Stellungnahme
Entwurf der Bundesnetzagentur für eine
Liste der kritischen Funktionen für öffentliche Telekommunikationsnetze und -dienste mit erhöhtem Gefährdungspotenzial Ergänzung zur Anlage 2 des Katalogs von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Abs. 4 TKG
Bundesverband der Deutschen Industrie e.V.
Stand: 29. September 2020
Liste kritische Funktionen für öffentliche TK-Netze und -Dienste
Sichere und resiliente Netze bedürfen sicherer und resilienter Komponenten sowie rechts- und investitionssicherer regulatorischer Rahmenbedingungen Für die deutsche Industrie ist ein leistungsfähiges, sicheres, souveränes, vertrauenswürdiges und verlässliches 5G-Netz von zentraler Bedeutung, um die Wettbewerbsfähigkeit der Industrie am Standort Deutschland nachhaltig zu stärken. 5G ist die Voraussetzung für die Implementierung zahlreicher neuer Anwendungen: Von Operationen per Telemedizin, über autonom fahrende Fähren, bis hin zu effizienteren Produktionsprozessen in Fabriken mittels Echtzeitanalyse von Daten. Sicherheit hat oberste Priorität und muss sowohl auf europäischer als auch auf nationaler Ebene gedacht werden. Für alle Hersteller, unabhängig von Produkten, Angeboten und Herkunft, müssen europaweit die gleichen produkt- und angebotsspezifischen Prüfkriterien, Regeln und Verfahren gelten. Deutschland ist bei der digitalen Transformation auf technische Lösungen sowohl nationaler als auch internationaler Unternehmen angewiesen. Eine systematische Ausgrenzung von nicht-europäischen Anbietern beim Aufbau digitaler Infrastrukturen, bei Endgeräten sowie Dienstleistungen wäre daher weder technologisch, noch wirtschaftlich, noch zeitlich zielführend. Ein lex specialis für einzelne Anbieter darf es nicht geben. Der BDI begrüßt daher ausdrücklich den von der Bundesnetzagentur gewählten herstellerunabhängigen Ansatz. Die Gewährleistung von resilienten Produkten, Netzen und Dienstleistungen muss durch alle Hersteller, Lieferanten und Anbieter gleichermaßen sichergestellt werden. Gleichzeitig muss die Bundesregierung gewährleisten, dass kein Drittstaat die Gelegenheit erhält, auf die Integrität, Verfügbarkeit und Vertraulichkeit von Telekommunikationsnetzen in Deutschland sowie darüber versandte Daten einwirken zu können. Die Ausgestaltung von Prüfkriterien, Regeln und Verfahrens sollte zwingend risikobasiert erfolgen. An als kritisch einzustufende Komponenten und Funktionen sind zur Risikoreduzierung unter Umständen höhere Anforderungen zu stellen. Bei der Ausgestaltung weiterführender Sicherheitsanforderungen darf jedoch nicht außer Acht gelassen werden, dass nach § 109 TKG und dem Katalog der Sicherheitsanforderungen 1.0 ohnehin angemessene, erforderliche technische Vorkehrungen und sonstige Maßnahmen zum Schutz der Telekommunikationsdienste und -netze für jede Komponente und Funktion zu treffen sind. Mit dieser über Jahrzehnte geltenden und für jeden Anwendungsfall modifizierbaren Anforderung, bestehen bereits – wie die Praxis gezeigt hat – gute und bewährte Regelungen. Diese Feststellung steht der Auffassung des BDI nicht entgegen, in der Praxis bessere Vorkehrungen zum Schutz der Telekommunikationsdienste und -netze zu treffen. Insbesondere, da sich die Arten der Bedrohung von Telekommunikationsinfrastrukturen gewandelt haben, gegen die sich verantwortungsvoll handelnde Betreiber, aber auch Staaten, schützen müssen. Offene Angriffe sind seltener geworden. Subtile Angriffe aber, die oft indirekt erfolgen und bisweilen über
Bundesverband der Deutschen Industrie e.V. Mitgliedsverband BUSINESSEUROPE
Hausanschrift Breite Straße 29 10178 Berlin Postanschrift 11053 Berlin Ansprechpartner Steven Heckler Carolin Proft T: +493020281523 T: +493020281529 Internet www.bdi.eu E-Mail S.Heckler@bdi.eu C.Proft@bdi.eu
Liste kritische Funktionen für öffentliche TK-Netze und -Dienste
Jahre unbemerkt bleiben – und die deswegen umso wirkungsvoller sind – haben an Bedeutung gewonnen. Der Anwendungsbereich des TKG und des Sicherheitskatalogs nach § 109 TKG richtet sich im Wesentlichen an die Betreiber von Telekommunikationsnetzen. Gleichzeitig gilt, dass Sicherheit einen kooperativen Ansatz mit Pflichten und Verantwortungszuweisungen für alle Akteure voraussetzt. Daher bedarf es einer zusätzlichen adäquaten Regelung an anderer Stelle. Die deutsche Industrie fordert die Bundesregierung auf, zügig und zeitgleich alle relevanten Rechtvorschriften, die für den Aufbau eines resilienten und leistungsfähigen 5G-Netzes von Bedeutung sind, vorzulegen. Das bisher sehr unabgestimmte und zeitlich verzögerte sowie versetzte Vorgehen ist nicht weiter hinnehmbar, insbesondere da die Betreiber von Telekommunikationsnetzen weitreichende Ausbauverpflichtungen im Rahmen der Frequenzauktion eingegangen sind. Die Betreiber von Telekommunikationsnetzen brauchen, ebenso wie die Hersteller von TK-Netzkomponenten, dringend Rechts- und Investitionssicherheit. Hierfür sind neben untergesetzlichen Verordnungen und Listen insbesondere auch das IT-Sicherheitsgesetz 2.0 sowie die Novelle des Telekommunikationsgesetzes von entscheidender Bedeutung. Die Bundesregierung sollte daher die Verbändeanhörungen zum IT-Sicherheitsgesetz 2.0 und der TKG-Novelle starten und anschließend die Gesetze im Kabinett verabschieden. Nur in der Gesamtschau aller genannten Regelungen ist eine umfassende Bewertung und Stellungnahme sinnvoll möglich. Zudem darf es nicht passieren, dass die BNetzA im erweiterten Sicherheitskatalog und der Liste kritischer Funktionen jetzt Anforderungen festschreibt, die nicht kongruent zu jenen sind, die im IT-Sicherheitsgesetz 2.0 durch die Bundesregierung und den Bundestag formuliert werden. Mit der Liste der kritischen Funktionen wird die Komplexität der Regelungen weiter erhöht, sowohl mit Blick auf die Zahl der Regelungswerke als auch dem Umfang der Regelungsinhalte. Die Anforderungen nach Anlage 4 BSIKRITIS-VO und der Liste der kritischen Funktionen sind inhaltlich nicht miteinander verzahnt. Gleichzeitig erwachsen aber aus beiden Regelungen Anforderungen an die Betreiber von Telekommunikationsnetzen, die nicht unabhängig voneinander stehen sollten. Daher schlägt die deutsche Industrie vor, die Regelungsinhalte sowie die Regelungswerke zu straffen und eng miteinander zu verzahnen, wodurch gleichzeitig Überlappungen und Mehrfachregelungen vermieden werden können. Fakt ist: Eine weitere Verzögerung des Legislativprozesses wird Deutschlands Wettbewerbsfähigkeit und Innovationsfähigkeit nachhaltig schwächen. Insbesondere, da in anderen Staaten der 5G-Netzausbau forciert wird. Daher muss die Bundesregierung zügig und zeitgleich alle relevanten Legislativmaßnahmen veröffentlichen, in die Verbändeanhörung geben, im Bundeskabinett beschließen und dem Bundestag zur Beratung zuführen.
www.bdi.eu
Seite 3 von 8
Liste kritische Funktionen für öffentliche TK-Netze und -Dienste
Anmerkungen zum Entwurf der Bundesnetzagentur Die deutsche Industrie begrüßt ausdrücklich, dass die Bundesnetzagentur den erweiterten Sicherheitskatalog zu § 109 TKG aktualisiert. Während die ressortabgestimmten Entwürfe für das IT-Sicherheitsgesetz 2.0 sowie die Novelle des Telekommunikationsgesetzes weiter auf sich warten lassen, ist der nun vorliegende Katalog ein wichtiger Teilschritt für mehr Rechts- und Investitionssicherheit, der aber nicht isoliert betrachtet werden kann. Es ist zu begrüßen, dass die BNetzA parallel zur Veröffentlichung des erweiterten Sicherheitskatalogs die Konsultation zur „Liste der kritischen Funktionen“ gestartet hat. Dies trägt erheblich dazu bei, dass sowohl Betreiber von Telekommunikationsnetzen als auch Hersteller von Netzwerkkomponenten zügig Rechts- und Investitionssicherheit erhalten. Allerdings müsste es parallel dazu auch die Möglichkeit zu einer vertieften Auseinandersetzung mit den ressortabgestimmten Entwürfen für das IT-Sicherheitsgesetz 2.0 sowie die TKG-Novelle geben. Mit der Liste sollen die Funktionen / Komponenten genannt werden, die einer höheren Kritikalität unterliegen und für die der Gesetzgeber weitreichende Sicherheitsvorkehrungen und -maßnahmen einfordert. Da es an einer Definition des Begriffs der erhöhten Kritikalität fehlt und die Formulierungen in der Liste weder konkret noch abschließend sind, erscheint der Anwendungsbereich der angehobenen Sicherheitsvorkehrungen in der Praxis schwierig umsetzbar und auch für die Marktteilnehmer nicht hinreichend klar. Teile der BDI-Mitglieder sehen die Gefahr, dass am Ende alle Netzfunktionen und -komponenten den erhöhten Anforderungen unterliegen, während die bisherigen und in der Praxis bewährten Sicherheitsanforderungen nach § 109 TKG kaum noch greifen. Bei der weiteren Erarbeitung der „Liste der kritischen Funktionen“ sollte die BNetzA sich sehr eng an den Ergebnissen des EU coordinated risk assessment of the cybersecurity of 5G networks orientieren. Nationale Insellösungen sind zur Stärkung der ganzheitlichen Resilienz von Telekommunikationsnetzen im Europäischen Binnenmarkt nicht zielführend. Es braucht dringend einheitliche, hochgradig abgestimmte Maßnahmen. Betreiber Kritischer Infrastrukturen sollen durch § 9b IT-SiG 2.0 verpflichtet werden, den Einsatz Kritischer Komponenten dem BMI anzuzeigen (Abs. 1) und nur Kritische Komponenten von jenen Herstellern einzusetzen, die eine Garantieerklärung über ihre Vertrauenswürdigkeit ausstellen (Abs. 2). Der nunmehr vorgelegte erweiterte Sicherheitskatalog nach § 109 TKG hingegen fordert die Betreiber von Telekommunikationsnetzen, die zugleich Betreiber einer Kritischen Infrastruktur sind, zur Anzeige des Einsatzes kritischer Komponenten, also all jener Komponenten, die kritische Funktionen erfüllen, bei BSI und BNetzA auf. Die Bundesregierung muss daher dringend klarstellen, wie die Erfüllung der „Liste der kritischen Funktionen“ und die Anforderungen an die Vertrauenswürdigkeit von Herstellern, wie sie im IT-Sicherheitsgesetz 2.0 gefordert werden sollen, zusammenhängen. Sollte eine Anzeige des Einsatzes Kritischer www.bdi.eu
Seite 4 von 8
Liste kritische Funktionen für öffentliche TK-Netze und -Dienste
Komponenten bei allen drei Institutionen (BMI, BSI und BNetzA) notwendig sein, so fordert die deutsche Industrie die Behörden auf, eine einheitliche digitale Meldestruktur einzurichten, die nach dem one-stop-shop funktioniert. Separate Meldungen an drei unterschiedliche Behörden sind als überbordende Bürokratie abzulehnen. Im Einzelnen Kritische Funktionen und Komponenten Die im Entwurf der BNetzA getroffene Definition kritischer Funktionen erscheint wenig präzise und lässt einen sehr weiten Interpretationsspielraum zu. So ist das Kriterium der „erheblichen Datenschutzverletzungen“ unklar. Der Begriff der Erheblichkeit ist weder definiert, noch ist aus anderen Regelungen ersichtlich, wie sich die erhebliche Datenschutzverletzung von sonstigen Datenschutzverletzungen unterscheiden soll. Bei versierten Angreifern kann grundsätzlich von einem systematischen Vorgehen ausgegangen werden. Der BDI geht allerdings davon aus, dass die Erheblichkeit der Datenschutzverletzung vergleichbar sein muss mit der Erheblichkeit einer „systematischen Ausforschung des Fernmeldeverkehrs oder beträchtlichen Sicherheitsverletzungen nach § 109 Abs. 5 TKG“, wie die Aufzählung in Ziffer 1 Kritischen Funktionen und Komponenten andeutet. Sofern diese Auslegung sich mit den von der BNetzA bezweckten Anforderungen deckt, sollte im Sinne der Normklarheit das Komma durch ein „oder“ in der Aufzählung in Ziffer 1 ersetzt werden. Die Regelung „Die gelisteten Funktionen stellen keine abgeschlossene Menge dar…“ ist unter dem Gesichtspunkt der Normklarheit problematisch. Die Kategorien stehen, wie der Entwurf ja offenbar zu verstehen ist, fest, und es darf bei der Definition der Funktionalitäten nicht dazu kommen, dass der Katalog der beispielhaft (dies ist allerdings nicht genannt) aufgeführten Funktionen in einer Weise ungeschrieben erweitert wird, die die Normadressaten nicht vorwegnehmen können. Hierbei gilt es zu berücksichtigen, dass die Bewertung einer hier gelisteten Funktion als kritisch im Sinne des Abschnittes 1 der Ergänzung zur Anlage 2 des Katalogs von Sicherheitsanforderungen maßgeblich von der konkreten Realisierung eines Netzes bzgl. Design, Architektur und Topologie abhängt und somit nur als potenziell kritisch zu verstehen sein kann. Zur Bestimmung kritischer Funktionen und Komponenten bedarf es somit einer Ergänzung relevanter Gestaltungsparameter und deren Ausprägung. Im Hinblick auf die Rechts- und Anwendungssicherheit ist die Liste der (potenziell) kritischen Funktionen abschließend zu formulieren. Nur so wird klar bestimmt, für welche (gelisteten) Funktionen besondere Anforderungen (in Abhängigkeit von der gewählten Realisierung) gelten und für welche (nicht gelisteten) Funktionen die allgemeinen Sicherheitsanforderungen des § 109 TKG zu Anwendung kommen sollen.
www.bdi.eu
Seite 5 von 8
Liste kritische Funktionen für öffentliche TK-Netze und -Dienste
Abschließend ist festzuhalten, dass die Zertifizierung der 5G-Netzwerkkomponenten eine EU-Harmonisierung erfordert, z.B. mit dem Ziel eines adaptierten NESAS. Liste der kritischen Funktionen Aufbauend auf einem umfangreichen Risk Assessment über die potenziellen Sicherheitsrisiken im Bereich 5G haben die EU-Mitgliedsstaaten Kriterien für sichere 5G-Netze erarbeitet. Diese wurden im Januar 2020 durch die EUKommission mittels der 5G-Toolbox vorgelegt. Die von der BNetzA nunmehr vorgeschlagene Liste der kritischen Funktionen geht von dieser Toolbox aus und überträgt die Anforderungen aus der 5G-Toolbox weitestgehend in nationales Recht. Folgende Punkte sollten jedoch bei der Überarbeitung der Liste der kritischen Funktionen berücksichtigt werden: a. Bei der weiteren Ausarbeitung der Liste kritischer Funktionen sollte eine enge Abstimmung mit den betroffenen Teilen der deutschen Wirtschaft, insbesondere den Betreibern von Telekommunikationsnetzen sowie den Herstellern von Netzwerkkomponenten, erfolgen. Die Bundesnetzagentur ist aufgefordert, die Abstimmung über die Liste der kritischen Funktionen zügig abzuschließen, damit zeitnah für die betroffenen Marktakteure Rechts- und Investitionssicherheit herrscht. b. Die BNetzA sollte gemeinsam mit dem BSI einen transparenten und eindeutigen Prozess definieren, der darstellt, inwiefern die Anforderungen aus der „Liste der Kritischen Funktionen“ sich auf die Zertifizierung der erfassten Komponenten auswirkt. Auch hierzu wäre eine gleichzeitige Veröffentlichung von IT-SiG 2.0, TKG-Novelle, erweitertem Sicherheitskatalog und Liste der kritischen Funktionen hilfreich. Die „Liste der kritischen Funktionen“ erfüllt zudem die Anforderungen der Normklarheit, die Ausfluss des Rechtsstaatsprinzips ist, nicht. Derzeit sind nur die wenigsten Kategorien eindeutig und können demnach falsch interpretiert werden. So können zum Beispiel folgende Kategorien falsch interpretiert werden: ▪
Teilnehmerverwaltung und kryptographische Mechanismen (sofern Bestandteil des Netzes): Da alle 5G-Komponenten u.a. zur Wahrung der Integrität beitragen, würden bei 5G-Netzen alle Komponenten unter den Anwendungsbereich der „Liste kritischer Funktionen“ fallen.
▪
Netzwerkdienste: Der Terminus der Netzwerkdienste muss auf funktionaler Ebene geklärt werden. Es ist zu definieren, welche Netzwerkelemente und -infrastrukturen in diese Kategorie fallen. Zudem
www.bdi.eu
Seite 6 von 8
Liste kritische Funktionen für öffentliche TK-Netze und -Dienste
bedarf es einer Klarstellung, was die BNetzA unter „Exponierung von Netzwerkfunktionen gegenüber externen Anwendungen“ versteht. ▪
NVF Management und Netzwerk-Orchestrierung (MANO) sowie Virtualisierung: Die Bewertung von Netzwerk-Orchestrierung und Virtualisierung ist abhängig von der Bewertung der hiermit realisierten Netzfunktionen und wird durch diese maßgeblich bestimmt. Zur Klarstellung sollte daher eine Bezugnahme auf die realisierte Netzfunktion erfolgen. Andernfalls ist der Anwendungsbereich der Regelung nicht definierbar und zu weit gefasst. Die Bedeutung von Hypervisor und Orchestrator dürfte zudem von der gewählten Struktur eines 5G-Netzes abhängen. Auch insoweit sollte eine Konkretisierung vorgenommen werden.
▪
Transport und Informationsflusssteuerung: Es muss eindeutig geklärt werden, wie der Begriff der „erhöhten Relevanz“ durch die BNetzA definiert wird. Die Rechtsanwender benötigen hier bessere Erläuterungen. Der Teil „Edge Computing Core Routing“ am Ende der Erläuterung 6 ist nicht verständlich. Es scheint sich um einen Bearbeitungsfehler zu handeln. Es muss klargestellt werden, was durch diesen Zusatz gemeint ist.
www.bdi.eu
Seite 7 von 8
Liste kritische Funktionen für öffentliche TK-Netze und -Dienste
Über den BDI Der BDI transportiert die Interessen der deutschen Industrie an die politisch Verantwortlichen. Damit unterstützt er die Unternehmen im globalen Wettbewerb. Er verfügt über ein weit verzweigtes Netzwerk in Deutschland und Europa, auf allen wichtigen Märkten und in internationalen Organisationen. Der BDI sorgt für die politische Flankierung internationaler Markterschließung. Und er bietet Informationen und wirtschaftspolitische Beratung für alle industrierelevanten Themen. Der BDI ist die Spitzenorganisation der deutschen Industrie und der industrienahen Dienstleister. Er spricht für 40 Branchenverbände und mehr als 100.000 Unternehmen mit rund 8 Mio. Beschäftigten. Die Mitgliedschaft ist freiwillig. 15 Landesvertretungen vertreten die Interessen der Wirtschaft auf regionaler Ebene.
Impressum Bundesverband der Deutschen Industrie e.V. (BDI) Breite Straße 29, 10178 Berlin www.bdi.eu T: +49 30 2028-0 Ansprechpartner Steven Heckler Referent Cybersicherheit und Plattformökonomie Telefon: 030 2028-1523 S.Heckler@bdi.eu Carolin Proft Referentin Digitale Infrastruktur und e-Government Telefon: 030 2028-1529 C.Proft@bdi.eu BDI Dokumentennummer: D 1238
www.bdi.eu
Seite 8 von 8