger ein „Netz“ - wie bspw. noch bei den Vorgänger­tech­no­lo­gien - son­dern viel­mehr ein Bau­kas­ten, aus dem man Dienste und Struk­tu­ren mit un­ter­schied­lichs­ten Ei­gen­schaf­ten gleich­zei­tig rea­li­sie­ren kann. Dazu gehört die Rea­li­sie­rung se­pa­ra­ter vir­tu­el­ler Netze in­ner­halb öff­ent­li­cher In­fra­struk­tu­ren, aber auch die Möglich­keit, geo­gra­phi­sch be­grenzte 5G-Nut­zungs­li­zen­zen zu er­wer­ben.

Sicherheitskatalog für Telekommunikationsnetze und IT-Systeme

Durch die Bun­des­netz­agen­tur, das Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) und der Bun­des­be­auf­tragte für den Da­ten­schutz und die In­for­ma­ti­ons­frei­heit (BfDI) ist im Ok­to­ber 2019 auf­bau­end auf dem Eck­punk­te­pa­pier aus dem Frühjahr eine Neu­fas­sung des Si­cher­heits­ka­ta­logs für Te­le­kom­mu­ni­ka­ti­ons­netze und IT-Sys­teme vor­ge­legt wor­den. Diese Neu­fas­sung sieht spe­zi­fi­sche Si­cher­heits­an­for­de­run­gen vor, wel­che durch Te­le­kom­mu­ni­ka­ti­ons­be­trei­ber und ent­spre­chende Zu­lie­fe­rer ein­zu­hal­ten sind. Die Si­cher­heits­an­for­de­run­gen be­tref­fen da­bei im We­sent­li­chen den Be­trieb von Te­le­kom­mu­ni­ka­ti­ons­net­zen.

Zusätz­lich zu den Stan­dard­si­cher­heits­an­for­de­run­gen, wur­den für öff­ent­lich zugäng­li­che Te­le­kom­mu­ni­ka­ti­ons­netze und -dienste mit erhöhtem Gefähr­dungs­po­ten­tial spe­zi­fi­sche Si­cher­heits­an­for­de­run­gen de­fi­niert.

Neue Sicherheitsanforderungen

Die „spe­zi­fi­schen Si­cher­heits­an­for­de­run­gen“ tref­fen auch das 5G-Netz. Dies zeigt, dass dem Auf­bau des 5G-Net­zes in Deutsch­land deut­lich höhere Si­cher­heits­an­for­de­run­gen zu­grunde ge­legt wer­den, als noch bei 3G oder 4G.

Ein zen­tra­ler As­pekt im Rah­men der Si­cher­heits­an­for­de­run­gen sieht da­bei vor, dass tech­ni­sche Kom­po­nen­ten und Soft­ware in kri­ti­schen Be­rei­chen zer­ti­fi­ziert wer­den müssen. Dies soll durch das BSI er­fol­gen. Zer­ti­fi­zie­rungs­vor­aus­set­zung ist, dass Lie­fe­ran­ten oder Her­stel­ler ihre Ver­trau­enswürdig­keit zu­si­chern. Im De­tail ist dies im Si­cher­heits­ka­ta­log de­fi­niert. In die­sem Zu­sam­men­hang sol­len Sys­teme aus­schließlich von Lie­fe­ran­ten be­zo­ge­nen wer­den, wel­che die Be­stim­mun­gen zum Fern­mel­de­ge­heim­nis und zum Da­ten­schutz ein­hal­ten. So­fern kri­ti­sche Pro­zesse durch einen Netz­be­trei­ber aus­ge­la­gert wer­den, ste­hen diese in der Ver­ant­wor­tung nach­zu­wei­sen, dass bei den Dienst­leis­tern ent­spre­chende Si­cher­heits­stan­dards und -an­for­de­run­gen ein­ge­hal­ten wur­den und wer­den.

Darüber hin­aus sind sei­tens der Netz- und Sys­tem­be­trei­ber fol­gende An­for­de­run­gen zu erfüllen:

  • Si­cher­stel­lung der Pro­dukt­in­te­grität
  • Einführung ei­nes Si­cher­heits­mo­ni­to­rings
  • Be­son­dere An­for­de­run­gen an das Per­so­nal in si­cher­heits­re­le­van­ten Be­rei­chen
  • Gewähr­leis­tung aus­rei­chen­der Re­dun­dan­zen
  • Ver­mei­dung von Mo­no­kul­tu­ren

Ausblick

Be­trof­fene Verbände und Un­ter­neh­men hat­ten bis ein­schließlich 13.11.2019 die Möglich­keit, Stel­lung zu dem vor­ge­stell­ten Si­cher­heits­ka­ta­log zu neh­men. Ak­tu­ell wer­den diese Stel­lung­nah­men geprüft und der Ka­ta­log fi­na­li­siert.

nach oben