Cybersicherheit: TKG-Änderungen räumen mehr Rechte ein – aber auch mehr Pflichten

Mit Wirkung zum 30. Juni 2017 wurden in das Telekommunikationsgesetz (TKG) neue Rechte und Pflichten für Anbieter von öffentlich zugänglichen Telekommunikationsdiensten eingeführt. Diese Änderungen dienen der Umsetzung der EU-Richtlinie 2016/1148 über „Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union" (kurz: NIS-RL) vom 19. Juli 2016. Diese Richtlinie ist ein zentraler Bestandteil der Cyber-Sicherheitsstrategie der EU und wirkt sich auf die Datenerhebung und -verwendung in sowie die Informationspflichten von Unternehmen gegenüber Behörden aus.

Schutz vor Cyberangriffen

Die Änderungen des TKG dienen der Stärkung der IT- und Informationssicherheit. Sie räumen dem Anbieter von öffentlich zugänglichen Telekommunikationsdiensten weitere Möglichkeiten ein, um auf Störungen zu reagieren und damit die IT-Sicherheit seiner Systeme zu verbessern. Der Gesetzgeber hatte bei Erlass der Vorschrift die in der letzten Zeit massiv zunehmenden Cyberangriffe durch Bot-Netze vor Augen. Hierbei handelt es sich um ein automatisiertes Schadprogramm, welches auf einer Vielzahl von vernetzten Geräten installiert wurde und deren Ressourcen und Daten ohne Einverständnis des Eigentümers für rechtswidrige Zwecke benutzt.

Dabei werden für Cyberangriffe nicht nur PCs, Notebooks, Smartphones oder Tablets genutzt, sondern zu großen Teilen mit dem Internet verbundene sonstige Geräte wie Netzwerkkameras, Drucker, Set-Top-Boxen oder Haushaltsgeräte. Durch die weitere Verbreitung von Smart Homes im Speziellen und Internet of Things im Allgemeinen, finden diese mit dem Internet verbundenen Geräte eine immer größere Verbreitung – und die Einfallstore für Cyberangriffe nehmen entsprechend zu.

Die meisten dieser Geräte sind im Auslieferungszustand unzureichend gegen Cyberangriffe geschützt und können somit von Angreifern leicht übernommen und für Straftaten missbraucht werden. Teilweise ist den Verbrauchern nicht bewusst, dass diese Geräte zumindest regelmäßig auf Firmware-Updates geprüft werden müssen, damit eventuelle Sicherheitslücken effektiv geschlossen werden. In vielen Fällen ist es dem Verbraucher aber auch gar nicht möglich eine Sicherheitslücke zu schließen, da vom Hersteller keine Updates angeboten werden, weil beispielsweise der Lebens- beziehungsweise Unterstützungszyklus bei einigen Produkten sehr kurz ist.

Speicherung von Steuerdaten nun erlaubt

Um die Gefahren von solchen nutzereigenen Endgeräten zu minimieren, räumt das TKG in § 100 dem Anbieter von öffentlich zugänglichen Telekommunikationsdiensten nunmehr die Möglichkeit ein, die Steuerdaten des informationstechnischen Protokolls zur Datenübertragung zu erheben und für Zwecke der IT-Sicherheit zu verwenden. Somit darf der Anbieter neben den Verkehrsdaten nun auch weitere Daten (zum Beispiel den IP-Header) untersuchen, um die Störung zu beseitigen. Ferner wird in der Vorschrift klargestellt, dass der Anbieter keine Daten über Kommunikationsinhalte erheben darf.

Dabei ist die Datenerhebung und -verwendung zur Beseitigung der Störung auf ein Minimum zu beschränken und die Daten sind zu löschen, wenn die Störung beseitigt wurde. Grundsätzlich hat die Datenerhebung und -verwendung automatisiert zu erfolgen. Sollte eine automatisierte Erhebung und Verwendung der Daten nicht möglich sein, dann muss der betriebliche Datenschutzbeauftragte unverzüglich und detailliert über die Einzelheiten der Maßnahme informiert werden.

Sollten die Daten nicht automatisch erhoben und verwendet worden sein, schreibt das Gesetz eine schriftliche Berichtspflicht vor. Neben dem betrieblichen Datenschutzbeauftragten muss die Bundesnetzagentur (BNetzA) und auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit am Ende eines Quartals ausführlich informiert werden.

Meldepflichten gegenüber BNetzA und BSI

Weiterhin wurde die Meldepflicht von Anbietern von öffentlich zugänglichen Telekommunikationsdiensten erweitert (§ 109 Abs. 5 TKG). Neben der BNetzA muss nun auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) unverzüglich informiert werden, wenn es zu Beeinträchtigungen von Telekommunikationsnetzen und -diensten kommt, die zu beträchtlichen Sicherheitsverletzungen führen oder führen könnten. Für die Übermittlung dieser Meldungen hat die Bundesnetzagentur zum 10. November 2017 das Umsetzungskonzept 4.0 veröffentlicht (Amtsblatt Nr. 11 vom 22. November 2017) und ein neues Mitteilungsformular erstellt.

Datenumleitung erlaubt

Der geänderte § 109a TKG sieht nunmehr vor, dass Anbietern von öffentlich zugänglichen Telekommunikationsdiensten auch berechtigt sind, den Datenverkehr einzuschränken, umzuleiten oder zu unterbinden. Die Datenumleitung dient insbesondere dem Schutz der Telekommunikations- und Datenverarbeitungssysteme des Nutzers. Hierzu wird Diensteanbietern erlaubt, Teile des Datenverkehrs von und zu einem Nutzer von denen eine Störung ausgeht, zum Zwecke der Information (zum Beispiel durch eine Warnseite) der Nutzer umzuleiten (DNS-Sinkhole). Der Diensteanbieter kann dadurch den Nutzer, dessen Systeme von einer Schadsoftware befallen sind, identifizieren und ihn in die Lage versetzen, die Störung zu beseitigen.

Eine Einschränkung oder Umleitung des Datenverkehrs ist aber nur dann zulässig, wenn der Diensteanbieter den Nutzer zuvor von der bestehenden Störung informiert hat und die Störung nicht unverzüglich beseitigt wurde. Der Diensteanbieter muss insoweit die Verhältnismäßigkeit bei der Auswahl seiner Maßnahmen wahren.