Mobilfunk einfach erklärt: Was bedeutet das IT-SiG 2.0 für die 5G-Sicherheit?

Grafik: BASECAMP.digital
Grafik: BASECAMP.digital
Veröffentlicht am 04.12.2020

In dieser Woche hat das Bundesministerium des Innern, für Bau und Heimat seinen lang erwarteten Entwurf des sogenannten IT-Sicherheitsgesetzes 2.0 vorgelegt. Mit diesem – in Expertenkreisen auch IT-SiG 2.0 genannten Entwurf – sollen einige bereits bestehende Gesetze, wie zum Beispiel das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) oder das Telekommunikationsgesetz (TKG) geändert werden. Ziel des Gesetzesvorhabens ist es, Maßnahmen für eine erhöhte IT-Sicherheit von kritischen Infrastrukturen, volkswirtschaftlich besonders wichtigen Unternehmen und öffentlichen Stellen zu ergreifen. Vor allem soll damit aber auch die seit rund zwei Jahren andauernde politische Debatte zur Sicherheit in den 5G-Netzen beendet werden.

Sicherheit in den Telekommunikationsnetzen

Der Entwurf des IT-SiG sieht vor, dass Telekommunikationsnetzbetreiber Sicherheitsmaßnahmen auf mehreren Ebenen umsetzen müssen. Neben dem bereits heute verpflichtenden Sicherheitskonzept, welches den Anforderungen eines von Bundesnetzagentur (BNetzA) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) definierten Sicherheitskatalogs entsprechen muss, sollen nun auch der Einsatz von automatisierten Angriffserkennungssystemen und eine Pflicht zur Anmeldung der Nutzung kritischer Komponenten beim Bundesinnenministerin hinzukommen.

Zertifizierung soll verpflichtend für kritische Komponenten werden

BNetzA, BSI und BfDI sollen später eine Liste kritischer Komponenten definieren. Hierbei handelt es sich um Hardware-Elemente im Netz, die nach Auffassung der Behörden eine besondere Kritikalität besitzen, zum Beispiel weil dort besonders viele Datenströme zusammenlaufen. Nach dem Willen des Innenministeriums sollen die Telekommunikationsnetzbetreiber zukünftig dazu verpflichtet werden, die Inbetriebnahme solcher kritischen Komponenten vorab an das Ministerium zu melden. Die Komponenten müssen zudem zertifiziert sein. Das Ministerium könnte trotz dieser Zertifizierung die Nutzung der Komponenten untersagen – so sieht es zumindest der Gesetzentwurf vor.

Gesetzgebungsverfahren unter Zeitdruck

Über den Inhalt des IT-SiG 2.0 scheint es allerdings innerhalb der Bundesregierung noch keine Einigkeit zu geben, weswegen das Innenministerium darauf hinweist, dass es sich bei dem nun veröffentlichten Dokument lediglich um einen „Diskussionsentwurf“ handelt, der von Wirtschaftsverbänden und betroffenen Kreisen kommentiert werden kann. Nach massiver Kritik an der ursprünglich nur auf insgesamt vier Tage angesetzten Frist zur Einreichung von Stellungnahmen wurde diese nun um drei weitere Tage bis zum 9. Dezember 2020 verlängert. Da derzeit geplant ist, dass das Bundeskabinett sich bereits am 16. Dezember mit dem Gesetzentwurf befasst, bleibt mit Spannung abzuwarten, welche Anregungen und Kritikpunkte der betroffenen Unternehmen ein Gehör bei der Bundesregierung finden. Die Einschätzung von Telefónica werden wir in der kommenden Woche auf diesem Blog teilen.

Schlagworte

Empfehlung der Redaktion