Mitteilung nach 109 Abs. 5 Telekommunikationsgesetz. -Umsetzungskonzept-

Transkript

1 Mitteilung nach 109 Abs. 5 Telekommunikationsgesetz -Umsetzungskonzept- Herausgeber: Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahn Stand: Version: 4.0

2 Inhaltverzeichnis Seite Einleitung 3 1 Verfahren Pflichtadressat und Verfahrensgegenstand Verfahrensablauf 4 2 Begriff der mitteilungspflichtigen Beeinträchtigung 5 3 Kriterien Bewertungskriterien Erläuterung der Kriterien Betroffene Teilnehmerstunden Auswirkung auf internationale Zusammenschaltungen (Interconnection) Auswirkung auf Notruflenkung Außergewöhnliche IT-Störung 7 4 Ursache der mitteilungspflichtigen Beeinträchtigung 8 5 Meldung der mitteilungspflichtigen Beeinträchtigung Mitteilungsformen Initiale Kurzmitteilung Vollständige Mitteilung Mitteilungswege Vertraulichkeit der Mitteilung 9 6 Detaillierter Bericht 10 Seite 2 von 10

3 Einleitung Mit der TKG Novelle 2012 wurde 109 TKG a. F. ein neuer Abs. 5 angefügt. Die Ergänzung setzte Vorgaben aus der europäischen Richtlinie Bessere Regulierung (2009/140/EG) in nationales Recht um (BT-Drs. 17/5707, S. 83). Geschützt werden sollte mit der Neuerung die Integrität und Sicherheit öffentlicher Kommunikationsnetze. Zu deren Bedeutung für Wirtschaft und Gesellschaft führt Erwägungsgrund 44 der RL 2009/140/EG ausdrücklich aus: Die zuverlässige und sichere Kommunikation von Informationen über elektronische Kommunikationsnetze erlangt zunehmend zentrale Bedeutung für die Gesamtwirtschaft und die Gesellschaft im Allgemeinen. Die Systemkomplexität, technische Ausfälle, Bedienungsfehler, Unfälle und vorsätzliche Eingriffe können Auswirkungen auf die Funktion und die Verfügbarkeit der physischen Infrastruktur haben, die wichtige Dienste für die EU-Bürger, einschließlich elektronischer Behördendienste, bereitstellt. Die nationalen Regulierungsbehörden sollten daher sicherstellen, dass die Integrität und Sicherheit öffentlicher Kommunikationsnetze aufrechterhalten werden. Zur Schaffung einer ausreichenden Informationsgrundlage für die zuständigen Behörden wurde daher mit 109 Abs. 5 TKG a. F. eine Melde- und Informationspflicht eingeführt. Die Bundesnetzagentur sollte nach eigenem Ermessen die Öffentlichkeit sowie das Bundesamt für Sicherheit in der Informationstechnik, nationale Regulierungsbehörden anderer Mitgliedstaaten der Europäischen Union sowie die ENISA über Sicherheitsvorfälle informieren. Mit dem Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union vom (BGBl. I S. 1885) wurden die Meldemodalitäten des 109 Abs. 5 Satz 1 TKG a. F. weiter modifiziert. 109 Abs. 5 Satz 1 TKG in seiner ab gültigen Fassung lautet: (5) Wer ein öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt, hat der Bundesnetzagentur und dem Bundesamt für Sicherheit in der Informationstechnik unverzüglich Beeinträchtigungen von Telekommunikationsnetzen und -diensten mitzuteilen, die 1. zu beträchtlichen Sicherheitsverletzungen führen oder 2. zu beträchtlichen Sicherheitsverletzungen führen können. Mit dem folgendem Umsetzungskonzept beschreibt die Bundesnetzagentur das neue nationale Meldeverfahren. Seite 3 von 10

4 1 Verfahren Nachfolgend werden bezüglich der Mitteilung nach 109 Abs. 5 TKG der Verfahrensablauf, Pflichtadressat und Verfahrensgegenstand näher beschrieben. 1.1 Pflichtadressat und Verfahrensgegenstand Gemäß 109 Abs. 5 TKG besteht für Betreiber öffentlicher Telekommunikationsnetze oder Erbringer öffentlich zugänglicher Telekommunikationsdienste die gesetzliche Verpflichtung, der Bundesnetzagentur und dem Bundesamt für Sicherheit in der Informationstechnik Beeinträchtigungen von Telekommunikationsnetzen und -diensten unverzüglich mitzuteilen, sofern diese zu beträchtlichen Sicherheitsverletzungen führen oder führen können. Die Meldepflicht bezieht sich insofern auch auf das Vorfeld einer Beeinträchtigung (BT-Drs. 18/4096, S. 36). Sie schließt ferner Störungen ein, welche zu einer Einschränkung der Verfügbarkeit, der über diese Netze erbrachten Dienste oder einem unerlaubten Zugriff auf Telekommunikations- und Datenverarbeitungssysteme der Nutzer führen können. In Betracht kommen in diesem Zusammenhang z. B. auch Angriffe, welche die infrastrukturellen Einrichtungen des Angriffsopfers unbeeinträchtigt lassen. Die Pflicht zur Erteilung von Auskünften gegenüber der Bundesnetzagentur nach 115 Abs. 1 Satz 2 TKG bleibt hiervon unberührt. 1.2 Verfahrensablauf Bei einer Beeinträchtigung von Telekommunikationsnetzen und -diensten stellt der Verpflichtete mit einer Bewertung in eigener Verantwortung fest, ob diese Beeinträchtigung zu einer beträchtlichen Sicherheitsverletzung führt bzw. führen kann. Zur Bewertung sind die in Abschnitt 3 beschriebenen Kriterien heranzuziehen. Dem Verpflichteten obliegt es jedoch, weitere fallspezifische Kriterien zur Bewertung der Beeinträchtigung heranzuziehen, welche nach seinem Ermessen eine Mitteilung nach 109 Abs. 5 TKG an die Bundesnetzagentur und an das Bundesamt für Sicherheit in der Informationstechnik erforderlich macht. Nach Feststellung, dass es sich bei der Beeinträchtigung um eine mitteilungspflichtige Beeinträchtigung handelt, teilt der Verpflichtete der Bundesnetzagentur und dem Bundesamt für Sicherheit in der Informationstechnik diese unverzüglich (d. h. ohne schuldhaftes Zögern, vgl. 121 BGB) mit. Können im Rahmen dieser unverzüglichen Meldung noch nicht alle erforderlichen Angaben zur Beeinträchtigung eines Telekommunikationsnetzes oder-dienstes gemacht werden, ist eine initiale Kurzmitteilung gemäß als Erstmeldung vorzusehen. Im Zweifelsfall ist eine Mitteilung nachrangig gegenüber der Eindämmung der akuten Folgen der Beeinträchtigung eines Telekommunikationsnetzes oder-dienstes. Für die Erstmeldung gilt grundsätzlich Schnelligkeit vor Vollständigkeit. Auf Grundlage der eingegangenen Mitteilung bewertet die Bundesnetzagentur diese und behält sich vor, falls erforderlich, weitere Auskünfte einzuholen und in eigenem Ermessen eine Einstufung nach 109 Abs. 5 TKG vorzunehmen. Das betroffene Unternehmen wird darüber in Kenntnis gesetzt. Seite 4 von 10

5 2 Begriff der mitteilungspflichtigen Beeinträchtigung Beeinträchtigung von Telekommunikationsnetzen und -diensten bedeutet, dass noch keine Auswirkung eingetreten sein muss. Ausreichend ist schon ein potenzieller Einfluss auf die Sicherheit des Telekommunikationsnetzes oder des -dienstes. Die Beeinträchtigung hat somit auch Prognosecharakter. Mitteilungspflichtige Beeinträchtigung Die Mitteilungspflicht entsteht nicht bei jeder Beeinträchtigung. Erfasst werden sollen nur solche, die zu einer beträchtlichen Sicherheitsverletzung führen oder führen können. Die Beeinträchtigung muss somit ein gewisses Ausmaß haben. Beträchtliche Sicherheitsverletzung Eine Sicherheitsverletzung im Sinne des 109 Abs. 5 TKG liegt dann vor, wenn die Sicherheit des Telekommunikationsnetzes oder -dienstes durch die Verletzung der Vertraulichkeit 1, Integrität 2, Authentizität 3 und/oder eine Einschränkung der Verfügbarkeit 4 betroffen ist. Beträchtlich ist die Sicherheitsverletzung auf jeden Fall, wenn eines oder mehrere der Kriterien die in Abschnitt 3 näher erläutert sind, zutreffen. Dem Verpflichteten obliegt es jedoch weitere fallspezifische Kriterien zur Bewertung der Beeinträchtigung heranzuziehen, welche nach seinem Ermessen eine Mitteilung nach 109 Abs. 5 TKG an die Bundesnetzagentur und an das Bundesamt für Sicherheit in der Informationstechnik erforderlich machen. 1 Vertraulichkeit: Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein., vgl. BSI IT-Grundschutzkatalog, Abschnitt 4 Glossar und Begriffsdefinitionen. 2 Integrität: Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf "Daten" angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf "Informationen" angewendet. Der Begriff "Information" wird dabei für "Daten" verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden., s. o. Fn Authentizität: Mit dem Begriff Authentizität wird die Eigenschaft bezeichnet, die gewährleistet, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein., s. o. Fn Verfügbarkeit: Die Verfügbarkeit von öffentlichen Telekommunikationsnetzen oder öffentlich zugänglichen Telekommunikationsdiensten einschließlich Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzen oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können., s. o. Fn. 1. Seite 5 von 10

6 3 Kriterien Der Begriff der Beträchtlichkeit ist im TKG nicht legal definiert. Es wird jedoch davon ausgegangen, dass Ausfalldauer (Dauer des Verlustes der Verfügbarkeit), Wirkbreite (Anzahl der betroffenen Nutzer) sowie Art und Bedeutung (z. B. Notrufeinrichtungen) bei der Bewertung eine Rolle spielen können (Eckhardt in Beck scher TKG-Kommentar, 4. Auflage 2013, 109 Rn 72). Die Bundesnetzagentur empfiehlt, die Sicherheitsverletzung anhand von Kriterien des Technical Guideline on Incident Reporting der ENISA in Version 2.1 vom Oktober 2014 vorzunehmen. Beträchtlich und damit mitteilungspflichtig ist die mögliche Sicherheitsverletzung u. a. dann, wenn eins der nachfolgenden Kriterien in hinreichendem Maß erfüllt ist. 3.1 Bewertungskriterien 1. Betroffene Teilnehmerstunden 2. Auswirkung auf internationale Zusammenschaltungen (Interconnection) 3. Auswirkung auf Notruflenkung 4. Außergewöhnliche IT-Störung Dem Verpflichteten bleibt es jedoch grundsätzlich unbenommen, weitere fallspezifische Kriterien zur Bewertung der Sicherheitsverletzung heranzuziehen Erläuterung der Kriterien Zur differenzierten Betrachtung ist es notwendig die Bewertungskriterien entsprechend zu erläutern Betroffene Teilnehmerstunden Produkt aus Anzahl der betroffenen Teilnehmer 5 und der Dauer in Stunden. Eine Sicherheitsverletzung ist beträchtlich, wenn bei dem Kriterium Betroffene Teilnehmerstunden der Grenzwert von 1 Million überschritten wird. 5 "Teilnehmer" ist jede natürliche oder juristische Person, die mit einem Anbieter von öffentlich zugänglichen Telekommunikationsdiensten einen Vertrag über die Erbringung derartiger Dienste geschlossen hat. Seite 6 von 10

7 Auswirkung auf internationale Zusammenschaltungen (Interconnection) Unter Zusammenschaltung wird der Zugang verstanden, der die physische und logische Verbindung öffentlicher Telekommunikationsnetze herstellt, um Teilnehmern eines Unternehmens die Kommunikation mit Teilnehmern desselben oder eines anderen Unternehmens oder die Inanspruchnahme von Telekommunikationsdiensten eines anderen Unternehmens zu ermöglichen. Der hier betrachtete Zugang beschränkt sich auf Zusammenschaltungspunkte mit internationaler Ausprägung. Jegliche Sicherheitsverletzung zum Kriterium Zusammenschaltungspunkte mit internationaler Ausprägung ist beträchtlich Auswirkung auf Notruflenkung Bei diesem Kriterium geht es nicht um die Funktionalität eines Telekommunikations- und Datenverarbeitungssystems der Nutzer sondern um: Hard- und/oder Software, die dediziert zur Notruflenkung benötigt wird Den Anschluss einer Notrufabfragestelle an ein Telekommunikationsnetz, der je nach technischer Ausgestaltung ausschließlich genutzt wird für die Entgegennahme a) von Notrufverbindungen einschließlich der zugehörigen Daten oder b) der den Notruf begleitenden Daten Jegliche Sicherheitsverletzung zum Kriterium Notruflenkung ist beträchtlich Außergewöhnliche IT-Störung Betreiber öffentlicher Telekommunikationsnetze oder Erbringer öffentlich zugänglicher Telekommunikationsdienste, welche unter die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz vom (Anhang 4) fallen, müssen dann eine Mitteilung abgeben, wenn die Ursache der Beeinträchtigung außergewöhnlich oder zum Zeitpunkt der Meldung nicht nachvollziehbar ist und die Beeinträchtigung nicht mehr im Rahmen des Tagesgeschäfts durch übliche Maßnahmen bewältigt werden kann (es müssen ggf. zusätzliche deutlich erhöhte Ressourcen eingesetzt werden). Eine Ursache ist außergewöhnlich, wenn sie (z. B. als Folge von Softwareupdates oder Systemfehlern) zu einer unerwarteten Beeinträchtigung führt oder auf einen nicht alltäglichen technischen Angriff zurückzuführen ist (z. B. ungewöhnlicher (D)DoS-Angriff aufgrund der Bandbreite bzw. Vorgehensweise oder Ausnutzung einer neuen, bisher nicht veröffentlichten Sicherheitslücke). Jegliche Sicherheitsverletzung zum Kriterium außergewöhnliche IT-Störung ist beträchtlich. Seite 7 von 10

8 4 Ursache der mitteilungspflichtigen Beeinträchtigung Aufgrund der Vielzahl von theoretisch möglichen Ursachen ist es praktisch unmöglich, diese in einer allumfassenden Tabelle abzubilden. Dennoch ist es für die Analyse, die Bewertung und zur Behebung der mitteilungspflichtigen Beeinträchtigung unerlässlich, die Ursache zu identifizieren und entsprechend darzulegen. Hierzu ist im Mitteilungsformular die Einordnung der Ursache in eine Kategorie vorzunehmen und der initiale Auslöser zu benennen. 5 Meldung der mitteilungspflichtigen Beeinträchtigung Grundsätzlich hat der Verpflichtete nach Feststellung einer mitteilungspflichtigen Beeinträchtigung der Bundesnetzagentur und dem Bundesamt für Sicherheit in der Informationstechnik diese in Form einer vollständigen Mitteilung unverzüglich zu melden. Ist dies nicht möglich, muss dennoch unverzüglich eine Meldung in Form einer initialen Kurzmitteilung erfolgen. 5.1 Mitteilungsformen Hinsichtlich der möglichen Mitteilungsformen wird zwischen "Initiale Kurzmitteilung" und "Vollständiger Mitteilung" unterschieden Initiale Kurzmitteilung Die initiale Kurzmitteilung kann aus Zeitmangel oder auf Grund eines unvollständigen Informationsstands auf die bereits vorliegenden Informationen zur mitteilungspflichtigen Beeinträchtigung beschränkt werden. Mindestens jedoch sind folgende Angaben zu machen: Kontaktdaten des Mitteilenden Information darüber, was nach ersten Erkenntnissen vorgefallen ist Eintritt der Beeinträchtigung(en) von Telekommunikationsnetzen und -diensten gem. 109 Abs. 5 TKG (Datum und Zeit) Erste Einschätzung der Auswirkungen (bezüglich Bewertungskriterien) Mögliche Ursache(n) Die zur vollständigen Mitteilung ausstehenden Angaben sind zu einem späteren Zeitpunkt nachzureichen. Hierzu sollte das Mitteilungsformular verwendet werden. Die Kurzmitteilung kann per oder Fax an die Bundesnetzagentur und an das Bundesamt für Sicherheit in der Informationstechnik gerichtet werden. Details hierzu sind in Abschnitt 5.2 Mitteilungswege nachzulesen Vollständige Mitteilung Die vollständige Meldung der mitteilungspflichtigen Beeinträchtigung soll in Textform erfolgen. Hierzu sollte das Formblatt Mitteilung nach 109 Abs. 5 TKG" verwendet werden. Das Formblatt zur Mitteilung nach 109 Abs. 5 TKG steht auf der Internetseite der Bundesnetzagentur zur Verfügung. Entsprechende Funktionen zum Ausfüllen, Ausdruck, Zurücksetzen, Speichern und -Versand des Formulars an die Bundesnetzagentur sind im Formblatt integriert. Falls das Formblatt Mitteilung nach 109 Abs. 5 TKG nicht verwendet wird, so sollte die Mitteilung inhaltlich dennoch der des Formblatts entsprechen. Seite 8 von 10

9 Kommt es zu einer beträchtlichen Sicherheitsverletzung, kann die Bundesnetzagentur einen detaillierten Bericht über die Sicherheitsverletzung und die ergriffenen Abhilfemaßnahmen verlangen. Details hierzu sind in Abschnitt 6, Detaillierter Bericht nachzulesen. 5.2 Mitteilungswege Die Mitteilung sollte unverzüglich und damit auch schnellst möglichst erfolgen. Es bietet sich daher an, die Mitteilung per an oder per Telefax an (0681) zu übersenden, (siehe hierzu auch Abschnitt 5.3). Nachlieferungen oder Anlagen können ggf. per Post an die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen Referat IS17 An der Trift Saarbrücken gesendet werden. Die Mitteilung ist ebenso unverzüglich auch an das Bundesamt für Sicherheit in der Informationstechnik zu richten: Mitteilungswege des Bundesamtes für Sicherheit in der Informationstechnik sind per oder per Telefax: (0228) Vertraulichkeit der Mitteilung Vorbehaltlich anderer gesetzlicher Vorschriften werden die näheren Umstände der Mitteilung, deren Existenz und deren Inhalt, von der Bundesnetzagentur vertraulich behandelt. Bei Übermittlung einer Mitteilung per durch den Verpflichteten an die unter Abschnitt 5.2. angegebene Adresse, wird von der Bundesnetzagentur empfohlen ein sicheres Übermittlungsverfahren anzuwenden. Das von der Bundesnetzagentur hierzu bereitgestellte Verfahren ist auf der Internetseite der Bundesnetzagentur unter folgendem Link ersichtlich: Zur elektronischen Übermittlung von Sicherheitsverletzungen stellt die Bundesnetzagentur und das Bundesamt für Sicherheit in der Informationstechnik einen öffentlichen PGP-Schlüssel zur Verfügung, um die Nachricht als verschlüsselt zu übertragen. Der öffentliche PGP-Schlüssel der Bundesnetzagentur wird unter folgendem Link als Textdatei zum Download bereitgestellt: Seite 9 von 10

10 Der öffentliche PGP-Schlüssel des Bundesamts für Sicherheit in der Informationstechnik wird unter folgendem Link als Textdatei zum Download bereitgestellt: Der Jahresbericht über die eingegangenen Mitteilungen und die ergriffenen Abhilfemaßnahmen wird von der Bundesnetzagentur in anonymisierter Form an die Europäische Kommission, die Europäische Agentur für Netz- und Informationssicherheit und an das Bundesamt für Sicherheit in der Informationstechnik versendet. 6 Detaillierter Bericht Ergibt die Auswertung der Mitteilung durch die Bundesnetzagentur, dass Aspekte der beträchtlichen Sicherheitsverletzung genauer untersucht werden müssen, verlangt diese vom Verpflichteten einen detaillierten Bericht, inklusive der ergriffenen Abhilfemaßnahmen. Seite 10 von 10