Sicherheitskonzept TKG §166

Das Telekommunikationsgesetz (TKG) von 2021 verpflichtet Betreiber öffentlicher Telekommunikationsnetze und -dienste in Deutschland zur Erstellung, Pflege und behördlichen Vorlage eines Sicherheitskonzepts. Diese Pflicht ergibt sich aus §166 TKG, der die Mindestanforderungen an technische und organisatorische Schutzmaßnahmen für TK-Infrastrukturen definiert.

Betroffen sind alle Unternehmen, die öffentlich zugängliche TK-Netze betreiben oder öffentlich zugängliche TK-Dienste erbringen – vom klassischen Netzbetreiber über Internetprovider bis hin zu Unternehmen, die Sprach- oder Datendienste für Dritte bereitstellen. Die Pflichten gelten unabhängig von der Unternehmensgröße, obwohl Umfang und Detailtiefe des Sicherheitskonzepts die spezifische Infrastruktur widerspiegeln müssen.

Das Sicherheitskonzept muss der Bundesnetzagentur (BNetzA) auf Verlangen vorgelegt werden und ist im Falle wesentlicher Änderungen an der TK-Infrastruktur zu aktualisieren. Die Behörde kann das Konzept prüfen, Nachbesserungen verlangen und bei fehlender oder unzureichender Vorlage Bußgelder verhängen. Darüber hinaus kann sie Sicherheitsprüfungen und Audits anordnen.

Das TKG §166-Sicherheitskonzept muss technische und organisatorische Maßnahmen beschreiben, die die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der TK-Infrastruktur und der darüber übertragenen Daten schützen. Das umfasst Netzarchitektur und Redundanzkonzepte, Maßnahmen zur physischen Absicherung von Netzknoten und Rechenzentren, Zugriffskontrollen und Identitätsmanagement, Incident-Response-Prozesse und Notfallpläne sowie Maßnahmen gegen Abhörversuche und Manipulation.

Besondere Anforderungen gelten für den Einsatz von Komponenten kritischer Infrastrukturen, insbesondere bei Kernnetzkomponenten und bei der Nutzung von Lieferanten, die als potenziell risikoreich eingestuft werden. §165 TKG regelt zudem Sicherheitsanforderungen für den Einsatz kritischer Komponenten in Verbindung mit der Notwendigkeit von Herstellererklärungen.

Die Pflichten aus §166 TKG überschneiden sich erheblich mit den NIS2-Anforderungen, die für TK-Unternehmen als wichtige Einrichtungen gelten. Wir entwickeln Sicherheitskonzepte, die beiden Anforderungsrahmen gerecht werden und vermeiden Doppelarbeit durch eine konsolidierte Dokumentationsstruktur.

Wir beginnen mit einer Analyse Ihrer TK-Infrastruktur: Welche Netze und Dienste betreiben Sie? Wo liegen die kritischen Knotenpunkte? Welche Drittanbieter und Lieferanten sind involviert? Auf dieser Basis erstellen wir ein Sicherheitskonzept, das die tatsächliche Infrastruktur präzise beschreibt – keine generische Vorlage, sondern ein Dokument, das bei einer Behördenprüfung standhält.

Das Konzept wird auf die spezifischen Anforderungen der Bundesnetzagentur abgestimmt. Wir kennen die Erwartungen der Behörde aus der Begleitung mehrerer TKG-Projekte: Welcher Detailgrad ist erforderlich? Welche Formulierungen werden kritisch gesehen? Wo reicht eine Beschreibung der Maßnahmen, wo wird ein Nachweis der Wirksamkeit erwartet? Dieses Erfahrungswissen beschleunigt den Prozess erheblich.

Nach der Erstellung begleiten wir bei Bedarf die Einreichung bei der Bundesnetzagentur, klären Rückfragen der Behörde und unterstützen bei der laufenden Aktualisierung des Konzepts. Für Unternehmen, die bereits ein Konzept haben, bieten wir auch Review- und Update-Leistungen an – insbesondere nach dem Inkrafttreten des neuen TKG 2021 und im Kontext der NIS2-Umsetzung.

Die Umsetzungserklärung ist das zentrale Nachweisdokument im Rahmen des TKG §166-Sicherheitskonzepts. Sie belegt gegenüber der Bundesnetzagentur, dass die im Konzept beschriebenen Maßnahmen nicht nur geplant, sondern tatsächlich umgesetzt sind. Die Behörde unterscheidet damit zwischen einem konzeptionellen Dokument und dem Nachweis operativer Wirksamkeit – eine Unterscheidung, die bei Ersteinreichungen häufig unterschätzt wird.

Ein vollständiges Sicherheitskonzept nach TKG §166 deckt zehn Themenbereiche ab: Risikoanalyse und Gefährdungsidentifikation, rechtliche Anforderungen aus TKG und Datenschutzrecht, definierte Sicherheitsziele (Vertraulichkeit, Integrität, Verfügbarkeit), technische Schutzmaßnahmen (Verschlüsselung, Firewall, Patch-Management), organisatorische Maßnahmen (Zugriffskontrollen, Awareness-Schulungen, Incident-Response-Prozesse), regelmäßige Überprüfung und Aktualisierung des Konzepts, Notfallplanung und Incident Response, Monitoring- und Intrusion-Detection-Systeme, Schulungen zum aktuellen Bedrohungslagebild sowie vollständige Dokumentation und Audit-Readiness.

In der Praxis zeigt sich: Die Umsetzungserklärung ist der häufigste Grund für Nachbesserungsaufforderungen durch die Bundesnetzagentur. Unternehmen beschreiben Maßnahmen korrekt, versäumen aber den Nachweis ihrer tatsächlichen Implementierung. Wir unterstützen Sie nicht nur bei der Erstellung des Konzepts, sondern auch bei der Formulierung einer Umsetzungserklärung, die bei einer Behördenprüfung standhält – einschließlich Begleitung bei Rückfragen der BNetzA und Unterstützung im Rahmen von Vor-Ort-Prüfungen.