Mitteilung nach § 109 Absatz 5 Telekommunikationsgesetz -UmsetzungskonzeptHerausgeber: Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahn Stand: 27.07.2016 Version: 3.0 Seite Inhaltverzeichnis Einleitung 3 1 Verfahren 4 1.1 1.2 1.3 Verfahrensgrundsatz Verfahrensablauf Grafischer Verfahrensablauf 4 4 5 2 Definition mitteilungspflichtige Beeinträchtigung 6 3 Kriterien 7 3.1 Bewertungskriterien 3.1.1 Erläuterung und Bewertung 3.1.1.1 Betroffene Teilnehmerstunden 3.1.1.2 Auswirkung auf internationale Zusammenschaltungen (Interconnection) 3.1.1.3 Auswirkung auf Notruflenkung 7 7 7 8 8 4 Ursache der mitteilungspflichtigen Beeinträchtigung 8 5 Meldung der mitteilungspflichtigen Beeinträchtigung 8 5.1 5.1.1 5.1.2 5.2 5.3 Mitteilungsformen Initiale Kurzmitteilung Vollständige Mitteilung Mitteilungswege Vertraulichkeit der Mitteilung 9 9 9 9 10 6 Detaillierter Bericht 10 Seite 2 von 10 Einleitung Durch das Telekommunikationsgesetz (TKG) vom 22.06.2004 (BGBl. I S. 1190) zuletzt geändert durch Gesetz vom 19.02.2016 (BGBl. I S. 254) m.W.v. 26.02.2016 bzw. 01.04.2016 und im Speziellen durch § 109 Absatz 5 TKG erfolgt die Umsetzung des Absatzes 3 des Artikels 13 a (Sicherheit und Integrität) über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste der europäischen Richtlinie vom 07.03.2002 (2002/21/EG), veröffentlicht im Amtsblatt der Europäischen Union L 108, Seite 33ff vom 24.04.2002 zuletzt geändert durch die Richtlinie vom 25.11.2009 (2009/140/EG), veröffentlicht im Amtsblatt der Europäischen Union L 337, Seite 37ff vom 18.12.2009 in deutsches Recht. Mit folgendem Umsetzungskonzept beschreibt die Bundesnetzagentur das nationale Verfahren zur Mitteilung einer Beeinträchtigung von Telekommunikationsnetzen und -diensten gemäß § 109 Absatz 5 TKG. Damit soll sowohl das gegenseitige Verständnis der am Verfahren beteiligten Parteien gefördert, als auch die praktische Umsetzung verdeutlicht werden. Seite 3 von 10 1 Verfahren Das Verfahren zur Mitteilung einer Beeinträchtigung von Telekommunikationsnetzen und -diensten gemäß § 109 Absatz 5 Telekommunikationsgesetz (TKG) zwischen den Verpflichteten und der Bundesnetzagentur ist offen und diskriminierungsfrei. 1.1 Verfahrensgrundsatz Gemäß § 109 Absatz 5 TKG besteht für Betreiber öffentlich zugänglicher Telekommunikationsnetze oder Erbringer öffentlich zugänglicher Telekommunikationsdienste die gesetzliche Verpflichtung, der Bundesnetzagentur Beeinträchtigungen von Telekommunikationsnetzen und -diensten unverzüglich mitzuteilen, sofern diese zu beträchtlichen Sicherheitsverletzungen führen oder führen können. Dies schließt Störungen ein, die zu einer Einschränkung der Verfügbarkeit, der über diese Netze erbrachten Dienste oder einem unerlaubten Zugriff auf Telekommunikations- und Datenverarbeitungssysteme der Nutzer führen können. Die Bestimmung des § 115 Absatz 1 Satz 2 TKG bleibt davon unberührt. 1.2 Verfahrensablauf Bei einer Beeinträchtigung von Telekommunikationsnetzen und -diensten stellt der Verpflichtete mit einer Bewertung in eigener Verantwortung fest, ob diese Beeinträchtigung zu einer beträchtlichen Sicherheitsverletzung führt bzw. führen kann. Zur Bewertung sind die in Abschnitt 3 beschriebenen Kriterien heranzuziehen, wobei zu beachten gilt, dass es dem Verpflichteten obliegt, weitere fallspezifische Kriterien zur Bewertung der Beeinträchtigung heranzuziehen, die nach seinem Ermessen eine Mitteilung nach § 109 Absatz 5 TKG an die Bundesnetzagentur erforderlich macht. Nach Feststellung, dass es sich bei der Beeinträchtigung um eine mitteilungspflichtige Beeinträchtigung handelt, teilt der Verpflichtete der Bundesnetzagentur diese unverzüglich mit. Es ist ausreichend, wenn die Mitteilung ohne schuldhaftes Zögern des mitteilenden Unternehmens grundsätzlich während der üblichen Geschäftszeiten erfolgt. Auf Grundlage der eingegangenen Mitteilung bewertet die Bundesnetzagentur diese und behält sich vor, falls erforderlich, weitere Auskünfte einzuholen und in eigenem Ermessen eine Einstufung nach § 109 Absatz 5 TKG vorzunehmen. Das betroffene Unternehmen wird darüber in Kenntnis gesetzt. Soweit es sich um eine mitteilungspflichtige Beeinträchtigung handelt, die die Informationstechnik betrifft, leitet die Bundesnetzagentur die eingegangene Meldung sowie die Information zu den ergriffenen Abhilfemaßnahmen unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) weiter. Erforderlichenfalls unterrichtet die Bundesnetzagentur die nationalen Regulierungsbehörden (NRAs) der betroffenen Mitgliedsstaaten der Europäischen Union und die Europäische Agentur für Netz- und Informationssicherheit (ENISA) über die Meldung. Die Bundesnetzagentur kann die Öffentlichkeit unterrichten oder die Verpflichteten zu dieser Unterrichtung auffordern, wenn sie zu dem Schluss gelangt, dass die Bekanntgabe der mitteilungspflichtigen Beeinträchtigung im öffentlichen Interesse liegt. § 8d des BSI-Gesetzes gilt entsprechend. In allen in diesem Absatz angeführten Fällen wird die Bundesnetzagentur das betroffene Unternehmen vorab in Kenntnis setzen. Die Bundesnetzagentur legt der Europäischen Kommission, der Europäischen Agentur für Netzund Informationssicherheit und dem Bundesamt für Sicherheit in der Informationstechnik einmal pro Jahr einen zusammenfassenden Bericht über die eingegangenen Mitteilungen und die ergriffenen Abhilfemaßnahmen vor. Seite 4 von 10 1.3 Grafischer Verfahrensablauf Umsetzungskonzept 3.0 – grafischer Verfahrensablauf Unternehmen Benachrichtigung der Öffentlichkeit Start Erteilung weiterer Auskünfte (u.a Detaillierter Bericht) Meldung der mitteilungspflichtigen Beeinträchtigung Bewertung nach Abschnitt 3 Umsetzungskonzept Erstellung eines zusammenfassenden Jahresberichts (anonymisiert) Erfassungder der Erfassung Erfassung der Meldung Meldung Meldung BNetzA Bewertung der Meldung Bei Betroffenheit der IT NRA‘s Bei Erfordernis Kenntnisnahme Öffentlichkeit BSI Weiterverarbeitung der Meldung Kenntnisnahme Kenntnisnahme Kenntnisnahme Kenntnisnahme EU KOM ENISA Beeinträchtigung Kenntnisnahme Kenntnisnahme Seite 5 von 10 2 Definition mitteilungspflichtige Beeinträchtigung Mitteilungspflichtige Beeinträchtigung Beeinträchtigung von Telekommunikationsnetzen und -diensten, die zu einer beträchtlichen Sicherheitsverletzung führt oder führen kann. Beeinträchtigung von Telekommunikationsnetzen und -diensten bedeutet, dass noch keine Auswirkung eingetreten sein muss, sondern schon ein potenzieller Einfluss auf die Sicherheit des Telekommunikationsnetzes oder -dienstes ermöglicht ist. Beträchtliche Sicherheitsverletzung Sicherheitsverletzung bedeutet im Sinne des § 109 Absatz 5 TKG, dass die Sicherheit des Telekommunikationsnetzes oder -dienstes durch die Verletzung der Vertraulichkeit1, Integrität2, Authentizität3 und/oder Einschränkung der Verfügbarkeit4 betroffen ist. Beträchtliche bedeutet, dass eines der Kriterien aus Abschnitt 3 zutrifft, wobei zu beachten gilt, dass es dem Verpflichteten obliegt, weitere fallspezifische Kriterien zur Bewertung der Beeinträchtigung heranzuziehen, die nach seinem Ermessen eine Mitteilung nach § 109 Absatz 5 TKG an die Bundesnetzagentur erforderlich macht. 1 Vertraulichkeit: „Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.“ (BSI ITGrundschutzkatalog, Abschnitt 4 Glossar und Begriffsdefinitionen) 2 Integrität: „Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf "Daten" angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf "Informationen" angewendet. Der Begriff "Information" wird dabei für "Daten" verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden.“ (BSI ITGrundschutzkatalog, Abschnitt 4 Glossar und Begriffsdefinitionen) 3 Authentizität: „Mit dem Begriff Authentizität wird die Eigenschaft bezeichnet, die gewährleistet, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein“ (BSI IT-Grundschutzkatalog, Abschnitt 4 Glossar und Begriffsdefinitionen) 4 Verfügbarkeit: Die Verfügbarkeit von öffentlichen Telekommunikationsnetzen oder öffentlich zugänglichen Telekommunikationsdiensten einschließlich Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzen oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können. (vergl. BSI IT-Grundschutzkatalog, Abschnitt 4 Glossar und Begriffsdefinitionen) Seite 6 von 10 3 Kriterien Die aufgeführten Kriterien sind bei der Bewertung und Analyse einer Beeinträchtigung zu berücksichtigen. Mitteilungspflichtig ist die Beeinträchtigung, wenn diese zu einer beträchtlichen Sicherheitsverletzung führt oder führen kann. Bei entsprechender Ausprägung kann jedes Kriterium für sich alleine bereits hinreichend für eine Einstufung einer mitteilungspflichtigen Beeinträchtigung sein. Diese sind angelehnt an die „Technical Guideline on Incident Reporting“ der ENISA in Version 2.1 vom Oktober 2014. 3.1 Bewertungskriterien 1. Betroffene Teilnehmerstunden 2. Auswirkung auf internationale Zusammenschaltungen (Interconnection) 3. Auswirkung auf Notruflenkung Es obliegt dem Verpflichteten, weitere fallspezifische Kriterien zur Bewertung der Beeinträchtigung heranzuziehen, die nach seinem Ermessen eine Mitteilung nach § 109 Absatz 5 TKG an die Bundesnetzagentur erforderlich machen. 3.1.1 Erläuterung und Bewertung 3.1.1.1 Betroffene Teilnehmerstunden Produkt aus Anzahl der betroffenen Teilnehmer5 und der Dauer in Stunden. Betroffene Teilnehmer: Die Betroffenheit ist gegeben, wenn definitionsgemäß die Integrität, Vertraulichkeit, Authentizität oder Verfügbarkeit des Telekommunikationsanschlusses (Festnetz/Mobil) und/oder des Telekommunikationsdienstes nicht gegeben ist. Dauer: Dabei handelt es sich um das Zeitintervall vom Eintritt bis zur Behebung (bzw. voraussichtlichen Behebung) der Beeinträchtigung, wobei der Eintritt der Beeinträchtigung zeitlich durchaus auch vor der Erkennung durch den Verpflichteten liegen kann. Eine Sicherheitsverletzung ist beträchtlich, wenn bei dem Kriterium „Betroffene Teilnehmerstunden“ der Grenzwert von 1 Million überschritten wird. 5 "Teilnehmer" ist jede natürliche oder juristische Person, die mit einem Anbieter von öffentlich zugänglichen Telekommunikationsdiensten einen Vertrag über die Erbringung derartiger Dienste geschlossen hat. Seite 7 von 10 3.1.1.2 Auswirkung auf internationale Zusammenschaltungen (Interconnection) Unter Zusammenschaltung wird der Zugang verstanden, der die physische und logische Verbindung öffentlicher Telekommunikationsnetze herstellt, um Teilnehmern eines Unternehmens die Kommunikation mit Teilnehmern desselben oder eines anderen Unternehmens oder die Inanspruchnahme von Telekommunikationsdiensten eines anderen Unternehmens zu ermöglichen. Der hier betrachtete Zugang beschränkt sich auf Zusammenschaltungspunkte mit internationaler Zielrichtung. Jegliche Sicherheitsverletzung zum Kriterium „Zusammenschaltungspunkte mit internationaler Zielrichtung“ ist beträchtlich. 3.1.1.3 Auswirkung auf Notruflenkung Bei diesem Kriterium geht es nicht um die Funktionalität eines Endgerätes sondern um: Hard- und/oder Software, die dediziert zur Notruflenkung benötigt wird Den Anschluss einer Notrufabfragestelle an ein Telekommunikationsnetz, der je nach technischer Ausgestaltung ausschließlich genutzt wird für die Entgegennahme a) von Notrufverbindungen einschließlich der zugehörigen Daten oder b) der den Notruf begleitenden Daten Jegliche Sicherheitsverletzung zum Kriterium „Notruflenkung“ ist beträchtlich. 4 Ursache der mitteilungspflichtigen Beeinträchtigung Aufgrund der Vielzahl von theoretisch möglichen Ursachen ist es praktisch unmöglich, diese in einer allumfassenden Tabelle zu erfassen. Dennoch ist es für die Analyse, die Bewertung und zur Behebung der mitteilungspflichtigen Beeinträchtigung unerlässlich, die Ursache zu identifizieren und entsprechend zu benennen. Hierzu ist im Mitteilungsformular die Einordnung der Ursache in eine Kategorie vorzunehmen und der initiale Auslöser zu benennen. 5 Meldung der mitteilungspflichtigen Beeinträchtigung Grundsätzlich hat der Verpflichtete nach Feststellung einer mitteilungspflichtigen Beeinträchtigung der Bundesnetzagentur diese in Form einer vollständigen Mitteilung unverzüglich zu melden. Ist dies nicht möglich, muss dennoch unverzüglich eine Meldung in Form einer initialen Kurzmitteilung erfolgen. Seite 8 von 10 5.1 Mitteilungsformen 5.1.1 Initiale Kurzmitteilung Die initiale Kurzmitteilung kann aus Zeitmangel oder auf Grund eines unvollständigen Informationsstands auf die bereits vorliegenden Informationen zur mitteilungspflichtigen Beeinträchtigung beschränkt werden. Mindestens jedoch sind folgende Angaben zu machen: Kontaktdaten des Mitteilenden Information darüber, was nach ersten Erkenntnissen vorgefallen ist Eintritt der Beeinträchtigung(en) von Telekommunikationsnetzen und –diensten gem. § 109 Absatz 5 TKG (Datum und Zeit) Erste Einschätzung der Auswirkungen (bezüglich Bewertungskriterien) Mögliche Ursache(n) Gegebenenfalls Angaben zu der betroffenen Informationstechnik (siehe hierzu auch entsprechende Kategorie im Abschnitt 7 des Meldeformulars) Die zur vollständigen Mitteilung ausstehenden Angaben sind zu einem späteren Zeitpunkt nachzureichen. Hierzu sollte das Mitteilungsformular verwendet werden. Die Kurzmitteilung kann per E-Mail oder Fax an die Bundesnetzagentur gerichtet werden. Details hierzu sind in Abschnitt 5.2 Mitteilungswege nachzulesen. 5.1.2 Vollständige Mitteilung Die vollständige Meldung der mitteilungspflichtigen Beeinträchtigung soll in Textform erfolgen. Hierzu sollte das Formblatt „Mitteilung nach § 109 Absatz 5 TKG" verwendet werden. Das Formblatt zur „Mitteilung nach § 109 Absatz 5 TKG“ steht auf der Internetseite der Bundesnetzagentur zur Verfügung. Entsprechende Funktionen zum Ausdruck, Zurücksetzen, Speichern und E-Mail-Versand des Formulars an die Bundesnetzagentur sind im Formblatt integriert. Startseite Bundesnetzagentur->Telekommunikation->Unternehmen/Institutionen->Anbieterpflichten ->Öffentliche Sicherheit->Mitteilung nach § 109 Absatz 5 TKG Falls das Formblatt „Mitteilung nach § 109 Absatz 5 TKG“ nicht verwendet wird, so sollte die Mitteilung inhaltlich dennoch der des Formblatts entsprechen. Kommt es zu einer beträchtlichen Sicherheitsverletzung, kann die Bundesnetzagentur einen detaillierten Bericht über die Sicherheitsverletzung und die ergriffenen Abhilfemaßnahmen verlangen. Details hierzu sind in Abschnitt 6 Detaillierter Bericht nachzulesen. 5.2 Mitteilungswege Die Mitteilung sollte vorzugsweise per E-Mail an [email protected] erfolgen (siehe hierzu auch Abschnitt 5.3). Seite 9 von 10 Alternativ kann diese auch per Post an die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen Referat IS17 An der Trift 40 66123 Saarbrücken oder per Telefax an (06 81) 93 30-7 34 gesendet werden. 5.3 Vertraulichkeit der Mitteilung Vorbehaltlich anderer gesetzlicher Vorschriften werden die näheren Umstände der Mitteilung, deren Existenz und deren Inhalt von der Bundesnetzagentur vertraulich behandelt. Der einmal pro Jahr zusammenzufassende Bericht über die eingegangenen Mitteilungen und die ergriffenen Abhilfemaßnahmen wird von der Bundesnetzagentur in anonymisierter Form an die Europäische Kommission, die Europäische Agentur für Netz- und Informationssicherheit und an das Bundesamt für Sicherheit in der Informationstechnik versendet. Bei Übermittlung per E-Mail durch den Verpflichteten an die unter Abschnitt 5.2. angegebene Adresse, wird von der Bundesnetzagentur empfohlen, ein sicheres Übermittlungsverfahren anzuwenden. Das von der Bundesnetzagentur hierzu bereitgestellte Verfahren ist auf der Internetseite der Bundesnetzagentur im Bereich Startseite Bundesnetzagentur->Telekommunikation->Unternehmen/Institutionen->Anbieterpflichten ->Öffentliche Sicherheit->Mitteilung nach § 109 Absatz 5 TKG ersichtlich. 6 Detaillierter Bericht Ergibt die Auswertung der vollständigen Mitteilung durch die Bundesnetzagentur, dass Aspekte der beträchtlichen Sicherheitsverletzung genauer untersucht werden müssen, verlangt diese vom Verpflichteten einen detaillierten Bericht darüber, inklusive der ergriffenen Abhilfemaßnahme(n). Seite 10 von 10
© Copyright 2024 ExpyDoc