BMI schärft beim Ausschlussverfahren für kritische IT-Komponenten nach

0
455
Aller guten Dinge sind drei? Im neuesten Referentenentwurf für das IT-Sicherheitsgesetz 2.0 hat das BMI Zulassungsbedingungen für kritische IT-Komponenten in 5G-Netzen und anderen Kritischen Infrastrukturen konkretisiert. (Foto: Shinonome, stock.adobe.com)

Einen pauschalen Bann von Huawei-Hardware in den Mobilfunknetzen soll es nicht geben. Stattdessen sollen hohe Anforderungen für alle Hersteller gelten. Gibt es Zweifel an der Vertrauenswürdigkeit, kann die Bunderegierung Hersteller oder Produkte ausschließen.

Das Bundesinnenministerium (BMI) hat das Zulassungs- bzw. Ausschlussverfahren für kritische Komponenten in seinem nunmehr dritten Referentenentwurf des IT-Sicherheitsgesetzes 2.0 konkretisiert. Demnach kann das BMI Betreibern Kritischer Infrastrukturen den Einsatz einer kritischen Komponente untersagen, wenn überwiegende öffentliche Interessen und sicherheitspolitische Belange der Bundesrepublik das nötig machen.

Bevor Betreiber solche Produkte einsetzen können, sollen Sie das Vorhaben beim BMI anzeigen müssen. Dieses muss die Entscheidung innerhalb eines Monats einvernehmlich mit den betroffenen Ressorts fällen. Im Bereich Mobilfunk wäre das das Bundeswirtschaftsministerium (BMWi). Das Auswärtige Amt ist mit von der Partie, wenn eine Entscheidung außenpolitische Dimensionen hat. Regelmäßig sollen das Bundeskanzleramt und die Referatsleiterebene zu einem interministeriellen Jour Fixe dazugeholt werden. Für den Fall, dass keine Einigung erzielt werden kann, soll ein Eskalationsmechanismus aufgesetzt werden. Dann soll das Kabinett gemeinsam beraten.

Hohe Anforderungen für Hersteller

Grundsätzlich unterliegen die kritischen IT-Komponenten einer Zertifizierungspflicht. Dafür zeichnet das Bundesamt für Sicherheit in der Informationstechnik (BSI) verantwortlich. Im Bereich der Telekommunikationsnetze liegt ein Entwurf eines Sicherheitskataloges der Bundesnetzagentur vor, der mit dem BSI und dem Bundesdatenschutzbeauftragten abgestimmt ist. Da technische Anforderungen allein laut BMI nicht sicherstellen könnten, dass Hersteller keine missbräuchlichen Zugriffsmöglichkeiten einbauen, müssen Betreiber auch eine Vertrauenswürdigkeitserklärung des Herstellers vorlegen.

Die Erklärung soll darstellen, wie die Sicherheit und Integrität der Komponenten über die gesamte Lieferkette sichergestellt werden. Die Hersteller müssen auch Interessenkonflikte darstellen – z. B. wenn für sie rechtliche Verpflichtungen gelten, die zu Verstößen gegen die Vertrauenswürdigkeitserklärung führen könnten. Sektorspezifische Vorgaben für die Formulierung der Erklärung will das BMI per Allgemeinverfügung nachliefern.

Streit beigelegt?

Das IT-Sicherheitsgesetz 2.0 ist schon seit Jahren in Arbeit. Die Frage der Zulassungsmodalitäten kritischer IT-Komponenten war ein zentraler Streitpunkt zwischen BMI, Bundeskanzleramt, BMWi und Auswärtigem Amt. Anlass sind Vorbehalte gegen den wichtigen chinesischen Zulieferer von Netztechnik für den 5G-Mobilfunk Huawei. Wegen möglicher technischer Hintertüren für chinesische Spionage machen die USA Druck auf ihre Partner, Huawei aus den jeweiligen nationalen Netzen auszuschließen. Zuletzt haben Schweden und Italien entsprechend eingelenkt. In Deutschland verliert Huawei unterdessen auch ohne einen pauschalen Bann an Boden. So hat Vodafone Hardware des Herstellers bereits aus seinem Kernnetz entfernt. Die Deutsche Telekom hat diesen Schritt ebenfalls angekündigt. In den Antennennetzen, die zwischen Endgeräten und Kernnetzen vermitteln, wird Huawei aber bis auf Weiteres weiter eingesetzt.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here