Der Telecommunications Security Act (UK) – das britische Telekommunikationssicherheitsgesetz

Was ist der Telecommunications Security Act (TSA)? 

Das Gesetz legt gesetzliche Pflichten für Telekommunikationsunternehmen fest, um die Sicherheit des gesamten britischen Netzwerks zu erhöhen. Es führt neue regulatorische Befugnisse für den britischen Telekommunikationsregulator OFCOM ein, um öffentliche Telekommunikationsanbieter im Bereich der IT-Sicherheit zu regulieren. Es legt Verpflichtungen für Betreiber fest, zusätzliche Maßnahmen zur Sicherheit ihrer Lieferketten und beschafften Produkte zu ergreifen. 

Das Gesetz führt einen sogenannten Verhaltenskodex ein. Dieser Verhaltenskodex beinhaltet die technischen Anforderungen, die die Betreiber erfüllen sollten. Der Verhaltenskodex ist jedoch nicht verbindlich, sondern dient vielmehr als Benchmark-Tool, um zu verstehen, ob die Telekommunikationsbetreiber „verhältnismäßige und angemessene“ Maßnahmen ergriffen haben, um die Sicherheit in ihrem Geschäft zu erhöhen.

Warum wurde der Telecommunications (Security) Act eingeführt? 

Als Ergebnis der Überprüfung der Lieferkette für britische Telekommunikation im Jahr 2018 identifizierte die Regierung Bereiche, die angegangen werden mussten:

1. Bestehende Branchenpraktiken konzentrierten sich möglicherweise auf gute kommerzielle Ergebnisse, förderten jedoch kein effektives Risikomanagement für Cybersicherheit.
2. Die Politik und die Regulierung zur Durchsetzung der Cybersicherheit von Telekommunikation mussten erheblich gestärkt werden, um diesen Bedenken zu begegnen.
3. Die nationale Abhängigkeit von einzelnen Anbietern birgt eine Vielzahl von Risiken für die Sicherheit und Widerstandsfähigkeit der britischen Telekommunikationsnetze. 

Die Sicherheit des britischen Telekommunikationssektors wird immer wichtiger - vor allem, da die Regierung beabsichtigt, bis 2025 jeden Haushalt und jedes Unternehmen im Vereinigten Königreich mit Gigabit-Breitband zu versorgen. Im Sicherheitsbericht des National Cyber Security Centre für den britischen Telekommunikationssektor heißt es: „Da die Technologien wachsen und sich weiterentwickeln, müssen wir über einen zweckmäßigen Sicherheitsrahmen verfügen, der gewährleistet, dass die kritische nationale Telekommunikationsinfrastruktur des Vereinigten Königreichs sowohl jetzt als auch in Zukunft online und sicher bleibt.“

Wen betrifft das Telekommunikationssicherheitsgesetz? 

Es gilt für öffentliche Telekommunikationsanbieter (einschließlich kleinerer Unternehmen, die Telekommunikationsnetze oder -dienste für die Öffentlichkeit anbieten). Um das Gesetz selbst zu zitieren: 

• Stufe 1: Dies gilt für die größten Organisationen mit einem Jahresumsatz von über 1 Milliarde britische Pfund, die öffentliche Netzwerke und Dienste bereitstellen, für die eine Sicherheitsgefährdung die weitreichendsten Auswirkungen auf die Verfügbarkeit von Netzen und Diensten und die schädlichsten wirtschaftlichen oder sozialen Folgen hätte.
• Stufe 2-Anbieter sind mittelgroße Unternehmen mit einem Jahresumsatz von mehr als 50 Mio. britische Pfund, die Netzwerke und Dienste bereitstellen, bei denen eine Beeinträchtigung der Sicherheit Auswirkungen auf kritische nationale Infrastrukturen (CNI) oder die regionale Verfügbarkeit mit potenziell erheblichen Auswirkungen auf die Sicherheit, die Wirtschaft oder die Gesellschaft haben würde. 
• Stufe 3-Anbieter sind die kleinsten Unternehmen mit einem Jahresumsatz von weniger als 50 Mio. britische Pfund auf dem Markt, die keine Kleinstunternehmen sind. Eine Beeinträchtigung der Sicherheit ihrer Netze oder Dienste könnte sich zwar auf ihre Kunden auswirken, aber wenn diese Netze und Dienste CNI nicht unterstützen, würde eine solche Beeinträchtigung die nationale oder regionale Verfügbarkeit nicht wesentlich beeinträchtigen.
  
  

Ab wann müssen Unternehmen sich an den Telecommunications (Security) Act halten? 

Der Verhaltenskodex erwartet von Stufe-1-Anbietern, bis zum 31. März 2024 „die einfachsten und ressourcenschonendsten Maßnahmen“ umzusetzen und die komplexeren und ressourcenintensiveren Maßnahmen bis zum 31. März 2025. 

Tier-2-Unternehmen haben zwei zusätzliche Jahre zu den oben genannten Terminen erhalten, um die relative Größe der Anbieter zu berücksichtigen. Stufe-3-Anbieter fallen derzeit nicht unter den Geltungsbereich der regulatorischen Änderungen, werden jedoch dringend gebeten, den Verhaltenskodex als bewährte Praxis zu verwenden. Der Verhaltenskodex erwartet auch, dass diese Unternehmen weiterhin angemessene und verhältnismäßige Maßnahmen ergreifen, um ihren neuen Pflichten gemäß dem Gesetz und den Vorschriften nachzukommen.

Wie können Unternehmen sich auf das Telekommunikationssicherheitsgesetz vorbereiten? 

Das Gesetz führt eine Reihe neuer Anforderungen ein, die von den in der Unternehmen der Telekommunikationsbranche verstanden und befolgt werden müssen. 

Es gibt jedoch auch allgemeinere Sicherheitsanforderungen. So ist es beispielsweise ein wichtiger Aspekt der Risikominderung, dass die Benutzer, die auf Systeme, Daten und Anwendungen zugreifen, auch die sind, für die sie sich ausgeben, indem sie die Möglichkeit von Angriffen durch die Vordertür einschränken. Dies ist ein sehr reales Risiko, da die meisten Datenschutzverletzungen ein menschliches Element beinhalten, einschließlich Vorfällen, bei denen Mitarbeiter Informationen direkt preisgeben oder einen Fehler machen, der Cyberkriminellen den Zugriff auf die Systeme des Unternehmens ermöglicht. 

Daher ist ein Bereich, in dem man beginnen kann, die Organisation zu schützen und einen Schritt in Richtung Compliance zu unternehmen, der Aufbau von Authentifizierung und sicherem Zugang zu Systemen, Daten und Anwendungen. Dies kann jedoch auch Zeit in Anspruch nehmen. 

Ein Ansatzpunkt für den Schutz des Unternehmens und ein Schritt auf dem Weg zur Einhaltung der Vorschriften ist daher die Authentifizierung und der sichere Zugang zu Systemen, Daten und Anwendungen. Aber auch dies kann einige Zeit in Anspruch nehmen. 

Wie können Netadmin-Kunden sich auf das Telekommunikationssicherheitsgesetz vorbereiten? 

Aus unserer speziellen Netadmin-Perspektive empfehlen wir Ihnen Folgendes: 

• Verwenden Sie bestehende oder erstellen Sie neue ACL-Regeln für Ihre Benutzer, damit diesen nur auf Bedarf Zugriff gewährt wird. Die Administratorkonten sollten nur über die "PAW"-Zone (z. B. über IP-Beschränkungen) zugänglich sein. 
• Verbinden Sie Ihre Netadmin-Installation mit einem OpenID Connect-Anbieter, um die Zwei-Faktor-Authentifizierung zu ermöglichen. 
• Befolgen Sie unsere Anleitung zur Konfiguration von Firewall-Öffnungen zwischen und zu Netadmin-Servern (dies ist besonders wichtig für den Zugriff auf die Benutzeroberfläche der Administration und die Server, die mit den Netzwerkelementen kommunizieren). 
• Stellen Sie sicher, dass Sie gültige und sichere Zertifikate für die Verschlüsselung haben. 
• Alle Server befinden sich in separaten VLANs und IP-Subnetzen, die durch Firewalls voneinader getrennt sind und nur bei Bedarf für Host-to-Host-Kommunikation genutzt werden können. 
• Befolgen Sie unsere Verwaltungs- und Wartungsrichtlinien für Backups, Sicherheitsupdates und mehr.
• Sichern Sie, wenn möglich, die Arbeitsplätze gemäß den Richtlinien des Code of Practice für die "PAW"-Zone, die auf die Netadmin-Administrations-Benutzeroberfläche zugreifen, zumindest für Administratorkonten. 
• Die Netadmin-Ressourcenkontrollserver, die für die Ausführung von 'Treibern' zum Netzwerk verantwortlich sind, sollten isoliert sein. Die Kommunikation sollte nur über den zweckgebundenen Netadmin-Port erlaubt sein. 

Diese Empfehlungen wurden als „verhältnismäßig und angemessen“ für einen Großteil unserer Kundenbasis betrachtet, die aus Betreibern der Stufe 2 und Stufe 3 besteht. 

Wo finden Sie weitere Informationen zum Telekommunikationssicherheitsgesetz? 

Wir werden mehr Informationen über das Gesetz erstellen, wenn wir den Fristen näherkommen. Wir überwachen dies gemeinsam mit Partnern, Kunden und Organisationen wie der INCA genau.