abl-05
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
5 2013 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 637
Bonn, 20. März 2013
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
638 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 5 2013
Bonn, 20. März 2013
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
5 2013 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 639
Mitteilung Nr. 113/2013
Veröffentlichung des Umsetzungskonzeptes zu § 109 Absatz 5 TKG;
Mitteilung einer Sicherheitsverletzung
§ 109 Absatz 5 TKG enthält die gesetzliche Verpflichtung zur unverzüglichen Mitteilung einer Sicherheitsverlet-
zung einschließlich Störungen von Telekommunikationsnetzen oder –diensten durch den Betreiber von öffent-
lichen Telekommunikationsnetzen und den Erbringer öffentlich zugänglicher Telekommunikationsdienste, sofern
hierdurch beträchtliche Auswirkungen auf den Betrieb der Netze oder das Erbringen der Dienste entstehen.
Damit wird Absatz 3 des Artikels 13a (Sicherheit und Integrität) der Richtlinie 2002/21/EG über einen gemein-
samen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste (Rahmenrichtlinie – RRL) in deut-
sches Recht umgesetzt.
Die Bundesnetzagentur beschreibt im Umsetzungskonzept zu § 109 Absatz 5 TKG das nationale Verfahren zur
Mitteilung von Sicherheitsverletzungen.
Eine Entwurfsfassung des Umsetzungskonzeptes wurde bereits im Amtsblatt Nr. 18 der Bundesnetzagentur am
19.09.2012 veröffentlicht. Interessierten Kreisen wurde die Möglichkeit einer Stellungnahme bis zum 31.10.2012
eröffnet. Insgesamt gingen zwei offizielle formale Stellungnahmen termingerecht bei der Bundesnetzagentur
ein. Aus diesen ergab sich kein Änderungsbedarf der aktuellen Version. Anregungen wurden aber aufgegriffen
und auf Arbeitsebene im Hinblick einer Fortschreibung des Umsetzungskonzeptes diskutiert.
Mit der vorliegenden Version 1.0 des Umsetzungskonzeptes sollen Erfahrungen im Bereich der Mitteilungs-
pflicht nach § 109 Absatz 5 TKG „Mitteilung einer Sicherheitsverletzung“ gesammelt werden. Dabei sind bei-
spielsweise Fragen der Quantität und Qualität von Sicherheitsverletzungen ebenso zu berücksichtigen wie
die Praktikabilität des Mitteilungsverfahrens auf Verpflichtetenseite und auf Seite der Bundesnetzagentur. Das
Umsetzungskonzept wird bei Bedarf angepasst. Auch die Fortschreibung der Technical Guideline on Reporting
Incidents der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) spielt dabei eine maßgebli-
che Rolle.
Umsetzung des § 109 Absatz 5 TKG
zur Mitteilung einer Sicherheitsverletzung (Umsetzungskonzept)
Stand: 20.03.2013 Version: 1.0
Bonn, 20. März 2013
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
640 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 5 2013
INHALT:
EINLEITUNG
1 Verfahren
1.1 Verfahrensgrundsatz
1.2 Verfahrensablauf
2 Definition der Sicherheitsverletzung
3 Kriterien zur Bewertung und Beschreibung der Sicherheitsverletzung
3.1 Parameter
3.2 Schwellen
3.3 Ursachen einer Sicherheitsverletzung
3.4 Weitere Angaben zur Sicherheitsverletzung
4 Inhalt der Mitteilung
4.1 Mitteilungsformen
4.2 Mitteilungswege
4.3 Vertraulichkeit der Mitteilung
5 Auswertung der Mitteilung
5.1 Auswerteschema der Bundesnetzagentur
6 Unterrichtung anderer Stellen
7 Information der Öffentlichkeit
8 Jahresbericht über die eingegangenen Mitteilungen und die ergriffenen Abhilfemaßnahmen
Anlage 1 Formblatt: Mitteilung einer Sicherheitsverletzung
Anlage 2 Infoblatt zur Mitteilung einer Sicherheitsverletzung
Bonn, 20. März 2013
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
5 2013 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 641
EINLEITUNG
Im folgenden Umsetzungskonzept wird das Verfahren zur Mitteilung von Sicherheitsverletzungen zwischen den
zur Mitteilung Verpflichteten und der Bundesnetzagentur beschrieben. Grundlage hierzu ist das Telekommuni-
kationsgesetz (TKG) vom 3. Mai 2012.
1 Verfahren
Das Verfahren zur Mitteilung einer Sicherheitsverletzung zwischen den Verpflichteten und der Bundesnet-
zagentur ist offen und diskriminierungsfrei.
1.1 Verfahrensgrundsatz
Im Sinne des § 109 Absatz 5 TKG ist eine Sicherheitsverletzung einschließlich Störungen von Telekommunika-
tionsnetzen oder –diensten (nachfolgend als Sicherheitsverletzung bezeichnet) unverzüglich mitzuteilen, sofern
hierdurch beträchtliche Auswirkungen auf den Betrieb der Telekommunikationsnetze oder das Erbringen von
Telekommunikationsdiensten entstehen.
Die Bestimmung des § 115 Absatz 1 Satz 2 TKG bleibt davon unberührt.
1.2 Verfahrensablauf
Nach dem Erkennen der Sicherheitsverletzung stellt der Verpflichtete mit einer Bewertung in eigener Verant-
wortung fest, ob
es sich um eine Sicherheitsverletzung im Sinne von § 109 Absatz 5 TKG handelt, durch die
beträchtliche Auswirkungen auf den Betrieb der Telekommunikationsnetze oder das Erbringen
von Telekommunikationsdiensten entstehen.
Nach Ansicht der Bundesnetzagentur hat eine Sicherheitsverletzung eindeutig beträchtliche Auswirkungen,
wenn bei dem Kriterium „Anzahl der betroffenen Anschlüsse und / oder Teilnehmer“ die im Abschnitt 3.2 ge-
nannten Schwellen überschritten sind.
Beim Vorliegen dieser Voraussetzungen teilt der Verpflichtete der Bundesnetzagentur die Sicherheitsverletzung
unverzüglich mit. Es ist ausreichend, wenn die Mitteilung ohne schuldhaftes Verzögern des mitteilenden Un-
ternehmens, unter Berücksichtigung der subjektiven Zumutbarkeit für den Mitteilenden, während der üblichen
Geschäftszeiten erfolgt.
2 Definition der Sicherheitsverletzung
Eine Sicherheitsverletzung im Sinne von § 109 Absatz 5 TKG ist eine Beeinträchtigung der Vertraulichkeit, In-
tegrität und Verfügbarkeit von Telekommunikationsnetzen oder Telekommunikationsdiensten.
Die nachfolgenden Abschnitte enthalten hierzu Einzelheiten.
3 Kriterien zur Bewertung und Beschreibung der Sicherheitsverletzung
Die unten aufgeführten Parameter und Schwellen sind angelehnt an die Technical Guideline on Reporting Inci-
dents, Version 1.0 – 2011-12-10“ der Europäischen Agentur für Netz- und Informationssicherheit (ENISA).
1.1 Parameter
Folgende Parameter sollen bei der Bewertung der Sicherheitsverletzung berücksichtigt werden:
- Anzahl der betroffenen Anschlüsse und / oder Teilnehmer
Bonn, 20. März 2013
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
642 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 5 2013
- Dauer der Leistungsminderung
- Geographische Ausbreitung / Region
- Auswirkung auf Notrufanschlüsse
In Fällen, in denen die oben genannten Parameter nicht hinreichend sind, soll der Verpflichtete weitere fallspe-
zifische Parameter zur Bewertung der Sicherheitsverletzung heranziehen. Denkbar ist diesbezüglich z.B. die
Bedeutung eines Anschlussbereiches, eines Versorgungsgebietes oder eines Dienstes im Rahmen eines sen-
siblen Kundensegmentes.
1.1 Schwellen
Nachfolgend sind die Schwellen festgelegt, bei deren Überschreitung davon ausgegangen wird, dass hierdurch
beträchtliche Auswirkungen auf den Betrieb öffentlicher Telekommunikationsnetze oder auf das Erbringen öf-
fentlich zugänglicher Telekommunikationsdienste entstehen.
Von einer mitteilungspflichtigen Sicherheitsverletzung wird ausgegangen, wenn
• in Deutschland die Anzahl der betroffenen Anschlüsse und / oder Teilnehmer des Verpflichteten bezogen
auf die Gesamtzahl der Anschlüsse und / oder Teilnehmer in Deutschland und die erwartete oder tatsächli-
che Dauer der Sicherheitsverletzung innerhalb der Grenzen der schraffierten Fläche der Tabelle 1 liegen.
Bei einer solchen Ausprägung der Sicherheitsverletzung sind anzugeben
- die Anzahl der betroffenen Anschlüsse und / oder Teilnehmer
- die erwartete oder tatsächliche Dauer der Sicherheitsverletzung.
Daneben sollen auch folgende Parameter angegeben werden
- die geographische Ausbreitung / Region und ggf.
- die Auswirkung auf Notrufanschlüsse.
• die Auswirkungen die nationale Grenze überschreiten.
ie Anzahl der betroffenen Anschlüsse und / oder Teilnehmer
- die erwartete oder tatsächliche Dauer der Sicherheitsverletzung
- die geographische Ausbreitung / Region und
- die Auswirkung auf Notrufanschlüsse.
Bonn, 20. März 2013
die geographische Ausbreitung / Region und ggf.
die Auswirkung auf Notrufanschlüsse.
Amtsblatt der Bundesnetzagentur
die Auswirkungen die nationale Grenze überschreiten.
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
5 2013 In diesem Falle sind– Mitteilungen,
alle nachfolgenden Parameter
Telekommunikation, anzugeben
Teil A,
die Anzahl der betroffenen Anschlüsse und / oder Teilnehmer
Mitteilungen der Bundesnetzagentur – 643
die erwartete oder tatsächliche Dauer der Sicherheitsverletzung
die geographische Ausbreitung / Region und
die Auswirkung auf Notrufanschlüsse.
1h<=…<2h 2h<=…<4h 4h<=…<6h 6h<=…<8h >=8h
1%<=…<2%
Anschlüsse / Teilnehmer
2%<=…<5%
Anschlüsse / Teilnehmer
5%<=…<10%
Anschlüsse / Teilnehmer
10%<=…<15%
Anschlüsse / Teilnehmer
>=15%
Anschlüsse / Teilnehmer
Tabelle
Tabelle 1: Kombination der Schwellen
Schwellen
Erläuterung:
Erläuterung:
h = Stunden der Dauer der Sicherheitsverletzung
h = Stunden der Dauer der Sicherheitsverletzung
%% betroffener
betroffener Anschlüsse
Anschlüsse und
und // oder
oderTeilnehmer
Teilnehmer==Prozent
Prozentbetroffener
betroffenerAnschlüsse
Anschlüsseund
und/ /oder
oderTeilnehmer
Teilnehmer
des Verpflichteten bezogen auf die Gesamtzahl der Anschlüsse und / oder Teilnehmer der im Mitteilungsfor-
des Verpflichteten bezogen auf die Gesamtzahl der Anschlüsse und / oder Teilnehmer der im Mitteilungsformu-
mular unter 2.2.2 genannten Dienste in Deutschland. Bei kombinierten Diensteangeboten ist es in der Regel
lar unter 2.2.2 genannten Dienste in Deutschland. Bei kombinierten Diensteangeboten ist es in der Regel aus-
ausreichend, die Gesamtzahl der Anschlüsse im Festnetz-Sprachtelefondienst bzw. die Gesamt-
reichend, die Gesamtzahl der Anschlüsse im Festnetz-Sprachtelefondienst bzw. die Gesamt-Teilnehmerzahl im
Teilnehmerzahl im Mobil- bzw. Sprachtelefondienst heran zu ziehen.
Mobil- bzw. Sprachtelefondienst heran zu ziehen.
Als Quelle dient der Jahresbericht oder Tätigkeitsbericht der Bundesnetzagentur:
Als Quelle dient der Jahresbericht oder Tätigkeitsbericht der Bundesnetzagentur:
http://www.bundesnetzagentur.de/cln_1931/DE/Sachgebiete/Telekommunikation/Marktbeobachtung
http://www.bundesnetzagentur.de/cln_1931/DE/Sachgebiete/Telekommunikation/Marktbeobachtung/
/MarktbeobachtungTK_node.html
MarktbeobachtungTK_node.html
Jahresbericht (Inhaltsverzeichnis: Telekommunikation, Marktentwicklung)
Tätigkeitsbericht (Inhaltsverzeichnis: Abschnitt A Grundzüge der Marktentwicklung)
Jahresbericht (Inhaltsverzeichnis: Telekommunikation, Marktentwicklung)
Tätigkeitsbericht (Inhaltsverzeichnis: Abschnitt A Grundzüge der Marktentwicklung)
1.1 Ursachen einer Sicherheitsverletzung
Die Ursachen einer Sicherheitsverletzung lassen sich im Wesentlichen wie folgt kategorisieren:
• Naturkatastrophe oder Naturerscheinung
• Menschliche Fehlhandlung
• Böswilliger Angriff
• Hardware oder Software Fehler
• Fehler eines Dritten oder externen Beteiligten
Ergänzend können, soweit bekannt, weitere Einzelheiten zur Ursache einer Sicherheitsverletzung mitgeteilt
werden.
Bonn, 20. März 2013
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
644 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 5 2013
3.4 Weitere Angaben zur Sicherheitsverletzung
Als weitere Angaben zur Sicherheitsverletzung sollen folgende Informationen mitgeteilt werden:
• Allgemeine Beschreibung
• Behandlung der Sicherheitsverletzung und Abhilfemaßnahmen
• Nachbereitung der Sicherheitsverletzung
• Betroffene Verbindungen in andere Netze
• Kontaktierte nationale Regulierungsbehörden
• Erkenntnisse zur Verbesserung der Sicherheit
• Weitere Bemerkungen
4 Inhalt der Mitteilung
Die Mitteilung soll enthalten:
• Name, Adresse und Telekontakte des Mitteilenden
• Datum und Uhrzeit der Sicherheitsverletzung
• Angaben über die betroffenen Netze und / oder die betroffenen Dienste
• Angaben zur Sicherheitsverletzung entsprechend den Vorgaben in Abschnitt 3.
4.1 Mitteilungsformen
Die Mitteilung der Sicherheitsverletzung soll schriftlich erfolgen.
Es wird empfohlen, das Formblatt „Mitteilung einer Sicherheitsverletzung“ zu verwenden (siehe Anlage 1).
Das „Infoblatt zur Mitteilung einer Sicherheitsverletzung“ kann als Kurzinformation bzw. Ausfüllhilfe benutzt
werden (siehe Anlage 2).
Wenn das Formblatt „Mitteilung einer Sicherheitsverletzung“ nicht verwendet wird, soll die schriftliche Mitteilung
gleichwertige Angaben enthalten.
Der Verpflichtete kann eine Erstmitteilung aus Zeitmangel oder wegen unvollständigem Informationsstand auf
die gerade vorliegenden Informationen beschränken und die restlichen Angaben zu einem späteren Zeitpunkt
mitteilen.
Die Bundesnetzagentur kann vom Verpflichteten einen detaillierten Bericht über die Sicherheitsverletzung und
die ergriffenen Abhilfemaßnahmen verlangen.
4.2 Mitteilungswege
Die Mitteilung kann
per Post an die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
Referat IS 17
An der Trift 40
66123 Saarbrücken
per E-Mail an Sicherheitsverletzung.109@bnetza.de
per Telefax an 0681 9330-734
erfolgen.
Bonn, 20. März 2013
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
5 2013 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 645
4.3 Vertraulichkeit der Mitteilung
Vorbehaltlich anderer gesetzlicher Vorschriften werden die näheren Umstände der Mitteilung, deren Existenz
und deren Inhalt, von der Bundesnetzagentur vertraulich behandelt.
5 Auswertung der Mitteilung
Die Bundesnetzagentur wertet die Mitteilung der Sicherheitsverletzung aus. Ergibt die Auswertung, dass As-
pekte der Sicherheitsverletzung genauer untersucht werden müssen, verlangt die Bundesnetzagentur vom
Verpflichteten einen detaillierten Bericht über die Sicherheitsverletzung und die ergriffenen Abhilfemaßnahmen.
5.1 Auswerteschema der Bundesnetzagentur
Das Auswerteschema der Bundesnetzagentur orientiert sich an den Festlegungen dieses Umsetzungskonzep-
tes. Das Auswerteschema wird bei zwingendem Bedarf etwaigen Neuerungen angepasst.
6 Unterrichtung anderer Stellen
Erforderlichenfalls unterrichtet die Bundesnetzagentur das Bundesamt für Sicherheit in der Informationstechnik,
die nationalen Regulierungsbehörden der anderen Mitgliedstaaten der Europäischen Union und die Europä-
ische Agentur für Netz- und Informationssicherheit über die Sicherheitsverletzungen.
7 Information der Öffentlichkeit
Die Bundesnetzagentur kann die Öffentlichkeit informieren oder die Verpflichteten zu dieser Unterrichtung auf-
fordern, wenn sie zu dem Schluss gelangt, dass die Bekanntgabe der Sicherheitsverletzung im öffentlichen
Interesse liegt.
8 Jahresbericht über die eingegangenen Mitteilungen und die ergriffenen Abhilfemaßnahmen
Die Bundesnetzagentur legt der Kommission, der Europäischen Agentur für Netz- und Informationssicherheit
und dem Bundesamt für Sicherheit in der Informationstechnik einmal pro Jahr einen zusammenfassenden Be-
richt über die eingegangenen Mitteilungen und die ergriffenen Abhilfemaßnahmen vor. Der zusammenfassende
Bericht macht von der Möglichkeit der Anonymisierung gebrauch.
Anlage 1 Formblatt im originären Langtext anbei
Anlage 2 Infoblatt im originären Langtext anbei
Bonn, 20. März 2013
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
646 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 5 2013
Anlage 1
Mitteilung einer Sicherheitsverletzung nach § 109 Abs 5 TKG
Per Post senden an: Bundesnetzagentur für Elektrizität, Gas,
Telekommunikation, Post und Eisenbahnen
Referat IS 17
An der Trift 40
66123 Saarbrücken
Per E-Mail senden an: Sicherheitsverletzung.109@bnetza.de
Per Telefax senden an: 0681 9330 – 734
1 Angaben zum Mitteilenden
1.1 Name des Unter-
nehmens mit Rechtsform
1.2 Adresse mit Straße,
Haus-Nr., PLZ, Ort
1.3 Ansprechpartner
1.4 E-Mail Adresse
1.5 Telefax-Nr.
1.6 Telefon-Nr.
2 Beschreibung der Sicherheitsverletzung nach den Angaben des Mitteilenden
2.1 Datum und Uhrzeit der Sicherheitsverletzung
Datum: tt.mm.jjjj Uhrzeit: hh.mm
2.2 Betroffene Telekommunikationsnetze und / oder Telekommunikationsdienste
2.2.1 Telekommunikationsnetze (bitte Erläuterungen im Info-Blatt beachten)
Festnetz-Bereiche
Teilnehmerzugangsnetz leitungsgebunden
Teilnehmerzugangsnetz drahtlos
Verbindungsnetz
Netzzusammenschaltungspunkte
Anmerkungen zu Festnetz-Bereiche:
Mobilfunknetz-Bereiche
Zugangsnetz (Luftschnittstelle)
Mobilvermittlungsnetz
Anmerkungen zu Mobilfunknetz-Bereiche:
Andere Netze
Anmerkungen zu Andere Netze:
2.2.2 Telekommunikationsdienste (bitte Erläuterungen im Info-Blatt beachten)
Festnetzdienste
Mobilfunkdienste
Mitteilungsdienste (z.B. SMS, MMS)
Internetzugangsdienste
E-Mail Dienste
Anmerkungen zu Telekommunikationsdienste:
Andere Dienste
Anmerkungen zu Andere Dienste:
Bonn, 20. März 2013
