Technologische Souveränität : Weg mit der Mitte? : Hochtechnologie aus der Volksrepublik China: Ein rotes Tuch für kritische Infrastrukturen?
Der vorliegende Beitrag analysiert die Problematik der technologischen Kooperation mit China am Beispiel des deutschen 5G-Netzes – einerseits anhand der aktuellen technischen und politischen Dimension, andererseits auch anhand der zur Verfügung stehenden rechtlichen Instrumentarien und juristischen Rahmenbedingungen.
Die Volksrepublik China ist nach wie vor ein zentraler Wirtschaftspartner für Deutschland – vor allem im Bereich der Hochtechnologie, die infolge einer bereits seit Jahrzehnten währenden Politik des Outsourcings hierzulande nicht durchgängig souverän verfügbar ist. Während noch vor einigen Jahren die wirtschaftliche und technologische Kooperation mit China weitestgehend positiv gesehen und von der Bundesregierung auch gefördert wurde, hat sich zuletzt in relativ kurzer Zeit die Sachlage in das Gegenteil verkehrt: Chinas Politik während der Corona-Pandemie sowie die Unterbrechung der weltweiten Lieferketten infolge einer Schließung der Häfen, aber auch die Haltung des Landes zum Russland-Ukraine-Krieg und die fortdauernden und sich verschärfenden territorialen Spannungen zwischen China und Taiwan tragen erheblich dazu bei, dass die langjährige und bedeutungsvolle Zusammenarbeit mit dem Reich der Mitte zunehmend kritisch angesehen wird.
So manifestiert sich nunmehr ein seit jeher vorhandenes, unterschwelliges Misstrauen ob der chinesischen Abhängigkeit – trotz aller noch bestehenden Vorteile – als ein wirtschaftliches und politisches, aber auch für die nationale Versorgungsinfrastruktur relevantes Risiko, dem sowohl Bundesregierung als auch Europäische Union schnellstmöglich begegnen wollen.
Abhängigkeiten vom Reich der Mitte
Aktuell entzündet sich die europäische und nationale Debatte einerseits an potenziellen Datenabflüssen bei einer Nutzung der vom chinesischen ByteDance-Konzern betriebenen Video-App TikTok und des steigenden Risikos algorithmengesteuerter Desinformationskampagnen, andererseits (gerade in Deutschland) an der umfassenden Verwendung technischer Komponenten des chinesischen Mobilfunkausrüsters Huawei, wobei hier sowohl technische Befürchtungen des Ausspähens vertraulicher Kommunikation durch chinesische Behörden bestehen als auch argumentiert wird, dass Huawei-Produkte über eine „Kill-Switch“-Funktion verfügen könnten, mit der sich das nationale Mobilfunknetz als kritische Infrastruktur fernabschalten lassen könnte. Dies wäre äußerst relevant, weil der Anteil von Huawei-Komponenten im deutschen Mobilfunknetz der verschiedenen Anbieter bei mindestens 50 % liegt [1].
All das unterstreicht den Erfolg von Huawei auf dem deutschen Markt: Das Unternehmen ist in wenigen Jahren von einem Anbieter für Mobilfunkendgeräte im Niedrigpreissegment zu einem führenden Endgeräteanbieter und technischen Ausrüster avanciert. Nicht zuletzt deshalb halten aktuell die Deutsche Telekom sowie auch die Deutsche Bahn zunächst an ihren Geschäftsbeziehungen zu Huawei fest, obwohl dies sowohl politisch aus dem Bundesinnenministerium und unter anderem vom Bundesamt für Verfassungsschutz (BfV) kritisch gesehen wird [2]. Die Telekom ist sogar noch einen Schritt weitergegangen, indem sie sich durch Einlagerung chinesischer Komponenten aktiv gegen US-Sanktionen absichern will – ein entsprechender Vertrag zwischen der Telekom und Huawei soll bereits 2019 geschlossen worden sein.
Neue Zertifizierungsanforderungen und bisheriger Kenntnisstand
Die derzeit diskutierten sicherheitsrelevanten Erkenntnisse zum Einsatz von Komponenten ausländischer und im Besonderen chinesischer Ausrüster wie Huawei und ZTE gehen mit neuen Prüf- und Zertifizierungsmöglichkeiten für die Sicherheit von 5G-Telekommunikationsnetzen einher. So hat das BSI Mitte 2022 ein neues Zertifizierungsprogramm für Komponenten der 5G-Telekommunikationsnetze nach dem Schema Network Equipment Security Assurance Scheme Cybersecurity Certification Scheme – German Implementation (NESAS CCS-GI, [3]) gestartet. Das nationale Prüfschema soll als Vorbild für ein zukünftiges europäisches Zertifizierungsschema EU5G laut EU Cybersecurity-Act (CSA) dienen.
Zumindest in technischer Hinsicht wurden bisher allerdings keine öffentlich bekannten Nachweise für Sicherheitslücken oder gar Hintertüren in Huawei-Mobilfunkkomponenten erbracht – weder durch die US-Regierung noch durch die Bundesregierung. Im Gegenteil: Das BSI erklärte wiederholt, dass alle 5G-Ausrüster – gleichgültig aus welchem Herkunftsland – sicherheitsüberprüft würden und dass bislang keine Prüfung ergeben habe, dass in Huawei-Bauteilen Hintertüren versteckt seien oder Hinweise dafür vorlägen. Hinzu kommt, dass zurzeit wohl weder in den Kernnetzen von Vodafone, der Deutschen Telekom noch O2/Telefónica Huawei-Komponenten verbaut sind – dies entspricht aktuellen politischen Forderungen, keine Hardware von nicht-vertrauenswürdigen Herstellern in Kernnetze zu integrieren.
Rechtliche Vorgaben
Für sogenannte „kritische Komponenten“ im Sektor Informationstechnik und Telekommunikation gelten – unabhängig von den Erkenntnissen technischer Überprüfungen – besonders strenge rechtliche Anforderungen. Erstmals hat das aktualisierte IT-Sicherheitsgesetz (IT-SiG 2.0) 2021 Festlegungen für deren Einsatz getroffen. Nach § 2 Abs. 13 BSI-Gesetz (BSIG) sind „kritische Komponenten“ IT-Produkte,
- die in kritischen Infrastrukturen eingesetzt werden,
- bei denen Störungen im Hinblick auf die IT-Sicherheit zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit kritischer Infrastrukturen oder zu Gefährdungen für die öffentliche Sicherheit führen können und
- die aufgrund eines Gesetzes als kritische Komponente bestimmt werden oder eine aufgrund eines Gesetzes als kritisch bestimmte Funktion realisieren.
TK-rechtliche Anforderungen an die IT-Sicherheit von Mobilfunkkomponenten
Die konkreten rechtlichen Anforderungen für die IT-Sicherheit im Telekommunikationsbereich werden jedoch nicht durch das BSIG, sondern durch das Telekommunikationsgesetz (TKG) bestimmt. Hier ist zentrale Vorschrift der ebenfalls neue § 165 TKG „Technische und organisatorische Schutzmaßnahmen“: Gemäß dessen Abs. 4 dürfen kritische Komponenten gemäß vorgenannter BSIG-Definition von einem Betreiber öffentlicher Telekommunikationsnetze mit erhöhtem Gefährdungspotenzial nur eingesetzt werden, wenn sie vor dem erstmaligen Einsatz von einer anerkannten Zertifizierungsstelle überprüft und zertifiziert wurden. Die entsprechenden Anforderungen wiederum ergeben sich aus § 167 Abs. 1 Satz 1 Nr. 2 TKG, wonach in einem Katalog von Sicherheitsanforderungen zu bestimmen ist, welche Funktionen „kritische Funktionen“ sind, die von kritischen Komponenten realisiert werden [4].
Die Anlage 2 dieses Katalogs enthält eine Liste der kritischen Funktionen für öffentliche Telekommunikationsnetze und -dienste mit erhöhtem Gefährdungspotenzial. Eine Bewertung und Einordnung der kritischen Funktionen erfolgt auf der Grundlage einer Gefährdungsanalyse und des jeweils aktuellen Stands der Technik; ein entsprechender Prozess zur Identifikation im konkret betriebenen Netz oder erbrachten Dienst wird in der Anlage ebenso beschrieben.
Als Ergebnis dieser Prüfung werden nachfolgende Funktionen als kritisch für das 5G-Netz identifiziert, die im EU-Dokument „Cybersecurity of 5G networks – EU Toolbox of risk mitigating measures“ [5] näher bezeichnet werden:
- Core-Network-Functions (Kernnetzfunktionen, unabhängig vom Ort der Realisierung innerhalb des 5G-Netzes): Hierzu gehören Authentifizierungs-, Roaming- und Sitzungsverwaltungsfunktionen für Endnutzer, Datentransportfunktionen für Endnutzereinrichtungen, Zugriffsrichtlinienverwaltung, Registrierung und Autorisierung von Netzwerkdiensten, Speicherung von Endnutzer- und Netzwerkdaten, Verbindung mit Mobilfunknetzen von Drittanbietern, Exposition der Kernnetzfunktionen gegenüber externen Anwendungen sowie Zuordnung von Endgeräten zu Netzwerk-Slices.
- NFV-Management and Network-Orchestration (MANO) – Management und Orchestrierung virtualisierter Netzwerkfunktionen
- Management-Systems and Supporting Services: Sicherheitsfunktionen des Management-Systems
- Radio Access Network (RAN): 5G-RAN-Management
- Transport- and Transmission-Functions: Sprach- und Datentransportfunktionen mit erhöhter Relevanz
- Internetwork-Exchanges: IP-Netzwerk außerhalb der MNO-Räumlichkeiten (Netzwerkdienste von Dritten)
Die Technische Richtlinie BSI TR-03163 Sicherheit in TK-Infrastrukturen [6] benennt die zulässigen Zertifizierungsschemata für kritische Komponenten in Telekommunikationsnetzen mit erhöhtem Gefährdungspotenzial und richtet sich an die Hersteller von kritischen Komponenten in Telekommunikationsnetzen. Aber auch unabhängig von einer Zertifizierung müssen bestimmte Netzbetreiber und Diensterbringer beim Einsatz kritischer Komponenten geeignete und angemessene technische Vorkehrungen und sonstige Maßnahmen zur Gefahrenabwehr treffen. Dies ergibt sich einerseits aus der „Allgemeinverfügung zur Festlegung der Umsetzungsfristen für den Einsatz kritischer Komponenten“ [7], andererseits aber auch aus den weit gefassten technischen und organisatorischen Sicherheitsanforderungen nach § 165 TKG.
Politische Prüfkompetenzen
Unabhängig von den genannten technischen Prüfanforderungen an eine sichere Telekommunikationsinfrastruktur moniert das Bundesinnenministerium und hier vor allem das Referat für Cybersicherheit für Wirtschaft und Gesellschaft, dass die bestehenden faktischen Abhängigkeiten von chinesischen Mobilfunkausrüstern weitere Risiken bergen. Dies führt zu der Frage, ob für den Einsatz und gegebenenfalls Ausschluss chinesischer Mobilfunkkomponenten in deutschen Netzen rechtlich auch ein „politischer Prüfmaßstab“ angelegt werden kann. Die aktuelle politische Debatte legt ein solches Vorgehen zumindest nahe.
Nach heutiger Rechtslage ist ein derartiges Verfahren – wenigstens im Hinblick auf den Anwendungsbereich des BSIG – mit dem durch das IT-SiG 2.0 ebenfalls neu geschaffenen (und nicht unumstrittenen) § 9b BSIG möglich, der die Untersagung des Einsatzes kritischer Komponenten gemäß §2 Abs.13 BSIG regelt (zur Begründung und Auslegung des § 9b BSIG siehe BT-Drs. 19/26106 [8], S. 83 ff.). Obwohl nicht ausdrücklich so beschrieben, handelt es sich bei dieser Vorschrift um die Rechtsgrundlage für eine federführend durch das Bundesinnenministerium durchführbare politische Prüfung KRITIS-relevanter technischer Komponenten. Die Regelung, die schon im Gesetzgebungsverfahren als „Lex Huawei“ bezeichnet wurde und dabei unter anderem für erhebliche Verzögerungen gesorgt hat, ist das Ergebnis einer gesteigerten globalen Bedrohungssituation kumuliert mit fehlender digitaler Souveränität und kann somit als „politisches Korrektiv“ mangelnder technologischer Eigenständigkeit Deutschlands verstanden werden.
Da im vorigen Jahr unter anderem mit der BSI-Warnung vor dem russischen Cybersecurity-Anbieter „Kaspersky“ (basierend auf der rechtlich unzutreffenden Befugnisgrundlage des § 7 BSIG, siehe [9]) der Damm für politische staatliche Warnungen weitestgehend ohne technische Hintergründe gebrochen wurde, ist davon auszugehen, dass die Rechtsgrundlage des § 9b BSIG in Zukunft im Zuge steigender globaler geopolitisch-strategischer Spannungen für weitere Sachverhalte zurate gezogen wird. Das könnte durchaus auch die Frage der Verwendung von Huawei-Komponenten im nationalen 5G-Netz betreffen.
Mehrstufiges Prüfungsszenario bis hin zum faktischen Herstellerverbot
§ 9b BSIG sieht einen mehrstufigen behördlichen Handlungsrahmen mit dem Bundesinnenministerium (BMI) an der Spitze vor, das sich diese Rolle unzweifelhaft nicht politisch durch andere Ressorts wie dem Auswärtigen Amt oder dem Bundeswirtschaftsministerium streitig machen lassen will – eine im Sinne der Belastbarkeit und Tragweite zu treffender Entscheidungen fachlich durchaus fragwürdige Tendenz (vgl. [10]):
- Vor dem geplanten erstmaligen Einsatz einer kritischen Komponente muss durch den Betreiber grundsätzlich eine Anzeige gegenüber dem BMI erfolgen, in der die kritische Komponente und die geplante Art ihres Einsatzes angegeben sind. Die Anzeigepflicht gilt nicht, wenn der Einsatz einer anderen kritischen Komponente desselben Typs für dieselbe Art des Einsatzes bereits angezeigt und der Einsatz nicht untersagt wurde.
- Das BMI kann den geplanten erstmaligen Einsatz einer kritischen Komponente gegenüber dem KRITIS-Betreiber bis zum Ablauf von zwei Monaten nach Eingang der Anzeige untersagen oder Anordnungen erlassen, sollte der Einsatz die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigen. Zu dieser Beurteilung können unterschiedliche Kriterien herangezogen werden: etwa, ob der Hersteller unmittelbar oder mittelbar von der Regierung oder staatlichen Stellen eines Drittstaates kontrolliert wird, an Aktivitäten beteiligt war oder ist, die nachteilige Auswirkungen auf die öffentliche Ordnung oder Sicherheit Deutschlands hatten oder ob der Einsatz der kritischen Komponente generell im Einklang mit den sicherheitspolitischen Zielen steht.
- Den weiteren Einsatz einer kritischen Komponente kann das BMI gegenüber dem Betreiber der kritischen Infrastruktur untersagen oder Anordnungen erlassen, wenn dieser weitere Einsatz die öffentliche Ordnung oder Sicherheit Deutschlands voraussichtlich beeinträchtigt. Das ist allem voran dann der Fall, wenn der Hersteller der kritischen Komponente nicht vertrauenswürdig ist. Zur Beurteilung der Vertrauenswürdigkeit legt das BSIG bestimmte Kriterien in einem nicht abschließenden Katalog fest: So kann ein Hersteller zum Beispiel dann nicht vertrauenswürdig sein, wenn er gegen die Verpflichtungen aus der „Garantieerklärung“ verstoßen hat (siehe unten), wenn in der Garantieerklärung behauptete Tatsachen unwahr sind, er Sicherheitsüberprüfungen und Penetrationsanalysen von Produkt- und Produktionsumgebung nicht im erforderlichen Umfang und in angemessener Weise unterstützt, er Schwachstellen oder Manipulationen nicht unverzüglich nach Kenntniserlangung beseitigt und an den KRITIS-Betreiber meldet, wenn die kritische Komponente aufgrund von Mängeln ein erhöhtes Gefährdungspotenzial mit Folgen für die IT-Sicherheit aufweist oder aufgewiesen hat oder die kritische Komponente über technische Eigenschaften verfügt oder verfügt hat, die geeignet sind oder waren, missbräuchlich auf die IT-Sicherheit der kritischen Infrastruktur einzuwirken.
- Im Falle der Untersagung des Einsatzes einer kritischen Komponente – besonders wenn der Hersteller sich als nicht vertrauenswürdig erweisen sollte – stehen dem BMI weitere rechtliche Optionen zur Verfügung. Dazu können die Untersagung des geplanten Einsatzes weiterer kritischer Komponenten desselben Typs und desselben Herstellers sowie die Untersagung des weiteren Einsatzes kritischer Komponenten desselben Typs und desselben Herstellers unter Einräumung einer angemessenen Frist gehören.
- Besonders schwerwiegende Fälle fehlender Herstellervertraulichkeit können schließlich zu einer Untersagung des Einsatzes aller kritischen Komponenten des Herstellers führen.
Garantieerklärung“ bestimmt Anforderungen an den Nachweis der IT-Sicherheit
Zusätzlich besteht nach § 9b BSIG das Erfordernis, dass kritische Komponenten nur dann eingesetzt werden dürfen, wenn der Hersteller eine sogenannte Garantieerklärung abgegeben hat: Dabei handelt es sich um die Erklärung seiner Vertrauenswürdigkeit, aus der hervorgehen muss, wie er sicherstellt, dass die von ihm gelieferte Komponente nicht über technische Eigenschaften verfügt, die spezifisch geeignet sind, missbräuchlich ausgenutzt zu werden – etwa für Sabotage, Spionage oder Terrorismus. Die Einzelheiten werden durch das BMI im Rahmen einer Allgemeinverfügung festgelegt – für die Branche Telekommunikation liegt diese seit Oktober 2021 vor [11]. Demnach muss die Garantieerklärung neben den gesetzlich geforderten Inhalten nach § 9b Abs. 3 Satz 3 BSIG Erklärungen in deutscher Sprache enthalten, mit denen sich der Hersteller verpflichtet:
- für die Dauer des Einsatzes der kritischen Komponente mit dem KRITIS-Betreiber, dem BSI und der Bundesnetzagentur (BNetzA) zu kooperieren, Auskünfte zu erteilen, erforderliche Unterstützung zu gewähren und dem KRITIS-Betreiber Audits bezüglich des ISMS der kritischen Komponente zu ermöglichen
- den KRITIS-Betreiber bei der Durchführung von Sicherheitsüberprüfungen und Penetrationsanalysen im erforderlichen Umfang und in angemessener Weise zu unterstützen
- beabsichtigte Änderungen an Prozessen zur Herstellung und Bereitstellung sicherheitsrelevanter Systemanteile rechtzeitig vor deren Umsetzung gegenüber dem KRITIS-Betreiber anzuzeigen sowie auf Betreiberanfrage konkrete Angaben über die Produktentwicklung der sicherheitsrelevanten Systemanteile zu machen
- Schwachstellen der kritischen Komponente unverzüglich nach Kenntniserlangung an den einsetzenden KRITIS-Betreiber zu melden, sodass dieser Gegenmaßnahmen ergreifen kann
- für die kritischen Komponenten ein geeignetes ISMS einzusetzen, um so nicht zuletzt einen revisionssicheren Schutz vor unbeabsichtigten oder unberechtigten Änderungen von Firm- und Software zu gewährleisten
- Erklärung, ob die Unternehmensstruktur (z. B. Gesellschafterstruktur oder Beteiligungsverhältnisse) oder geltende Gesetze dazu führen können, dass eine die IT-Sicherheit negativ beeinträchtigende externe Einflussnahme auf das Unternehmen und seine Produkte möglich ist (z. B. durch fremde Mächte)
- Angabe des Unternehmenssitzes und weiterer unternehmensrelevanter Informationen sowie zur Beauskunftung persönlicher Daten der Mitglieder der Geschäftsführung und der sonstigen vertretungsberechtigten Personen
- Versicherung, rechtlich und tatsächlich in der Lage zu sein, die Herausgabe vertraulicher Informationen über den KRITIS-Betrieb zu verweigern – eventuell bestehende Offenlegungspflichten gegenüber ausländischen Nachrichtendiensten oder sonstigen Sicherheitsbehörden sind ebenso mitzuteilen
- unverzügliche Mitteilung an das BMI sowie an den die kritische Komponente einsetzenden Betreiber abzugeben, wenn die Einhaltung der Garantieerklärung nicht mehr gewährleistet werden kann.
Fazit und Ausblick
Der Einsatz von (ausländischen) IT-Komponenten im deutschen Mobilfunknetz muss strengen technischen, rechtlichen sowie politischen Anforderungen genügen. Anhand der aktuellen Debatte um Hard- und Software aus der Volksrepublik China im nationalen 5G-Netz ist deutlich geworden, dass tatsächlich vorhandene technische Schwachstellen nur schwierig bis gar nicht nachweisbar sind, weshalb die Diskussion um die Vertrauenswürdigkeit von Herstellern zunehmend auf eine politische Ebene gehoben wird, indem rechtlich definierte Vertrauenswürdigkeitskriterien für Anbieter aus bestimmten Drittstaaten faktisch unerfüllbar sind. Unerwünschte Marktteilnehmer können auf diese Weise zumindest aus der Versorgungsverantwortung der kritischen Infrastrukturen ausgeschlossen werden.
Generell besteht die Tendenz, angesichts wachsender globaler Spannungen nicht nur im KRITIS-Umfeld strikt zu regulieren, sondern den Einsatz sämtlicher ITProdukte stärker als bislang zu politisieren, indem man an das neue Kriterium der „Herstellervertrauenswürdigkeit“ anknüpft. Das BSI übernimmt dadurch zunehmend die Rolle einer Marktüberwachungsbehörde für Cybersicherheit – und die IT-Entwicklung findet nicht mehr primär global, sondern vorrangig mehr und mehr regional statt.
Gleichwohl sind derlei Maßnahmen akut nur ein Feigenblatt für die fehlende nationale digitale Souveränität: Denn die schon jetzt spürbaren Folgen des jahrzehntelangen technologischen Outsourcings lassen sich weder durch politische noch durch juristische Kontrollregelungen angemessen auffangen. Trotz ihrer vermeintlich kurzfristigen Effektivität sind politische Kontrollregelungen zur Gewährleistung nachhaltiger ITSicherheit deshalb mit Vorsicht zu genießen.
Prof. Dr. iur. Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht an der Fakultät für Elektrotechnik und Informatik der Hochschule Bremen (HSB), Legal Advisor im Competence Center Information Security und CERT des VDE, Vorstandsmitglied der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) sowie Geschäftsführer der Certavo-Beratungsgesellschaft in Bremen (https://denniskenjikipker.de/).
Literatur
[1] Achim Sawall, 1&1 startet sein Mobilfunknetz mit einer Halbwahrheit, golem.de, Februar 2023, https://glm.io/171285
[2] Dietmar Neuerer, Verfassungsschutz sieht HuaweiVerbindung zu Telekom und Bahn kritisch, Handelsblatt, März 2023, www.handelsblatt.com/29056118.html
[3] BSI, Zertifizierung nach NESAS CCS-GI, Das nationale Zertifizierungsschema für 5G Mobilfunkausrüstung, www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/Zertifizierung-von-Produkten/Zertifizierung-nach-NESAS/NESAS-CCS-GI_node.html
[4] Bundesnetzagentur (BNetzA), Katalog von Sicherheitsanforderungen gemäß § 167 TKG, April 2020, www.bundesnetzagentur.de/DE/Fachthemen/Telekommunikation/OeffentlicheSicherheit/KatalogSicherheitsanforderungen/Sicherheitsanforderungen-node.html
[5] Europäische Kommission, Cybersecurity of 5G networks – EU Toolbox of risk mitigating measures, Januar 2020, https://digital-strategy.ec.europa.eu/de/node/1215
[6] BSI, Sicherheit in TK-Infrastrukturen, Technische Richtlinie BSI TR-03163, Version 1.1, Dezember 2022,
www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/TechnischeRichtlinien/TR-nach-Thema-sortiert/tr03163/tr-03163.html
[7] Bundesnetzagentur (BNetzA), Allgemeinverfügung zur Festlegung der Umsetzungsfristen für den Einsatz kritischer Komponenten, Juni 2022, www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Anbieterpflichten/OeffentlicheSicherheit/KatalogSicherheitsanforderungen/Allgemeinverf%C3%BCgungFestlegungUmsetzungsfristenEinsatzKritischerKomponenten.html
[8] Deutscher Bundestag, Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme, BT-Drucksache 19/26106, Januar 2021, https://dserver.bundestag.de/btd/19/261/1926106.pdf
[9] Dennis-Kenji Kipker, Die „Sicherheitslücke“ im BSIG – Möglichkeiten und Grenzen der juristischen Auslegung eines Rechtsbegriffs, MMR – Zeitschrift für IT-Recht und Recht der Digitalisierung 2023/2, S. 93, Februar 2023,
https://beck-online.beck.de/?vpath=bibdata%2Fzeits%2FMMR%2F2023%2Fcont%2FMMR%2e2023%2eH02%2ehtm (kostenpflichtig)
[10] Dennis-Kenji Kipker, Philipp Reusch, Steve Ritter (Hrsg.), Recht der Informationssicherheit, Kommentar zu BSIG, EU Cybersecurity Act, DS-GVO, März 2023, C.H.BECK, ISBN 978-3-406-78339-5
[11] Bundesministerium des Innern, für Bau und Heimat, Allgemeinverfügung zu den gemäß § 9b Absatz 3 Satz 4 des BSI-Gesetzes festzulegenden Einzelheiten der Mindestanforderungen an die Garantieerklärung (Untersagung des Einsatzes kritischer Komponenten) für die Branche Telekommunikation, 7. Oktober 2021, in: Bundesanzeiger BAnz AT 12.11.2021 B1, November 2021, www.bundesanzeiger.de/pub/publication/ZDuNllQKNlMtm3us1vc/content/ZDuNllQKNlMtm3us1vc/BAnz%20AT%2012.11.2021%20B1.pdf