Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

Öffentliche 5G-Telekommunikationsnetze

Sicherheit der nationalen Mobilfunknetze

Der Gesetzgeber hat die Notwendigkeit von höheren Sicherheitskriterien im Mobilfunksektor erkannt und setzt diese seit 2020 im Aufbau der deutschen 5G-Netze um. Damit einhergehend sind anerkannte Zertifikate für die sicherheitsrelevanten Komponenten eines Mobilfunknetzes verpflichtend. Als nationale Cyber-Sicherheitsbehörde ist das BSI für die Prüfung von kritischen Netzwerkkomponenten zum Nachweis ihrer objektiven Sicherheitseigenschaften zuständig.

Die gesetzliche Grundlage dazu schafft das Telekommunikationsgesetz (TKG): Zum einen ist im § 165 TKG die Zertifizierungspflicht der sicherheitsrelevanten Komponenten verankert. Zum anderen legt der § 167 TKG fest, dass die Bundesnetzagentur im Einvernehmen mit dem BSI und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit einen Katalog von Sicherheitsanforderungen erstellt. Dieser Katalog ist für die Betreiber von 5G-Infrastrukturen maßgeblich und wird fortlaufend an technische Entwicklungen angepasst.

Technische Richtlinie "Sicherheit in TK-Infrastrukturen"

Mit dem IT-Sicherheitsgesetz 2.0 wurde die Zertifizierung für 5G-Netzwerkkomponente in Deutschland gesetzlich vorgeschrieben. Das Telekommunikationsgesetz (TKG) regelt hierzu die Zertifizierungspflicht in § 165 Absatz 4.

Der von der Bundesnetzagentur im Einvernehmen mit dem BSI und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit erstellte Katalog von Sicherheitsanforderungen nach § 167 TKG regelt die Details zur Umsetzung der Zertifizierungspflicht. So gilt, dass beginnend ab dem 01.01.2026 kritische Komponenten vor ihrem erstmaligen Einsatz in 5G-Telekommunikationsnetzen zertifiziert werden müssen. Die hierfür zu verwendenden Zertifizierungsschemata sowie die jeweiligen Anwendungsbereiche und Anforderungen regelt die Technische Richtlinie TR-03163 "Sicherheit in TK-Infrastrukturen" des BSI. Zur Zertifizierung von kritischen 5G-Komponenten stehen die Schemata Common Criteria, NESAS CCS-GI und BSZ zur Verfügung.

5G Standardisierung und Zertifizierung: Internationale Gremientätigkeiten des BSI

Die Sicherheit in den 5G Netzen unterliegt sowohl der nationalen Regulierung durch das TKG als auch der europäischen Regulierung. Der Cybersecurity Act (CSA) benennt die Zertifizierung als mögliche freiwillige Maßnahme, solange die Mitgliedstaaten dies nicht durch eigene nationale Gesetzgebung als verpflichtend einführen. Deutschland hat diesen verpflichtenden Weg gewählt und mit dem IT-Sicherheitsgesetz 2.0 die Zertifizierung für 5G Netzwerkkomponenten gesetzlich im TKG verankert.

Um die deutschen Sicherheitsinteressen auch auf europäischer Ebene zu vertreten, ist das BSI in den maßgeblichen EU Gremien zu 5G aktiv und gestaltet die europäische Umsetzung der Regulierung mit. Eines der wichtigsten Gremien ist derzeit die Arbeitsgruppe bei der ENISA zur Erstellung eines europäischen 5G Cybersicherheitszertifizierungsschemas (EU 5G Scheme). Dort arbeiten Fachexperten aus der Industrie und den europäischen Behörden an dem zukünftigen Schema zur Zertifizierung von 5G Komponenten. Überwacht wird die Arbeit der Experten durch die Arbeitsgruppe 5G bei der Europäischen Kommission sowie der ECCG mit den Vertretern der einzelnen Mitgliedstaaten.

Neben der Teilnahme an Arbeitsgruppen zur EU Regulierung bei der Europäischen Kommission und der ENISA bringt sich das BSI auch bei der Standardisierung von 5G- und 6G-Technologien ein, um Security-by-Design von Anfang an mitzudenken. Hierzu beteiligt sich das BSI in den Industriegremien der GSMA und 3GPP sowie in den technischen Standardisierungsgremien bei ETSI und CEN/CENELEC. In der ETSI engagiert sich das BSI derzeit bei der Standardisierung von Open-RAN mit dem Schwerpunkt auf Sicherheitsaspekten.

Als Mitglied der GSMA vernetzt sich das BSI auch auf internationaler Ebene, um Sicherheitsinteressen zu vertreten. Seit kurzem ist das BSI auch selbst mit eigenen Beiträgen in den Industriegremien aktiv, um Erkenntnisse aus dem deutschen Zertifizierungsschema NESAS Cybersecurity Certification Scheme – German Implementation (NESAS CCS-GI) einzubringen.

5G-Campusnetze

Unternehmen die als KRITIS eingestuft sind und den Regularien der BSI-KritisV unterliegen, können eigenständig private 5G Netze betreiben. Diese 5G-Campusnetze sind typischerweise nur dann als kritisch einzustufen, wenn sie an Prozessen beteiligt sind, die zur Erbringung der kritischen Dienstleistung gemäß der BSI-KritisV erforderlich sind. In diesem Fall sind die Anforderungen aus §8a BSIG umzusetzen. In allen anderen Nutzungsszenarien handelt es sich um ein privates 5G-Netz, welches keiner Regulierung unterliegt. In diesem Fall kann zur Absicherung des 5G-Netzes auf das BSI IT-Grundschutz-Profil zur Absicherung von 5G-Campusnetzen zurückgegriffen werden.

Weitere Informationen zur Absicherung von 5G-Campusnetzen finden Sie unter folgendem Link: Absicherung von 5G-Campusnetzen

Mehr zum Thema

5G für Verbraucherinnen und Verbraucher Eine Hand benutzt ein Handy auf dem "5G" steht. Im Hintergrund sind Piktogramme mit unterschiedlichen Anwendungsgebieten zu sehen z.B. Wlan
5G für Unternehmen und Organisationen Eine Stadtleben, welches im Schriftzug von "5G" stattfindet.

Links und Downloads

Veröffentlichungen des BSI

Die Technische Richtlinie TR-03163: Sicherheit in TK-Infrastrukturen und den zugehörigen Anhang finden Sie unter folgenden Links:
Technische Richtlinie BSI TR-03163: Sicherheit in TK-Infrastrukturen
BSI TR-03163 Anhang A: Auswahlhilfe und zulässige Anforderungsdokumente

Die Studie zur Open-RAN Risikoanalyse finden Sie unter folgendem Link:
Studie Open-RAN Risikoanalyse

Das IT-Grundschutz-Profil zur Absicherung von 5G-Campusnetzen und den zugehörigen Benutzerdefinierten Baustein finden Sie unter folgendem Links:
IT-Grundschutz-Profil zur Absicherung von 5G-Campusnetzen - Betrieb durch einen externen Dienstleister
Benutzerdefinierter Baustein INF.bd.1 Ortsveränderliche Einhausung für IT-Systeme

Veröffentlichungen der BNetzA

Der von der BNetzA veröffentlichte Katalog von Sicherheitsanforderungen ist unter folgendem Link aufrufbar:
Katalog von Sicherheitsanforderungen

Die von der BNetzA veröffentlichte Liste der kritischen Funktionen ist unter folgendem Link aufrufbar:
Liste der kritischen Funktionen für öffentliche Telekommunikationsnetze und -dienste mit erhöhtem Gefährdungspotenzial

Gesetze, Richtlinien und Verordnungen

Das Telekommunikationsgesetz ist unter folgemdem Link aufrufbar:
Telekommunikationsgesetz

Die EU-Verordnung zur Cybersicherheit (Cyber Security Act) ist unter folgendem Link aufrufbar:
EU-Verordnung zur Cybersicherheit (Cyber Security Act)

Die EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie) ist unter folgendem Link aufrufbar:
EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie)
Gesetz zur Umsetzung der NIS-Richtlinie

Aktuelles

Folgende Liste zeigt Presse- und Kurzmitteilungen des BSI der letzten 360 Tage mit Bezug zu den Themen 5G und 6G.

Liste von Pressemitteilungen
Datum Titel
30.04.2024 BSI-Standort Freital - öffentliche Schlüsselübergabe für das Dienstgebäude Hüttenstraße
26.04.2024 Girls' Day 2024 im BSI
15.12.2023 BSI veröffentlicht Aktualisierung des IT-Grundschutz-Profils für die Absicherung von 5G-Campusnetzen
30.08.2023 5G-Sicherheit: BSI eröffnet 5G/6G Security Lab am Standort Freital

Ähnliche Themen

Zurück zu Weitere regulierte Unternehmen

Kurz-URL:
https://www.bsi.bund.de/dok/5G