Sicherheit und Integrität von Netzen und Diensten

Aktuelles

Ab dem Jahr 2014 werden neue Schwellwerte herangezogen, nach denen Verpflichtungen zur Mitteilung von Vorfällen an die RTR-GmbH bestehen. Demnach sind auch kurze Störungen, die aber einen größeren Teilnehmerkreis betreffen, der RTR-GmbH mitzuteilen.

Zur Vereinfachung der Eingaben an die RTR-GmbH steht ab sofort im E-Governmentbereich (siehe https://egov.rtr.at) ein Eingabeformular zur Verfügung. Das Word-File, welches am Ende der Seite zum Download bereitsteht, wird bis auf Weiteres ergänzend bestehen bleiben.

Im Bereich der Mitteilungspflicht betreffend Notrufe wurde die Regelung dahingehend klargestellt, dass ein Vorfall jedenfalls der RTR-GmbH mitzuteilen ist, wenn ein Anschluss einer Leitstelle nicht planmäßig erreichbar ist. Ergänzend stehen Beispiele für Meldungen des Ausfalls von Notrufen zur Information zur Verfügung.

Mitteilungen über Vorfälle mit beträchtlichen Auswirkungen auf die Verfügbarkeit von Kommunikationsnetzen oder -diensten

Gemäß § 16a Abs 5 TKG 2003 haben Betreiber öffentlicher Kommunikationsnetze oder -dienste der Regulierungsbehörde Sicherheitsverletzungen oder einen Verlust der Integrität in der von der Regulierungsbehörde vorgeschriebenen Form mitzuteilen, sofern dadurch beträchtliche Auswirkungen auf den Netzbetrieb oder die Dienstebereitstellung eingetreten sind.

Die Regulierungsbehörde orientiert sich bei der Anwendung dieser Bestimmung an den Vorgaben, die in dem von der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) veröffentlichten Dokument Technical Guideline on Incident Reporting festgelegt sind. Dies betrifft insbesondere die Abgrenzung, unter welchen Voraussetzungen die Auswirkungen eines Vorfalls so beträchtlich sind, dass der Vorfall der Regulierungsbehörde mitgeteilt werden muss. Ob eine Mitteilungspflicht besteht, hängt einerseits von der Erreichbarkeit von Notrufnummern, andererseits von der Dauer des Vorfalls und von der Anzahl der betroffenen Teilnehmer in der jeweiligen Dienstekategorie ab, wobei zwischen den Dienstekategorien Festnetztelefonie, Mobiltelefonie, feste und mobile Internetzugänge unterschieden wird.

  • Ein Vorfall ist jedenfalls mitzuteilen, wenn eine Notrufnummer aus einem Kommunikationsnetz für Teilnehmer eines verfügbaren öffentlichen Telefondienstes nicht erreichbar ist.
    Die Nichterreichbarkeit einer Notrufnummer ist auch dann mitzuteilen, wenn der Telefondienst aus Sicht des Teilnehmers nur teilweise verfügbar ist (beispielsweise, wenn für Teilnehmer lediglich einige Rufnummern erreichbar sind, aber zumindest eine Notrufnummer nicht).
    Darüber hinaus ist ein Vorfall auch dann mitzuteilen, wenn der Telefondienst der Notrufleitstelle, an dem ein Notruf terminiert, für passive Gespräche nicht verfügbar ist, unabhängig davon, ob die Notrufnummer (z.B. durch automatische Weiterleitung) erreichbar ist oder nicht.
  • Andernfalls ist ein Vorfall dann mitzuteilen, wenn er mehr als x Stunden dauert und mehr als y Teilnehmer der jeweiligen Dienstekategorie betrifft. Die Werte x (Dauer) und y (Teilnehmeranzahl) ergeben sich dabei aus folgender Tabelle:
Dienstekategorie / Dauer≤ 1 h> 1 h> 2 h> 4 h> 6 h> 8 h> 16 h
Festnetztelefonie1.000.000400.000250.000130.00050.00030.00010.000
Mobiltelefonie1.000.000500.000250.000170.000130.00060.00010.000
Feste Internetzugänge1.000.000320.000210.000110.00040.00020.00010.000
Mobile Internetzugänge1.000.000500.000250.000170.000110.00050.00010.000

Beispiel: Dauert der Ausfall eines Festnetz-Telefoniedienstes 1:45 Stunden, so ist der Wert in der Spalte „> 1 h” anzuwenden. Der Ausfall ist also der Regulierungsbehörde mitzuteilen, wenn mehr als 400.000 Teilnehmer davon betroffen sind.

Beispiele für Meldepflichten betreffend Vorfällen, die Notrufnummern betreffen, stehen am Ende der Seite zum Download zur Verfügung.

Für die Mitteilung an die Regulierungsbehörde steht ab sofort im E-Governmentbereich der RTR-GmbH (siehe https://egov.rtr.at) ein elektronisches Formular zur Verfügung. Dieses kann bei Bedarf auch zu einem späteren Zeitpunkt (etwa wenn detailliertere Informationen vorliegen) ergänzt werden.

Alternativ kann für die Meldung an die RTR-GmbH das von dieser Seite aus abrufbare Formular verwendet werden. Die Mitteilung hat per E-Mail an die Adresse nis@rtr.at zu erfolgen.

Eine Mitteilung ist jedenfalls unverzüglich bei Auftreten eines Vorfalles einzubringen, damit die Regulierungsbehörde ohne Aufschub tätig werden kann. Informationen, die zum Zeitpunkt der Mitteilung noch nicht verfügbar sind, können zu einem späteren Zeitpunkt nachgereicht werden.

Maßnahmen zur Gewährleistung der Sicherheit und der Integrität von Netzen und Diensten

Gemäß § 16a Abs 1 TKG 2003 haben Betreiber öffentlicher Kommunikationsnetze geeignete Maßnahmen zur Gewährleistung der Integrität ihrer Netze zu ergreifen und die fortlaufende Verfügbarkeit der über diese Netze erbrachten Dienste sicher zu stellen. Gemäß § 16a Abs 2 TKG 2003 haben Betreiber öffentlicher Kommunikationsnetze oder -dienste unter Berücksichtigung des Standes der Technik durch angemessene technische und organisatorische Maßnahmen ein Sicherheitsniveau zu gewährleisten, das zur Beherrschung der Risiken für die Netzsicherheit geeignet ist. Die Maßnahmen müssen insbesondere geeignet sein, Auswirkungen von Sicherheitsverletzungen für Nutzer und zusammengeschaltete Netze zu vermeiden bzw. so gering wie möglich zu halten.

Mit diesen Vorschriften werden Bestimmungen des Unionsrechts in österreichisches Recht umgesetzt. Zur Konkretisierung dieser Bestimmungen hat die ENISA gemeinsam mit den Mitgliedstaaten der EU das Dokument Technical Guideline for Minimum Security Measures verfasst, das die zu ergreifenden Maßnahmen in verschiedene Bereiche und Teilbereiche gliedert. Betreibern wird empfohlen, sich bei der Auswahl ihrer Sicherheitsmaßnahmen an diesem Dokument zu orientieren.

Gemäß § 16a Abs 9 TKG 2003 legt der Bundesminister für Verkehr, Innovation und Technologie nach Anhörung der Regulierungsbehörde unter Bedachtnahme auf die relevanten internationalen Vorschriften mit Verordnung die näheren Bestimmungen zur Umsetzung des § 16a fest. Da die Technical Guideline for Minimum Security Measures die Harmonisierung des Sicherheitsniveaus zum Ziel hat und von den Mitgliedstaaten der EU getragen wird, ist zu erwarten, dass der Inhalt des Dokuments in einer Verordnung des BMVIT nach § 16a Abs 9 TKG 2003 berücksichtigt wird.

Mitteilungen über Verletzungen des Schutzes personenbezogener Daten

Nach Art 2 Abs 1 u 2 VO (EU) 2013/611 der Europäischen Kommission vom 24.06.2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (Datenschutzrichtlinie für elektronische Kommunikation) sind Betreiber elektronischer Kommunikationsdienste bei einer Verletzung des Schutzes personenbezogener Daten verpflichtet, binnen 24 Stunden nach Feststellung der Verletzung die zuständige nationale Behörde (das ist nach § 95a TKG 2003 die Datenschutzbehörde, dsb@dsb.gv.at, +43 1 531 15-202525, 1010 Wien, Hohenstaufengasse 3) zu informieren. Die Mitteilung an die Datenschutzbehörde hat die in Anhang I der genannten VO angeführten Angaben zu enthalten.

Ist anzunehmen, dass durch die Verletzung des Schutzes personenbezogener Daten die personenbezogenen Daten eines Teilnehmers oder einer Person oder deren Privatsphäre beeinträchtigt werden, so benachrichtigt der Betreiber gemäß Art 3 Abs 1 VO (EU) 2013/611 ohne unangemessene Verzögerung nach Feststellung der Verletzung zusätzlich den betroffenen Teilnehmer bzw die betroffene Person. Eine Benachrichtigung des Teilnehmers von der Verletzung kann gemäß Art 4 Abs 1 der VO entfallen,  wenn der Betreiber zur Zufriedenheit der zuständigen nationalen Behörde nachgewiesen hat, dass er geeignete technische Schutzmaßnahmen getroffen hat und diese auf die von der Sicherheitsverletzung betroffenen Daten angewendet wurden.

Datensicherheitsmaßnahmen

§ 95 Abs 1 TKG 2003 verpflichtet Betreiber öffentlicher Kommunikationsdienste zur Erlassung von Datensicherheitsmaßnahmen für jeden der von ihnen erbrachten Dienste. Besteht ein besonderes Risiko zur Verletzung der Vertraulichkeit, so hat der Betreiber den Teilnehmer nach § 95 Abs 2 TKG 2003  über dieses Risiko und – wenn das Risiko außerhalb des Anwendungsbereichs der vom Betreiber zu treffenden Maßnahmen liegt – über mögliche Abhilfen einschließlich deren Kosten zu unterrichten. Darüber hinaus haben Betreiber öffentlicher Kommunikationsdienste durch Datensicherheitsmaßnahmen gemäß § 95 Abs 3 TKG 2003 Folgendes zu gewährleisten:

  • die Sicherstellung, dass nur ermächtigte Personen für rechtlich zulässige Zwecke Zugang zu personenbezogenen Daten erhalten,
  • den Schutz gespeicherter oder übermittelter personenbezogener Daten vor unbeabsichtigter odser unrechtmäßiger Zerstörung, unbeabsichtigtem Verlust odert unbeabsichtigter Veränderung und unbefugter oder unrechtmäßiger Speicherung oder Verarbeitung, unbefugtem oder unberechtigtem Zugang  oder unbefugter oder unrechtmäßiger Weitergabe,
  • die Umsetzung eines Sicherheitskonzepts für die Verarbeitung personenbezogener Daten.

Die von Betreibern öffentlicher Kommunikationsdienste getroffenen Datensicherheitsmaßnahmen kann die RTR-GmbH als zuständige Regulierungsbehörde gemäß § 95 Abs 3 TKG 2003 prüfen und Empfehlungen in Bezug auf das zu erreichende Sicherheitsniveau abgeben. Zur Prüfung der getroffenen Datensicherheitsmaßnahmen kann die RTR-GmbH den Betreiber zur Erteilung der erforderlichen Auskünfte gemäß § 90 TKG 2003 auffordern.

Downloads

Links