Skip to content
rawpixel-703123-unsplash
18 September 2017

Telecommunications service providers get more authorities for more IT-security

In summer 2017, the German legislature has fully implemented the European Directive on Network and Information Security. In addition to transposing the  European minimal standards, the German lawmaker adopted new competences for telecommunications service providers allowing them to step up to the current cyber security threat level.

Die Lage in der Cyber-Sicherheit ist weiter angespannt. Zahlreiche Vorfälle veranlassen Unternehmen und Gesetzgeber zu Überlegungen auch im rechtlichen Umgang mit Risiken und Gefahren. So denkt Microsoft nach der WannaCry-Attacke über eine Genfer Konvention für die digitale Welt nach, um zivile Schäden durch IT-Schwachstellen zu vermeiden. Der deutsche Gesetzgeber hat die im Sommer 2016 in Kraft getretene NIS-Richtlinie, die auf europäischer Ebene den bestehenden rechtlichen Rahmen für die IT-Sicherheit vor allem von Online-Marktplätzen, Suchmaschinen und Cloud-Computing-Diensten erweitert, im Sommer 2017 abschließend in deutsches Recht umgesetzt.

Mit der Umsetzung der NIS-Richtlinie sind zusätzliche gesetzliche Änderungen in Kraft getreten, die nicht durch das europäische Recht veranlasst waren. Diese Neuregelungen im Telekommunikationsgesetz (TKG) erweitern die Befugnisse von Telekommunikationsunternehmen zur Stärkung der Internetsicherheit. Anbieter sollen besser auf Störungen reagieren können und so die IT-Sicherheit netzseitig verbessern. Hervorzuheben sind insbesondere bessere Möglichkeiten zur Störungserkennung, zur Nutzerinformation sowie zur Beschränkung des Internetverkehrs zur Abwehr von Gefahren.

Analyse des Internetverkehrs

Viele Gefahren aus dem Internet können nur durch die Analyse des Datenverkehrs erkannt werden. So kann etwa durch die Analyse des Datenverkehrs Botnetz-Kommunikation erkannt werden. Durch frühzeitige Detektion solcher Gefahren können rechtzeitig Gegenmaßnahmen ergriffen werden. Aufgrund der erforderlichen Eingriffe in die Kommunikation sind dafür jedoch Rechtsgrundlagen erforderlich. Da die geltenden Vertragsbedingungen in der Praxis häufig keine belastbare Grundlage sind, braucht es gesetzliche Befugnisse. So erlaubt § 100 Abs. 1 S. 1 TKG Telekommunikationsdiensteanbietern, Bestands- und Verkehrsdaten zu erheben und zu verwenden, um Störungen zu erkennen und abzuwehren.

Mit der Erweiterung des § 100 Abs. 1 S. 1 TKG um die Kategorie der „Steuerdaten eines informationstechnischen Protokolls“ ist es Providern nunmehr beispielsweise möglich, neben den IP-Headern von Verkehrsdaten wie die IP-Adressen auch die Kopfdaten der genutzten Dienste anderer Schichten des OSI-Modells zu analysieren. Denkbar ist daher etwa die Auswertung von HTTP-Headern, um zunehmend komplexer werdende Angriffe wie Level-7-Attacken in Form von HTTP Floods erkennen zu können.

Da Kommunikationsinhalte definitorisch nicht Bestandteil der Steuerdaten sein sollen, sind jedoch solche Analysen zum Schutz des Fernmeldegeheimnisses unzulässig, die nicht unabhängig vom Inhalt eines Kommunikationsvorgangs übertragen werden. Eine Deep Packet Inspection im Sinne einer Durchsicht der inhaltsbezogenen Datenpakete ist auf der neuen Grundlage nicht erlaubt. Dies kann etwa bei der Auswertung von bei HTTP-Header-Feldern zu Konflikten führen, soweit diese Aufschluss über den Inhalt der Kommunikation geben können. Demnach sind solche Analysen auf Grundlage der erweiterten Befugnis unzulässig, die Informationen über den Inhalt der Kommunikation von Menschen betreffen. Aufgrund der Sensibilität dieser Maßnahmen hat der Gesetzgeber flankierende Verfahren zum Datenschutz eingeführt. So besteht eine Löschpflicht und eine strikte Zweckbestimmung für die erhobenen Daten.

Umleitung des Internetverkehrs zur Abwehr von Cyberangriffen

Gehen von Nutzern Störungen aus, kann es zu deren Schutz erforderlich sein, deren Datenverkehr zu unterbinden. Dies ist vor allem dann der Fall, wenn Nutzer Teil eines Botnetzes sind und Schaden anrichten. In der Praxis stellt sich das Problem, dass Nutzer trotz des Befalls mit Schadsoftware nicht die entsprechenden Abhilfemaßnahmen durchführen, obwohl sie darauf durch die Anbieter hingewiesen werden. Mit Blick auf dieses Problem erlaubt es der neu eingeführte § 109a Abs. 4 S. 3 TKG den Diensteanbietern nunmehr, den Datenverkehr von und zu einem Nutzer zum Zwecke der Nutzerinformation innerhalb der eigenen Netze umzuleiten (sog. Sinkholing). Die Umleitung muss die Benachrichtigung des Nutzers bezwecken, sodass der Nutzer etwa auf Warnseiten umgeleitet werden kann.

Sperrung und Filterung des Internetverkehrs von Nutzern

Für den Fall einer vorliegenden Störung bei den Telekommunikationsanbietern oder den Nutzern erlaubt der neu eingeführte §109a Abs. 5 TKG, den Datenverkehr einzuschränken, umzuleiten oder zu unterbinden. Durch diese weitreichende Befugnis kann der Datenstrom gefiltert werden, um legitime von schadbehafteter Kommunikation zu trennen. Wegen der Eingriffstiefe stehen solche Maßnahmen unter dem Vorbehalt, dass der von der Maßnahme betroffene Nutzer trotz vorheriger Information, etwa über die Umleitung seines Verkehrs auf Informationsseiten, die Störung nicht selbst beseitigt oder die unverzügliche Beseitigung durch ihn selbst nicht zu erwarten ist. Eine unverzügliche Beseitigung durch den Nutzer selbst soll insbesondere dann nicht zu erwarten sein, wenn der Nutzer tatsächlich nicht benachrichtigt werden kann, etwa weil die Störung von netzseitig nicht identifizierbaren internetfähigen Geräten (Internet der Dinge) ausgeht. Hintergrund dieser Regelung sind die gehäuft vorkommenden Fälle, in denen solche Geräte als Teil eines Botnetzes für schwerwiegende Angriffe auf fremde Systeme missbraucht werden. Mit der neuen Befugnis kann die Verbindung zum Command-and-Control-Server eines Botnetzes im erforderlichen Fall unterbunden werden.

Im Hinblick auf zukünftige, vermeidbare Störungen der Telekommunikations- und Datenverarbeitungssysteme der Nutzer dürfen Diensteanbieter auf Grundlage des neu eingeführten § 109a Abs. 6 TKG den Datenverkehr zu Störungsquellen einschränken und unterbinden. Dem Gesetzgeber schwebte hier die Konstellation von Angriffen über modulare Angriffswerkzeuge vor. Dies sind vor allem Infektionen von Systemen über Schadprogamme (Dropper), die erst durch einen weiteren Schritt, etwa durch das Nachladen der E-Mail-Anhänge von Servern, zu einer Störung führen. Durch die nunmehr erlaubten Maßnahmen können beispielsweise Verbindungen zu Servern, auf die Daten unbefugt ausgeleitet werden (Dropzones), oder zu Servern, die Schadsoftware verteilen, verhindert werden.

Beobachtung der Entwicklung

Mit der Novelle sind die Anbieter und Nutzer naturgemäß nicht vor allen Bedrohungen gefeit. Weiterhin klärungsbedürftig sind Fragen der Verantwortung von Hardware- und Softwareherstellern. Hier ist aber ein europäisches Vorgehen vorzugswürdig, um harmonisierte Vorgaben zu erreichen. Die neuen Regelungen im Telekommunikationsgesetz sind als inkrementelle Verbesserung allerdings vor dem Hintergrund der Sicherheitslage und den weiterhin regelmäßigen Meldungen kritischer Vorfälle zu begrüßen. Sicherlich wird die Anwendung der neuen Vorschriften im Einzelfall Fragen aufwerfen. Die Unternehmen, Behörden und Datenschützer haben daher die Aufgabe, die Anwendung und Wirksamkeit der Befugnisse zu beobachten und auf bestehenden Änderungsbedarf hinzuweisen. Der Rechtswissenschaft obliegt die begriffliche Klärung und Systematisierung der zahlreichen neuen Regelungen, um dem Gesetzgeber beizeiten zu ermöglichen, die nötige Kohärenz in dem sich weiter herausbildende Recht der IT-Sicherheit zu schaffen.

This post represents the view of the author and does not necessarily represent the view of the institute itself. For more information about the topics of these articles and associated research projects, please contact info@hiig.de.

This post represents the view of the author and does not necessarily represent the view of the institute itself. For more information about the topics of these articles and associated research projects, please contact info@hiig.de.

Hannfried Leisterer, Dr.

Former associate doctoral Researcher: Global Constitutionalism and the Internet

Explore Research issue in focus

Du siehst eine Tastatur auf der eine Taste rot gefärbt ist und auf der „Control“ steht. Eine bildliche Metapher für die Regulierung von digitalen Plattformen im Internet und Data Governance. You see a keyboard on which one key is coloured red and says "Control". A figurative metaphor for the regulation of digital platforms on the internet and data governance.

Data governance

We develop robust data governance frameworks and models to provide practical solutions for good data governance policies.
Du siehst eine Bibliothek mit einer runden Treppe die sich in die höhe schraubt. Sie steht sinnbildlich für die sich stetig weiterentwickelnden digitalen Infrastrukturen unserer Wissensgesellschaft. You see a library with a round staircase that spirals upwards. It symbolises the constantly evolving digital infrastructures of our knowledge society.

Open higher education

We explore the use of open higher education & edtech to create, share and disseminate knowledge for all in our knowledge society.

Sign up for HIIG's Monthly Digest

and receive our latest blog articles.

Further articles

two Quechuas, sitting on green grass and looking at their smartphones, symbolising What are the indigenous perspectives of digitalisation? Quechuas in Peru show openness, challenges, and requirements to grow their digital economies

Exploring digitalisation: Indigenous perspectives from Puno, Peru

What are the indigenous perspectives of digitalisation? Quechuas in Peru show openness, challenges, and requirements to grow their digital economies.

eine mehrfarbige Baumlandschaft von oben, die eine bunte digitale Publikationslandschaft symbolisiert

Diamond OA: For a colourful digital publishing landscape

The blog post raises awareness of new financial pitfalls in the Open Access transformation and proposes a collaborative funding structure for Diamond OA in Germany.

a pile of crumpled up newspapers symbolising the spread of disinformation online

Disinformation: Are we really overestimating ourselves?

How aware are we of the effects and the reach of disinformation online and does the public discourse provide a balanced picture?