Anrufen unter
+49 (0) 461 481600-0

20220125_sicherheitskonzept.jpg

09.03.2022

Welche Auswirkungen ergeben sich für die Anbieter von Telekommunikations-Netzen und -Diensten?

Der aktuelle „Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten“ in der Versionsnummer 2.0 erfordert deutliche Anpassungen des TK-Sicherheitskonzeptes. In den vorherigen Revisionen der Anforderungen sind die Änderungen eher moderat ausgefallen. Mit dem Update auf die Version 2.0 erfolgt ein umfangreicher Strategiewechsel. Während sich die Versionen 1.0 und 1.1 des Katalogs im Wesentlichen auf die Auflistung und Beschreibung von Risiken konzentrierten, findet sich in der Version 2.0 ein vollständig anderer Ansatz, das Risikomanagement wird nun als Teil eines gesamten Sicherheitsmanagementsystems betrachtet.

Dem Risiko „7.3.1 Unzureichende organisatorische Regelungen“ und dem Thema Organisation wurde in den Versionen 1.0 und 1.1 nur geringe Bedeutung beigemessen. Dagegen stehen die Themen Organisation und Geschäftsprozesse im Mittelpunkt der Version 2.0 des Kataloges. So heißt es z.B. „Die Leitungsperson eines pflichtigen arbeitsteiligen Unternehmens hat daher auf eine eindeutige und festgelegte Aufbau- und Ablauforganisation zu achten.“ Weiter hinten wird dann gefordert: „Durch geeignete Betriebsverfahren ist sicherzustellen, dass die Informations- und Kommunikationstechnologie des jeweiligen pflichtigen Unternehmens ordnungsgemäß, sicher und kontinuierlich funktioniert. … Um dies sicherstellen zu können, muss im Mindestmaß der Betriebsablauf festgelegt und dokumentiert werden.“

In weiteren Passagen werden dann diese Anforderungen an die Organisation nochmals weiter konkretisiert, so ist z.B. ein „Business Continuity Management“ einzurichten.

Es zeigt sich hier, dass in diese neuen Anforderungen neben der verlässlichen Einschätzung der Risiken auch den Qualitätserwartungen der Kunden an ein professionell und zuverlässig arbeitendes Telekommunikationsunternehmen rechnung getragen wird.

Zunächst räumt die BNetzA zur Umstellung einen Bestandsschutz für die Risikobetrachtung ein. Dieser wird wie folgt umschrieben:

„Für neu festzulegende Schutzmaßnahmen kann in diesem Zusammenhang im Einzelfall ein Bestandsschutz berücksichtigt werden. Schutzmaßnahmen, welche auf der Grundlage des „Kataloges von Sicherheitsanforderungen“ (Version 1.1 v. 07.01.2016) erstellt wurden, können daher im Einzelfall weiterhin als angemessen erachtet werden. Voraussetzung ist jedoch, dass sich keine aktuellen Änderungen der betriebenen öffentlichen TK- Netze oder der erbrachten öffentlich zugänglichen TK- Dienste und damit eine Änderung der Gefährdungslage feststellen lassen. Voraussetzung ist ferner, dass der Lebenszyklus der eingesetzten Technik in den betriebenen Netzen oder den angebotenen Diensten überschaubar ist. Das erstellte Sicherheitskonzept muss in diesen Fällen nicht ersetzt oder erneut vorgelegt werden. Abweichungen aufgrund eines Bestandsschutzes sind jedenfalls zu dokumentieren und darzulegen, dass die bestehenden Maßnahmen hinreichend sind.“

Was bedeutet dieser Bestandsschutz für Ihr aktuelles TK-Sicherheitskonzept?

Aufgrund des ganzheitlichen Ansatzes kann ein Sicherheitskonzept, das nach den Vorgaben des Katalogs 1.1 erstellt wurde, die Anforderungen des Kataloges 2.0 in keinem Fall ausreichend erfüllen. Der gewährte Bestandsschutz für TK-Netzbetreiber / -Diensteanbieter bedeutet also nur einen kleinen, zeitlichen Aufschub. Wird z.B. aufgrund einer technischen Änderungen eine Anpassung des Sicherheitskonzepts notwendig, gilt der Bestandsschutz nicht mehr. Statt einer geringfügigen Anpassung des Sicherheitskonzeptes wird dann die volle Umsetzung der neuen Anforderungen erforderlich.

Es ist daher zu empfehlen, sich frühzeitig mit den Anforderungen und Erfordernissen des „Sicherheits-Katalogs V 2.0“ der Bundesnetzagentur zu beschäftigen und mit der Umstellung Ihres Sicherheitskonzeptes rechtzeitig zu beginnen.

Um den beschriebenen neuen Ansatz und die entsprechenden neuen Anforderungen besser zu verstehen und den Aufwand abschätzen zu können, bieten wir ein eintägiges Seminar an, das wir online oder auch vor Ort bei Ihnen, je nach Wunsch, für Sie durchführen können.

Sie haben noch Fragen? Wir beantworten Ihnen gerne alle Ihre Fragen rund um das Thema Sicherheitskonzept.