Umsetzungskonzept § 109 (5) TKG: Mitteilung Sicherheitsverletzung ...

Weitere Magazine

Empfehlungen

Info

EINLEITUNG Im folgenden Umsetzungskonzept wird das Verfahren zur Mitteilung von Sicherheitsverletzungen zwischen den zur Mitteilung Verpflichteten und der Bundesnetzagentur beschrieben. Grundlage hierzu ist das Telekommunikationsgesetz (TKG) vom 3. Mai 2012. 1 Verfahren Das Verfahren zur Mitteilung einer Sicherheitsverletzung zwischen den Verpflichteten und der Bundesnetzagentur ist offen und diskriminierungsfrei. 1.1 Verfahrensgrundsatz Im Sinne des § 109 Absatz 5 TKG ist eine Sicherheitsverletzung einschließlich Störungen von Telekommunikationsnetzen oder –diensten (nachfolgend als Sicherheitsverletzung bezeichnet) unverzüglich mitzuteilen, sofern hierdurch beträchtliche Auswirkungen auf den Betrieb der öffentlichen Telekommunikationsnetze oder das Erbringen von öffentlich zugänglichen Telekommunikationsdiensten entstehen. Die Bestimmung des § 115 Absatz 1 Satz 2 TKG bleibt davon unberührt. 1.2 Verfahrensablauf Nach dem Erkennen eines sicherheits- oder störungsrelevanten Vorfalls stellt der Verpflichtete mit einer Bewertung in eigener Verantwortung fest, ob es sich um eine Sicherheitsverletzung im Sinne von § 109 Absatz 5 TKG handelt, durch die beträchtliche Auswirkungen auf den Betrieb der Telekommunikationsnetze oder das Erbringen von Telekommunikationsdiensten entstehen. Nach Ansicht der Bundesnetzagentur hat eine Sicherheitsverletzung eindeutig beträchtliche Auswirkungen, wenn bei dem Kriterium „Betroffene Nutzerstunden“ der Grenzwert von 3 Millionen überschritten wird. Unabhängig von diesem Kriterium, das die Zeit der sicherheitsrelevanten Beeinflussung und die Zahl beeinträchtigter Anschlüsse und/oder Teilnehmer multiplikativ verknüpft, gibt es weitere Kriterien, nach denen jeweils exklusiv eine Sicherheitsverletzung nach § 109 Absatz 5 TKG vorliegen kann. Nähere Ausführungen hierzu finden sich im Abschnitt 3. Beim Vorliegen der genannten Voraussetzungen teilt der Verpflichtete der Bundesnetzagentur die Sicherheitsverletzung unverzüglich mit. Es ist ausreichend, wenn die Mitteilung ohne schuldhaftes Verzögern des mitteilenden Unternehmens, unter Berücksichtigung der subjektiven Zumutbarkeit für den Mitteilenden, während der üblichen Geschäftszeiten erfolgt. Auf Basis der oben und in Abschnitt 3.1 genannten Kriterien behält sich die Bundesnetzagentur vor, jederzeit bei Anhaltspunkten zu sicherheits- oder störungsrelevanten Vorfällen Auskünfte einzuholen und in eigenem Ermessen eine Einstufung nach § 109 Absatz 5 TKG vorzunehmen. Das betroffene Unternehmen wird darüber in Kenntnis gesetzt. 2 Definition der Sicherheitsverletzung Eine Sicherheitsverletzung im Sinne von § 109 Absatz 5 TKG ist eine Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit von Telekommunikationsnetzen oder Telekommunikationsdiensten. Die nachfolgenden Abschnitte enthalten hierzu Einzelheiten. Seite 2 von 12
3 Kriterien Die unten aufgeführten Kriterien sind angelehnt an die „Technical Guideline on Reporting Incidents, Version 2.0 – Januar 2013“ der Europäischen Agentur für Netz- und Informationssicherheit (ENISA). Folgende Kriterien sind bei der Analyse und Bewertung eines sicherheitsrelevanten Vorfalls zu berücksichtigen: 1. Anzahl der betroffenen Anschlüsse 1 und / oder Teilnehmer 2 2. Dauer der Leistungsminderung 3. Auswirkung auf Interconnection (nationale und / oder internationale Zusammenschaltung) 4. Beeinflussung von TK-Netzen, TK-Diensten oder technischer Ausrüstung in anderen Ländern 5. Geographische Ausbreitung / Region 6. Auswirkung auf den Notruf 7. Auswirkung auf sensible Versorgungs- und / oder Dienstesegmente Es obliegt dem Verpflichteten, weitere fallspezifische Kriterien zur Bewertung der Sicherheitsverletzung heranzuziehen, die nach seinem Ermessen eine Mitteilung nach § 109 Absatz 5 TKG an die Bundesnetzagentur erforderlich machen. 3.1 Kriterien: Beschreibung und Bewertung Nachfolgend werden die oben aufgeführten Kriterien Nr. 1 bis Nr. 7 erläutert. Dabei werden die Kriterien unter Nr. 1 und Nr. 2 zusammengefasst und, wie bereits in Abschnitt 1.2 beschrieben, multiplikativ zu dem Kriterium „Betroffene Nutzerstunden“ verknüpft. Dessen ungeachtet kann jedes der Kriterien unter Nr. 3 bis Nr. 7 für sich alleine - bei entsprechender Ausprägung - bereits hinreichend für eine Einstufung eines sicherheitsrelevanten Vorfalls in die Kategorie einer mitteilungspflichtigen Sicherheitsverletzung nach § 109 Absatz 5 TKG sein. 3.1.1 Betroffene Nutzerstunden Produkt aus betroffenen Anschlüssen / Teilnehmern und Ausfalldauer in Stunden Die Analyse der „Betroffenen Nutzerstunden“ erfolgt auf Basis der folgenden TK- Netze- und / oder TK- Dienste: Festnetz (Telefondienst) Mobilnetz (Telefondienst) Festnetz (Internet-Zugang) Mobilnetz (Internet-Zugang) Die hier aufgeführten TK-Netze und / oder TK-Dienste können sowohl separat als auch in Kombination betroffen sein. Betroffene Anschlüsse / Teilnehmer: Die Betroffenheit eines Anschlusses und / oder eines TK-Dienstes ist gegeben wenn: der Anschluss und / oder der TK- Dienst total ausgefallen ist oder der Anschluss und / oder der TK- Dienst mit beträchtlich geminderter Qualität und / oder sicherheitsrelevanter Beeinflussung eingeschränkt zur Verfügung steht. 1 Betreiber eines öffentlichen Telekommunikationsnetzes: Anschlüsse * Dauer der Leistungsminderung 2 Erbringer öffentlich zugänglicher Telekommunikationsdienste: Teilnehmer * Dauer der Leistungsminderung Seite 3 von 12
Seite 1: Umsetzung des § 109 Absatz 5 TKG z
Seite 5 und 6: Die Auflistung ist nur beispielhaft
Seite 7 und 8: 5 Auswertung der Mitteilung Die Bun
Seite 9 und 10: 2.3 Auswirkung der Sicherheitsverle
Seite 11 und 12: öffentlicher Telekommunikationsnet

Umsetzungskonzept § 109 (5) TKG: Mitteilung Sicherheitsverletzung ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?