Die Lage in der Cyber-Sicherheit ist weiter angespannt. Zahlreiche Vorfälle veranlassen Unternehmen und Gesetzgeber zu Überlegungen auch im rechtlichen Umgang mit Risiken und Gefahren. So denkt Microsoft nach der WannaCry-Attacke über eine Genfer Konvention für die digitale Welt nach, um zivile Schäden durch IT-Schwachstellen zu vermeiden. Der deutsche Gesetzgeber hat die im Sommer 2016 in Kraft getretene NIS-Richtlinie, die auf europäischer Ebene den bestehenden rechtlichen Rahmen für die IT-Sicherheit vor allem von Online-Marktplätzen, Suchmaschinen und Cloud-Computing-Diensten erweitert, im Sommer 2017 abschließend in deutsches Recht umgesetzt.

Mit der Umsetzung der NIS-Richtlinie sind zusätzliche gesetzliche Änderungen in Kraft getreten, die nicht durch das europäische Recht veranlasst waren. Diese Neuregelungen im Telekommunikationsgesetz (TKG) erweitern die Befugnisse von Telekommunikationsunternehmen zur Stärkung der Internetsicherheit. Anbieter sollen besser auf Störungen reagieren können und so die IT-Sicherheit netzseitig verbessern. Hervorzuheben sind insbesondere bessere Möglichkeiten zur Störungserkennung, zur Nutzerinformation sowie zur Beschränkung des Internetverkehrs zur Abwehr von Gefahren.

Analyse des Internetverkehrs

Viele Gefahren aus dem Internet können nur durch die Analyse des Datenverkehrs erkannt werden. So kann etwa durch die Analyse des Datenverkehrs Botnetz-Kommunikation erkannt werden. Durch frühzeitige Detektion solcher Gefahren können rechtzeitig Gegenmaßnahmen ergriffen werden. Aufgrund der erforderlichen Eingriffe in die Kommunikation sind dafür jedoch Rechtsgrundlagen erforderlich. Da die geltenden Vertragsbedingungen in der Praxis häufig keine belastbare Grundlage sind, braucht es gesetzliche Befugnisse. So erlaubt § 100 Abs. 1 S. 1 TKG Telekommunikationsdiensteanbietern, Bestands- und Verkehrsdaten zu erheben und zu verwenden, um Störungen zu erkennen und abzuwehren.

Mit der Erweiterung des § 100 Abs. 1 S. 1 TKG um die Kategorie der „Steuerdaten eines informationstechnischen Protokolls“ ist es Providern nunmehr beispielsweise möglich, neben den IP-Headern von Verkehrsdaten wie die IP-Adressen auch die Kopfdaten der genutzten Dienste anderer Schichten des OSI-Modells zu analysieren. Denkbar ist daher etwa die Auswertung von HTTP-Headern, um zunehmend komplexer werdende Angriffe wie Level-7-Attacken in Form von HTTP Floods erkennen zu können.

Da Kommunikationsinhalte definitorisch nicht Bestandteil der Steuerdaten sein sollen, sind jedoch solche Analysen zum Schutz des Fernmeldegeheimnisses unzulässig, die nicht unabhängig vom Inhalt eines Kommunikationsvorgangs übertragen werden. Eine Deep Packet Inspection im Sinne einer Durchsicht der inhaltsbezogenen Datenpakete ist auf der neuen Grundlage nicht erlaubt. Dies kann etwa bei der Auswertung von bei HTTP-Header-Feldern zu Konflikten führen, soweit diese Aufschluss über den Inhalt der Kommunikation geben können. Demnach sind solche Analysen auf Grundlage der erweiterten Befugnis unzulässig, die Informationen über den Inhalt der Kommunikation von Menschen betreffen. Aufgrund der Sensibilität dieser Maßnahmen hat der Gesetzgeber flankierende Verfahren zum Datenschutz eingeführt. So besteht eine Löschpflicht und eine strikte Zweckbestimmung für die erhobenen Daten.

Umleitung des Internetverkehrs zur Abwehr von Cyberangriffen

Gehen von Nutzern Störungen aus, kann es zu deren Schutz erforderlich sein, deren Datenverkehr zu unterbinden. Dies ist vor allem dann der Fall, wenn Nutzer Teil eines Botnetzes sind und Schaden anrichten. In der Praxis stellt sich das Problem, dass Nutzer trotz des Befalls mit Schadsoftware nicht die entsprechenden Abhilfemaßnahmen durchführen, obwohl sie darauf durch die Anbieter hingewiesen werden. Mit Blick auf dieses Problem erlaubt es der neu eingeführte § 109a Abs. 4 S. 3 TKG den Diensteanbietern nunmehr, den Datenverkehr von und zu einem Nutzer zum Zwecke der Nutzerinformation innerhalb der eigenen Netze umzuleiten (sog. Sinkholing). Die Umleitung muss die Benachrichtigung des Nutzers bezwecken, sodass der Nutzer etwa auf Warnseiten umgeleitet werden kann.

Sperrung und Filterung des Internetverkehrs von Nutzern

Für den Fall einer vorliegenden Störung bei den Telekommunikationsanbietern oder den Nutzern erlaubt der neu eingeführte §109a Abs. 5 TKG, den Datenverkehr einzuschränken, umzuleiten oder zu unterbinden. Durch diese weitreichende Befugnis kann der Datenstrom gefiltert werden, um legitime von schadbehafteter Kommunikation zu trennen. Wegen der Eingriffstiefe stehen solche Maßnahmen unter dem Vorbehalt, dass der von der Maßnahme betroffene Nutzer trotz vorheriger Information, etwa über die Umleitung seines Verkehrs auf Informationsseiten, die Störung nicht selbst beseitigt oder die unverzügliche Beseitigung durch ihn selbst nicht zu erwarten ist. Eine unverzügliche Beseitigung durch den Nutzer selbst soll insbesondere dann nicht zu erwarten sein, wenn der Nutzer tatsächlich nicht benachrichtigt werden kann, etwa weil die Störung von netzseitig nicht identifizierbaren internetfähigen Geräten (Internet der Dinge) ausgeht. Hintergrund dieser Regelung sind die gehäuft vorkommenden Fälle, in denen solche Geräte als Teil eines Botnetzes für schwerwiegende Angriffe auf fremde Systeme missbraucht werden. Mit der neuen Befugnis kann die Verbindung zum Command-and-Control-Server eines Botnetzes im erforderlichen Fall unterbunden werden.

Im Hinblick auf zukünftige, vermeidbare Störungen der Telekommunikations- und Datenverarbeitungssysteme der Nutzer dürfen Diensteanbieter auf Grundlage des neu eingeführten § 109a Abs. 6 TKG den Datenverkehr zu Störungsquellen einschränken und unterbinden. Dem Gesetzgeber schwebte hier die Konstellation von Angriffen über modulare Angriffswerkzeuge vor. Dies sind vor allem Infektionen von Systemen über Schadprogamme (Dropper), die erst durch einen weiteren Schritt, etwa durch das Nachladen der E-Mail-Anhänge von Servern, zu einer Störung führen. Durch die nunmehr erlaubten Maßnahmen können beispielsweise Verbindungen zu Servern, auf die Daten unbefugt ausgeleitet werden (Dropzones), oder zu Servern, die Schadsoftware verteilen, verhindert werden.

Beobachtung der Entwicklung

Mit der Novelle sind die Anbieter und Nutzer naturgemäß nicht vor allen Bedrohungen gefeit. Weiterhin klärungsbedürftig sind Fragen der Verantwortung von Hardware- und Softwareherstellern. Hier ist aber ein europäisches Vorgehen vorzugswürdig, um harmonisierte Vorgaben zu erreichen. Die neuen Regelungen im Telekommunikationsgesetz sind als inkrementelle Verbesserung allerdings vor dem Hintergrund der Sicherheitslage und den weiterhin regelmäßigen Meldungen kritischer Vorfälle zu begrüßen. Sicherlich wird die Anwendung der neuen Vorschriften im Einzelfall Fragen aufwerfen. Die Unternehmen, Behörden und Datenschützer haben daher die Aufgabe, die Anwendung und Wirksamkeit der Befugnisse zu beobachten und auf bestehenden Änderungsbedarf hinzuweisen. Der Rechtswissenschaft obliegt die begriffliche Klärung und Systematisierung der zahlreichen neuen Regelungen, um dem Gesetzgeber beizeiten zu ermöglichen, die nötige Kohärenz in dem sich weiter herausbildende Recht der IT-Sicherheit zu schaffen.

Dieser Beitrag spiegelt die Meinung des Autors und der Autorin und weder notwendigerweise noch ausschließlich die Meinung des Institutes wider. Für mehr Informationen zu den Inhalten dieser Beiträge und den assoziierten Forschungsprojekten kontaktieren Sie bitte info|a|hiig.de.
Share

Ein Gedanke zu “Mehr Befugnisse für Telekommunikationsanbieter für mehr IT-Sicherheit

  1. Christian_Kel

    Die Gesetzesnovelle ist in Anbetracht der aktuellen Sicherheitslage und des immer stärker voranschreitenden digitalen Wandels sicherlich sinnvoll und zu begrüßen. Wie im Text beschrieben, lassen sich aus dem Datenverkehr einige Rückschlüsse über Bedrohungen schließen. Die netz-seitige Absicherung ist aber nur eine Seite der Medaillie. Die andere ist der Nutzer bzw. genauer gesagt der Endpoint im Datenstrom. Hier gibt in meinen Augen 2 Aspekte die zu beachten sind. Einerseits Aufklärung über Risiken in der IT. Es muss ein Bewusstsein über die Datenströme und die Digitalisierung insgesamt geschaffen werden. Wir stehen in diesem Aspekt sicherlich erst am Anfang eines Prozesses. Andererseits geht es schlicht und einfach um Absicherung der Endpoints. Hier sind vor allem Unternehmen gefragt sich zu informieren und entsprechend abzusichern. Passende Dienstleister gibt es zu hauf, Protea Networks ( https://www.proteanetworks.de/ ) aus München ist hier nur ein Beispiel. Diese Absicherung geht aber mit dem ersten Punkt einher. Nur wenn ein Bewusstsein über die Risiken und Gefahren besteht, kann gezielte Absicherung erfolgen. Die netz-seitige Absicherung ist ein erster Schritt. Die Politik ist hier gefragt, das Bewusstsein zu stärken.

    Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.