IT und TK

Telco tower picture

Im Sektor Informationstechnik und Telekommunikation versorgen KRITIS-Betreiber und Einrichtungen die Allgemeinheit mit zwei kritischen Dienst­leistungen: Sprach- und Daten­übertragung sowie Datenspeicherung und -verarbeitung. Diese Dienstleistungen müssen mit Cybersecurity-Pflichten nach NIS2 und KRITIS, teils auch TKG geschützt werden.

KRITIS-Betreiber erbringen diese kritischen Dienstleistungen in eigenen Anlagen, und werden KRITIS, wenn sie dabei Schwellenwerte überschreiten. Der Sektor erweitert sich mit NIS2 ab 2025 um viele neue Einrichtungen, die als Unternehmen reguliert werden, wenn sie Umsatz und Mitarbeiterzahlen überschreiten. Der Sektor IT und TK wird mit NIS2 in Digitale Infrastruktur umbenannt.

Nr. Unternehmen Scope
   Betreiber kritischer Anlagen
KRITIS-Sektor IT und TK:
Anlage über Schwellenwert (KRITIS)
   Besonders wichtige Einrichtung
NIS2-Sektor Digitale Infrastruktur:
Unternehmen (NIS2)
  • ≥250 Mitarbeiter oder
  • >50 Mio. EUR Umsatz und >43 Mio. EUR Bilanz
TK-Anbieter (NIS2 und TKG)
  • ≥50 Mitarbeiter oder
  • >10 Mio. EUR Umsatz und >10 Mio. EUR Bilanz
Qualified Vertrauensdienste, TLD und DNS-Anbieter (NIS2)
  • Größenunabhängig
   Wichtige Einrichtung
NIS2-Sektor Digitale Infrastruktur:
Unternehmen (NIS2)
  • ≥50 Mitarbeiter oder
  • >10 Mio. EUR Umsatz und >10 Mio. EUR Bilanz
TK-Anbieter (NIS2 und TKG)
  • <50 Mitarbeiter und
  • <10 Mio. EUR Umsatz und <10 Mio. EUR Bilanz
Vertrauensdienste (NIS2)
  • Größenunabhängig

Regulierte Pflichten

NIS2 und KRITIS

Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung. Die Gesetze werden wohl etwas verspätet 2025 in Kraft treten. Für Betreiber kritischer Anlagen, ehemals KRITIS, und die neuen Einrichtungen kommen viele neue Pflichten hinzu, die über die bisherige Regulierung des IT-Sicherheitsgesetz 2.0 hinausgehen.

eigene Zusammenstellung aus NIS2-Regierungsentwurf Oktober 2024
* - Sektor IT/TK fast vollständig vom Dachgesetz ausgeschlossen
Thema Betreiber kritischer Anlagen (KRITIS) Einrichtungen Telekommunikation
Gesetz NIS2-Umsetzung KRITIS-Dachgesetz NIS2-Umsetzung NIS2-Umsetzung
in §165 (2a) TKG
Fristen ab 2025 ab 2026 ab 2025 ab 2025
Scope Kritische Anlage Kritische Anlage* Unternehmen TK-Dienst/Netz
Pflichten Registrierung
Vorfallsmeldungen
Kundenmeldungen
Sanktionen
Prüfungen
Registrierung
Vorfallsmeldungen

Sanktionen
Registrierung
Vorfallsmeldungen
Kundenmeldungen
Sanktionen
Registrierung
Vorfallsmeldungen
Kundenmeldungen
Sanktionen
Maßnahmen Informationssicherheit
BCM und Krisen
Supply Chain
Risikomanagement
IT-Sicherheit
Angriffserkennung SzA
Personal
EU Implementing Act

Resilienz

Risikomanagement
Physische Sicherheit

Personal
Informationssicherheit
BCM und Krisen
Supply Chain
Risikomanagement
IT-Sicherheit

Personal
EU Implementing Act
Informationssicherheit
BCM und Krisen
Supply Chain
Risikomanagement
IT-Sicherheit

Personal
Nachweise Audits Teil von Audits Stichproben Sicherheitskonzept
Regulator BSI BBK BSI BNetzA

Die Gesetze sind noch in Arbeit, Anpassungen an Pflichten und Maßnahmen sind möglich. Einrichtungen im Bereich Cloud, Internet, Digitale werden durch NIS2 Implementing Act reguliert.

up

KRITIS

Kritische Anlagen

Die folgenden KRITIS-Anlagen sind im Sektor IT und TK in der KRITIS-Verordnung definiert. Betreiben Unternehmen diese kritische Anlagen und überschreiten dabei Schwellenwerte, werden sie zu KRITIS-Betreibern mit vielen regulierten Pflichten.

aus BSI-KritisV August 2023, Anhang 4
Nr. Anlage Beschreibung Schwellenwert
1.
Sprach- und Datenübertragung (Dienstleistung)
1.1.1 Zugangsnetz Zugang zu Sprachkommunikation, öffentlich zugänglicher Daten­übertragung oder Internetzugang, z.B. Glasfaser, Mobilfunk 100 Tsd.Teilnehmeranschlüsse
§3 Nr. 58 TKG
1.2.1 Übertragungsnetz Übertragung von Sprache und Daten für Sprach­kommunikation, öffentlich zugängliche Daten­übertragung oder Internetzugang, z.B. Backbone, Core-Netze 100 Tsd.Vertragspartner des Dienstes
1.2.2 Seekabelanlandestation Anbindung Sprach- und Datenüber­tragung dienenenden Seekabel an landgestützte TK-Netze 1angebundene Seekabel
1.3.1 IXP Einrichtung zur Zusammen­schaltung von unabhängigen Autonomen Systemen (AS) zum direkten Austausch von Internet­datenverkehr 100angeschlossene AS
(Jahresschnitt)
1.4.1 DNS-Resolver im Zugangsnetz eines Internet Service Providers zur Namensauflösung, auch rekursiv/iterativ 100 Tsd.Vertragspartner im Zugangsnetz
1.4.2 Autoritative DNS-Server Namensauflösung gem. Kap. 5 RFC 7719 aus lokalen Zonen/Informationen 250 Tsd.Domains, autoritativ oder delegiert
1.4.3 TLD Name-Registry Registrierung von Domain-Namen in einer Top Level Domain 250 Tsd.Domains, verwaltet oder betrieben
2.
Datenspeicherung und -verarbeitung (Dienstleistung)
2.1.1 Rechenzentrum Umgebung für Unterbringung und Betrieb zentraler IT-Komponenten wie Server oder Netzwerktechnik in mind. zehn Racks 3,5 MWvertraglich vereinbarte Leistung
2.2.1 Serverfarm Physische oder virtuelle Instanzen, die im IT-Netzwerk Dienste bereitstellen 10 Tsd.
15 Tsd.
physische Instanzen
virtuelle Instanzen
2.2.2 Content Delivery Netzwerk Regional verteilte und über das Internet verbundene Server zur Auslieferung und Zwischen­speicherung von Inhalten 75 TB/Jahrausgeliefertes Datenvolumen
2.3.1 Erbringung von Vertrauensdiensten Vertrauens­würdige Instanz (Trusted Third Party) zur Bescheinigung von Identitäten in elektronischer Kommunikation 500 Tsd.
10 Tsd.
qualifizierte Zertifikate
Serverzertifikate

up

Schwellenwerte

Die Schwellenwerte von KRITIS-Anlagen sind pro Sektor in der KRITIS-Verordnung definiert.

Netze

Für Zugangs- und Übertragungsnetze (1.1.1 bis 1.2.1) abgeleitet aus §1 Abs. 1 Nr. 2 PTSG:

IXP

Für 1.3.1 wird der Schwellenwert mit der wirtschaftlichen und regionalen Relevanz der betroffenen IXPs erklärt:

DNS

Der Schwellenwert für DNS-Resolver (1.4.1) orientiert sich am Zugangsnetz, das dieser bedient. Für DNS-Server (1.4.2) und TLD-Registry (1.4.3) wird unter Annahme von 40 Millionen in der Bundesrepublik Deutschland verwalteten Domains für den Bedarf von 500 Tsd. Personen ›abgeleitet‹:

Housing

Der Schwellenwert für Rechenzentren (2.1.1) bezieht sich auf die vertraglich vereinbarte Leistung und ist in der KritisV ohne Herleitung.

Hosting

Die Schwellenwerte für Serverfarmen (2.2.1) und Content Delivery Networks (2.2.2) sind ähnlich wie bei DNS-Server ›abgeleitet‹ unter Annahme von 1,6 Millionen physischen und 2,4 Millionen virtuellen in der Bundesrepublik Deutschland verwalteten Serverinstanzen und eines Transportvolumens von 11.826.000 TB pro Jahr:

Vertrauensdienste

Die Schwellenwerte für Vertrauensdienste (2.3.1) sind in der KritisV ohne Herleitung:

Fristen

Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren. Beim Versorgungsgrad versorgte Teilnehmer (bei Netzen 1.1.1 und 1.2.1) muss dies zum 30. Juni des Vorjahres ermittelt werden, ebenso bei der vertraglich vereinbarten Leistung in Rechenzentren.

up

NIS2

Einrichtungen

Mit NIS2 sind viele Unternehmen als Einrichtungen betroffen, die im NIS2-Umsetzungsgesetz im Anhang separat definiert sind. Betroffen sind jeweils ganze Unternehmen: Großunternehmen als besonders wichtige Einrichtung, mittlere Unternehmen als wichtige Einrichtung.

aus NIS2-Umsetzungsgesetz, Entwurf Juni 2024
^ - Definitionen und Herleitung aus dem Gesetz, teils sinngemäß
Nr. Teilsektor Einrichtungsart Besonderheit^
Digitale Infrastruktur (Sektor, Anlage 1)
6.1.1 Internet-Knoten Internet Exchange Points, IXPs: Infrastruktur zur Zusammenschaltung von mehr als zwei unabhängigen Netzen (autonomen Systemen) zur Erleichterung des Austauschs von Internet-Datenverkehr
6.1.2 DNS-Dienstanbieter ausgenommen Root-Nameserver;
Für Internet-Endnutzer öffentlich verfügbare rekursive Dienste oder autoritative Dienste zur Auflösung von Domain-Namen für Dritte
6.1.3 TLD-Namensregister Einrichtung zur Registrierung von Internet-Domain-Namen innerhalb einer Top Level Domain (TLD), inkl. der Nameserver, Datenbanken und Verteilung von TLD-Zonendateien
6.1.4 Cloud-Computing-Dienste CSP, digitaler Dienst, der auf Abruf Verwaltung und Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechen­ressourcen ermöglicht, auch auf mehrere Standorte verteilt
6.1.5 Rechenzentrumsdienste Dienst zur Unterbringung, Verbindung und Betrieb von IT- und Netzaus­rüstungen für Datenspeicher-, Datenverarbeitungs- und Daten­transport­diensten sowie Anlagen und Infrastrukturen für die Leistungs­verteilung und Umgebungs­kontrolle
6.1.6 Inhaltszustellnetze Content Delivery Networks, CDNs: Gruppe geographisch verteilter, zusammengeschalteter Server, die mit dem Internet verbunden sind, und Infrastruktur zur Bereitstellung (Caching) digitaler Inhalte und Dienste für Internetnutzer im Auftrag von Inhalte- und Diensteanbietern.
6.1.7 Vertrauensdienstanbieter TSP und qTSP, im Sinne Art. 3 Nr. 19 (EU) Nr. 910/2014
6.1.8 Öffentliche elektronische Kommunikations­netze Anbieter von öffentlich zugänglichen Telekommunikations­netzen (TK)
6.1.9 Öffentlich zugängliche elektronische Kommunikations­dienste Anbieter von TK-Diensten (Telekommunikation)
6.1.10 Managed Services Provider MSP: Installation, Verwaltung, Betrieb, Wartung von IKT-Produkten, -Netzen, -Infrastruktur, -Anwendungen, Netz- und Informationssysteme durch Unterstützung oder aktive Verwaltung bei/für Kunden
6.1.11 Managed Security Services Provider MSSP, ein MSP, der Unterstützung für Risiko­management im Bereich der Cyber­sicherheit erbringt

Für NIS2-Einrichtungen entsteht ggf. Mehrfach-Regulierung durch NIS2 und DORA, wenn sie Finanzkunden haben und/oder in DORA als kritischer IKT-Drittdienstleister eingestuft werden.

up

Kritische Komponenten

Telekommunikation

Kritische Komponenten wurden mit dem IT-Sicherheitsgesetz 2.0 eingeführt und erstmalig im TK-Sektor bestimmt. In öffentlichen Mobilfunknetzen der 5. Generation (5G-Netze) dürfen nur zertifizierte Produkte nach TR-03163 (Sicherheit in TK-Infrastrukturen) eingesetzt werden.

aus BNetzA Liste der kritischen Funktionen, Stand August 2021
5G-Netzwerke Funktionen
Core network functions
  • Authentifizierung, Roaming und Sitzungsverwaltung für Endnutzer
  • Datentransport für Endnutzer-Einrichtungen
  • Zugriffsrichtlinien-Verwaltung
  • Registrierung und Autorisierung von Netzwerkdiensten
  • Speicherung von Endnutzer- und Netzwerkdaten
  • Verbindung mit Mobilfunknetzen von Drittanbietern
  • Exposition der Core network functions zu externen Anwendungen
  • Zuordnung von Endgeräten zu Network Slices
NFV management and
network orchestration (MANO)
  • Management und Orchestrierung virtualisierter Netzwerk­funktionen
Management systems and
supporting services
  • Sicherheitsfunktionen des Management-Systems
Radio Access Network (RAN)
  • 5G-RAN Management
Transport and transmission
  • Sprach- und Datentransport mit erhöhter Relevanz
Internetwork exchanges
  • IP-Netzwerk außerhalb Räumlichkeiten (Netzwerkdienste Dritter)

Anhand der kritischen Funktionen müssen Betreiber die kritischen Komponenten, d.h. IT-Systeme, identifizieren. Der Prozess dazu wird von der BNetzA nach der Liste beschrieben.

up

Regulierung und Standards

Telekommunikation

Anbieter von Telekommunikations­netzen und -diensten im KRITIS Sektor IKT fallen neben KRITIS unter weitere Regulierung mit zusätzlichen TK Sicherheits-Anforderungen.

Das TKG wird in Folge von NIS2 angepasst und wohl die §30 BSIG-E Maßnahmen umfassen.

Ausnahmeregelungen Telekommunikation

KRITIS-Betreiber, die ein öffentliches Telekommunikations­netz betreiben oder öffentlich zugängliche Telekommunikations­dienste erbringen (§8d Abs. 2 Nr. 1 BSIG), müssen für diese Anlagen keine KRITIS-Maßnahmen umsetzen oder prüfen lassen. Für KRITIS-Anlagen mit diesen Funktionen gilt das Telekommunikations­gesetz; die Ausnahmen betreffen aber nur einzelne Absätze des BSIG und ausschließlich TK-Anlagen.

Auch in der kommenden NIS2-Regulierung gibt es Ausnahmeregelungen für Einrichtungen, die öffentliche TK-Netze betreiben oder öffentlich zugängliche TK-Dienste erbringen und dem TKG unterliegen. Es entsteht eine Mehrfach-Regulierung mit unterschiedlichen Vorgaben und Anforderungen je nach Geltungsbereich.

Status Entwurf Juni 2024
Unternehmen Regulierung Ausschluss Dafür gilt
  • Betreiber öffentlicher TK-Netze
  • Betreiber öffentlich zugänglicher TK-Dienste
KRITIS bis 2024 KRITIS-Maßnahmen
§8a
TKG
  • Betreiber öffentlicher TK-Netze
  • Betreiber öffentlich zugänglicher TK-Dienste
NIS2 ab 2024 NIS2-Maßnahmen
fast alle
TKG
SiKat

Telekommunikations­gesetz (TKG)

Das Telekommunikationsgesetz TKG, das im November 2021 umfangreich überarbeitet wurde, regelt die Pflichten der Betreiber von Telekommunikations­infrastruktur und -diensten. Dazu gehören unter anderem folgende Anforderungen zu IT-Sicherheit:

Die Ausführungen zu IT-Sicherheit waren früher größtenteils in §109 TKG enthalten, das novellierte TKG 2021 ist seit 1. Dezember 2021 in Kraft.

Sicherheitskatalog 2.0

Der von der BNetzA herausgegebene Katalog von Sicherheits­anforderungen 2.0 ist die Grundlage für das Sicherheitskonzept nach §166 TKG und die zu treffenden Sicherheits­vorkehrungen nach §165 TKG. Der Katalog enthält folgende Inhalte:

aus BNetzA Sicherheitskatalog 2.0 Stand 2020
Kategorie Inhalt
Sicherheits­maßnahmen
Kapitel 3
Umfangreiche Cyber Security Maßnahmen für TK-Anbieter und Betreiber
Rechtliche Grundlagen
Kapitel 4
Zum Schutz von Fernmelde­geheimnis, personen­bezogenen Daten, TK-Infrastruktur und Diensten
Umsetzung
Kapitel 5
Hilfestellungen und Vorgaben zur Umsetzung der Anforderungen
TK mit IP-Infrastruktur
Anlage 1
Enthält weitere Anforderungen für TK-Anbieter mit IP-Infrastruktur (separates Dokument im Dokument)
Erhöhtes Gefährdungspotenzial Anlage 2 Zusätzliche Sicherheits­anforderungen für Netze und Dienste erhöhter Kritikalität (separates Dokument im Dokument

Digital Operational Resilience Act (DORA)

Der Digital Operational Resilience Act (DORA) ist der europäische Rahmen für digitale operationale Resilienz im EU-Finanzsektor. Neben Finanzunternehmen werden auch kritische IKT-Drittdienstleister reguliert: IT-Provider, deren Dienstleistungen für Finanzunternehmen eine große Bedeutung haben und besondere IKT-Risikoquelle darstellen.

Wer kritischer IT-Dienstleister ist, wird durch EU-Behörden bestimmt und unterliegt EU-Aufsicht und muss umfassende IKT-Anforderungen zur Qualität, Sicherheit, Risiko­management, Governance, Meldewesen für Sicherheitsvorfälle, Tests, Audits und Normen umsetzen.

Branchenstandards

Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.

B3S

Industrienormen

up

Weitere Informationen

Literatur

  1. Mapping Sicherheitskatalog 2.0 und KRITIS (PDF), OpenKRITIS, Mai 2023
  2. Telekommunikation und KRITIS, zum TKG, Sicherheitskatalog, OpenKRITIS
  3. ENISA-Studie Telecom Security During a Pandemic, European Union Agency for Cybersecurity, November 2020
  4. ENISA-Report Telecom Services Security Incidents 2019 Annual Analysis, European Union Agency for Cybersecurity, July 2020
  5. Assessment of EU Telecom Security Legislation, European Union Agency for Cybersecurity, July 2021
  6. Telekommunikation und KRITIS zum TK-Sicherheitskatalog und TKG-Anforderungen, OpenKRITIS 2022
  7. Rückblicke auf die gemeldeten IT-Sicherheits­vorfälle der Branche Telekommunikation, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik
  8. BSI führt Zertifizierung für 5G-Komponenten ein, Pressemitteilung BSI, 05.07.2022, Bundesamt für Sicherheit in der Informationstechnik

Quellen

  1. Dritte Verordnung zur Änderung der BSI-Kritisverordnung, BGBl. 2023 I Nr. 53 vom 01.03.2023
  2. BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
  3. Post- und Telekommunikations­sicherstellungsgesetz - PTSG vom 24. März 2011 (BGBl. I S. 506, 941), das durch Artikel 7 des Gesetzes vom 4. November 2016 (BGBl. I S. 2473) geändert worden ist
  4. Telekommunikationsgesetz (TKG) vom 23. Juni 2021 (BGBl. I S. 1858), das zuletzt durch Artikel 8 des Gesetzes vom 10. September 2021 (BGBl. I S. 4147) geändert worden ist
  5. Telemediengesetz (TMG) vom 26. Februar 2007 (BGBl. I S. 179; 2007 I S. 251), das zuletzt durch Artikel 12 des Gesetzes vom 30. März 2021 (BGBl. I S. 448) geändert worden ist
  6. Liste der kritischen Funktionen nach § 109 Abs. 6 TKG für öffentliche Telekommunikations­netze und -dienste mit erhöhtem Gefährdungs­potenzial, Bundesnetzagentur (BNetzA), 18.08.2021