Neue Veröffentlichung des BSI zur modernen organisationsinternen Telekommunikation

Die organisationsinterne Telekommunikation nutzt selbstverständlich die gesamte verfügbare Palette von modernen Anwendungs-, Dienst- und Kommunikationsplattformen und bildet bis heute eine übergreifende ganzheitliche Architektur. Dies wird besonders gut anhand eines Zitats aus KomTK deutlich: „Ein Telekommunikationssystem ist hier quasi in der Rolle einer Spinne in der Mitte eines großen Netzes von Anwendungen und Systemen zu sehen.“ (siehe [4]). Dieser Umstand muss entsprechend in der Informationssicherheit berücksichtigt werden, denn ein sicherheitsrelevantes Ereignis kann durch Verflechtungen zwischen Telekommunikationssystem und weiteren IT-Systemen erhebliche übergreifende Auswirkungen haben. Durch den aus der Natur der Telekommunikation resultierenden oft vorliegenden erhöhten Schutzbedarf kumuliert sich dies zu einer besonderen Risikolage für die Informationssicherheit. Dabei müssen speziell auch die Aspekte der Informationssicherheit berücksichtigt werden, die sich aus dem Einsatz von Cloud Computing, Mobile Computing, Internet of Things (IoT) und insbesondere Künstlicher Intelligenz (KI) in der organisationsinternen Telekommunikation ergeben.

KomTK ist in drei Teile aufgeteilt (siehe [4]):

• Teil 1 „Gefährdungen, Anforderungen und Umsetzungshinweise“ beschreibt die in der modernen Telekommunikation eingesetzten Techniken und deren Nutzung, analysiert die Gefährdungen und leitet auf Basis des BSI-IT-Grundschutz-Kompendiums entsprechende Anforderungen ab, deren Umsetzungsmöglichkeiten dann genauer beschrieben werden. Dabei wird der gesamte Lebenszyklus eines Telekommunikationssystems von Planung und Beschaffung über Betrieb und Revision bis zur Außerbetriebnahme adressiert.
• Teil 2 „Beispiele für Sicherheitskonzepte“ füllt die in Teil 1 dargestellten Technologien und Sicherheitsanforderungen mit Leben und bildet sie auf konkrete Anwendungsszenarien ab. Für jedes Szenario wird ein exemplarisches Sicherheitskonzept unter Anwendung der BSI-IT-Grundschutz-Methodik beschrieben und dabei bei erhöhtem Schutzbedarf auch risikobasiert eine Auswahl zusätzlich anzuwendender Anforderungen abgeleitet.
• Teil 3 „Beschaffungsleitfaden“ formuliert auf Basis der in Teil 1 aufgestellten Anforderungen und Umsetzungshinweise konkrete Auswahlkriterien für eine Beschaffung von Telekommunikationssystemen. Die Auswahlkriterien orientieren sich dabei an der Methodik der UfAB (Unterlage für die Ausschreibung und Bewertung von IT-Leistungen, siehe [5]).

KomTK stellt damit einen umfassenden Werkzeugkasten für die Absicherung moderner organisationsinterner Telekommunikationssysteme dar, der sich in ein Information Security Management System (ISMS) nach BSI-IT-Grundschutz integriert und die bestehenden IT-Grundschutz-Bausteine nach dem aktuellen Stand der Technik unter besonderer Berücksichtigung eines erhöhten Schutzbedarfs ergänzt. KomTK lässt sich jedoch ebenso in ein ISMS auf Basis von ISO 27001 oder vergleichbar aufnehmen. Durch die konsequente Berücksichtigung eines erhöhten Schutzbedarfs ist KomTK insbesondere auch für die Anwendung im Bereich von kritischen Infrastrukturen (siehe [6]) und allgemein der unter NIS-2 fallenden Einrichtungen (siehe [7]) interessant.

Weitere Informationen finden Sie in kommenden Artikeln im „Netzwerk Insider“ und in unseren Seminaren.

Quellen

[1] Pressemittteilung des Bundesamtes für Sicherheit in der Informationssicherheit (BSI), März 2025, verfügbar unter: https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Organisationsinterne_TK-Systeme_250304.html

[2] BSI, „Technische Leitlinie für organisationsinterne Telekommunikationssysteme mit erhöhtem Schutzbedarf, Version 2.0“, verfügbar unter: https://www.bsi.bund.de/DE/Service-Navi/Publikationen/TL-sichere-TK-Anlagen/TL02103_htm.html

[3] BSI, „Kompendium Videokonferenzsysteme“, verfügbar unter https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/KoViKo_140420.html

[4] BSI, „Kompendium für organisationsinterne Telekommunikationssysteme mit erhöhtem Schutzbedarf (KomTK)“, verfügbar unter: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Netzwerke/TK-Systeme/tk-systeme_node.html

[5] Bundesministerium des Innern und für Heimat, „UfAB 2018 – Unterlage für Ausschreibung und Bewertung von IT-Leistungen“, April 2018, verfügbar unter http://www.cio.bund.de/

[6] BSI, Kritische Infrastrukturen, verfügbar unter: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/Kritische-Infrastrukturen/kritis_node.html

[7] BSI, „EU-Richtlinien zur Netzwerk- und Informationssicherheit“, verfügbar unter https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-Richtlinien/nis-richtlinien_node.html