03.09.2021Fachbeitrag

Update Datenschutz Nr. 104

Bundesnetzagentur schaltet „Lex Huawei“ scharf

Die Betreiber von Mobilfunknetzen der fünften Generation („5G-Netze“) mit über 100.000 Teilnehmern müssen nun den Einsatz von „kritischen Komponenten“ dem Bundesministerium des Innern („BMI“) melden und darauf hoffen, dass die konkrete Art des Einsatzes nicht untersagt wird. Zugleich dürfen die Komponenten – unabhängig von einem Votum des BMI – nur verwendet werden, wenn diese zertifiziert wurden.

Diese Verpflichtungen bestehen bereits seit dem Inkrafttreten des IT-Sicherheitsgesetzes am 27. Mai 2021. In der Praxis konnte die entsprechende Regelung in § 9b BSIG jedoch erst wirksam werden, nachdem die Bundesnetzagentur („BNetzA“) im Verordnungsweg eine Definition von „kritischen Komponenten“ erlassen hat.

I. Hintergrund

Durch das IT-Sicherheitsgesetz 2.0 wurden generell an Betreiber öffentlicher Telekommunikationsnetze und Anbieter öffentlicher Telekommunikationsdienste erhöhte Sicherheitsanforderungen festgelegt.

Noch höhere Anforderungen gelten für Betreiber öffentlicher Telekommunikationsnetze „mit erhöhtem Gefährdungspotential“ oder mit einer „Teilnehmerzahl von 100.000“, denn ab dieser Schwelle zählt ein solches Netz als „kritische Infrastruktur“. Laut der jetzt erlassenen Verordnung ist zudem der Betrieb eines 5G-Netzes per se ein Telekommunikationsnetz „mit erhöhtem Gefährdungspotential“.

Nachdem sich die USA unter der Trump-Administration vehement gegen den Einsatz von 5G-Hardware des chinesischen Herstellers Huawei gewehrt haben (obwohl die Mobilfunkunternehmen diese gerne verwendet hätten und auch in aktuellen Telekommunikationsnetze in erheblichem Umfang einsetzen), hat auch der deutsche Gesetzgeber reagiert – indem er die politische Entscheidung dieser Frage in die Zukunft verschoben hat: Nach dem neuen § 9b BSIG muss der Einsatz von „kritischen Komponenten dem BMI angezeigt werden und das BMI kann – nach einer entsprechenden Ressortabstimmung – den Einsatz untersagen, soweit durch die „kritischen Komponenten“ eine Gefahr für die öffentliche Sicherheit besteht.

Betreiber öffentlicher Telekommunikationsnetze „mit erhöhtem Gefährdungspotential“ (und dies sind nach aktuellem Verordnungsstand ausschließlich Betreiber eines 5G-Netzes) dürfen darüber hinaus kritische Komponenten nur verwenden, wenn diese von einer anerkannten Zertifizierungsstelle überprüft und zertifiziert wurden (§ 109 Abs. 2 Satz 4 TKG).

Der Gesetzgeber legte die Definition der kritischen Komponenten für den Bereich der Telekommunikation in die Hände der Bundesnetzagentur, die nun von ihrem neuen Recht Gebrauch gemacht hat.

II. Definition der „kritischen Komponente“ im Katalog von Sicherheitsanforderungen der BNetzA

Als Bestandteil des neuen „Kataloges von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten“ (Kurz: „Sicherheitskatalog 2.0“) veröffentlichte die BNetzA eine sogenannte „Liste der kritischen Funktionen“. Die Liste der kritischen Funktionen wurde anhand des Standes der Technik und anhand von Implementierungsempfehlungen der EU-Toolbox bestimmt.

Sämtliche IT-Produkte (dieser Begriff umfasst nach dem BSIG sowohl Soft- als auch Hardware), die in einem 5G-Netz dazu dienen, die durch die BNetzA benannten Funktionen zu erfüllen, sind demnach kritische Komponenten, sofern etwaige Störungen dieser Komponenten zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit des 5G-Netzes oder zu einer Gefährdung für die öffentliche Sicherheit führen können.

Im Sinne dieser Definition gelten nach der BNetzA etwa die folgenden „Kernnetzwerkfunktionen“ als kritisch:

  • Authentifizierungs-, Roaming- und Sitzungsverwaltungsfunktionen für Endnutzer
  • Datentransportfunktionen für Endnutzereinrichtungen
  • Zugriffsrichtlinienverwaltung, Registrierung und Autorisierung von Netzwerkdiensten
  • Speicherung von Endnutzer- und Netzwerkdaten
  • Verbindung mit Mobilfunknetzen von Drittanbietern

Diese weiten Formulierungen zeigen, dass eine Vielzahl der Funktionen, die Soft- und Hardwareprodukte in 5G-Netzen erfüllen können, nunmehr als kritisch anzusehen sind. Konsequenterweise ist daher auch davon auszugehen, dass die Soft- und Hardwareprodukte, die in 5G-Netzen zur Erfüllung dieser Funktionen eingesetzt werden, in Gänze kritische Komponenten sind. Hinzu kommt, dass auch diejenigen IT-Produkte erfasst werden, welche die oben genannten Funktionen nur teilweise erfüllen (S. 3 der Liste der kritischen Funktionen).

Auch wenn die Liste der kritischen Funktionen dies nicht ausdrücklich erörtert: Es muss wohl eine Grenze gezogen werden, zwischen IT-Produkten, welche unmittelbar der Erfüllung der Funktionen dienen (z. B. die jeweilige Softwareanwendung für die oben genannten Funktionen) und solchen IT-Produkten, die nur mittelbar dazu dienen, die Funktionen zu erfüllen (die Hardware der Standard-Server und das Betriebssystem auf denen die Spezialanwendung läuft). Andernfalls müsste unter Inkaufnahme der damit einhergehenden Folgen, zeitnah jedes einzelne Bauteil der gesamten 5G-Infrastruktur zu einer kritischen Komponente erklärt werden.

Gleichzeitig ist die Tragweite der Vorgaben erheblich weitergehend als nur auf das reine Funknetz. Ein 5G-Netz bedient sich in erheblichem Umfang auch der Elemente der Infrastruktur von Festnetzbetreibern, ohne die der Betrieb eines 5G-Netzes nicht möglich wäre – die Mobilfunkantennen sind bzw. werden per Glasfaserkabel angebunden und über das schnelle Festnetz als Transportnetz werden die Kommunikationsverkehre transportiert und terminiert. Zudem ist die Intelligenz des 5G-Netzes in der Regel mit dedizierten Elementen in das Transportnetz integriert. Insofern reicht die Vorgabe schon heute weiter als über das reine Funknetz der durch die Netzbetreiber im Aufbau befindlichen 5G-Netze.

III. Teilweise Ausnahmen bei geringer Gefährdungslage möglich

Einige der aufgelisteten Funktionen werden per se als kritisch eingestuft, wie die oben erwähnte „Speicherung von Endnutzer- und Netzwerkdaten“.

Bei anderen Funktionen, wie dem „5G-RAN Management“, besteht für den Betreiber die Möglichkeit, darzulegen und zu dokumentieren, dass die entsprechenden Funktionen bzw. IT-Produkte in seinem konkreten Fall keine erhöhte Kritikalität aufweisen. Die entsprechende Begründung ist innerhalb des Sicherheitskonzeptes festzuhalten, welches wiederum durch die BNetzA geprüft wird.

IV. Fazit

Es ist zu begrüßen, dass die BNetzA viel früher als erwartet von ihrer Verordnungsermächtigung Gebrauch gemacht und näher bestimmt hat, was kritische Funktionen sind.

Allerdings bleibt die Beschreibung der Funktionen, die durch die Bundesnetzagentur als kritisch eingestuft werden, sehr allgemein. Es besteht die Gefahr einer weiten Auslegung der Begriffe, wonach eine Vielzahl der Hard- und Softwareelemente eines 5G-Netzes kritische Komponenten sein können. Im Gegensatz zu dem ursprünglichen Ziel der „Lex Huawei“ könnten nun auch europäische und amerikanische Hersteller von IT-Produkten von den neuen Regelungen und Sicherheitsanforderungen betroffen sein. Zur Sicherheit müssen 5G-Netzbetreiber nun die Nutzung einer Vielzahl von IT-Produkten beim BMI anzeigen, sich hierzu um die entsprechende Garantieerklärung der Hersteller kümmern (siehe § 9b Abs. 3 BSIG) und sich um Zertifizierungen durch unabhängige Zertifizierungsstellen bemühen (siehe § 109 Abs. 2 Satz 4 TKG). Dies stellt einen enormen bürokratischen Aufwand dar, welcher zu dem praktisch nur schwer zu erreichenden Regelungsziel vermutlich in keinem Verhältnis steht.

Zudem ist zu beachten, dass ein gegebenenfalls erforderlicher Austausch von Infrastruktur mit erheblichen Kostenfolgen für die Netzbetreiber und den hiermit einhergehenden Rechtsfragen verbunden sein dürfte, wer diese Kosten zu tragen hat – der Betreiber des 5G-Netzes oder gegebenenfalls auch die Betreiber der Festnetz-Transportnetze.

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.