Die moderne Telekommunikation ist schon seit Jahren untrennbar mit der Informationstechnik (IT) zusammengewachsen und die Dienste- und Schnittstellenvielfalt hat hier bis heute deutlich zugenommen. Ein Telekommunikationssystem ist dabei oft nicht mehr isoliert betreibbar, sondern hängt von vielen verschiedenen IT-Komponenten ab. Es stellt eine sehr komplexe Systemlandschaft mit unterschiedlichsten Komponenten, vielfältigen Kommunikationsschnittstellen und tiefgreifenden Zugriffs- und Interaktionsmöglichkeiten mit der sonstigen IT dar. Ein Telekommunikationssystem ist hier quasi in der Rolle einer Spinne in der Mitte eines großen Netzes von Anwendungen und Systemen zu sehen.

Für die Informationssicherheit ist jedoch genau das eine besondere Herausforderung, denn eine Schwachstelle oder ein Sicherheitsvorfall kann so über das reine Telekommunikationssystem hinaus eine erhebliche Wirkung entfalten. Beispielsweise können Angreifende ausgehend von dem Telekommunikationssystem über die verfügbaren Schnittstellen andere Anwendungen angreifen.

In dem vorliegenden Kompendium werden verschiedene Produktkategorien von organisationsinternen Telekommunikationssystemen betrachtet. Die Telekommunikationssysteme werden von verschiedensten Endgeräten genutzt. Die Produktkategorien stützen sich auf Basis-Dienste und auf erweiterte Dienste. Alle Dienste und Produktkategorien werden auf Dienst-Plattformen realisiert und nutzen als unterste Basis Netzinfrastrukturen.

Teil 1: Gefährdungen, Anforderungen und Umsetzungshinweise

Das Basiswissen der oben genannten Technologien wird den Anwendenden des vorliegenden Kompendiums zur Verfügung gestellt, soweit dies als Grundlage zum Verständnis der Gefährdungen, Anforderungen oder Umsetzungshinweise erforderlich ist.

Die Komponenten, Dienste und Schnittstellen eines Telekommunikationssystems sind den unterschiedlichsten Gefährdungen ausgesetzt. Zu ihrer Absicherung ist es notwendig, die Gesamtheit aller Komponenten, Dienste und deren Schnittstellen zu betrachten. Teil 1 des vorliegenden Kompendiums analysiert aus diesem Grund nicht nur isoliert die Gefährdungen der genannten Komponenten und Dienste eines Telekommunikationssystems, sondern auch die Schwachstellen, die sich beim Zusammenwirken der vielfältigen Technologien ergeben.

Aus der Gesamtanalyse der auf die Telekommunikationssyteme einwirkenden Gefährdungen wurde ein umfassender Anforderungskatalog erarbeitet. Dieser ergänzt das BSI IT-Grundschutz-Kompendium um die Anteile, die notwendig sind, um die entsprechende Telekommunikationstechnologie nicht nur bei einem normalen Schutzbedarf, sondern insbesondere auch bei erhöhtem Schutzbedarf angemessen zu schützen.

Wie im IT-Grundschutz-Kompendium werden die Anforderungen durch Umsetzungshinweise ergänzt, die sowohl technische als auch organisatorische Handlungsempfehlungen beinhalten.

Hier wurden insbesondere auch die Aspekte betrachtet, die sich durch den Einsatz aktueller Trends wie Cloud Computing, Mobile Computing, Künstliche Intelligenz (KI) und Internet of Things (IoT) ergeben.

Kompendium für organisationsinterne Telekommunikationssysteme mit erhöhtem Schutzbedarf - Teil 1: Gefährdungen, Anforderungen und Umsetzungshinweise

Teil 2: Beispiele für Sicherheitskonzepte

Die Analyse eines individuellen Telekommunikationssystems sowie die sich daraus ergebende Auswahl der umzusetzenden Anforderungen müssen im Rahmen der Planung in einem Sicherheitskonzept festgelegt und dokumentiert werden. Hierbei muss beachtet werden, dass es entscheidend ist, die Anforderungen und Umsetzungsempfehlungen nicht blind umzusetzen. Stattdessen sollte eine nachvollziehbare Auswahl getroffen werden, die zu dem eigenen eingesetzten Telekommunikationssystem sinnvoll passt. Außerdem sollten die Anforderungen und Umsetzungsempfehlungen kritisch an den eigenen Rahmenbedingungen und Möglichkeiten gemessen werden. Teil 2 des Kompendiums unterstützt die Planung und Umsetzung dieser Auswahl von Anforderungen und Maßnahmen durch die Bereitstellung von repräsentativen Beispielszenarien mit musterhaften Sicherheitskonzepten.

Hier ist besonders wichtig, dass Informationssicherheit ohne Risikomanagement undenkbar ist. Insbesodere müssen bei Anforderungen, die nicht angemessen umgesetzt werden können und bei Anforderungen für erhöhten Schutzbedarf, die entstehenden Risiken systematisch bewertet werden. Dies ist ein grundlegender Bestandteil eines Informationssicherheitsmanagementsystems (Information Security Management System, ISMS) z.B. auf Basis von ISO 27001 oder BSI IT-Grundschutz.

Kompendium für organisationsinterne Telekommunikationssysteme mit erhöhtem Schutzbedarf - Teil 2: Beispiele für Sicherheitskonzepte

Teil 3: Beschaffungsleitfaden

Für die konkrete Beschaffung eines so geplanten Telekommunikationssystems stellt Teil 3 des Kompendiums sicherheitsrelevante Auswahlkriterien bereit, die sich nach der Methodik der UfAB 2018 (Unterlage für die Ausschreibung und Bewertung von IT-Leistungen, Version von 2018) richten.

Dieser Kriterienkatalog kann im Rahmen einer Ausschreibung als Grundlage genutzt werden, um nach einer entsprechenden Prüfung und Anpassung an die eigenen Erfordernisse eine technische Bewertung der Sicherheitseigenschaften der angebotenen Lösungen zu liefern.

Kompendium für organisationsinterne Telekommunikationssysteme mit erhöhtem Schutzbedarf - Teil 3: Beschaffungsleitfaden

Durch die Bereitstellung der oben genannten Instrumente unterstützt das vorliegende Kompendium bei der Absicherung aktueller Telekommunikationssysteme in Bereichen mit erhöhtem Schutzbedarf über den gesamten Lebenszyklus von der Planung bis zum Rückbau.