Kritische Komponenten
Seit dem IT-Sicherheitsgesetz 2.0 müssen KRITIS-Betreiber dem Innenministerium den Einsatz von kritischen Komponenten anzeigen. Diese kritischen Komponenten sind IT-Produkte mit kritischen Funktionen, deren Ausfall KRITIS-Anlagen erheblich beeinträchtigen würde und daher besonders schützenswert sind.
Die kritischen Komponenten und Funktionen müssen dazu in weiteren Gesetzen bestimmt werden. Bis 2021 ist dies nur im Sektor Telekommunikation erfolgt, durch das Telekommunikationsgesetz (TKG), in anderen Sektoren noch nicht. Mit NIS2 werden die kritischen Komponenten erweitert – dieser Artikel gibt den Stand von 2021 wieder.
Umgang mit kritischen Komponenten
Definition
Kritische Komponenten sind in §2 (13) BSIG wie folgt definiert:
- Kritische Komponenten sind IT-Produkte
- Einsatz in Kritischen Infrastrukturen, d.h. in KRITIS-Anlagen
- Störungen würden zum Ausfall oder erheblicher Beeinträchtigung der KRITIS-Anlage, oder
zu Gefährdungen für die öffentliche Sicherheit führen - Werden in einem Gesetz bestimmt, oder
implementieren kritische Funktionen, die in einem Gesetz bestimmt werden
D.h.: Kritische Komponenten müssen durch den Gesetzgeber explizit definiert und bestimmt werden — und gelten dann nur für ausgewählte Bereiche mit erhöhtem Schutzbedarf.
Einsatz bei KRITIS-Betreibern
Meldung beim Innenministerium
KRITIS-Betreiber müssen den geplanten, erstmaligen Einsatz von kritischen Komponenten in ihren KRITIS-Anlagen beim Bundesinnenministerium anzeigen. Im TK-Sektor müssen kritische Komponenten dazu noch zertifiziert werden.
Garantieerklärung
Die kritischen Komponenten dürfen in KRITIS-Anlagen nur mit einer Garantieerklärung der Vertrauenswürdigkeit des Herstellers nach §9b (3) eingesetzt werden. Die Erklärung muss die Anforderungen des Innenministeriums erfüllen und ist dem Innenministerium vor Einsatz vorzulegen.
Erlaubnis durch BMI
Das Innenministerium darf KRITIS-Betreibern den Einsatz kritischer Komponenten bei einer vorraussichtlichen Beeinträchtigung der öffentlichen Ordnung und Sicherheit
nach §9b (2) BSIG untersagen.
Dies kann der Fall sein, wenn der Hersteller von kritischen Komponenten
- von der Regierung, staatlichen Stellen oder Streitkräften eines Drittstaats kontrolliert wird oder
- an
nachteiligen Aktivitäten
gegen die öffentliche Ordnung und Sicherheit Deutschlands, der EU, EFTA oder NATO beteiligt war oder ist, oder - der Einsatz der kritischen Komponenten nicht mit den
sicherheitspolitischen Zielen
Deutschlands, der EU oder NATOim Einklang
ist.
Nach §9b (4) BSIG darf das BMI den Einsatz ebenfalls untersagen, wenn der Hersteller nicht vertrauenswürdig ist
.
Die (mangelnde) Vertrauenswürdigkeit ergibt sich dabei aus der Garantieerklärung des Herstellers, Sicherheitstests, Schwachstellen, Manipulationen, Mängeln und technischen Schwachstellen in den betreffenden Produkten.
Liste kritischer Komponenten
Zurzeit, Stand 2021, gibt es nur im Sektor Telekommunikation kritische Komponenten, definiert durch das TKG und die BNetzA.
| KRITIS-Sektor | Kritische Komponenten oder Funktionen |
|---|---|
| Telekommunikation (IKT) durch §167 (1) Nr.2 TKG |
Öffentliche 5G-Mobilfunknetze, davon:
|
Weitere Informationen
Literatur
- Fragen und Antworten zum Einsatz kritischer Komponenten, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
- Liste der kritischen Funktionen nach § 109 Abs. 6 TKG für öffentliche Telekommunikationsnetze und -dienste mit erhöhtem Gefährdungspotenzial, Bundesnetzagentur (BNetzA), 18.08.2021
- Festlegung des Kataloges von Sicherheitsanforderungen, BNetzA Pressemitteilung, 25.08.2021
Quellen
- Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist