Richtig melden : Synergien bei Meldepflichten zu IT-Sicherheit und Datenschutz nutzen

Lösungsansatz per Excel

Zur systematischen Prüfung möglicher gesetzlicher Meldepflichten und -wege wurde dazu eine Excel-Datei erstellt, die Anwender durch alle relevanten Fragestellungen führt. Als Ergebnis liefert sie eine Mitteilung, ob Meldepflichten bestehen, sowie Unterstützung bei der Ausführung der Meldung. Diese Datei sowie die im Folgenden behandelten Beispiele stehen für <kes>-Leser unter www.kes.info/meldewesen/ kostenlos zum Download bereit. Für jede Prüfung sollte man eine neue Kopie dieser Datei verwenden, die dann gleichzeitig zur Dokumentation des gesamten Meldevorgangs dienen kann.

Folgender Ablauf ist zur Prüfung von Meldepflichten im Falle eines Incidents vorgesehen:

• Im ersten Arbeitsschritt werden zunächst alle mit dem Vorfall in Zusammenhang stehenden Informationen dokumentiert: zum Beispiel Art und Dauer einer Störung.
• Anschließend erfolgt die Prüfung, ob der Vorfall in Bezug auf die verschiedenen Meldeverpflichtungen relevant ist. Als Ergebnis dieser Prüfung wird auf ein oder mehrere Arbeitsblätter der Excel-Datei verwiesen, je nachdem bei welchen Gesetzen eine Meldepflicht besteht.
• Bei jedem Gesetz, für das eine Meldepflicht festgestellt wurde, findet der Anwender Verweise auf die entsprechenden Formulare, um so eine gesetzeskonforme Meldung durchzuführen.

Wie der praktische Ablauf der Prüfung eines Vorfalls genau aussieht, wird nachfolgend anhand von drei Beispielen ausführlich beschrieben.

Beispiel 1: Ausfall eines Cloud-Dienstes

Szenario: Aufgrund eines Cyberangriffs kommt es zu einem Systemausfall in drei Rechenzentren (RZ) eines Anbieters von Cloud-Diensten mit Sitz in Frankfurt – die betroffenen RZ befinden sich in der Schweiz, in Deutschland und Großbritannien. Der RZ-Ausfall wird um 10:00 Uhr bemerkt, um 10:20 Uhr gehen die ersten Anrufe von zwei betroffenen Kunden ein. Bis die Störung behoben und der RZ-Betrieb vollständig wiederhergestellt ist, dauert es insgesamt 8 Stunden. Die Auswirkungen auf die Kunden zeigt Tabelle 2 – beide Kunden melden, dass im Übrigen kein unerlaubter Zugriff auf personenbezogene Daten stattgefunden hat.

Prüfung auf Meldeverpflichtung: In der Excel-Datei wird eine generelle Beschreibung des Vorfalls abgefragt, die man für die systematische Analyse des Vorfalls benötigt. Anbieter digitaler Dienste (hier: Clouddienste) müssen einen Sicherheitsvorfall unter bestimmten Bedingungen an das BSI melden. Grundsätzlich besteht eine Meldepflicht bei allen Sicherheitsvorfällen, die erhebliche Auswirkungen auf die Bereitstellung eines innerhalb der Europäischen Union erbrachten digitalen Diensts haben. Sicherheitsvorfälle mit keiner oder nur geringer Auswirkung oder wenn ein digitaler Dienst nicht in der EU erbracht wird (wesentlich ist die Hauptniederlassung des Anbieters), müssen nicht gemeldet werden.

Zur Prüfung, wann ein Sicherheitsvorfall erheblich ist, muss mindestens einer der folgenden Fälle vorliegen:

• Der bereitgestellte Dienst war mehr als 5 000 000 Nutzerstunden lang nicht verfügbar, wobei sich dies ausschließlich auf Nutzer in der EU bezieht.
• Der Sicherheitsvorfall führt zu einem Verlust von Integrität, Authentizität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten von mehr als 100 000 Nutzern innerhalb der EU.
• Durch den Sicherheitsvorfall ist eine Gefahr für das öffentliche Leben oder ein Risiko für die öffentliche Sicherheit entstanden oder es sind Menschen ums Leben gekommen.
• Der Sicherheitsvorfall hat bei mindestens einem Nutzer in der EU einen Sachschaden von mehr als 1.000.000 € verursacht.

Im beschriebenen Beispiel entsteht eine Meldepflicht nach § 8c Absatz 3 BSIG an das BSI, da zum einen nicht ausgeschlossen werden kann, dass durch den Produktionsausfall beim Kunden A ein Risiko für die öffentliche Sicherheit entstanden ist. Weiterhin ist bei Kunde B ein Sachschaden von mehr als 1.000.000 € entstanden.

Erweiterung um Verletzung personenbezogener Daten

Wären im beschriebenen Beispiel durch den Cyberangriff auch personenbezogene Daten betroffen (z. B. Personaldaten bei
Kunde A), entstünde zusätzlich eine Meldepflicht nach § 13 Absatz 7 Telemediengesetz (TMG) sowie eine Meldepflicht nach Artikel 33 DSGVO (vgl. Abb. 1). Sofern es sich bei den ausgefallenen Rechenzentren in Deutschland um Serverfarmen handelt, besteht zusätzlich noch eine Meldepflicht nach § 8b BSIG. In diesem Fall hat innerhalb von 72 Stunden auch eine Meldung an den Datenschutzbeauftragten des jeweiligen Bundeslandes beziehungsweise den Bundesdatenschutzbeauftragten zu erfolgen.

Beispiel 2: pandemiebedingte Personal-Ausfälle

Szenario: In einem Rechenzentrum (RZ) fallen die Objektschützer und das Team der Gebäudeleittechnik (GLT-Team) durch eine Pandemie aus. Hierzu sind im Folgenden drei mögliche Eskalationsstufen beschrieben, die jeweils hinsichtlich einer möglichen Meldepflicht an eine oder mehrere Behörden geprüft werden.

Stufe 1:

• Der Zutritt zum Rechenzentrumsbereich wird für alle Kunden komplett gesperrt.
• Eine Überwachung direkter Messwerte wie Temperaturen, Feuchtigkeit und Betriebszustände von Anlagenteilen (z. B. Störmeldungen, Schalterstellungen und Motoren) ist nicht mehr gewährleistet – das gilt auch für Zugangskontrollsysteme und Brandmeldezentrale (BMZ), da sie mit der Gebäudeleittechnik verbunden sind.

Die kritische Dienstleistung des betrachteten RZ (Housing) ist es, eine geeignete Umgebung für den Betrieb von Kundenservern bereitzustellen. Die Dienstleistung umfasst, dass der Kunde zu seinen Systemen gelangen kann und die Temperatur sowie weitere Messwerte und Betriebszustände überwacht werden. Geschieht dies nicht, ist die Funktionsfähigkeit der kritischen Infrastruktur (qualitativ) beeinträchtigt. Da hier gleich mehrere Kernprozesse (Zugangskontrolle und Überwachung der angebotenen Dienstleistung) betroffen sind, kann es sich um eine erhebliche Beeinträchtigung handeln.

Auch der Fall der erheblichen Störung der IT-Systeme, Komponenten und Prozesse ist gegeben, da die IT-Prozesse aufgrund des fehlenden Personals nicht aufrechterhalten werden können. Eine Nicht-Behandlung dieser Störung könnte mit hoher Wahrscheinlichkeit weiterführende negative Auswirkungen haben (z. B. zu hohe Temperatur, unerkannter Brand etc.).

Prüfung auf Meldepflichten: Wird auf die Situation nicht reagiert, ist somit von einer erheblichen IT-Störung auszugehen, die entsprechend zu einer erheblichen Beeinträchtigung der kritischen Infrastruktur führen könnte. Auf dieser Basis führt eine Prüfung auf Meldepflicht durch die Beantwortung der Fragen des Fragenkataloges der Excel-Datei zu einer Meldeverpflichtung nach § 8b BSIG.

Im Housing-RZ sind jedoch Techniker darin geschult, auf solche Ausfälle zu reagieren: Von der Zutrittskontrolle über die Erfassung von Temperatur und Feuchte sowie der Prüfung von Betriebszuständen direkt vor Ort bis hin zur Unterstützung der Kunden (z. B. beim Ersatz ausgefallener Hardware) können die Techniker Aufgaben der ausgefallenen Mitarbeiter übernehmen. Unter diesen Voraussetzungen ergibt eine Prüfung zur Meldepflicht in diesem Stadium daher noch keine Meldeverpflichtung.

Stufe 2:

• Durch den Ausfall der Objektschützer bei gleichzeitiger Verpflichtung das Rechenzentrum als kritische Infrastruktur „online“ zu halten, müssen Mitarbeiter aus dem operativen Bereich Aufgaben der Objektschützer übernehmen.

Die Objektschützer haben zur Erfüllung ihrer Aufgaben Zugriff auf diverse Dateien mit personenbezogenen Daten. Darunter fällt auch eine Liste mit Personen (Kunden, Dienstleister und Mitarbeiter), die aufgrund erhöhter Körpertemperatur (und damit Verdacht auf eine Infektion) vorläufig für den Zutritt ins Rechenzentrum gesperrt sind. Des Weiteren haben diese Mitarbeiter Zugriff auf die Kamerasysteme und damit auf die Aufzeichnungen der letzten 90 Tage.

Mitarbeiter von Sicherheitsdienstleistern (Objektschützer) haben eine Garantenstellung; aus diesem Grund muss sich jeder, der als Objektschützer tätig sein will, einer Prüfung durch das lokale Ordnungsamt unterziehen. Die Mitarbeiter der Technik, die in diesem Fall einspringen, haben diese Prüfung jedoch nicht durchlaufen. Auch eine spezielle Vereinbarung zur Vertraulichkeit, die über die im Arbeitsvertrag festgelegte Regelvereinbarung hinausgeht, wurde mit diesem „Ersatzpersonal“ nicht geschlossen.

Prüfung auf Meldepflichten: Gesundheitsdaten zählen zu den besonderen Kategorien personenbezogener Daten, deren Verarbeitung besonders reglementiert sind. Das Erfassen von Personen, die erhöhte Körpertemperatur aufweisen, erfolgt über eine ausdrückliche Einwilligung. Diese Entscheidung der betroffenen Personen, kann durch die Garantenstellung der Objektschützer beeinflusst worden sein. Eine ungeprüfte Übernahme dieser Listen durch das technische Personal erscheint daher unzulässig.

Eine vergleichbare Betrachtung gilt auch für den Einsatz der Kamerasysteme: Die Rechtmäßigkeit ihres Einsatzes wird üblicherweise über Artikel 6 Absatz 1 lit. f DSGVO begründet. Der Einsatz von Objektschützern gibt große Sicherheit gegen Missbrauch und verringert somit das zu betrachtende Risiko für die Betroffenen. Dementsprechend erhöht sich das Risiko für die Betroffenen, wenn technisches Personal diese Aufgabe übernimmt, sodass vorher die gesetzlich geforderte Abwägung nach Artikel 6 Absatz 1 lit. f zu erfolgen hat.

Beides begründet jedoch noch keine unverzügliche Meldung an die Datenschutzbehörde nach Artikel 33 DSGVO (Meldepflichten) – auch außerhalb der DSGVO zeigen sich bis zu dieser Eskalationsstufe noch keine Meldepflichten.

Stufe 3:

• Ein Mitarbeiter spielt dem betrieblichen Datenschutzbeauftragten (DSB) einen Videoausschnitt zu: Aufgenommen mit einer Kamera des Überwachungskamerasystems (CCTV) zeigt er einige gut identifizierbare Personen, wie sie im Rechenzentrum einen „Flachmann“ herumreichen.
• Im Augenblick bleibt unklar, wer für die Aufnahme verantwortlich ist und ob das Video verbreitet wurde (evtl. an andere Einzelpersonen oder gar in sozialen Netzwerken).

Bei der Überprüfung der Situation stellt der DSB fest, dass der CCTV-Server mit dem globalen Firmennetz verbunden wurde, um eine Überwachung auch von anderen Standorten und sogar vom Ausland aus zu ermöglichen. Begründung: Das Personal vor Ort hat nicht die Befähigung, das System korrekt zu bedienen, geschweige denn, es zu administrieren. Es besteht somit die technische Möglichkeit, dass Überwachungsaufgaben von Objektschützern in den USA erfüllt wurden, und es scheint, dass das System durch einen Systemadministrator in England betreut wurde.

Prüfung auf Meldepflichten: Durch die missbräuchliche Nutzung des CCTV-Systems liegt ein Datenschutzverstoß vor. Aufgrund der kompromittierenden Situation der betroffenen Personen ist davon auszugehen, dass ein Risiko für die Rechte und Freiheiten der betroffenen Personen vorliegt (unabhängig von eventuellen disziplinarischen Folgen für die Handlung der Betroffenen). Damit handelt es sich um einen meldepflichtigen Vorgang nach Artikel 33 DSGVO – je nach den genauen Umständen ist außerdem von einer Benachrichtigungspflicht an die betroffenen Personen gemäß Artikel 34 DSGVO auszugehen.

Inwieweit ein weiterer Datenschutzverstoß durch die Einbindung des CCTV in das globale Firmen-Netzwerk hinzukommt, hängt von Umständen ab, die in einem nächsten Schritt zu prüfen sind: Wie wird sichergestellt, dass ausschließlich berechtigte Personen Zugriff erlangen können? Welche vertraglichen Konstellationen existieren – zum Beispiel zwischen Konzerngesellschaften, die Zugriff in das Firmennetz haben, mit Personen, denen Zugriff auf die Daten ermöglicht wird? Wie ist sichergestellt, dass die „Rückführung“ der Verantwortlichkeit mit einem Löschen der Accounts der Ersatzmannschaft verbunden ist?

Auch weitere Fragen, etwa ob es eine Risikoabschätzung gegen die Interessen oder Grundrechte/-freiheiten der Betroffenen gibt, sind zu prüfen. Eine detaillierte Analyse kann hier jedoch nicht erfolgen, da sie den Rahmen dieses Artikels sprengen würde. Das gilt auch für andere gesetzliche Anforderungen, die in allen beschriebenen Fällen ebenfalls eine Rolle spielen können – zum Beispiel, ob das betrachtete Unternehmen einen Betriebsrat hat. In diesem Falle wäre zu prüfen, ob die geltende Betriebsvereinbarung zur Installation und Nutzung von Überwachungskameras einer Datenübermittlung ins Ausland nicht sogar grundsätzlich widerspricht – somit wären auch Mitbestimmungsrechte aus § 87 Absatz 1 Nummer 6 und 7 BetrVG verletzt.

Zur Entscheidung, ob zusätzlich ein meldepflichtiger Verstoß nach dem BSIG vorliegt, ist die genaue Kenntnis des einschlägigen Branchenstandards (B3S) hilfreich. Im Gegensatz zu den obigen Ausführungen, bei denen es um die Meldepflicht eines Vorfalls geht, handelt es sich bei der Prüfung zum B3S und § 8a Absatz 1 BSIG um eine Meldepflicht zu einer Änderung der Infrastruktur im Rahmen von Nachweisen.

Der Branchenstandard (B3S) für Housing/Hosting geht bei der Beschreibung der KRITIS-Schutzziele für Housing davon aus, dass die betriebsrelevanten Systeme in lokalen Netzwerken verbunden sind und auch lokal gesteuert werden (www. kritis.bund.de/SubSites/Kritis/DE/ Publikationen/Sektorspezifisch/IKT/ B3S_IKT.html). Die Wahrscheinlichkeit eines Cyberangriffs ist so minimiert. Dies ist allerdings nicht explizit aufgeführt, sodass ein Szenario, in dem betriebsrelevante Systeme aus dem Ausland gesteuert werden, nicht per se dem B3S oder den Vorgaben von § 8a Absatz 1 BSIG widerspricht.

Allerdings verändert sich die Risikosituation für die kritische Infrastruktur im Vergleich zu einer rein lokalen Vernetzung derart, dass sie vorab beurteilt werden müsste: Das Szenario einer Pandemie ist daher vorab im Rahmen der durchzuführenden Risikoanalyse zu betrachten, um zu verstehen, wie sich diese Änderungen auf die Erfüllung von § 8a Absatz 1 BSIG auswirken. Die Forderung lautet, dass Betreiber kritischer Infrastrukturen jederzeit angemessene Maßnahmen unter Einhaltung des „Stands der Technik“ ergreifen müssen – auch direkt nach der geschilderten Änderung aufgrund einer Pandemie. Andernfalls handelt der Betreiber ordnungswidrig, was mit einem Bußgeld nach § 14 BSIG geahndet werden kann.

Eine derartige Änderung der Architektur/Infrastruktur muss dem BSI zwar nicht mitgeteilt werden. Im Rahmen der nächsten Nachweiserbringung nach § 8a BSIG, würde sie jedoch auffallen und (sofern dadurch § 8a Absatz 1 BSIG nicht mehr vollständig erfüllt ist) zu Abweichungen führen, die dem BSI in einem Mängelbericht mitzuteilen wären. Spätestens dann würden also Fragen bezüglich der Absicherung aufkommen.

Sollte es durch diese Änderung hingegen zu erheblichen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der IT-Systeme, -Komponenten oder -Prozesse kommen, die zu einer Beeinträchtigung der kritischen Infrastruktur führen könnte, kommt eine umgehende Meldepflicht im Sinne von § 8b BSIG in Betracht.

Beispiel 3: Ransomware-Angriff

Szenario: Durch den E-Mail-Anhang einer vorgetäuschten Bewerbung kommt es in der HR-Abteilung eines Hosting-Unternehmens zu einem erfolgreichen Ransomware-Angriff (Verschlüsselungstrojaner). Dieser Anbieter betreibt zwei kritische Infrastrukturen (Autoritative-DNS-Server sowie Serverfarm) und einen öffentlichen TK-Dienst (E-Mail).

Aufgrund einer unzureichenden Netzwerkseparation breitet sich die Schadsoftware im Unternehmen aus und verschlüsselt wichtige operative Systeme. Infolgedessen kommt es zu einem kurzzeitigen Ausfall des DNS, was zu einer Reihe von weiteren Beeinträchtigungen des Hosters führt. Neben einem Teilausfall der IT-Hosting-Infrastruktur (kritische Infrastruktur Serverfarm), aufgrund dessen einige virtuelle Kundeninstanzen nicht mehr erreichbar sind, gibt es auch Verbindungsprobleme zu den Kunden-Mailsystemen. Das Hosting-Unternehmen kann innerhalb einiger Stunden erforderliche Backups der operativen Systeme wieder einspielen und die Systeme auf einen funktionierenden Zustand zurücksetzen.

Prüfung der Meldepflicht: Betreiber kritischer Infrastrukturen müssen Sicherheitsvorfälle an das BSI melden. Da es sich beim beschriebenen Fall um einen Komplettausfall des Autoritative-DNS-Servers handelt, ist das Schutzziel „Verfügbarkeit“ des Systems betroffen und der Ausfall muss unabhängig von Dauer und Auswirkungen an das BSI gemeldet werden (§ 8b Abs. 4 BSIG).

Durch ein vorgeschaltetes DNS-Caching kommt es im Beispielfall durch den Verschlüsselungstrojaner lediglich zu einem Teilausfall der kritischen Infrastruktur „Serverfarm“. Daher muss bei der zugehörigen Meldeverpflichtung die Erheblichkeit der Beeinträchtigung evaluiert werden: Gemäß BSI kann von einer erheblichen Beeinträchtigung ausgegangen werden, wenn eine große Anzahl von Nutzern oder Geschäftsprozessen betroffen ist oder die Auswirkungen öffentliche Aufmerksamkeit auf sich ziehen. Es gibt hierbei keine klar definierte Meldeschwelle und der IT-Hoster muss somit beispielsweise die Erheblichkeit der Minderleistung anhand seiner Nutzer nachvollziehen. Sind durch den Sicherheitsvorfall zum Beispiel 50 % der Hosting-Nutzer betroffen, sollte von einer erheblichen Beeinträchtigung ausgegangen werden – folglich wäre auch eine Meldung der Sicherheitsverletzung der kritischen Infrastruktur „Serverfarm“ gegenüber dem BSI erforderlich.

Weiterhin muss der Ausfall des E-Mail-Dienstes auf seine Melderelevanz überprüft werden. Beeinträchtigungen von TK-Netzen und -diensten müssen gemeldet werden, wenn sie zu einer beträchtlichen Sicherheitsverletzung führen. Das heißt: Die Sicherheit des TK-Dienstes muss durch die Verletzung der Vertraulichkeit, Integrität, Authentizität und/oder eine Einschränkung der Verfügbarkeit betroffen sein und der Sicherheitsvorfall muss ein gewisses Ausmaß (Beträchtlichkeit) haben.

Die Bundesnetzagentur (BNetzA) definiert bei der Beträchtlichkeit unter anderem das Kriterium „Betroffene Teilnehmerstunden“ (Produkt aus Anzahl der betroffenen Teilnehmer und der Dauer des Vorfalls in Stunden). Eine Sicherheitsverletzung des TK-Dienstes „E-Mail“ ist beträchtlich und muss somit nach § 109 Absatz 5 TKG an die BNetzA und an das BSI gemeldet werden, wenn bei dem Kriterium „Betroffene Teilnehmerstunden“ der Grenzwert von 1 Million überschritten wird. Der Hoster muss daher prüfen, ob der Ransomware-Angriff eine entsprechende Auswirkung hatte.

Fazit

Eine Meldeverpflichtung kommt selten allein: Datenschutz benötigt oft Informationssicherheit – allerdings stellen gerade IT-Sicherheitsmaßnahmen zum Teil gravierende Eingriffe in die Privatsphäre dar. Diese Verzahnung zeigt sich dann auch in den Meldepflichten. Das BSI benötigt beispielsweise Information über neuartige Viren. Es ist jedoch unwahrscheinlich, dass deren Auftreten keine Beeinträchtigung bei der Verarbeitung personenbezogener Daten zur Folge hat. Das TKG selbst betrachtet in § 109 Datensicherheit im Kommunikationsbereich, um dann in § 109a auch Verpflichtungen im Bereich Datenschutz vorzugeben. In vielen Fällen sind die in diesem Artikel hauptsächlich betrachteten gesetzlichen Anforderungen aus TKG, BSIG und DSGVO somit eng miteinander verbunden. Aus Sicht der Autoren ruft dies klar nach einem integrierten Ansatz zur Behandlung von Meldepflichten.

Die beschriebenen Meldeverpflichtungen werden unter anderem durch den „Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten 2.0“ [6] sowie durch das derzeit im Entwurfsstadium befindliche „IT-Sicherheitsgesetz 2.0“ [7] erweitert und gegebenenfalls konkretisiert. Es ist offenbar geplant, Bußgelder bei Verstößen im Cyberrecht auf das Niveau des Datenschutzrechts anzuheben. Somit gewinnen auch Meldeverpflichtungen des BSIG deutlich an Relevanz. Inwieweit Bußgelder für verschiedene Meldeverpflichtungen aufeinander angerechnet oder summiert werden, bleibt noch zu klären.

Sunita Ute Saxena ist Security Officer Sales bei T-Systems. Dr. Pascal Schmidt ist Quality Manager bei der Equinix (Germany) GmbH. Christian Schmitt arbeitet als Information Security Professional bei 1&1 IONOS SE. Barbara Willkomm ist Security Manager bei der Deutsche Telekom Security GmbH.

Literatur

[1] Dr. Niels Lepperhoff, Thomas Müthlein, DatenschutzGrundverordnung: Neue Vorschriften – auch für die Security!, <kes> 2016#2, S. 54
[2] Dr. Jan Sanders, Dr. Stefanie Fischer-Dieskau, Isabel Münch, KRITIS-Meldepflicht, Erläuterungen zur Meldepflicht nach § 8b Abs. 4 BSIG, <kes> 2018#3, S. 36
[3] Henrik Hanßen, Aleksandra Sowa, Meldepflichten an Behörden nach DSGVO, ITSIG und NIS-Richtlinie, <kes> 2018#4, S. 20
[4] Dennis-Kenji Kipker (Hrsg.), Cybersecurity Rechtshandbuch, C. H. Beck, April 2020, ISBN 978-3-406-73011-5
[5] Bundesnetzagentur (BNetzA), Mitteilung nach § 109 Abs. 5 TKG – Umsetzungskonzept, Version 4.0, November 2017, verfügbar über www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Anbieterpflichten/OeffentlicheSicherheit/MitteilungSicherheitsverletzung/Mitteilungeinersicherheitsverletzung-node.html
[6] Bundesnetzagentur (BNetzA), Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 TKG, Version 1.1, Januar 2016, verfügbar über www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Anbieterpflichten/OeffentlicheSicherheit/KatalogSicherheitsanforderungen/Sicherheitsanforderungen-node.html
[7] Bundesministerium des Innern, für Bau und Heimat, Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0), Referentenentwurf, Mai 2020, online verfügbar auf http://intrapol.org/wp-content/uploads/2020/05/200507_BMI_RefE_IT-SiG20.pdf