Making sense of our connected world
Telecommunications service providers get more authorities for more IT-security
In summer 2017, the German legislature has fully implemented the European Directive on Network and Information Security. In addition to transposing the European minimal standards, the German lawmaker adopted new competences for telecommunications service providers allowing them to step up to the current cyber security threat level.
Die Lage in der Cyber-Sicherheit ist weiter angespannt. Zahlreiche Vorfälle veranlassen Unternehmen und Gesetzgeber zu Überlegungen auch im rechtlichen Umgang mit Risiken und Gefahren. So denkt Microsoft nach der WannaCry-Attacke über eine Genfer Konvention für die digitale Welt nach, um zivile Schäden durch IT-Schwachstellen zu vermeiden. Der deutsche Gesetzgeber hat die im Sommer 2016 in Kraft getretene NIS-Richtlinie, die auf europäischer Ebene den bestehenden rechtlichen Rahmen für die IT-Sicherheit vor allem von Online-Marktplätzen, Suchmaschinen und Cloud-Computing-Diensten erweitert, im Sommer 2017 abschließend in deutsches Recht umgesetzt.
Mit der Umsetzung der NIS-Richtlinie sind zusätzliche gesetzliche Änderungen in Kraft getreten, die nicht durch das europäische Recht veranlasst waren. Diese Neuregelungen im Telekommunikationsgesetz (TKG) erweitern die Befugnisse von Telekommunikationsunternehmen zur Stärkung der Internetsicherheit. Anbieter sollen besser auf Störungen reagieren können und so die IT-Sicherheit netzseitig verbessern. Hervorzuheben sind insbesondere bessere Möglichkeiten zur Störungserkennung, zur Nutzerinformation sowie zur Beschränkung des Internetverkehrs zur Abwehr von Gefahren.
Analyse des Internetverkehrs
Viele Gefahren aus dem Internet können nur durch die Analyse des Datenverkehrs erkannt werden. So kann etwa durch die Analyse des Datenverkehrs Botnetz-Kommunikation erkannt werden. Durch frühzeitige Detektion solcher Gefahren können rechtzeitig Gegenmaßnahmen ergriffen werden. Aufgrund der erforderlichen Eingriffe in die Kommunikation sind dafür jedoch Rechtsgrundlagen erforderlich. Da die geltenden Vertragsbedingungen in der Praxis häufig keine belastbare Grundlage sind, braucht es gesetzliche Befugnisse. So erlaubt § 100 Abs. 1 S. 1 TKG Telekommunikationsdiensteanbietern, Bestands- und Verkehrsdaten zu erheben und zu verwenden, um Störungen zu erkennen und abzuwehren.
Mit der Erweiterung des § 100 Abs. 1 S. 1 TKG um die Kategorie der „Steuerdaten eines informationstechnischen Protokolls“ ist es Providern nunmehr beispielsweise möglich, neben den IP-Headern von Verkehrsdaten wie die IP-Adressen auch die Kopfdaten der genutzten Dienste anderer Schichten des OSI-Modells zu analysieren. Denkbar ist daher etwa die Auswertung von HTTP-Headern, um zunehmend komplexer werdende Angriffe wie Level-7-Attacken in Form von HTTP Floods erkennen zu können.
Da Kommunikationsinhalte definitorisch nicht Bestandteil der Steuerdaten sein sollen, sind jedoch solche Analysen zum Schutz des Fernmeldegeheimnisses unzulässig, die nicht unabhängig vom Inhalt eines Kommunikationsvorgangs übertragen werden. Eine Deep Packet Inspection im Sinne einer Durchsicht der inhaltsbezogenen Datenpakete ist auf der neuen Grundlage nicht erlaubt. Dies kann etwa bei der Auswertung von bei HTTP-Header-Feldern zu Konflikten führen, soweit diese Aufschluss über den Inhalt der Kommunikation geben können. Demnach sind solche Analysen auf Grundlage der erweiterten Befugnis unzulässig, die Informationen über den Inhalt der Kommunikation von Menschen betreffen. Aufgrund der Sensibilität dieser Maßnahmen hat der Gesetzgeber flankierende Verfahren zum Datenschutz eingeführt. So besteht eine Löschpflicht und eine strikte Zweckbestimmung für die erhobenen Daten.
Umleitung des Internetverkehrs zur Abwehr von Cyberangriffen
Gehen von Nutzern Störungen aus, kann es zu deren Schutz erforderlich sein, deren Datenverkehr zu unterbinden. Dies ist vor allem dann der Fall, wenn Nutzer Teil eines Botnetzes sind und Schaden anrichten. In der Praxis stellt sich das Problem, dass Nutzer trotz des Befalls mit Schadsoftware nicht die entsprechenden Abhilfemaßnahmen durchführen, obwohl sie darauf durch die Anbieter hingewiesen werden. Mit Blick auf dieses Problem erlaubt es der neu eingeführte § 109a Abs. 4 S. 3 TKG den Diensteanbietern nunmehr, den Datenverkehr von und zu einem Nutzer zum Zwecke der Nutzerinformation innerhalb der eigenen Netze umzuleiten (sog. Sinkholing). Die Umleitung muss die Benachrichtigung des Nutzers bezwecken, sodass der Nutzer etwa auf Warnseiten umgeleitet werden kann.
Sperrung und Filterung des Internetverkehrs von Nutzern
Für den Fall einer vorliegenden Störung bei den Telekommunikationsanbietern oder den Nutzern erlaubt der neu eingeführte §109a Abs. 5 TKG, den Datenverkehr einzuschränken, umzuleiten oder zu unterbinden. Durch diese weitreichende Befugnis kann der Datenstrom gefiltert werden, um legitime von schadbehafteter Kommunikation zu trennen. Wegen der Eingriffstiefe stehen solche Maßnahmen unter dem Vorbehalt, dass der von der Maßnahme betroffene Nutzer trotz vorheriger Information, etwa über die Umleitung seines Verkehrs auf Informationsseiten, die Störung nicht selbst beseitigt oder die unverzügliche Beseitigung durch ihn selbst nicht zu erwarten ist. Eine unverzügliche Beseitigung durch den Nutzer selbst soll insbesondere dann nicht zu erwarten sein, wenn der Nutzer tatsächlich nicht benachrichtigt werden kann, etwa weil die Störung von netzseitig nicht identifizierbaren internetfähigen Geräten (Internet der Dinge) ausgeht. Hintergrund dieser Regelung sind die gehäuft vorkommenden Fälle, in denen solche Geräte als Teil eines Botnetzes für schwerwiegende Angriffe auf fremde Systeme missbraucht werden. Mit der neuen Befugnis kann die Verbindung zum Command-and-Control-Server eines Botnetzes im erforderlichen Fall unterbunden werden.
Im Hinblick auf zukünftige, vermeidbare Störungen der Telekommunikations- und Datenverarbeitungssysteme der Nutzer dürfen Diensteanbieter auf Grundlage des neu eingeführten § 109a Abs. 6 TKG den Datenverkehr zu Störungsquellen einschränken und unterbinden. Dem Gesetzgeber schwebte hier die Konstellation von Angriffen über modulare Angriffswerkzeuge vor. Dies sind vor allem Infektionen von Systemen über Schadprogamme (Dropper), die erst durch einen weiteren Schritt, etwa durch das Nachladen der E-Mail-Anhänge von Servern, zu einer Störung führen. Durch die nunmehr erlaubten Maßnahmen können beispielsweise Verbindungen zu Servern, auf die Daten unbefugt ausgeleitet werden (Dropzones), oder zu Servern, die Schadsoftware verteilen, verhindert werden.
Beobachtung der Entwicklung
Mit der Novelle sind die Anbieter und Nutzer naturgemäß nicht vor allen Bedrohungen gefeit. Weiterhin klärungsbedürftig sind Fragen der Verantwortung von Hardware- und Softwareherstellern. Hier ist aber ein europäisches Vorgehen vorzugswürdig, um harmonisierte Vorgaben zu erreichen. Die neuen Regelungen im Telekommunikationsgesetz sind als inkrementelle Verbesserung allerdings vor dem Hintergrund der Sicherheitslage und den weiterhin regelmäßigen Meldungen kritischer Vorfälle zu begrüßen. Sicherlich wird die Anwendung der neuen Vorschriften im Einzelfall Fragen aufwerfen. Die Unternehmen, Behörden und Datenschützer haben daher die Aufgabe, die Anwendung und Wirksamkeit der Befugnisse zu beobachten und auf bestehenden Änderungsbedarf hinzuweisen. Der Rechtswissenschaft obliegt die begriffliche Klärung und Systematisierung der zahlreichen neuen Regelungen, um dem Gesetzgeber beizeiten zu ermöglichen, die nötige Kohärenz in dem sich weiter herausbildende Recht der IT-Sicherheit zu schaffen.
This post represents the view of the author and does not necessarily represent the view of the institute itself. For more information about the topics of these articles and associated research projects, please contact info@hiig.de. |
This post represents the view of the author and does not necessarily represent the view of the institute itself. For more information about the topics of these articles and associated research projects, please contact info@hiig.de.
You will receive our latest blog articles once a month in a newsletter.
Open higher education
Why access rights to platform data for researchers restrict, not promote, academic freedom
New German and EU digital laws grant researchers access rights to platform data, but narrow definitions of research risk undermining academic freedom.
Empowering workers with data
As workplaces become data-driven, can workers use people analytics to advocate for their rights? This article explores how data empowers workers and unions.
Two years after the takeover: Four key policy changes of X under Musk
This article outlines four key policy changes of X since Musk’s 2022 takeover, highlighting how the platform's approach to content moderation has evolved.