Umsetzungskonzept § 109 (5) TKG, Version 2.0

Mitteilung nach § 109 Absatz 5
Telekommunikationsgesetz
-UmsetzungskonzeptHerausgeber:
Bundesnetzagentur für Elektrizität, Gas,
Telekommunikation, Post und Eisenbahn
Stand: 27.07.2016
Version: 3.0
Seite
Inhaltverzeichnis
Einleitung
3
1
Verfahren
4
1.1
1.2
1.3
Verfahrensgrundsatz
Verfahrensablauf
Grafischer Verfahrensablauf
4
4
5
2
Definition mitteilungspflichtige Beeinträchtigung
6
3
Kriterien
7
3.1
Bewertungskriterien
3.1.1 Erläuterung und Bewertung
3.1.1.1 Betroffene Teilnehmerstunden
3.1.1.2 Auswirkung auf internationale Zusammenschaltungen (Interconnection)
3.1.1.3 Auswirkung auf Notruflenkung
7
7
7
8
8
4
Ursache der mitteilungspflichtigen Beeinträchtigung
8
5
Meldung der mitteilungspflichtigen Beeinträchtigung
8
5.1
5.1.1
5.1.2
5.2
5.3
Mitteilungsformen
Initiale Kurzmitteilung
Vollständige Mitteilung
Mitteilungswege
Vertraulichkeit der Mitteilung
9
9
9
9
10
6
Detaillierter Bericht
10
Seite 2 von 10
Einleitung
Durch das Telekommunikationsgesetz (TKG) vom 22.06.2004 (BGBl. I S. 1190) zuletzt geändert
durch Gesetz vom 19.02.2016 (BGBl. I S. 254) m.W.v. 26.02.2016 bzw. 01.04.2016 und im Speziellen durch § 109 Absatz 5 TKG erfolgt die Umsetzung des Absatzes 3 des Artikels 13 a (Sicherheit
und Integrität) über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und
-dienste der europäischen Richtlinie vom 07.03.2002 (2002/21/EG), veröffentlicht im Amtsblatt der
Europäischen Union L 108, Seite 33ff vom 24.04.2002 zuletzt geändert durch die Richtlinie vom
25.11.2009 (2009/140/EG), veröffentlicht im Amtsblatt der Europäischen Union L 337, Seite 37ff
vom 18.12.2009 in deutsches Recht.
Mit folgendem Umsetzungskonzept beschreibt die Bundesnetzagentur das nationale Verfahren zur
Mitteilung einer Beeinträchtigung von Telekommunikationsnetzen und -diensten gemäß § 109 Absatz 5 TKG. Damit soll sowohl das gegenseitige Verständnis der am Verfahren beteiligten Parteien
gefördert, als auch die praktische Umsetzung verdeutlicht werden.
Seite 3 von 10
1
Verfahren
Das Verfahren zur Mitteilung einer Beeinträchtigung von Telekommunikationsnetzen und -diensten
gemäß § 109 Absatz 5 Telekommunikationsgesetz (TKG) zwischen den Verpflichteten und der
Bundesnetzagentur ist offen und diskriminierungsfrei.
1.1
Verfahrensgrundsatz
Gemäß § 109 Absatz 5 TKG besteht für Betreiber öffentlich zugänglicher Telekommunikationsnetze
oder Erbringer öffentlich zugänglicher Telekommunikationsdienste die gesetzliche Verpflichtung, der
Bundesnetzagentur Beeinträchtigungen von Telekommunikationsnetzen und -diensten unverzüglich
mitzuteilen, sofern diese zu beträchtlichen Sicherheitsverletzungen führen oder führen können. Dies
schließt Störungen ein, die zu einer Einschränkung der Verfügbarkeit, der über diese Netze erbrachten Dienste oder einem unerlaubten Zugriff auf Telekommunikations- und Datenverarbeitungssysteme der Nutzer führen können.
Die Bestimmung des § 115 Absatz 1 Satz 2 TKG bleibt davon unberührt.
1.2
Verfahrensablauf
Bei einer Beeinträchtigung von Telekommunikationsnetzen und -diensten stellt der Verpflichtete mit
einer Bewertung in eigener Verantwortung fest, ob
diese Beeinträchtigung zu einer beträchtlichen Sicherheitsverletzung führt bzw. führen
kann.
Zur Bewertung sind die in Abschnitt 3 beschriebenen Kriterien heranzuziehen, wobei zu beachten
gilt, dass es dem Verpflichteten obliegt, weitere fallspezifische Kriterien zur Bewertung der Beeinträchtigung heranzuziehen, die nach seinem Ermessen eine Mitteilung nach § 109 Absatz 5 TKG
an die Bundesnetzagentur erforderlich macht.
Nach Feststellung, dass es sich bei der Beeinträchtigung um eine mitteilungspflichtige Beeinträchtigung handelt, teilt der Verpflichtete der Bundesnetzagentur diese unverzüglich mit. Es ist ausreichend, wenn die Mitteilung ohne schuldhaftes Zögern des mitteilenden Unternehmens grundsätzlich
während der üblichen Geschäftszeiten erfolgt.
Auf Grundlage der eingegangenen Mitteilung bewertet die Bundesnetzagentur diese und behält sich
vor, falls erforderlich, weitere Auskünfte einzuholen und in eigenem Ermessen eine Einstufung nach
§ 109 Absatz 5 TKG vorzunehmen. Das betroffene Unternehmen wird darüber in Kenntnis gesetzt.
Soweit es sich um eine mitteilungspflichtige Beeinträchtigung handelt, die die Informationstechnik
betrifft, leitet die Bundesnetzagentur die eingegangene Meldung sowie die Information zu den ergriffenen Abhilfemaßnahmen unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik
(BSI) weiter. Erforderlichenfalls unterrichtet die Bundesnetzagentur die nationalen Regulierungsbehörden (NRAs) der betroffenen Mitgliedsstaaten der Europäischen Union und die Europäische
Agentur für Netz- und Informationssicherheit (ENISA) über die Meldung. Die Bundesnetzagentur
kann die Öffentlichkeit unterrichten oder die Verpflichteten zu dieser Unterrichtung auffordern, wenn
sie zu dem Schluss gelangt, dass die Bekanntgabe der mitteilungspflichtigen Beeinträchtigung im
öffentlichen Interesse liegt. § 8d des BSI-Gesetzes gilt entsprechend. In allen in diesem Absatz angeführten Fällen wird die Bundesnetzagentur das betroffene Unternehmen vorab in Kenntnis setzen.
Die Bundesnetzagentur legt der Europäischen Kommission, der Europäischen Agentur für Netzund Informationssicherheit und dem Bundesamt für Sicherheit in der Informationstechnik einmal pro
Jahr einen zusammenfassenden Bericht über die eingegangenen Mitteilungen und die ergriffenen
Abhilfemaßnahmen vor.
Seite 4 von 10
1.3
Grafischer Verfahrensablauf
Umsetzungskonzept 3.0 – grafischer Verfahrensablauf
Unternehmen
Benachrichtigung
der Öffentlichkeit
Start
Erteilung weiterer
Auskünfte (u.a
Detaillierter Bericht)
Meldung der
mitteilungspflichtigen
Beeinträchtigung
Bewertung nach
Abschnitt 3
Umsetzungskonzept
Erstellung eines
zusammenfassenden
Jahresberichts
(anonymisiert)
Erfassungder
der
Erfassung
Erfassung
der
Meldung
Meldung
Meldung
BNetzA
Bewertung der
Meldung
Bei Betroffenheit
der IT
NRA‘s
Bei Erfordernis
Kenntnisnahme
Öffentlichkeit
BSI
Weiterverarbeitung der
Meldung
Kenntnisnahme
Kenntnisnahme
Kenntnisnahme
Kenntnisnahme
EU KOM
ENISA
Beeinträchtigung
Kenntnisnahme
Kenntnisnahme
Seite 5 von 10
2
Definition mitteilungspflichtige Beeinträchtigung
Mitteilungspflichtige Beeinträchtigung
Beeinträchtigung von Telekommunikationsnetzen und -diensten, die zu einer beträchtlichen Sicherheitsverletzung führt oder führen kann.
Beeinträchtigung von Telekommunikationsnetzen und -diensten
bedeutet, dass noch keine Auswirkung eingetreten sein muss, sondern schon ein potenzieller Einfluss auf die Sicherheit des Telekommunikationsnetzes oder -dienstes ermöglicht ist.
Beträchtliche Sicherheitsverletzung
Sicherheitsverletzung
bedeutet im Sinne des § 109 Absatz 5 TKG, dass die Sicherheit des Telekommunikationsnetzes
oder -dienstes durch die Verletzung der Vertraulichkeit1, Integrität2, Authentizität3 und/oder Einschränkung der Verfügbarkeit4 betroffen ist.
Beträchtliche
bedeutet, dass eines der Kriterien aus Abschnitt 3 zutrifft, wobei zu beachten gilt, dass es dem Verpflichteten obliegt, weitere fallspezifische Kriterien zur Bewertung der Beeinträchtigung heranzuziehen, die nach seinem Ermessen eine Mitteilung nach § 109 Absatz 5 TKG an die Bundesnetzagentur erforderlich macht.
1
Vertraulichkeit: „Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.“ (BSI ITGrundschutzkatalog, Abschnitt 4 Glossar und Begriffsdefinitionen)
2
Integrität: „Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf "Daten" angewendet wird, drückt er aus,
dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter
gefasst und auf "Informationen" angewendet. Der Begriff "Information" wird dabei für "Daten" verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstellung zugeordnet
werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden.“ (BSI ITGrundschutzkatalog, Abschnitt 4 Glossar und Begriffsdefinitionen)
3
Authentizität: „Mit dem Begriff Authentizität wird die Eigenschaft bezeichnet, die gewährleistet, dass ein
Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein“ (BSI IT-Grundschutzkatalog, Abschnitt
4 Glossar und Begriffsdefinitionen)
4
Verfügbarkeit: Die Verfügbarkeit von öffentlichen Telekommunikationsnetzen oder öffentlich zugänglichen
Telekommunikationsdiensten einschließlich Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzen
oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt
werden können. (vergl. BSI IT-Grundschutzkatalog, Abschnitt 4 Glossar und Begriffsdefinitionen)
Seite 6 von 10
3
Kriterien
Die aufgeführten Kriterien sind bei der Bewertung und Analyse einer Beeinträchtigung zu berücksichtigen. Mitteilungspflichtig ist die Beeinträchtigung, wenn diese zu einer beträchtlichen Sicherheitsverletzung führt oder führen kann. Bei entsprechender Ausprägung kann jedes Kriterium für
sich alleine bereits hinreichend für eine Einstufung einer mitteilungspflichtigen Beeinträchtigung
sein.
Diese sind angelehnt an die „Technical Guideline on Incident Reporting“ der ENISA in Version 2.1
vom Oktober 2014.
3.1
Bewertungskriterien
1. Betroffene Teilnehmerstunden
2. Auswirkung auf internationale Zusammenschaltungen (Interconnection)
3. Auswirkung auf Notruflenkung
Es obliegt dem Verpflichteten, weitere fallspezifische Kriterien zur Bewertung der Beeinträchtigung
heranzuziehen, die nach seinem Ermessen eine Mitteilung nach § 109 Absatz 5 TKG an die Bundesnetzagentur erforderlich machen.
3.1.1 Erläuterung und Bewertung
3.1.1.1 Betroffene Teilnehmerstunden
Produkt aus Anzahl der betroffenen Teilnehmer5 und der Dauer in Stunden.
Betroffene Teilnehmer:
Die Betroffenheit ist gegeben, wenn definitionsgemäß die Integrität, Vertraulichkeit, Authentizität
oder Verfügbarkeit des Telekommunikationsanschlusses (Festnetz/Mobil) und/oder des Telekommunikationsdienstes nicht gegeben ist.
Dauer:
Dabei handelt es sich um das Zeitintervall vom Eintritt bis zur Behebung (bzw. voraussichtlichen
Behebung) der Beeinträchtigung, wobei der Eintritt der Beeinträchtigung zeitlich durchaus auch vor
der Erkennung durch den Verpflichteten liegen kann.
Eine Sicherheitsverletzung ist beträchtlich, wenn bei dem Kriterium „Betroffene Teilnehmerstunden“ der Grenzwert von 1 Million überschritten wird.
5
"Teilnehmer" ist jede natürliche oder juristische Person, die mit einem Anbieter von öffentlich zugänglichen
Telekommunikationsdiensten einen Vertrag über die Erbringung derartiger Dienste geschlossen hat.
Seite 7 von 10
3.1.1.2 Auswirkung auf internationale Zusammenschaltungen (Interconnection)
Unter Zusammenschaltung wird der Zugang verstanden, der die physische und logische Verbindung öffentlicher Telekommunikationsnetze herstellt, um Teilnehmern eines Unternehmens die
Kommunikation mit Teilnehmern desselben oder eines anderen Unternehmens oder die Inanspruchnahme von Telekommunikationsdiensten eines anderen Unternehmens zu ermöglichen.
Der hier betrachtete Zugang beschränkt sich auf Zusammenschaltungspunkte mit internationaler
Zielrichtung.
Jegliche Sicherheitsverletzung zum Kriterium „Zusammenschaltungspunkte mit internationaler
Zielrichtung“ ist beträchtlich.
3.1.1.3 Auswirkung auf Notruflenkung
Bei diesem Kriterium geht es nicht um die Funktionalität eines Endgerätes sondern um:
 Hard- und/oder Software, die dediziert zur Notruflenkung benötigt wird
 Den Anschluss einer Notrufabfragestelle an ein Telekommunikationsnetz, der je nach technischer Ausgestaltung ausschließlich genutzt wird für die Entgegennahme
a) von Notrufverbindungen einschließlich der zugehörigen Daten oder
b) der den Notruf begleitenden Daten
Jegliche Sicherheitsverletzung zum Kriterium „Notruflenkung“ ist beträchtlich.
4
Ursache der mitteilungspflichtigen Beeinträchtigung
Aufgrund der Vielzahl von theoretisch möglichen Ursachen ist es praktisch unmöglich, diese in einer
allumfassenden Tabelle zu erfassen. Dennoch ist es für die Analyse, die Bewertung und zur Behebung der mitteilungspflichtigen Beeinträchtigung unerlässlich, die Ursache zu identifizieren und entsprechend zu benennen. Hierzu ist im Mitteilungsformular die Einordnung der Ursache in eine Kategorie vorzunehmen und der initiale Auslöser zu benennen.
5
Meldung der mitteilungspflichtigen Beeinträchtigung
Grundsätzlich hat der Verpflichtete nach Feststellung einer mitteilungspflichtigen Beeinträchtigung
der Bundesnetzagentur diese in Form einer vollständigen Mitteilung unverzüglich zu melden.
Ist dies nicht möglich, muss dennoch unverzüglich eine Meldung in Form einer initialen Kurzmitteilung erfolgen.
Seite 8 von 10
5.1
Mitteilungsformen
5.1.1 Initiale Kurzmitteilung
Die initiale Kurzmitteilung kann aus Zeitmangel oder auf Grund eines unvollständigen Informationsstands auf die bereits vorliegenden Informationen zur mitteilungspflichtigen Beeinträchtigung beschränkt werden. Mindestens jedoch sind folgende Angaben zu machen:






Kontaktdaten des Mitteilenden
Information darüber, was nach ersten Erkenntnissen vorgefallen ist
Eintritt der Beeinträchtigung(en) von Telekommunikationsnetzen und –diensten gem. § 109 Absatz 5 TKG (Datum und Zeit)
Erste Einschätzung der Auswirkungen (bezüglich Bewertungskriterien)
Mögliche Ursache(n)
Gegebenenfalls Angaben zu der betroffenen Informationstechnik (siehe hierzu auch entsprechende Kategorie im Abschnitt 7 des Meldeformulars)
Die zur vollständigen Mitteilung ausstehenden Angaben sind zu einem späteren Zeitpunkt nachzureichen. Hierzu sollte das Mitteilungsformular verwendet werden.
Die Kurzmitteilung kann per E-Mail oder Fax an die Bundesnetzagentur gerichtet werden. Details
hierzu sind in Abschnitt 5.2 Mitteilungswege nachzulesen.
5.1.2 Vollständige Mitteilung
Die vollständige Meldung der mitteilungspflichtigen Beeinträchtigung soll in Textform erfolgen. Hierzu sollte das Formblatt „Mitteilung nach § 109 Absatz 5 TKG" verwendet werden.
Das Formblatt zur „Mitteilung nach § 109 Absatz 5 TKG“ steht auf der Internetseite der Bundesnetzagentur zur Verfügung. Entsprechende Funktionen zum Ausdruck, Zurücksetzen, Speichern
und E-Mail-Versand des Formulars an die Bundesnetzagentur sind im Formblatt integriert.
Startseite Bundesnetzagentur->Telekommunikation->Unternehmen/Institutionen->Anbieterpflichten
->Öffentliche Sicherheit->Mitteilung nach § 109 Absatz 5 TKG
Falls das Formblatt „Mitteilung nach § 109 Absatz 5 TKG“ nicht verwendet wird, so sollte die Mitteilung inhaltlich dennoch der des Formblatts entsprechen.
Kommt es zu einer beträchtlichen Sicherheitsverletzung, kann die Bundesnetzagentur einen detaillierten Bericht über die Sicherheitsverletzung und die ergriffenen Abhilfemaßnahmen verlangen.
Details hierzu sind in Abschnitt 6 Detaillierter Bericht nachzulesen.
5.2
Mitteilungswege
Die Mitteilung sollte vorzugsweise
per E-Mail an
[email protected]
erfolgen (siehe hierzu auch Abschnitt 5.3).
Seite 9 von 10
Alternativ kann diese auch
per Post an die
Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
Referat IS17
An der Trift 40
66123 Saarbrücken
oder per Telefax an (06 81) 93 30-7 34
gesendet werden.
5.3
Vertraulichkeit der Mitteilung
Vorbehaltlich anderer gesetzlicher Vorschriften werden die näheren Umstände der Mitteilung, deren
Existenz und deren Inhalt von der Bundesnetzagentur vertraulich behandelt.
Der einmal pro Jahr zusammenzufassende Bericht über die eingegangenen Mitteilungen und die
ergriffenen Abhilfemaßnahmen wird von der Bundesnetzagentur in anonymisierter Form an die
Europäische Kommission, die Europäische Agentur für Netz- und Informationssicherheit und an
das Bundesamt für Sicherheit in der Informationstechnik versendet.
Bei Übermittlung per E-Mail durch den Verpflichteten an die unter Abschnitt 5.2. angegebene Adresse, wird von der Bundesnetzagentur empfohlen, ein sicheres Übermittlungsverfahren anzuwenden. Das von der Bundesnetzagentur hierzu bereitgestellte Verfahren ist auf der Internetseite der
Bundesnetzagentur im Bereich
Startseite Bundesnetzagentur->Telekommunikation->Unternehmen/Institutionen->Anbieterpflichten
->Öffentliche Sicherheit->Mitteilung nach § 109 Absatz 5 TKG
ersichtlich.
6
Detaillierter Bericht
Ergibt die Auswertung der vollständigen Mitteilung durch die Bundesnetzagentur, dass Aspekte der
beträchtlichen Sicherheitsverletzung genauer untersucht werden müssen, verlangt diese vom Verpflichteten einen detaillierten Bericht darüber, inklusive der ergriffenen Abhilfemaßnahme(n).
Seite 10 von 10

Download Report