Die Bundesnetzagentur hat am 07.03.2019 bekannt gegeben, neue Sicherheitsanforderungen für Telekommunikationsnetzbetreiber aufzustellen. Diese erarbeitet sie gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Beauftragten für Datenschutz und Informationsfreiheit des Bundes. Am selben Tag haben das Bundesministerium des Innern und das Bundesministerium für Wirtschaft und Energie entsprechende Pläne zur Änderung des Telekommunikationsgesetzes und des BSI-Gesetzes bekannt gegeben.
Zu den Sicherheitsanforderungen hat sich der Verband der Internetwirtschaft jetzt positioniert und am vergangenen Freitag, den 4. Mai eine Stellungnahme an die Bundesnetzagentur übermittelt.
eco sieht die angekündigten Verschärfungen des Sicherheitskataloges nach § 109 Absatz 6 TKG und die entsprechend angekündigten Änderungen des TKG und des BSI-Gesetzes kritisch. Es gibt keine Tatsachen für fehlende Vertrauenswürdigkeit oder konkrete Vorfälle in der Netz- oder IT-Struktur der TK-Netzbetreiber, welche die ankündigten Verschärfungen geboten erscheinen ließen. Teilweise wirken sich die avisierten Maßnahmen sogar kontraproduktiv auf die IT- Sicherheit aus. Das für 2025 gesetzte Ziel, einer flächendeckenden Gigabitversorgung in Deutschland scheint mit diesen Verschärfungen unerreichbar, mahnt eco.
In Deutschland weisen die TK-Netze bereits jetzt ein sehr hohes Sicherheitsniveau auf. Belastbare Tatsachen für Zweifel an der Integrität von Herstellern oder konkrete Sicherheitsvorfälle, die eine Notwendigkeit der Verschärfung der Sicherheitsanforderungen gegenüber den bisher geltenden aufzeigen, liegen nicht vor. Wären die Änderungen aber bei unveränderter Sachlage erforderlich, also vor der gegenwärtigen Debatte, dann wäre das ein Beleg, dass die agierenden Behörden bisher ihren Aufgaben nicht genügend nachgekommen wären und die IT-Sicherheit der TK-Netze vernachlässigt hätten. Ein sinnvolleres Mittel zum Schutz von Daten ist deren Verschlüsselung, die bei einer Vielzahl von Datenarten rechtlich vorgeschrieben ist (Datenschutz, Finanzsektor, usw.).
Eine Umsetzung der vorgeschlagenen Maßnahmen alle betroffenen Unternehmen finanziell und personell erheblich belasten würde. Diese Belastungen sind nach Ansicht von eco von der öffentlichen Hand zu tragen. Zudem sind zur Wahrung der Verhältnismäßigkeit, sachgerechte und nachvollziehbare Differenzierungskriterien unternehmensbezogen vorzusehen, bspw. Nach Risiko gemessen an Kundenzahl und Unternehmensgröße.
Der skizzierte dreistufige Prüfungsprozess gefährdet die IT-Sicherheit der TK-Netze wegen der offensichtlich daraus folgenden Verzögerungen konkret und generell. Dabei riskiert man das erneute Brechen eines Versprechens bei der Breitbandversorgung und nimmt höhere Preise für alle Endnutzer in Kauf. Dafür steigt im Gegenzug weder das Sicherheitsniveau tatsächlich und signifikant noch erhalten die Endnutzer für die höheren Preise qualitativbessere Leistungen. Folglich hemmt man so die eigene Wirtschafts- und Industriepolitik und gefährdet die Wettbewerbsfähigkeit Deutschlands.
eco sieht dringenden Bedarf für einen harmonisierten Ansatz, in der Art wie von der EU-Kommission empfohlen. Das ist auch im Sinne eines europäischen digitalen Binnenmarktes und somit auch im Interesse der betroffenen Unternehmen.