Cybersecurity für Telekommunikation

Telekommunikationsnetze sind die Grundlage, auf der alle anderen kritischen Infrastrukturen aufbauen: Energieversorgung, Gesundheitsversorgung, Finanzwesen und öffentliche Verwaltung sind in ihrer digitalen Funktionsfähigkeit direkt von zuverlässigen Telekommunikationsverbindungen abhängig. Ein großflächiger TK-Ausfall würde kaskadenartig alle diese Sektoren treffen. Das erklärt, warum Telekommunikationsunternehmen im Bereich der kritischen Infrastrukturen besondere regulatorische Aufmerksamkeit erfahren.

Gleichzeitig sind TK-Unternehmen selbst attraktive Angriffsziele: Abhörmaßnahmen gegen hochrangige Nutzer, Manipulation von Routing-Infrastrukturen (BGP-Hijacking), Missbrauch von SS7-Protokollschwachstellen für Standortbestimmung und Kommunikationsüberwachung sowie DDoS-Angriffe auf Kernnetzinfrastruktur sind bekannte Angriffsmuster, die gegen TK-Betreiber eingesetzt wurden.

Die Sicherheitsanforderungen an TK-Unternehmen spiegeln diese besondere Verantwortung: Das TKG stellt spezifische Anforderungen an Sicherheitskonzepte und deren Prüfung durch die Bundesnetzagentur; NIS2 stuft TK-Anbieter als wesentliche Einrichtungen ein; und das BSI KRITIS-Dachgesetz verschärft die physischen und logischen Sicherheitsanforderungen für Netzinfrastruktur weiter.

Das Telekommunikationsgesetz 2021 verpflichtet in §166 alle Betreiber öffentlicher Telekommunikationsnetze und -dienste zur Erstellung und Pflege eines Sicherheitskonzepts. Dieses Konzept muss die technischen und organisatorischen Maßnahmen zur Absicherung der TK-Infrastruktur beschreiben und der Bundesnetzagentur auf Verlangen vorgelegt werden. Bei wesentlichen Änderungen der Infrastruktur ist das Konzept zu aktualisieren.

Das Sicherheitskonzept nach §166 TKG muss konkrete Maßnahmen zur Sicherstellung von Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit beschreiben. Das umfasst Netzarchitektur und Redundanzkonzepte, physische Zugangssicherung zu Netzknoten und Rechenzentren, logische Zugriffskontrollen und Identitätsmanagement, Maßnahmen gegen Abhörung und Manipulation sowie Incident-Response-Prozesse für TK-Vorfälle.

Besondere Anforderungen gelten für den Einsatz von Komponenten bestimmter Hersteller, die als potenzielle Sicherheitsrisiken eingestuft werden. §165 TKG regelt Sicherheitsanforderungen für den Einsatz kritischer Komponenten und verlangt Herstellererklärungen sowie Prüfungen durch anerkannte Stellen. Das betrifft insbesondere Kernnetzkomponenten und Managementsysteme, bei denen der Hersteller privilegierten Zugang haben könnte.

NIS2 stuft Telekommunikationsanbieter als wesentliche Einrichtungen ein und verpflichtet sie zur Umsetzung der Anforderungen aus Art. 21 – Risikoanalysen, Incident-Response, Business Continuity, Supply-Chain-Sicherheit, Kryptographie und Meldepflichten. Diese Anforderungen überschneiden sich erheblich mit den TKG §166-Pflichten, werden aber in einer anderen Struktur und Terminologie formuliert.

Die Anforderungen aus TKG und NIS2 können effizient in einer konsolidierten Dokumentation adressiert werden. Wir entwickeln Sicherheitskonzepte und ISMS-Strukturen, die sowohl dem TKG-Sicherheitskonzept als auch den NIS2-Nachweispflichten gerecht werden – mit einer einzigen, konsistenten Dokumentationsstruktur statt zwei separaten Compliance-Projekten.

Für TK-Unternehmen, die auch als KRITIS-Betreiber eingestuft sind, kommen die Anforderungen des BSI-Gesetzes und des KRITIS-Dachgesetzes hinzu. Wir begleiten diese Unternehmen durch die vollständige regulatorische Landschaft, koordinieren alle Anforderungen und begleiten BSI-Audits und BNetzA-Prüfungen. Unser Ziel ist ein Compliance-Programm, das tragfähig und wirtschaftlich ist – nicht eines, das Ressourcen für redundante Dokumentation bindet.