IT und TK
Im Sektor Informationstechnik und Telekommunikation versorgen KRITIS-Betreiber und Einrichtungen die Allgemeinheit mit zwei kritischen Dienstleistungen: Sprach- und Datenübertragung sowie Datenspeicherung und -verarbeitung. Diese Dienstleistungen müssen mit Cybersecurity-Pflichten nach NIS2 und KRITIS, teils auch TKG geschützt werden.
KRITIS-Betreiber erbringen diese kritischen Dienstleistungen in eigenen Anlagen, und werden KRITIS, wenn sie dabei Schwellenwerte überschreiten. Der Sektor erweitert sich mit NIS2 ab 2024 um viele Einrichtungen, die als Unternehmen reguliert werden, wenn sie Unternehmensgrößen überschreiten. Der Sektor IT und TK wird mit NIS2 in Digitale Infrastruktur umbenannt.
| Nr. | Unternehmen | Scope |
|---|---|---|
| Betreiber kritischer Anlagen KRITIS-Sektor IT und TK: |
Anlage über Schwellenwert (KRITIS) | |
|
||
| Besonders wichtige Einrichtung NIS2-Sektor Digitale Infrastruktur: |
Unternehmen (NIS2)
|
|
| Wichtige Einrichtung NIS2-Sektor Digitale Infrastruktur: |
Unternehmen (NIS2)
|
|
|
||
Regulierte Pflichten
NIS2 und KRITIS
Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung deutlich. Die Gesetze sind in Arbeit und sollen Oktober 2024 in Kraft treten. Für Betreiber kritischer Anlagen (KRITIS) als auch die neuen Einrichtungen kommen viele neue Pflichten hinzu, die über die bisherige Regulierung des IT-Sicherheitsgesetz 2.0 hinausgehen.
Die Gesetze sind noch in Arbeit, Anpassungen an Pflichten und Maßnahmen sind möglich. Einrichtungen im Bereich Cloud, Internet, Digitale werden durch NIS2 Implementing Act reguliert.
KRITIS
Kritische Anlagen
Die folgenden KRITIS-Anlagen sind im Sektor IT und TK in der KRITIS-Verordnung definiert. Betreiben Unternehmen kritische Anlagen und überschreiten dabei Schwellenwerte, werden sie KRITIS-Betreiber.
| Nr. | Anlage | Beschreibung | Schwellenwert | |
|---|---|---|---|---|
| 1. | Sprach- und Datenübertragung (Dienstleistung) | |||
| 1.1.1 | Zugangsnetz | Zugang zu Sprachkommunikation, öffentlich zugänglicher Datenübertragung oder Internetzugang, z.B. Glasfaser, Mobilfunk | 100 Tsd. | Teilnehmeranschlüsse §3 Nr. 58 TKG |
| 1.2.1 | Übertragungsnetz | Übertragung von Sprache und Daten für Sprachkommunikation, öffentlich zugängliche Datenübertragung oder Internetzugang, z.B. Backbone, Core-Netze | 100 Tsd. | Vertragspartner des Dienstes |
| 1.2.2 | Seekabelanlandestation | Anbindung Sprach- und Datenübertragung dienenenden Seekabel an landgestützte TK-Netze | 1 | angebundene Seekabel |
| 1.3.1 | IXP | Einrichtung zur Zusammenschaltung von unabhängigen Autonomen Systemen (AS) zum direkten Austausch von Internetdatenverkehr |
100 | angeschlossene AS (Jahresschnitt) |
| 1.4.1 | DNS-Resolver | im Zugangsnetz eines Internet Service Providers zur Namensauflösung, auch rekursiv/iterativ | 100 Tsd. | Vertragspartner im Zugangsnetz |
| 1.4.2 | Autoritative DNS-Server | Namensauflösung gem. Kap. 5 RFC 7719 aus lokalen Zonen/Informationen | 250 Tsd. | Domains, autoritativ oder delegiert |
| 1.4.3 | TLD Name-Registry | Registrierung von Domain-Namen in einer Top Level Domain | 250 Tsd. | Domains, verwaltet oder betrieben |
| 2. | Datenspeicherung und -verarbeitung (Dienstleistung) | |||
| 2.1.1 | Rechenzentrum | Umgebung für Unterbringung und Betrieb zentraler IT-Komponenten wie Server oder Netzwerktechnik in mind. zehn Racks | 3,5 MW | vertraglich vereinbarte Leistung |
| 2.2.1 | Serverfarm | Physische oder virtuelle Instanzen, die im IT-Netzwerk Dienste bereitstellen | 10 Tsd. 15 Tsd. | physische Instanzen virtuelle Instanzen |
| 2.2.2 | Content Delivery Netzwerk | Regional verteilte und über das Internet verbundene Server zur Auslieferung und Zwischenspeicherung von Inhalten | 75 TB/Jahr | ausgeliefertes Datenvolumen |
| 2.3.1 | Erbringung von Vertrauensdiensten | Vertrauenswürdige Instanz (Trusted Third Party) zur Bescheinigung von Identitäten in elektronischer Kommunikation | 500 Tsd. 10 Tsd. | qualifizierte Zertifikate Serverzertifikate |
Schwellenwerte
Die Schwellenwerte von KRITIS-Anlagen sind pro Sektor in der KRITIS-Verordnung definiert.
Netze
Für Zugangs- und Übertragungsnetze (1.1.1 bis 1.2.1) abgeleitet aus §1 Abs. 1 Nr. 2 PTSG:
- 100 Tsd. Teilnehmer
IXP
Für 1.3.1 wird der Schwellenwert mit der wirtschaftlichen und regionalen Relevanz der betroffenen IXPs
erklärt:
- ≈ 100 angeschlossene Autonome Systeme (AS)
DNS
Der Schwellenwert für DNS-Resolver (1.4.1) orientiert sich am Zugangsnetz, das dieser bedient.
Für DNS-Server (1.4.2) und TLD-Registry (1.4.3) wird unter Annahme von 40 Millionen in der Bundesrepublik Deutschland verwalteten Domains
für den Bedarf von 500 Tsd. Personen ›abgeleitet‹:
- 100 Tsd. Teilnehmer im angeschlossenen Zugangsnetz (1.4.1)
- ≈ 250 Tsd. autoritative, delegierte, verwaltete Domains (1.4.2 und 1.4.3)
Housing
Der Schwellenwert für Rechenzentren (2.1.1) bezieht sich auf die vertraglich vereinbarte Leistung und ist in der KritisV ohne Herleitung.
- 3,5 MW vertraglich vereinbarte Leistung am 30.6.
Hosting
Die Schwellenwerte für Serverfarmen (2.2.1) und Content Delivery Networks (2.2.2) sind ähnlich wie bei DNS-Server ›abgeleitet‹ unter Annahme von 1,6 Millionen physischen und 2,4 Millionen virtuellen in der Bundesrepublik Deutschland verwalteten Serverinstanzen
und eines Transportvolumens von 11.826.000 TB pro Jahr
:
- 10 Tsd. laufende physische Instanzen im Jahresdurchschnitt (2.2.1)
- 15 Tsd. laufende virtuelle Instanzen im Jahresdurchschnitt (2.2.1)
- ≈ 75 Tsd. TB/Jahr ausgeliefertes Datenvolumen (2.2.2)
Vertrauensdienste
Die Schwellenwerte für Vertrauensdienste (2.3.1) sind in der KritisV ohne Herleitung:
- 500 Tsd. ausgegebene qualifizierte Zertifikate (QeS)
- 10 Tsd. Zertifikate
zur Authentifizierung öffentlich zugänglicher Server([...]z. B. für Webserver, E-Mailserver, Cloudserver, TLS/SSL-Zertifikate)
Fristen
Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren. Beim Versorgungsgrad versorgte Teilnehmer (bei Netzen 1.1.1 und 1.2.1) muss dies zum 30. Juni des Vorjahres ermittelt werden, ebenso bei der vertraglich vereinbarten Leistung in Rechenzentren.
NIS2
Einrichtungen
Mit NIS2 sind viele Unternehmen als Einrichtungen betroffen, die im NIS2-Umsetzungsgesetz im Anhang separat definiert sind. Betroffen sind jeweils ganze Unternehmen: Großunternehmen als besonders wichtige Einrichtung, mittlere Unternehmen als wichtige Einrichtung.
| Nr. | Teilsektor | Einrichtungsart | Besonderheit^ |
|---|---|---|---|
| Digitale Infrastruktur (Sektor, Anlage 1) | |||
| 6.1.1 | Internet-Knoten | Internet Exchange Points, IXPs: Infrastruktur zur Zusammenschaltung von mehr als zwei unabhängigen Netzen (autonomen Systemen) zur Erleichterung des Austauschs von Internet-Datenverkehr | |
| 6.1.2 | DNS-Dienstanbieter | ausgenommen Root-Nameserver; Für Internet-Endnutzer öffentlich verfügbare rekursive Dienste oder autoritative Dienste zur Auflösung von Domain-Namen für Dritte |
|
| 6.1.3 | TLD-Namensregister | Einrichtung zur Registrierung von Internet-Domain-Namen innerhalb einer Top Level Domain (TLD), inkl. der Nameserver, Datenbanken und Verteilung von TLD-Zonendateien | |
| 6.1.4 | Cloud-Computing-Dienste | CSP, digitaler Dienst, der auf Abruf Verwaltung und Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht, auch auf mehrere Standorte verteilt | |
| 6.1.5 | Rechenzentrumsdienste | Dienst zur Unterbringung, Verbindung und Betrieb von IT- und Netzausrüstungen für Datenspeicher-, Datenverarbeitungs- und Datentransportdiensten sowie Anlagen und Infrastrukturen für die Leistungsverteilung und Umgebungskontrolle | |
| 6.1.6 | Inhaltszustellnetze | Content Delivery Networks, CDNs: Gruppe geographisch verteilter, zusammengeschalteter Server, die mit dem Internet verbunden sind, und Infrastruktur zur Bereitstellung (Caching) digitaler Inhalte und Dienste für Internetnutzer im Auftrag von Inhalte- und Diensteanbietern. | |
| 6.1.7 | Vertrauensdienstanbieter | TSP und qTSP, im Sinne Art. 3 Nr. 19 (EU) Nr. 910/2014 | |
| 6.1.8 | Öffentliche elektronische Kommunikationsnetze | Anbieter von öffentlich zugänglichen Telekommunikationsnetzen (TK) | |
| 6.1.9 | Öffentlich zugängliche elektronische Kommunikationsdienste | Anbieter von TK-Diensten (Telekommunikation) | |
| 6.1.10 | Managed Services Provider | MSP: Installation, Verwaltung, Betrieb, Wartung von IKT-Produkten, -Netzen, -Infrastruktur, -Anwendungen, Netz- und Informationssysteme durch Unterstützung oder aktive Verwaltung bei/für Kunden | |
| 6.1.11 | Managed Security Services Provider | MSSP, ein MSP, der Unterstützung für Risikomanagement im Bereich der Cybersicherheit erbringt | |
Für NIS2-Einrichtungen entsteht ggf. Mehrfach-Regulierung durch NIS2 und DORA, wenn sie Finanzkunden haben und/oder in DORA als kritischer IKT-Drittdienstleister eingestuft werden.
Kritische Komponenten
Telekommunikation
Kritische Komponenten wurden mit dem IT-Sicherheitsgesetz 2.0 eingeführt und erstmalig im TK-Sektor bestimmt. In öffentlichen Mobilfunknetzen der 5. Generation (5G-Netze) dürfen nur zertifizierte Produkte nach TR-03163 (Sicherheit in TK-Infrastrukturen) eingesetzt werden.
| 5G-Netzwerke | Funktionen |
|---|---|
| Core network functions |
|
| NFV management and network orchestration (MANO) |
|
| Management systems and supporting services |
|
| Radio Access Network (RAN) |
|
| Transport and transmission |
|
| Internetwork exchanges |
|
Anhand der kritischen Funktionen müssen Betreiber die kritischen Komponenten, d.h. IT-Systeme, identifizieren. Der Prozess dazu wird von der BNetzA nach der Liste beschrieben.
Regulierung und Standards
Telekommunikation
Anbieter von Telekommunikationsnetzen und -diensten im KRITIS Sektor IKT fallen neben KRITIS unter weitere Regulierung mit zusätzlichen TK Sicherheits-Anforderungen.
Das TKG wird in Folge von NIS2 angepasst und wohl die §30 BSIG-E Maßnahmen umfassen.
Ausnahmeregelungen Telekommunikation
KRITIS-Betreiber, die ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen
(§8d Abs. 2 Nr. 1 BSIG), müssen für diese Anlagen keine KRITIS-Maßnahmen umsetzen oder prüfen lassen.
Für KRITIS-Anlagen mit diesen Funktionen gilt das Telekommunikationsgesetz;
die Ausnahmen betreffen aber nur einzelne Absätze des BSIG und ausschließlich TK-Anlagen.
Auch in der kommenden NIS2-Regulierung gibt es Ausnahmeregelungen für Einrichtungen, die öffentliche TK-Netze betreiben oder öffentlich zugängliche TK-Dienste erbringen und dem TKG unterliegen. Es entsteht eine Mehrfach-Regulierung mit unterschiedlichen Vorgaben und Anforderungen je nach Geltungsbereich.
| Unternehmen | Regulierung | Ausschluss | Dafür gilt |
|---|---|---|---|
|
KRITIS bis 2024 | KRITIS-Maßnahmen §8a |
TKG |
|
NIS2 ab 2024 | NIS2-Maßnahmen fast alle |
TKG SiKat |
Telekommunikationsgesetz (TKG)
Das Telekommunikationsgesetz TKG, das im November 2021 umfangreich überarbeitet wurde, regelt die Pflichten der Betreiber von Telekommunikationsinfrastruktur und -diensten. Dazu gehören unter anderem folgende Anforderungen zu IT-Sicherheit:
- Technisch und organisatorische Maßnahmen in Telekommunikationsdiensten zum Schutz von Fernmeldegeheimnis und personenbezogenen Daten nach §165 (1) TKG
- Technisch und organisatorische Maßnahmen in IT- und TK-Systemen zum Schutz gegen Störungen und
zur Beherrschung der Risiken für die Sicherheit
nach §165 (2) TKG - ⚡ NIS2-Maßnahmen: Mit der NIS2-Umsetzung werden die §30 Maßnahmen ins TKG für Anbieter aufgenommen, §165 (2a) TKG-E
- Einsatz von Systemen zur Angriffserkennung bei Betreibern mit erhöhtem Gefährdungspotenzial nach §165 (3) TKG
- Benennung eines Sicherheitsbeauftragen, eines Ansprechpartners in der EU und Erstellung eines Sicherheitskonzepts nach §166 TKG, das der BNetzA vorgelegt werden muss und mindestens alle zwei Jahre überprüft werden soll.
- Bestimmte Kritische Komponenten (aus dem IT-Sicherheitsgesetz 2.0) müssen von Einsatz nach TR-03163 zertifiziert werden, §165 (4) TKG. Die Systeme werden durch §167 (1) Nr. 2 TKG und den Sicherheitskatalog der BNetzA bestimmt.
- Für die Umsetzung der Vorkehrungen für §165 TKG gibt es einen Sicherheitskatalog 2.0 der BNetzA mit Cyber Security Maßnahmen für TK-Betreiber (siehe auch unten) §167 TKG
- Sicherheitsvorfälle mit beträchtlichen Auswirkungen auf den Betrieb müssen der BNetzA gemeldet werden §168 TKG. Je nach Schwere des Vorfalls (bei
beträchtlichen Sicherheitsverletzungen
) gibt es eine doppelte Meldepflicht an BNetzA und BSI. - Vorgaben zu Vorfällen mit personenbezogenen Daten, Störungen von
Datenverabeitungssystemen
von Nutzern, Umleitung und Abschaltung von Datenverkehr bei Störungen §169 TKG - (Die Vorgaben zu TKÜ, Speicherung von Verkehrsdaten, besonderen Sicherheitsvorkehrungen etc. sind hier nicht weiter aufgeführt)
Die Ausführungen zu IT-Sicherheit waren früher größtenteils in §109 TKG enthalten, das novellierte TKG 2021 ist seit 1. Dezember 2021 in Kraft.
Sicherheitskatalog 2.0
Der von der BNetzA herausgegebene Katalog von Sicherheitsanforderungen 2.0 ist die Grundlage für das Sicherheitskonzept nach §166 TKG und die zu treffenden Sicherheitsvorkehrungen nach §165 TKG. Der Katalog enthält folgende Inhalte:
| Kategorie | Inhalt |
|---|---|
| Sicherheitsmaßnahmen Kapitel 3 |
Umfangreiche Cyber Security Maßnahmen für TK-Anbieter und Betreiber |
| Rechtliche Grundlagen Kapitel 4 |
Zum Schutz von Fernmeldegeheimnis, personenbezogenen Daten, TK-Infrastruktur und Diensten |
| Umsetzung Kapitel 5 |
Hilfestellungen und Vorgaben zur Umsetzung der Anforderungen |
| TK mit IP-Infrastruktur Anlage 1 |
Enthält weitere Anforderungen für TK-Anbieter mit IP-Infrastruktur (separates Dokument im Dokument) |
| Erhöhtes Gefährdungspotenzial Anlage 2 | Zusätzliche Sicherheitsanforderungen für Netze und Dienste erhöhter Kritikalität (separates Dokument im Dokument |
Digital Operational Resilience Act (DORA)
Der Digital Operational Resilience Act (DORA) ist der europäische Rahmen für digitale operationale Resilienz im EU-Finanzsektor. Neben Finanzunternehmen werden auch kritische IKT-Drittdienstleister reguliert: IT-Provider, deren Dienstleistungen für Finanzunternehmen eine große Bedeutung haben und besondere IKT-Risikoquelle darstellen.
Wer kritischer IT-Dienstleister ist, wird durch EU-Behörden bestimmt und unterliegt EU-Aufsicht und muss umfassende IKT-Anforderungen zur Qualität, Sicherheit, Risikomanagement, Governance, Meldewesen für Sicherheitsvorfälle, Tests, Audits und Normen umsetzen.
Branchenstandards
Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.
B3S
- Branchenspezifischer Sicherheitsstandard zur IT-Sicherheit (Bereiche Housing und Hosting), UP KRITIS BAK Datacenter & Hosting mit CDN, Version 2.01 (gültig bis Februar 2025)
Industrienormen
- ISO/IEC 27011:2016 ist eine Empfehlung für Anbieter von Telekommunikationsnetzen und -diensten mit ca. 30 Controls. Eine neue Version befindet sich 2022 als ISO/IEC CD 27011.2 in Abstimmung.
- ISO/IEC 27017:2015 ist eine Empfehlung für Betreiber von Cloud-Diensten.
- ISO/IEC 27018:2019 ist eine Empfehlung für den Schutz personenbezogener Daten bei Public Cloud Anbietern.
- Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG), Bundesnetzagentur (BNetzA), Version 2.0, 29.04.2020
- Ausnahmeregelungen für Betreiber im Sektor IT und TK, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik
Weitere Informationen
Literatur
- Mapping Sicherheitskatalog 2.0 und KRITIS (PDF), OpenKRITIS, Mai 2023
- Telekommunikation und KRITIS, zum TKG, Sicherheitskatalog, OpenKRITIS
- ENISA-Studie Telecom Security During a Pandemic, European Union Agency for Cybersecurity, November 2020
- ENISA-Report Telecom Services Security Incidents 2019 Annual Analysis, European Union Agency for Cybersecurity, July 2020
- Assessment of EU Telecom Security Legislation, European Union Agency for Cybersecurity, July 2021
- Telekommunikation und KRITIS zum TK-Sicherheitskatalog und TKG-Anforderungen, OpenKRITIS 2022
- Rückblicke auf die gemeldeten IT-Sicherheitsvorfälle der Branche Telekommunikation, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik
- BSI führt Zertifizierung für 5G-Komponenten ein, Pressemitteilung BSI, 05.07.2022, Bundesamt für Sicherheit in der Informationstechnik
Quellen
- Dritte Verordnung zur Änderung der BSI-Kritisverordnung, BGBl. 2023 I Nr. 53 vom 01.03.2023
- BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
- Post- und Telekommunikationssicherstellungsgesetz - PTSG vom 24. März 2011 (BGBl. I S. 506, 941), das durch Artikel 7 des Gesetzes vom 4. November 2016 (BGBl. I S. 2473) geändert worden ist
- Telekommunikationsgesetz (TKG) vom 23. Juni 2021 (BGBl. I S. 1858), das zuletzt durch Artikel 8 des Gesetzes vom 10. September 2021 (BGBl. I S. 4147) geändert worden ist
- Telemediengesetz (TMG) vom 26. Februar 2007 (BGBl. I S. 179; 2007 I S. 251), das zuletzt durch Artikel 12 des Gesetzes vom 30. März 2021 (BGBl. I S. 448) geändert worden ist
- Liste der kritischen Funktionen nach § 109 Abs. 6 TKG für öffentliche Telekommunikationsnetze und -dienste mit erhöhtem Gefährdungspotenzial, Bundesnetzagentur (BNetzA), 18.08.2021