abl-03
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
3 2016 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 251
7.4 Sabotage, Manipulation, Anschläge, Vandalismus, Cyber-Angriffe auf die
Infrastruktur und strafbare Handlungen intern oder extern
7.5 Gefahren basierend auf Nutzerverhalten
8 Sicherheitsanforderungen
8.1 Sicherheitsanforderungen zum Schutz des Fernmeldegeheimnisses
8.2 Sicherheitsanforderungen zum Schutz der personenbezogenen Daten der Teil-
nehmer und Nutzer von Telekommunikationsdiensten
8.3 Sicherheitsanforderungen zum Schutz gegen Störungen, die zu erheblichen Be-
einträchtigungen von Telekommunikationsnetzen oder Diensten führen
9 Verbesserung der Internetsicherheit
9.1 DoS / DDoS Mitigation
9.2 Netzverkehr beobachten und analysieren (Netzforensik)
9.3 Verschlüsselung von Daten (-Verkehr)
9.4 Authentisierung und Autorisierung
9.5 Aufklärung des Kunden über Bedrohungen und bei erkannter Infektion
9.6 Kooperation bei TK-Anbieter übergreifenden Störungen
9.7 Notfallsperrungen von Benutzerzugängen oder Berechtigungen
9.8 Ausbau von Bandbreiten
9.9 Verwendung geprüfter und regelmäßig aktualisierter Hard- und Software
9.10 Netzkomponenten sicher konfigurieren
9.11 Anti Spam Lösungen für Anwendersysteme
9.12 Gleichbehandlungsgrundsatz
9.13 Zeitnahe Einführung von IPv6
9.14 Verhinderung der Manipulation von BGP-Routern
9.15 DNSSEC Maßnahmen
9.16 Vermeidung von Monokulturen und Einsatz vertrauenswürdiger Hersteller
9.17 Erhöhung der Sicherheit von TK-Endgeräten (Breitband-Router)
10 Weitere Informationsquellen
11 Begriffsbestimmungen
Katalog von Sicherheitsanforderungen 07.01.2016 Seite 4 von 52
Bonn, 17. Februar 2016
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
252 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 3 2016
1 Zielsetzung und Geltungsbereich
Die ständig wachsende Abhängigkeit der Wirtschaft und Gesellschaft von der Telekommuni-
kation führt zu einem hohen Anspruch an die Qualität von Telekommunikationsnetzen und -
diensten.
Im Rahmen dessen stellen Teilnehmer und Nutzer von Telekommunikationsdiensten hohe
Anforderungen an
• den Schutz des Fernmeldegeheimnisses,
• den Schutz ihrer personenbezogenen Daten und
• eine ordnungsgemäße und fortlaufende Verfügbarkeit von Telekommunikationsdiensten.
Zur Sicherstellung dieser Anforderungen haben Diensteanbieter, Betreiber von öffentlichen
Telekommunikationsnetzen und Erbringer von öffentlich zugänglichen Telekommunikations-
diensten die Verpflichtungen nach § 109 TKG zu erfüllen.
Nach § 109 Absatz 6 Satz 1 TKG hat die Bundesnetzagentur im Einvernehmen mit dem
Bundesamt für Sicherheit in der Informationstechnik und dem Bundesbeauftragten für den
Datenschutz und die Informationsfreiheit einen Katalog von Sicherheitsanforderungen für
das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die
Verarbeitung personenbezogener Daten als Grundlage für das Sicherheitskonzept nach
§ 109 Absatz 4 TKG und für die zu treffenden technischen Vorkehrungen und sonstigen
Maßnahmen nach § 109 Absatz 1 und 2 TKG zu erstellen.
Der vorliegende Katalog hat eine zweifache Funktion. Zum einen wird die Verpflichtung nach
§ 109 Absatz 6 Satz 1 TKG umgesetzt (Kapitel 8). Zum anderen gibt er den nach § 109 TKG
Verpflichteten grundsätzliche Hinweise bzw. Empfehlungen zur Erfüllung der Verpflichtungen
nach § 109 TKG. Insbesondere sind dies Hinweise und Empfehlungen
• zu den sicherzustellenden Schutzzielen,
• für die Planung und Umsetzung der technischen Vorkehrungen und sonstigen Maßnah-
men zur Erfüllung der Verpflichtungen nach § 109 Absatz 1 bis 3 TKG,
• für die Erstellung des Sicherheitskonzeptes und die Vorlage des Sicherheitskonzeptes bei
der Bundesnetzagentur gemäß den Verpflichtungen nach § 109 Absatz 4 TKG, und
• zu den Mitteilungspflichten nach § 109 Absatz 5 TKG.
Die Planung und Umsetzung der technischen Vorkehrungen und sonstigen Maßnahmen zur
Erfüllung der Verpflichtungen nach § 109 Absatz 1 und 2 TKG und die Erstellung des Si-
cherheitskonzeptes gemäß § 109 Absatz 4 Satz 1 TKG kann auch auf der Basis anderer ge-
eigneter Standards, Normen u.ä. (z.B. BSI-Standards, BSI-Grundschutzkataloge, DIN
ISO/IEC-Normen) erfolgen. Die Einhaltung der Verpflichtungen nach
§ 109 Absatz 1 bis 4 TKG ist hierbei jedoch sicherzustellen. Insbesondere ist folgendes zu
beachten:
1. Die technischen Vorkehrungen und sonstigen Maßnahmen zur Erfüllung der Verpflich-
tungen nach § 109 Absatz 1 und 2 TKG müssen die Einhaltung der relevanten Sicher-
heitsanforderungen gewährleisten.
2. Die technischen Vorkehrungen und sonstigen Maßnahmen zur Erfüllung der Verpflich-
tungen nach § 109 Absatz 1 TKG müssen den Stand der Technik berücksichtigen.
Katalog von Sicherheitsanforderungen 07.01.2016 Seite 5 von 52
Bonn, 17. Februar 2016
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
3 2016 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 253
3. Zur Erfüllung der Verpflichtungen nach § 109 Absatz 2 TKG sind angemessene techni-
sche Vorkehrungen und sonstige Maßnahmen zu treffen. Technische Vorkehrungen und
sonstige Schutzmaßnahmen sind angemessen, wenn der dafür erforderliche technische
und wirtschaftliche Aufwand nicht außer Verhältnis zur Bedeutung der zu schützenden
Telekommunikationsnetze oder -dienste steht.
4. Bei gemeinsamer Nutzung eines Standortes oder technischer Einrichtungen hat jeder
Beteiligte die Verpflichtungen nach § 109 Absatz 1 und 2 TKG zu erfüllen, soweit be-
stimmte Verpflichtungen nicht einem bestimmten Beteiligten zugeordnet werden können.
5. Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet
oder genutzt, ist der Auftraggeber für die Einhaltung der Verpflichtungen nach
§ 109 Absatz 1 TKG verantwortlich. Im Rahmen dessen sind die Verpflichtungen nach
§ 11 Absatz 2 Bundesdatenschutzgesetz (BDSG) einzuhalten.
6. Werden Telekommunikations- und Datenverarbeitungssysteme, die dem Betreiben von
öffentlichen Telekommunikationsdiensten oder dem Erbringen von öffentlich zugängli-
chen Telekommunikationsdiensten dienen, im Auftrag durch andere Stellen betrieben, gilt
§ 11 Absatz 1 BDSG entsprechend, d. h., der Auftraggeber ist für die Einhaltung der Ver-
pflichtungen nach § 109 Absatz 2 TKG verantwortlich.
7. Aus dem Sicherheitskonzept muss mindestens hervorgehen
1. welches öffentliche Telekommunikationsnetz betrieben und welche öffentlich zugängli-
chen Telekommunikationsdienste erbracht werden,
2. von welchen Gefährdungen der Schutzziele auszugehen ist und
3. welche technischen Vorkehrungen oder sonstigen Schutzmaßnahmen zur Erfüllung
der Verpflichtungen aus § 109 Absatz 1 und 2 TKG getroffen oder geplant sind.
8. Sofern sich die einem bei der Bundesnetzagentur vorgelegten Sicherheitskonzept zu-
grunde liegenden Gegebenheiten ändern, ist das Konzept entsprechend anzupassen und
der Bundesnetzagentur unter Hinweis auf die Änderungen erneut vorzulegen.
Katalog von Sicherheitsanforderungen 07.01.2016 Seite 6 von 52
Bonn, 17. Februar 2016
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
254 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 3 2016
2 Schutzbedarf und Schutzziele
Das Grundgesetz der Bundesrepublik Deutschland (GG) gewährt den Bürgern unter ande-
rem die „Unverletzlichkeit des Fernmeldegeheimnisses (Artikel 10 GG)“, die „Unantastbarkeit
der Würde (Artikel 1 GG)“ sowie das „Recht auf freie Entfaltung der Persönlichkeit (Artikel 2
GG)“. Des Weiteren gewährleistet der Bund im Bereich der Telekommunikation flächende-
ckend angemessene und ausreichende Dienstleistungen (Artikel 87f GG).
Für das Betreiben öffentlicher Telekommunikationsnetze sowie das Erbringen öffentlich zu-
gänglicher Telekommunikationsdienste schreibt § 109 TKG technische Vorkehrungen und
sonstige Maßnahmen
• zum Schutz des Fernmeldegeheimnisses,
• gegen die Verletzung des Schutzes personenbezogener Daten,
• gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunika-
tionsnetzen und –diensten führen, auch soweit sie durch äußere Angriffe und
Einwirkungen von Katastrophen bedingt sein können,
als Mindestanforderungen vor.
Im Vordergrund steht hierbei die Beherrschung der Risiken für die Sicherheit von Te-
lekommunikationsnetzen und –diensten. Dabei ist der Stand der Technik zu berück-
sichtigen.
Ziel und Zweck der zu treffenden Maßnahmen sind insbesondere
• die Sicherheit vor unerlaubten Zugriffen auf Telekommunikations- und Daten-
verarbeitungssysteme
• die Reduzierung / Minimierung der Auswirkungen von Sicherheitsverletzungen
auf Nutzer oder auf zusammengeschaltete Netze
• die Gewährleistung eines ordnungsgemäßen Betriebes der Netze und dadurch
die Sicherstellung der fortlaufenden Verfügbarkeit der über die Netze erbrach-
ten Dienste
Die rechtlichen Vorgaben zum Datenschutz ergeben sich als allgemeine Regelungen aus
dem Bundesdatenschutzgesetz (BDSG) und als sektorspezifische Regelungen aus dem Teil
7 des TKG. Hiervon sind sowohl die Inhalte als auch die Verkehrs- und Bestandsdaten be-
troffen, wobei die Inhalte und Verkehrsdaten den erhöhten Anforderungen unterliegen, die
sich aus den Vorgaben zum Schutz des Fernmeldegeheimnisses ergeben.
Die Regelungen des BDSG sind von den Telekommunikationsanbietern anzuwenden, sofern
im TKG keine sektorspezifischen Regelungen getroffen wurden.
Ansonsten gilt, dass angemessene technische Vorkehrungen und sonstige Maßnahmen in
Abhängigkeit vom individuellen Schutzbedarf, der durch eine geeignete Analyse ermittelt
wird (z.B. Vorgehensweise gemäß BSI- Standard 100-2), zu treffen sind.
Die Angemessenheit der Maßnahmen ist dann gegeben, wenn der dafür erforderliche tech-
nische und wirtschaftliche Aufwand in einem angemessenen Verhältnis zur Bedeutung der
zu schützenden Rechte und zur Bedeutung der zu schützenden Einrichtungen für die Allge-
meinheit steht.
Bei gemeinsamer Nutzung eines Standortes oder technischer Einrichtungen hat jeder Betei-
ligte die o. a. Verpflichtungen zu erfüllen, soweit bestimmte Verpflichtungen nicht einem be-
stimmten Beteiligten zugeordnet werden können.
Katalog von Sicherheitsanforderungen 07.01.2016 Seite 7 von 52
Bonn, 17. Februar 2016
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
3 2016 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 255
3. Vorgehensweise zur Erfüllung der Verpflichtungen
nach § 109 TKG
Die wesentlichen Eckpunkte zur Erfüllung der Verpflichtungen nach § 109 TKG sind nachfol-
gend in einer Übersicht dargestellt.
3.1 TK-Netzstrukturplan darstellen
TK-System inkl. der angebundenen DV-Systeme, Verbindungen zwischen den Systemen,
Außenverbindungen und Anbindungen der Infrastruktur
Welche Datenverarbeitungsanlagen gibt es im Unternehmen, mit welchen Anlagen führen sie die relevan-
ten Geschäftsprozesse (inkl. mittelbare Aufgaben; z.B. Billing) durch?
3.2 Telekommunikationsdienste beschreiben und eingesetzte
Telekommunikationsanlagen darstellen
Welche Telekommunikationsdienste werden mit welchen Telekommunikationssystemen erbracht?
In welchen angebundenen DV-Systemen oder Anlagen werden personenbezogene Daten von Kunden
(Bestands- und Verkehrsdaten) erhoben, verarbeitet, genutzt oder gespeichert?
3.3 Sicherheitsteilsysteme bilden
bezüglich übergreifender Aspekte, Infrastruktur, TK / DV-Systeme, Netze und Anwendungen
Welche Betrachtungseinheiten (Teilsysteme) können sinnvoll gebildet werden, um die jeweiligen Schutz-
maßnahmen individuell zuordnen zu können?
3.4 Schutzziele und Gefährdungen den Sicher-
heitsteilsystemen zuordnen
je Schutzziele:
- Schutz des Fernmeldegeheimnisses
- Schutz personenbezogener Daten
Sicherheits- - Schutz vor Störungen, die zu erheblichen Beeinträchtigungen
von Telekommunikationsnetzen und –diensten führen
teilsystem Gefährdungen je Teilsystem und Schutzziel
- Elementare Gefährdungen
- Technische Störungen, Ausfälle etc.
- Organisatorische Gefährdungen und menschliche Fehlhandlungen
- Mängel durch Fehler in der Planungsphase
- Sabotage (intern, extern)
3.5 Sicherheitsanforderungen ableiten
Ausgehend von den Gefährdungen der Schutzziele können je Teilsystem die
konkreten Sicherheitsanforderungen festgelegt werden
3.6 Schutzmaßnahmen festlegen, beschreiben und umsetzen
3.7 Gesamtsystem bewerten
3.8 System kontinuierlich verbessern
3.9 Mitteilungspflichten
Katalog von Sicherheitsanforderungen 07.01.2016 Seite 8 von 52
Bonn, 17. Februar 2016
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
256 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 3 2016
3.1 TK-Netzstrukturplan darstellen
Zu Beginn soll der Verpflichtete eine Übersicht über die Komponenten seines Netzes und
deren Verbindungen darstellen. Der Netzplan soll mindestens folgende Komponenten enthal-
ten:
1. Die im Netz eingebundenen TK- und DV-Systeme (Vermittlungseinrichtungen, Diens-
te-Server, Netzwerkmanagement) und alle eingesetzten DV-Anlagen (Kundendaten-
verwaltung, Billing)
2. Alle Verbindungen zwischen den Systemen (LAN-Verbindungen, Backbone-
Techniken, auch Funkstrecken)
3. Die Außenverbindungen der Systeme (Art der Verbindung, Internet, Remote)
Die Komplexität des Netzplans kann durch Gruppenbildung vereinfacht werden (z.B. nach
Typ, Konfiguration, Netz, Lokation, Rahmenbedingungen, Anwendungen, Dienste, etc.).
Ebenso können bei größeren Netzen getrennte Teilpläne (z.B. für Auftragsdatenverarbei-
tung, Abrechnungssysteme, Backbone-Netze etc.) sinnvoll sein.
Carrier Carrier
Büroanbindung
Kundensystem
Billing
Remote-Zugang
Kundensystem
File-Server
Backup
Mail-Server
Bild 1: TK / DV Netzstrukturplan (Prinzipdarstellung)
3.2 Telekommunikationsdienste beschreiben und
eingesetzte Telekommunikationssysteme darstellen
Um Schutzmaßnahmen sinnvoll zuordnen zu können, sind alle Telekommunikationsdienste,
die für die Öffentlichkeit erbracht werden, mit einer Kurzbeschreibung des Dienstes darzu-
stellen.
Die dafür eingesetzten Telekommunikations- und Datenverarbeitungssysteme sind hinsicht-
lich ihrer Funktion zu beschreiben. Aus der Beschreibung sollte auch hervorgehen, ob die
Systeme personenbezogene Daten verarbeiten oder/und speichern.
Katalog von Sicherheitsanforderungen 07.01.2016 Seite 9 von 52
Bonn, 17. Februar 2016
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
3 2016 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 257
3.3 Sicherheitsteilsysteme bilden
Wegen der teilweise sehr unterschiedlichen Gefährdungen einzelner Komponenten eines
komplexen Systems oder eines Netzes kann es angebracht sein, kleinere Betrachtungs-
einheiten (Teilsysteme) zu bilden.
Diesen Teilsystemen können dann die jeweiligen Schutzziele - und in der Folge die adäqua-
ten Sicherheitsanforderungen - individuell zugeordnet werden.
Das Festlegen der Sicherheitsteilsysteme kann gegebenenfalls unabhängig von technischen
Aspekten erfolgen. Wichtig ist dabei eine Einteilung, die hinsichtlich der Sicherheitsanforde-
rungen und Schutzziele plausibel ist. Dies schließt nicht aus, dass mehrere Komponenten
zusammen auch gleichzeitig als Sicherheitsteilsystem identifiziert werden können.
Im Falle gemeinsam genutzter Standorte oder gemeinsam genutzter technischer Einrichtun-
gen hat jeder Beteiligte eigene Teilsysteme zu bilden.
Zur Erreichung der Standardsicherheit sind auch solche Komponenten oder Objekte zu be-
rücksichtigen, die nicht unmittelbar der Telekommunikation dienen, aber für den Betrieb mit-
telbar notwendig sind (z.B. Netzersatzanlagen).
Anmerkung:
Weitere Hinweise für die sinnvolle Bildung von Teilsystemen (Bausteinen) können den IT-
Grundschutz-Katalogen des BSI entnommen werden (Bausteinkataloge).
Bestands-
datenver- Personal
arbeitung
Billing
Kabelver- DNS-Server
zweiger
Gebäude
Remote-
Netzknoten zugang
E-Mail-Server
Endkunden-
anbindung Fraudsystem
Übertra- Backbone
gungsweg
Bild 2: Abgeleitete Teilsysteme: (Beispiele)
3.4 Schutzziele und Gefährdungen den Sicherheitsteilsystemen
zuordnen
Für das Erreichen der im § 109 TKG geforderten Standardsicherheit sind nicht immer alle
Schutzziele für alle Sicherheitsteilsysteme von Bedeutung. Daher sind in einem ersten
Schritt den festgelegten Sicherheitsteilsystemen die betreffenden Schutzziele (siehe Ab-
schnitt 2) zuzuordnen. Werden bestimmte Schutzziele für ein Sicherheitsteilsystem als be-
deutungslos angesehen, ist dies zu begründen.
Die möglichen Gefährdungen (vorhandene sowie anzunehmende) sind für jedes Sicherheits-
teilsystem zu ermitteln.
Für gemeinsam genutzte Standorte oder technische Einrichtungen ist von allen Beteiligten
kritisch zu prüfen, welche gegenseitige Abhängigkeiten sich für die geforderte Standardsi-
cherheit ergeben, um dann die angemessenen Vorsorgemaßnahmen treffen zu können.
Katalog von Sicherheitsanforderungen 07.01.2016 Seite 10 von 52
Bonn, 17. Februar 2016
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
258 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 3 2016
Die Gefährdungen der Schutzziele können zum Beispiel in folgende Gruppen eingeteilt wer-
den:
- Elementare Gefährdungen
- Technische Störungen, Ausfälle
- Organisatorische Gefährdungen und menschliche Fehlhandlungen
- Mängel durch Fehler in der Planungsphase
- Sabotage (intern, extern), Angriffe
- Benutzerverhalten
Anmerkung:
Weitere Hinweise für Gefährdungen in Bezug auf Teilsysteme (Bausteine) können den
IT Grundschutz-Katalogen des Bundesamts für Sicherheit in der Informationstechnik (BSI)
entnommen werden (Gefährdungskatalog).
Gefährdungen im Zusammenhang mit der Nutzung des Internets können der ISi-
Schriftenreihe und den Cybersicherheitsempfehlungen für Internetservice Provider des BSI
entnommen werden.
3.5 Sicherheitsanforderungen je Teilsystem ableiten
Aus den Ergebnissen der Untersuchungen und der Überlegungen hinsichtlich möglicher Ge-
fährdungen sind Sicherheitsanforderungen für die verwendeten Sicherheitsteilsysteme abzu-
leiten.
3.6 Schutzmaßnahmen festlegen, beschreiben und umsetzen
Auf der Basis der festgelegten Sicherheitsanforderungen sind konkrete Maßnahmen zur Er-
füllung der Verpflichtungen nach § 109 Absatz 1 und 2 TKG zu treffen.
Die Sicherheitsmaßnahmen müssen geeignet sein, die Gefährdungen der Sicherheitsteilsys-
teme angemessen zu reduzieren. Sie sind den vorhandenen Komponenten oder Objekten
zuzuordnen. Sollten Sicherheitsteilsysteme als nicht ausreichend geschützt bewertet wer-
den, sind weitere geeignete Schutzmaßnahmen vorzusehen.
Die umgesetzten oder bis zu einem bestimmten Zeitpunkt umzusetzenden Sicherheitsmaß-
nahmen sind darzulegen.
Zur Erreichung einer angemessenen Standardsicherheit soll Technologie zur Anwendung
kommen, die dem Stand der Technik entspricht.
Für gemeinsam genutzte Standorte oder gemeinsam genutzte technische Einrichtungen ist
eine sorgfältige Prüfung der sich aus der Überschneidung der Technik ergebenden Risiken
hinsichtlich der geforderten Standardsicherheit erforderlich. Die gemeinsam genutzten Kom-
ponenten oder Infrastrukturelemente sind zu benennen und die getroffenen Schutzmaßnah-
men zur Erreichung der Schutzziele detailliert zu beschreiben.
Schutzmaßnahmen können wie folgt gegliedert sein:
- Maßnahmen bei der Infrastruktur
- Organisatorische Regelungen
- Regelungen für das Personal
- Technische Maßnahmen
- Notfallmaßnahmen
Anmerkung:
Weitere Hinweise zu Schutzmaßnahmen bezogen auf Teilsysteme (Bausteine) können den
Grundschutzkatalogen des BSI entnommen werden (Maßnahmenkatalog).
Maßnahmen im Zusammenhang mit der Nutzung des Internets können der ISi-Schriftenreihe
des BSI entnommen werden.
Katalog von Sicherheitsanforderungen 07.01.2016 Seite 11 von 52
Bonn, 17. Februar 2016
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
3 2016 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 259
3.7 Gesamtsystem bewerten
Auch wenn jedes Sicherheitsteilsystem einzeln die Sicherheitsanforderungen erfüllt, kann
das Gesamtsystem noch Sicherheitsmängel aufweisen. Aus diesem Grund ist zusätzlich ei-
ne Bewertung des Gesamtsystems erforderlich, d.h. das Zusammenwirken der Sicherheits-
teilsysteme, wie auch die Wirkung der angewendeten Schutzmaßnahmen, ist hinsichtlich der
Erreichung einer angemessenen Standardsicherheit für das Gesamtsystem zu untersuchen.
Daraus ergibt sich gegebenenfalls die Notwendigkeit für weitere zusätzliche Schutzmaß-
nahmen, welche über die eines Teilsystems hinausgehen. Denkbar sind Schutzmaßnahmen,
die über mehrere, an verschiedenen Orten installierte Sicherheitsteilsysteme wirken oder die
erst beim Zusammenwirken von Sicherheitsteilsystemen erforderlich werden.
In der abschließenden Risikobewertung soll das bestehende Restrisiko erkannt und bewertet
werden. Ziel ist es, dieses Risiko so weit zu reduzieren, dass das verbleibende Restrisiko
quantifizierbar und akzeptierbar wird.
3.8 System kontinuierlich verbessern
Um den Erfolg der Schutzmaßnahmen in einem sich ständig ändernden Umfeld (Geschäfts-
prozesse, IT-Landschaften, Gesetze und Vorgaben, Bedrohung etc.) dauerhaft sicherzustel-
len, muss gewährleistet sein, dass in regelmäßigen Abständen die Wirksamkeit der umge-
setzten Sicherheitsmaßnahmen festgestellt und bewertet wird.
Bei erkannten Sicherheitsproblemen müssen systematisch Verbesserungsmaßnahmen er-
griffen, umgesetzt und dokumentiert werden.
Hierbei ist der aktuelle Stand der Technik zu berücksichtigen.
3.9 Mitteilungspflichten (§§ 109 und 109a TKG)
Verletzung der Sicherheit von Telekommunikationsnetzen oder –
diensten
Wer ein öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekom-
munikationsdienste erbringt, hat nach § 109 Absatz 5 TKG der Bundesnetzagentur eine Si-
cherheitsverletzung einschließlich Störungen von Telekommunikationsnetzen oder -diensten
unverzüglich mitzuteilen, sofern hierdurch beträchtliche Auswirkungen auf den Betrieb der
Telekommunikationsnetze oder das Erbringen von Telekommunikationsdiensten entstehen.
Die Bundesnetzagentur kann von dem Verpflichteten einen detaillierten Bericht über die Si-
cherheitsverletzungen und die ergriffenen Abhilfemaßnahmen verlangen. Erforderlichenfalls
unterrichtet die Bundesnetzagentur das Bundesamt für Sicherheit in der Informationstechnik,
die nationalen Regulierungsbehörden der anderen Mitgliedstaaten der Europäischen Union
sowie die Europäische Agentur für Netz- und Informationssicherheit über die Sicherheitsver-
letzungen.
Die Bundesnetzagentur kann die Öffentlichkeit informieren oder die Verpflichteten zu dieser
Unterrichtung auffordern, wenn sie zu dem Schluss gelangt, dass die Bekanntgabe der Si-
cherheitsverletzung im öffentlichen Interesse liegt.
Die Bundesnetzagentur legt der Kommission, der Europäischen Agentur für Netz- und Infor-
mationssicherheit und dem Bundesamt für Sicherheit der Informationstechnik einmal pro
Jahr einen zusammenfassenden Bericht über die eingegangenen Mitteilungen und die ergrif-
fenen Abhilfemaßnahmen vor.
Wer öffentlich zugängliche Telekommunikationsdienste erbringt, hat nach § 109a TKG, im
Fall einer Verletzung des Schutzes personenbezogener Daten unverzüglich die Bundesnetz-
agentur und den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit von
der Verletzung zu benachrichtigen.
Ist anzunehmen, dass durch die Verletzung des Schutzes personenbezogener Daten Teil-
nehmer oder andere Personen schwerwiegend in ihren Rechten oder schutzwürdigen Inte-
Katalog von Sicherheitsanforderungen 07.01.2016 Seite 12 von 52
Bonn, 17. Februar 2016
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
260 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 3 2016
ressen beeinträchtigt werden, hat der Anbieter des Telekommunikationsdienstes zusätzlich
die Betroffenen unverzüglich von dieser Verletzung zu benachrichtigen.
In Fällen, in denen in dem Sicherheitskonzept nachgewiesen wurde, dass die von der Verlet-
zung betroffenen personenbezogenen Daten durch geeignete technische Vorkehrungen ge-
sichert, insbesondere unter Anwendung eines als sicher anerkannten Verschlüsselungsver-
fahrens gespeichert wurden, ist eine Benachrichtigung nicht erforderlich.
Unabhängig davon kann die Bundesnetzagentur den Anbieter des Telekommunikations-
dienstes unter Berücksichtigung der wahrscheinlich nachteiligen Auswirkungen der Verlet-
zung des Schutzes personenbezogener Daten zu einer Benachrichtigung der Betroffenen
verpflichten. Die Benachrichtigung an die Betroffenen muss mindestens enthalten:
1. Die Art der Verletzung des Schutzes personenbezogener Daten
2. Angaben zu den Kontaktstellen, bei denen weitere Informationen erhältlich sind
3. Empfehlungen zu Maßnahmen, die mögliche nachteilige Auswirkungen der
Verletzung des Schutzes personenbezogener Daten begrenzen
In der Benachrichtigung an die Bundesnetzagentur und den Bundesbeauftragten für den Da-
tenschutz und die Informationsfreiheit hat der Anbieter des Telekommunikationsdienstes zu-
sätzlich zu den Angaben die Folgen der Verletzung des Schutzes personenbezogener Daten
und die beabsichtigten oder ergriffenen Maßnahmen darzulegen.
Die Anbieter der Telekommunikationsdienste haben ein Verzeichnis der Verletzungen des
Schutzes personenbezogener Daten zu führen, dass Angaben zu Folgendem enthält:
1. Umstände der Verletzungen
2. Auswirkungen der Verletzungen
3. Ergriffene Abhilfemaßnahmen
Diese Angaben müssen ausreichend sein, um der Bundesnetzagentur und dem Bundesbe-
auftragten für den Datenschutz und die Informationsfreiheit die Prüfung zu ermöglichen, ob
die geltenden Bestimmungen eingehalten wurden. Das Verzeichnis enthält nur die zu diesem
Zweck erforderlichen Informationen und muss nicht Verletzungen berücksichtigen, die mehr
als fünf Jahre zurückliegen.
Anmerkung:
Hinweise für die Umsetzung der Verpflichtungen nach den §§ 109 Absatz 3 und 109a TKG
finden sich in den ENISA Publikationen „Technical Guidelines for Reporting Incidents“ bzw.
„Recommendations for technical implementation of Art.4”. 1
3.10 Informationssicherheits-Managementsystem
Mit der ISO-27000-Normenreihe existiert eine Sammlung internationaler Standards, die Si-
cherheitsmaßnahmen für den Schutz der IT definiert. Sie liefert Empfehlungen für die Ein-
richtung, Umsetzung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Ver-
besserung eines Informationssicherheits-Managementsystems (ISMS) zum Schutz der ge-
samten IT-Organisation. Die Gestaltung und Umsetzung eines ISMS hängen von den Be-
1
ENISA (European Network and Information Security Agency)
Katalog von Sicherheitsanforderungen 07.01.2016 Seite 13 von 52
Bonn, 17. Februar 2016
