In summer 2017, the German legislature has fully implemented the European Directive on Network and Information Security. In addition to transposing the \u00a0European minimal standards, the German lawmaker adopted new competences for telecommunications service providers allowing them to step up to the current cyber security threat level.<\/i><\/p>\n
Die Lage in der Cyber-Sicherheit ist weiter angespannt. Zahlreiche Vorf\u00e4lle veranlassen Unternehmen und Gesetzgeber zu \u00dcberlegungen auch im rechtlichen Umgang mit Risiken und Gefahren. So denkt Microsoft nach der WannaCry-Attacke \u00fcber eine <\/span>Genfer Konvention f\u00fcr die digitale Welt<\/span><\/a> nach, um zivile Sch\u00e4den durch IT-Schwachstellen zu vermeiden. Der deutsche Gesetzgeber hat die im Sommer 2016 in Kraft getretene <\/span>NIS-Richtlinie<\/span><\/a>, die auf europ\u00e4ischer Ebene den bestehenden rechtlichen Rahmen f\u00fcr die IT-Sicherheit vor allem von Online-Marktpl\u00e4tzen, Suchmaschinen und Cloud-Computing-Diensten erweitert, im Sommer 2017 abschlie\u00dfend in deutsches Recht <\/span>umgesetzt<\/span><\/a>.<\/span><\/p>\n Mit der Umsetzung der NIS-Richtlinie sind zus\u00e4tzliche gesetzliche \u00c4nderungen in Kraft getreten, die nicht durch das europ\u00e4ische Recht veranlasst waren. Diese Neuregelungen im Telekommunikationsgesetz (TKG) erweitern die Befugnisse von Telekommunikationsunternehmen zur St\u00e4rkung der Internetsicherheit. Anbieter sollen besser auf St\u00f6rungen reagieren k\u00f6nnen und so die IT-Sicherheit netzseitig verbessern. Hervorzuheben sind insbesondere bessere M\u00f6glichkeiten zur St\u00f6rungserkennung, zur Nutzerinformation sowie zur Beschr\u00e4nkung des Internetverkehrs zur Abwehr von Gefahren.<\/span><\/p>\n Viele Gefahren aus dem Internet k\u00f6nnen nur durch die Analyse des Datenverkehrs erkannt werden. So kann etwa durch die Analyse des Datenverkehrs Botnetz-Kommunikation erkannt werden. Durch fr\u00fchzeitige Detektion solcher Gefahren k\u00f6nnen rechtzeitig Gegenma\u00dfnahmen ergriffen werden. Aufgrund der erforderlichen Eingriffe in die Kommunikation sind daf\u00fcr jedoch Rechtsgrundlagen erforderlich. Da die geltenden Vertragsbedingungen in der Praxis h\u00e4ufig keine belastbare Grundlage sind, braucht es gesetzliche Befugnisse. So erlaubt \u00a7 100 Abs. 1 S. 1 TKG Telekommunikationsdiensteanbietern, Bestands- und Verkehrsdaten zu erheben und zu verwenden, um St\u00f6rungen zu erkennen und abzuwehren.<\/span><\/p>\n Mit der Erweiterung des \u00a7 100 Abs. 1 S. 1 TKG um die Kategorie der \u201eSteuerdaten eines informationstechnischen Protokolls\u201c ist es Providern nunmehr beispielsweise m\u00f6glich, neben den IP-Headern von Verkehrsdaten wie die IP-Adressen auch die Kopfdaten der genutzten Dienste anderer Schichten des OSI-Modells zu analysieren. Denkbar ist daher etwa die Auswertung von HTTP-Headern, um zunehmend komplexer werdende Angriffe wie Level-7-Attacken in Form von HTTP Floods erkennen zu k\u00f6nnen.<\/span><\/p>\n Da Kommunikationsinhalte definitorisch nicht Bestandteil der Steuerdaten sein sollen, sind jedoch solche Analysen zum Schutz des Fernmeldegeheimnisses unzul\u00e4ssig, die nicht unabh\u00e4ngig vom Inhalt eines Kommunikationsvorgangs \u00fcbertragen werden. Eine Deep Packet Inspection im Sinne einer Durchsicht der inhaltsbezogenen Datenpakete ist auf der neuen Grundlage nicht erlaubt. Dies kann etwa bei der Auswertung von bei HTTP-Header-Feldern zu Konflikten f\u00fchren, soweit diese Aufschluss \u00fcber den Inhalt der Kommunikation geben k\u00f6nnen. Demnach sind solche Analysen auf Grundlage der erweiterten Befugnis unzul\u00e4ssig, die Informationen \u00fcber den Inhalt der Kommunikation von Menschen betreffen. Aufgrund der Sensibilit\u00e4t dieser Ma\u00dfnahmen hat der Gesetzgeber flankierende Verfahren zum Datenschutz eingef\u00fchrt. So besteht eine L\u00f6schpflicht und eine strikte Zweckbestimmung f\u00fcr die erhobenen Daten.<\/span><\/p>\n Gehen von Nutzern St\u00f6rungen aus, kann es zu deren Schutz erforderlich sein, deren Datenverkehr zu unterbinden. Dies ist vor allem dann der Fall, wenn Nutzer Teil eines Botnetzes sind und Schaden anrichten. In der Praxis stellt sich das Problem, dass Nutzer trotz des Befalls mit Schadsoftware nicht die entsprechenden Abhilfema\u00dfnahmen durchf\u00fchren, obwohl sie darauf durch die Anbieter hingewiesen werden. Mit Blick auf dieses Problem erlaubt es der neu eingef\u00fchrte \u00a7 109a Abs. 4 S. 3 TKG den Diensteanbietern nunmehr, den Datenverkehr von und zu einem Nutzer zum Zwecke der Nutzerinformation innerhalb der eigenen Netze umzuleiten (sog. Sinkholing). Die Umleitung muss die Benachrichtigung des Nutzers bezwecken, sodass der Nutzer etwa auf Warnseiten umgeleitet werden kann.<\/span><\/p>\n F\u00fcr den Fall einer vorliegenden St\u00f6rung bei den Telekommunikationsanbietern oder den Nutzern erlaubt der neu eingef\u00fchrte \u00a7109a Abs. 5 TKG, den Datenverkehr einzuschr\u00e4nken, umzuleiten oder zu unterbinden. Durch diese weitreichende Befugnis kann der Datenstrom gefiltert werden, um legitime von schadbehafteter Kommunikation zu trennen. Wegen der Eingriffstiefe stehen solche Ma\u00dfnahmen unter dem Vorbehalt, dass der von der Ma\u00dfnahme betroffene Nutzer trotz vorheriger Information, etwa \u00fcber die Umleitung seines Verkehrs auf Informationsseiten, die St\u00f6rung nicht selbst beseitigt oder die unverz\u00fcgliche Beseitigung durch ihn selbst nicht zu erwarten ist. Eine unverz\u00fcgliche Beseitigung durch den Nutzer selbst soll insbesondere dann nicht zu erwarten sein, wenn der Nutzer tats\u00e4chlich nicht benachrichtigt werden kann, etwa weil die St\u00f6rung von netzseitig nicht identifizierbaren internetf\u00e4higen Ger\u00e4ten (Internet der Dinge) ausgeht. Hintergrund dieser Regelung sind die geh\u00e4uft vorkommenden F\u00e4lle, in denen solche Ger\u00e4te als Teil eines Botnetzes f\u00fcr schwerwiegende Angriffe auf fremde Systeme missbraucht werden. Mit der neuen Befugnis kann die Verbindung zum Command-and-Control-Server eines Botnetzes im erforderlichen Fall unterbunden werden.<\/span><\/p>\n Im Hinblick auf zuk\u00fcnftige, vermeidbare St\u00f6rungen der Telekommunikations- und Datenverarbeitungssysteme der Nutzer d\u00fcrfen Diensteanbieter auf Grundlage des neu eingef\u00fchrten \u00a7 109a Abs. 6 TKG den Datenverkehr zu St\u00f6rungsquellen einschr\u00e4nken und unterbinden. Dem Gesetzgeber schwebte hier die Konstellation von Angriffen \u00fcber modulare Angriffswerkzeuge vor. Dies sind vor allem Infektionen von Systemen \u00fcber Schadprogamme (Dropper), die erst durch einen weiteren Schritt, etwa durch das Nachladen der E-Mail-Anh\u00e4nge von Servern, zu einer St\u00f6rung f\u00fchren. Durch die nunmehr erlaubten Ma\u00dfnahmen k\u00f6nnen beispielsweise Verbindungen zu Servern, auf die Daten unbefugt ausgeleitet werden (Dropzones), oder zu Servern, die Schadsoftware verteilen, verhindert werden.<\/span><\/p>\n Mit der Novelle sind die Anbieter und Nutzer naturgem\u00e4\u00df nicht vor allen Bedrohungen gefeit. Weiterhin kl\u00e4rungsbed\u00fcrftig sind Fragen der Verantwortung von Hardware- und Softwareherstellern. Hier ist aber ein europ\u00e4isches Vorgehen vorzugsw\u00fcrdig, um harmonisierte Vorgaben zu erreichen. Die neuen Regelungen im Telekommunikationsgesetz sind als inkrementelle Verbesserung allerdings vor dem Hintergrund der Sicherheitslage und den weiterhin regelm\u00e4\u00dfigen Meldungen kritischer Vorf\u00e4lle zu begr\u00fc\u00dfen. Sicherlich wird die Anwendung der neuen Vorschriften im Einzelfall Fragen aufwerfen. Die Unternehmen, Beh\u00f6rden und Datensch\u00fctzer haben daher die Aufgabe, die Anwendung und Wirksamkeit der Befugnisse zu beobachten und auf bestehenden \u00c4nderungsbedarf hinzuweisen. Der Rechtswissenschaft obliegt die begriffliche Kl\u00e4rung und Systematisierung der zahlreichen neuen Regelungen, um dem Gesetzgeber beizeiten zu erm\u00f6glichen, die n\u00f6tige Koh\u00e4renz in dem sich weiter herausbildende Recht der IT-Sicherheit zu schaffen.<\/span><\/p>\nAnalyse des Internetverkehrs<\/h3>\n
Umleitung des Internetverkehrs zur Abwehr von Cyberangriffen<\/h3>\n
Sperrung und Filterung des Internetverkehrs von Nutzern<\/h3>\n
Beobachtung der Entwicklung<\/b><\/h3>\n
\n\n
\n This post represents the view of the author and does not necessarily represent the view of the institute itself. For more information about the topics of these articles and associated research projects, please contact\u00a0info@hiig.de<\/a>.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n