NESAS CCS-GI: 5G-Zertifizierung

Januar 21, 2025

Bitkom misst der Sicherheit von 5G-Netzen eine sehr hohe Bedeutung bei. Unsere Mitglieder, inklusive Hersteller und Netzbetreiber, unterstützen Maßnahmen, die sowohl die Entwicklung robuster und sicherer Netze als auch die Dynamik moderner Softwareentwicklung fördern. Gute Zertifizierungssysteme sollten vorgegebene Sicherheitsanforderungen auf effiziente Art überprüfen und deren Einhaltung dokumentieren. Nationale Alleingänge sind im Sinne des europäischen Binnenmarktes zu vermeiden.

Hintergrund und Einordnung

Das TKG sieht in § 165 Abs. 4 vor, dass kritische Komponenten von TK-Netzbetreibern mit erhöhtem Gefährdungspotenzial nur eingesetzt werden dürfen, wenn sie vor dem erstmaligen Einsatz von einer anerkannten Zertifizierungsstelle überprüft und zertifiziert wurden. Diese Zertifizierungspflicht greift gemäß Allgemeinverfügung der BNetzA ab dem 01.01.2026 und gilt ausschließlich für Betreiber von 5G-Mobilfunknetzen, da nur diese Netze derzeit aufgrund des Katalogs der Sicherheitsanforderungen der BNetzA vom 29.04.2020 als TK-Netze mit erhöhtem Gefährdungspotenzial angesehen werden (erhöhte Kritikalität). Die TR-03163 regelt die Nachweiserbringung für kritische Komponenten öffentlicher Kommunikationsnetze nach § 165 Absatz 4 TKG. Als eines der möglichen Zertifizierungsverfahren, hat das BSI auf Grundlage des „Network Equipment Security Assurance Scheme“ [NESAS] der GSMA die deutsche Umsetzung vorgestellt (sog. NESAS CCS-GI (NESAS Cybersecurity Certification Scheme – German Implementation)). Darüber hinaus stehen Common Criteria und BSZ (Beschleunigte Sicherheitszertifizierung) zur Verfügung. In Anlage A der TR-03163 werden drei mögliche Zertifizierungsverfahren den einzelnen 5G Produktkategorien statisch zugeordnet. Eine Anerkennung bereits existierender Produktzertifizierungen, die nicht exakt dieser statischen Zuordnungstabelle entsprechen, sind nicht vorgesehen, wodurch erhebliche Mehraufwände aufgrund der Notwendigkeit einer weiteren Zertifizierung entstehen. Diesem sollte durch eine Öffnungsklausel und die Feststellung der Äquivalenz der unterschiedlichen Zertifizierung begegnet werden. Für Produktkategorien in denen die TR-03163 bereits technische Anforderungen definiert, müssen kritische Komponenten zum 01.01.2026 zertifiziert sein. Für andere Produkte, bei denen die technischen Anforderungen erst noch definiert werden müssen, gilt eine Übergangsfrist von 2 Jahren ab dem Tag der Veröffentlichung der Anforderungen. Der Bitkom fordert, sich bestmöglich auf ein EU-weites Zertifizierungsschema zu fokussieren, was aufgrund der engen Vorgaben des Gesetzes und der BNetzA-Verfügung schwierig ist. Das Inkrafttreten der Zertifizierungspflicht sollte verschoben werden, damit Prüfkapazitäten weiter ausgebaut und mögliche Engpässe vermieden werden können. Anpassungsbedarfe am Zertifizierungsprozess, die sich ggf. im Rahmen von möglichen Erprobungen offenbaren sollten seitens der zuständigen Behörden zeitnah durchgeführt werden, um die Netzmodernisierung nicht zu behindern und Standortnachteile für Deutschland zu verhindern.

Forderungen

1. Kein nationaler Sonderweg bei der Zertifizierung
Wir begrüßen, dass das BSI mit dem NESAS CCS-GI Schema auf eine international gültigen Industriestandard aufsetzt. Es ist verständlich, dass für die deutsche Regulierung NESAS um eine vollständige Zertifizierung erweitert werden musste. Allerdings darf Deutschland keinen nationalen Sonderweg gehen und damit das Ziel von NESAS als global einheitliches Rahmenwerk zu gefährden. In dem globalen Markt für Mobilfunkkomponenten sollten weltweit anerkannte und verwendete Zertifizierungsmechanismen verwendet werden können. Die Anerkennung von GSMA NESAS und 3GPP SCAS muss gegeben sein, um einen nationalen Sonderweg zu vermeiden. Das BSI sollte zudem weiter anstreben ein europäisches Schema mit EU5G zu realisieren, welches dann NESAS CCS-GI ablösen kann. EU5G muss das Ziel verfolgen andere europäische Regelungen wie den CRA zu berücksichtigen. Die weiteren in der TR-03163 benannten Zertifizierungsschemata und -verfahren sollten auf europäischer und internationaler Ebene vereinheitlicht und auf die 5G kritischen Komponenten die international in der 5G EU-Toolbox eingestuft sind angewendet werden. Ein harmonisierter Ansatz reduziert Komplexität, Doppelarbeit, Verzögerungen und Aufwand sowohl für Hersteller als auch für Mobilfunknetzbetreiber. Dies ermöglicht eine reibungslosere Integration und Innovation in der EU.Eine harmonisierte Anwendung sollte eine gegenseitige Anerkennung von Zertifizierungen, Audits und anderen Bewertungen von bekannten und technisch kompetenten Stellen wie GSMA, und anderen relevanten Organisationen beinhalten.

2. Verschiebung der Einführung von Zertifizierungspflicht zum 01.01.2026
Die Allgemeinverfügung der Bundesnetzagentur vom 13.06.2022 hat als Umsetzungsfrist für § 165 Abs. 4 TKG den 01.01.2026 festgelegt. Von diesem Pfad ist im Sinne einer europäischen Lösung, wie in Punkt 1 aufgeführt, abzuweichen. Ansonsten muss zumindest die damals getroffene Abwägungsentscheidung unter Berücksichtigung bestehender Verträge neu getroffen werden. Insbesondere die Einrichtung eines Forums, mit der Beteiligung aller Akteure inklusive Betreiber von 5G-Mobilfunknetzen, Industriepartner, Herstellern sowie der Bundesregierung, würde die Anforderungen an Funktionalitäten und Komponenten neu justieren. Es ist unklar, wie viele Produkte der unterschiedlichen Lieferanten der Mobilfunkbetreiber von der Zertifizierungspflicht betroffen sein werden. Daher muss sich erst zeigen, ob genügend Prüfkapazitäten auf dem Markt vorhanden sind, um die vorgegebene Deadline einzuhalten. Zum jetzigen Zeitpunkt sind lediglich drei NESAS CCS-GI-Prüfstellen auf der Webseite des BSI gelistet. Es ist nicht vorgesehen, dass Hersteller hauseigene Prüflabore für eine Zertifizierung verwenden können. Ein Engpass bei den zur Verfügung stehenden Prüflaboren oder ein Mangel an zertifizierten Komponenten könnte dazu führen, dass die 5G-Netze in Deutschland auf dem Stand 31.12.2025 technisch „eingefroren“ würden. Vor diesem Hintergrund bestehen Zweifel an der Verhältnismäßigkeit des festgelegten Umsetzungsdatums. Denn die gesetzlich festgelegte Zertifizierungspflicht führt lediglich in Deutschland zu erheblichen Belastungen für die Mobilfunkbranche und den Technologiestandort Deutschland.

3. Schwierigkeiten des Zertifizierungsprozesses berücksichtigen und Wettbewerbsfähigkeit sichern

a) Markteinführung neuer Produkte verzögert sich erheblich:

Der derzeitige nationale Zertifizierungsansatz stellt Herausforderungen für die effiziente Vermarktung, die Verfügbarkeit und den Einsatz von 5G-Produkten in Deutschland dar. In der heutigen schnelllebigen Technologieumgebung verfolgen alle Hersteller ein agiles Entwicklungs- und Bereitstellungsmodell (CI/CD) und liefern regelmäßig (meistens alle drei Monate) Software-Updates (SW) für sein 5G-Kernnetz, darüber hinaus gibt es Notfall- und Security-Patches. Der derzeitige Zertifizierungsprozess stellt aufgrund der langen Prüfverfahren jedoch ein Risiko für diesen schnellen und kontinuierlichen Release-Zyklus dar. Es ist offen, wie der Zertifizierungsprozess der Umsetzungsgeschwindigkeit des Release-Zyklus angepasst werden kann. Dazu muss der Zertifizierungsansatz zwingend optimiert und auf die international geprüften Entwicklungs- und Bereitstellungsprozesse der Hersteller zurückgegriffen werden. Um dies sicherzustellen, werden die Mitglieder des Bitkom zeitnah den Zertifizierungsprozess testen, um gemeinsam mit dem BSI ggf. erforderliche Prozessverbesserungen zu besprechen.

b) Zertifizierungsprozess ist zu komplex

Der seitens des BSI vorgeschlagene Zertifizierungsprozesses (NESAS CCS-GI) ist insbesondere für 5G-Kernnetze, die sich über mehrere Ebenen erstrecken (Anwendungsebene, Virtualisierungsebene und Bereitstellungsebene), ausgesprochen komplex und nicht hinreichend erprobt. Für Tier-1-Mobilfunknetzbetreiber (MNOs) stellen die Hersteller in der Regel nur die Anwendungsschicht zur Verfügung, während Virtualisierungs- und Bereitstellungsschichten je nach Betreiber variieren und außerhalb der Kontrolle der Hersteller liegen. NESAS CCS-GI sieht unnötigerweise vor, für jeden Betreiber bestimmte Kombinationen dieser Schichten in ähnlichen Ausführungsumgebungen zu zertifizieren. Dies kann zu einer erheblichen Doppelarbeit führen. Wir schlagen daher vor, den Zertifizierungsumfang auf das Softwareprodukt selbst zu beschränken, wobei die Virtualisierungs- und Bereitstellungsschichten unabhängig voneinander bewertet werden.

c) 5G-Komponenten würden unnötig teurer und somit auch die Dienste für Verbraucher

Die erheblichen Zertifizierungsaufwände, die durch den nationalen Sonderweg und seine übermäßige Komplexität entstehen und dazu führen, dass diese Aufwände ausschließlich bei den Betreibern auf dem deutschen Markt allokiert werden, würden die eingesetzten 5G-Komponenten für den Einsatz in Deutschland spürbar verteuern. Diese Zusatzkosten müssten die Anbieter über höhere Verbraucherpreise refinanzieren. International abgestimmte Harmonisierungsprozesse senken die Kosten für die Hersteller und würden nicht zu höheren Kosten nur in Deutschland führen.

d) Bürokratie vermeiden und Prozesse vereinfachen

Aus Sicht des Bitkom sind die im Bereich der Zertifizierung gewählten Ansätze generell nur begrenzt praktikabel. Wir schlagen vor, dass das Bundesamt fürSicherheit in der Informationstechnik (BSI) die volle Verantwortung für die Durchführung und Erteilung von Zertifizierungen auf Grundlage technischer Kriterien übernimmt, um unnötigen Mehraufwand und Bürokratie zu vermeiden. Mit den drei genannten Forderungen kann ein ausgewogener und praktikabler Zertifizierungsansatz etabliert werden, der sowohl den internationalen Standards entspricht als auch die Wettbewerbsfähigkeit Deutschland sichert. Die Vermeidung eines nationalen Sonderwegs bei der Zertifizierung und die Förderung harmonisierter Ansätze reduzieren Komplexität und Kosten für Hersteller sowie Netzbetreiber und ermöglichen eine reibungslosere Integration neuer Technologien. Eine Verschiebung der Zertifizierungspflicht schafft die notwendige Zeit, um die Prüfkapazitäten weiter auszubauen und mögliche Engpässe zu vermeiden. Gleichzeitig wird durch die Anpassung und Vereinfachung der Prozesse sichergestellt, dass diese mit den agilen Entwicklungs- und Bereitstellungsmodellen der Branche kompatibel sind. Schließlich trägt ein klar definierter, effizienter Zertifizierungsprozess dazu bei, die Kosten für kritische 5G-Komponenten zu senken und die Dienste für Verbraucher bezahlbar zu halten. Dies führt zu einer deutlichen Entlastung aller Beteiligten und fördert die Wettbewerbsfähigkeit der deutschen Wirtschaft

Related Articles

Euralarm veröffentlicht neues Whitepaper über Brandmeldesensoren

Euralarm veröffentlicht neues Whitepaper über Brandmeldesensoren

Euralarm hat ein Whitepaper über Multisensor-Brandmelder veröffentlicht und darüber, wie diese Geräte dazu beitragen können, Fehlalarme zu reduzieren. Das Dokument richtet sich an Brandschutzfachleute, Gebäudemanager und Aufsichtsbehörden. Die Branderkennung ist ein...

Gesichtserkennung 2.0 aus großer Entfernung

Gesichtserkennung 2.0 aus großer Entfernung

Vergleich eines LiDAR-Bildes mit dem Original (Foto: Aongus McCarthy, hw.ac.uk) LiDAR-System von Forschern der Heriot-Watt University glänzt mit extrem hoher Auflösung Aus Hunderten Metern Entfernung lässt sich künftig ein Gesicht erkennen, jedenfalls für geübte...

„SUPER“ rast sicher durch tückisches Gelände

„SUPER“ rast sicher durch tückisches Gelände

Flugroboter von Ingenieuren der Universität Hongkong orientiert sich mit LiDAR-Technologie "SUPER" nennen Robotiker der Universität Hongkong (https://www.hku.hk/ ) ihren neuen Flugroboter, der sich in unbekannter Umgebung mit höherer Geschwindigkeit bewegen soll als...

Share This