Sicherheitskonzept TKG §166

Das Telekommunikationsgesetz (TKG) von 2021 verpflichtet Betreiber öffentlicher Telekommunikationsnetze und -dienste in Deutschland zur Erstellung, Pflege und behördlichen Vorlage eines Sicherheitskonzepts. Diese Pflicht ergibt sich aus §166 TKG, der die Mindestanforderungen an technische und organisatorische Schutzmaßnahmen für TK-Infrastrukturen definiert.

Betroffen sind alle Unternehmen, die öffentlich zugängliche TK-Netze betreiben oder öffentlich zugängliche TK-Dienste erbringen – vom klassischen Netzbetreiber über Internetprovider bis hin zu Unternehmen, die Sprach- oder Datendienste für Dritte bereitstellen. Die Pflichten gelten unabhängig von der Unternehmensgröße, obwohl Umfang und Detailtiefe des Sicherheitskonzepts die spezifische Infrastruktur widerspiegeln müssen.

Das Sicherheitskonzept muss der Bundesnetzagentur (BNetzA) auf Verlangen vorgelegt werden und ist im Falle wesentlicher Änderungen an der TK-Infrastruktur zu aktualisieren. Die Behörde kann das Konzept prüfen, Nachbesserungen verlangen und bei fehlender oder unzureichender Vorlage Bußgelder verhängen. Darüber hinaus kann sie Sicherheitsprüfungen und Audits anordnen.

Die TKG-Reform 2021 hat das Telekommunikationsgesetz vollständig neu strukturiert. §109 TKG in der alten Fassung – die zentrale Norm für technische Schutzmaßnahmen bei Telekommunikationsunternehmen – existiert in dieser Form nicht mehr. Mit dem Inkrafttreten des neuen TKG am 1. Dezember 2021 wurden die Pflichten aus §109 TKG alt in §166 TKG neu überführt. Die Kernanforderung ist gleich geblieben: Betreiber öffentlicher Telekommunikationsnetze und -dienste müssen ein Sicherheitskonzept erstellen, pflegen und der Bundesnetzagentur auf Verlangen vorlegen.

Inhaltlich hat die Reform die Anforderungen jedoch verschärft und präzisiert. §166 TKG 2021 schreibt die Schutzziele Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit explizit vor – klarer als der alte §109 TKG. Ergänzt wurden neue Regelungen für kritische Komponenten in §165 TKG sowie verschärfte Meldepflichten in §167 TKG. Wer bisher ein Konzept nach altem §109 TKG hatte, muss prüfen, ob es den Anforderungen des neuen §166 TKG 2021 entspricht.

Für Unternehmen mit einem §109-TKG-Konzept aus der Zeit vor 2021 empfiehlt sich eine gezielte Gap-Analyse gegen die neuen Anforderungen. Blackfort Technology bietet sowohl die Erstellung neuer Konzepte nach §166 TKG als auch die Überarbeitung bestehender §109-TKG-Konzepte an – mit Fokus auf die Neuerungen des TKG 2021 und die Integration mit NIS2-Anforderungen.

Das TKG §166-Sicherheitskonzept muss technische und organisatorische Maßnahmen beschreiben, die die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der TK-Infrastruktur und der darüber übertragenen Daten schützen. Das umfasst Netzarchitektur und Redundanzkonzepte, Maßnahmen zur physischen Absicherung von Netzknoten und Rechenzentren, Zugriffskontrollen und Identitätsmanagement, Incident-Response-Prozesse und Notfallpläne sowie Maßnahmen gegen Abhörversuche und Manipulation.

Besondere Anforderungen gelten für den Einsatz von Komponenten kritischer Infrastrukturen, insbesondere bei Kernnetzkomponenten und bei der Nutzung von Lieferanten, die als potenziell risikoreich eingestuft werden. §165 TKG regelt zudem Sicherheitsanforderungen für den Einsatz kritischer Komponenten in Verbindung mit der Notwendigkeit von Herstellererklärungen.

Die Pflichten aus §166 TKG überschneiden sich erheblich mit den NIS2-Anforderungen, die für TK-Unternehmen als wichtige Einrichtungen gelten. Wir entwickeln Sicherheitskonzepte, die beiden Anforderungsrahmen gerecht werden und vermeiden Doppelarbeit durch eine konsolidierte Dokumentationsstruktur.

Wir beginnen mit einer strukturierten Bestandsaufnahme Ihrer Telekommunikationsnetze und -dienste: Welche Systeme betreiben Sie? Wo liegen die kritischen Knotenpunkte? Welche Drittanbieter sind eingebunden? Auf dieser Basis führen wir eine Risiko- und Gefährdungsanalyse durch, die die spezifische Bedrohungslage Ihrer Infrastruktur identifiziert und bewertet.

Aus der Analyse leiten wir ein abgestimmtes Maßnahmenpaket ab: technische Schutzmaßnahmen wie Verschlüsselung, Netzwerksegmentierung und Monitoring – ergänzt um organisatorische Maßnahmen wie Zugriffskontrollen, Schulungen und Incident-Response-Prozesse. Diese Maßnahmen fließen direkt in das Sicherheitskonzept nach §166 TKG ein, abgestimmt auf die Erwartungen der Bundesnetzagentur.

Am Ende steht die Prüfung durch die Bundesnetzagentur. Wir kennen aus der Begleitung mehrerer TKG-Projekte, welcher Detailgrad gefordert wird und wo Nachbesserungsrisiken liegen. Wir begleiten Sie durch die Einreichung, klären Rückfragen der BNetzA und unterstützen bei der laufenden Aktualisierung des Konzepts.

Die Umsetzungserklärung ist das zentrale Nachweisdokument im Rahmen des TKG §166-Sicherheitskonzepts. Sie belegt gegenüber der Bundesnetzagentur, dass die im Konzept beschriebenen Maßnahmen nicht nur geplant, sondern tatsächlich umgesetzt sind. Die Behörde unterscheidet damit zwischen einem konzeptionellen Dokument und dem Nachweis operativer Wirksamkeit – eine Unterscheidung, die bei Ersteinreichungen häufig unterschätzt wird.

Ein vollständiges Sicherheitskonzept nach TKG §166 deckt zehn Themenbereiche ab: Risikoanalyse und Gefährdungsidentifikation, rechtliche Anforderungen aus TKG und Datenschutzrecht, definierte Sicherheitsziele (Vertraulichkeit, Integrität, Verfügbarkeit), technische Schutzmaßnahmen (Verschlüsselung, Firewall, Patch-Management), organisatorische Maßnahmen (Zugriffskontrollen, Awareness-Schulungen, Incident-Response-Prozesse), regelmäßige Überprüfung und Aktualisierung des Konzepts, Notfallplanung und Incident Response, Monitoring- und Intrusion-Detection-Systeme, Schulungen zum aktuellen Bedrohungslagebild sowie vollständige Dokumentation und Audit-Readiness.

Die Umsetzungserklärung ist das persönliche Bekenntnis der Geschäftsleitung, dass das Sicherheitskonzept nicht nur auf dem Papier existiert, sondern in der Realität auch tatsächlich so umgesetzt wurde. Wir unterstützen Sie bei der Erstellung des Konzepts und begleiten Einreichung, Rückfragen der BNetzA sowie Vor-Ort-Prüfungen.