Das Bundesministerium für Digitales und Verkehr (BMDV) und die Bundesnetzagentur (BNetzA) haben am 13. Dezember das Gigabit-Grundbuch veröffentlicht (Tagesspiegel Background berichtete). Es bündelt Daten, Karten und weiterführendes Informationsmaterial zur digitalen Infrastruktur und stellt sie „allen Nutzerinnen und Nutzern“ zur Verfügung, wie das BMDV auf der Startseite des neuen „Datenportals für den effizienten Ausbau der digitalen Infrastrukturen“ in Deutschland verkündet.
Die Zahl von Hacker-Attacken auf die kritische Infrastruktur nimmt derweil rasant zu. Möglich wurden diese durch ein – teilweise ohnehin schon erschreckend präzises – Wissen über die Lage der angegriffenen Infrastruktur. Digitalminister Volker Wissing betonte daraufhin, die kritische Infrastruktur sei „unverzichtbar für Deutschland“ und es gäbe „hohe Sicherheitsstandards“. Wie passt das mit der Veröffentlichung der Netzverläufe im neuen Gigabit-Grundbuch zusammen?
Wie gut ist die zentrale Informationsstelle Deutschlands geschützt?
Hohe Sicherheitsstandards braucht es schon für die BNetzA an sich, die das Gigabit-Grundbuch als zentrale Informationsstelle Deutschlands (ZIS) verantwortet und verwaltet. Gerade wird der BNetzA-Komplex in Bonn eingezäunt und damit physisch gesichert. Wie gut die Behörde jedoch vor Angriffen auf ihre Daten geschützt ist, weiß niemand.
Um an das Gigabit-Grundbuch heranzukommen, muss sich allerdings niemand die Mühe machen, die BNetzA zu hacken. Zwar gibt es Zugriffsbeschränkungen, die die Daten des Gigabit-Grundbuchs vor unberechtigten Personen schützen sollen. Die allein reichen aber nicht aus. Schon der derzeit weite Kreis der Berechtigten birgt Risiken. Es reicht, sich als Telekommunikationsunternehmen oder Planungsbüro zu registrieren, um mit einer mehr oder weniger vagen Projektbeschreibung eine Abfrage bestimmter Daten zu starten.
Drei Gründe, warum das Gigabit-Grundbuch die Sicherheit der digitalen Infrastruktur gefährdet:
Die Offenlegung der Infrastrukturdaten steht im Widerspruch zum Schutz der Netze
Schon heute werden sehr hohe Anforderungen an Netzbetreiber zum Schutz der kritischen Infrastruktur gestellt. Durch die sogenannte NIS2-Richtlinie der EU-Kommission werden diese Anforderungen zur Stärkung der Cybersicherheit nochmals erhöht. Diese EU-Richtlinie wird die Grundlage für Risikomanagementmaßnahmen und Meldepflichten im Bereich Cybersicherheit in allen Sektoren bilden, die unter die Richtlinie fallen – wie etwa Energie, Verkehr, Gesundheit und digitale Infrastruktur. Die Mitgliedstaaten müssen die Vorschriften der Richtlinie spätestens ab Herbst 2024 umsetzen.
Die Offenlegung der Infrastrukturen steht im absoluten Widerspruch zur Verschärfung der Sicherheitsvorkehrungen im Bereich Cybersicherheit und dem Versuch, die Resilienz der Netze zu stärken. Die Offenlegung der Netzstrukturen im Gigabit-Grundbuch damit ausgleichen zu wollen, den Netzbetreibern in Zukunft immer höhere und teurere Sicherheitsauflagen vorzuschreiben, kann nicht die Lösung sein.
Das Gigabit-Grundbuch enthält detaillierte Daten zur digitalen Infrastruktur
Die durch die Betreiber von Telekommunikationsnetzen für das Gigabit-Grundbuch zu liefernden Daten sind mit Blick auf den Schutz kritischer Infrastrukturen fragwürdig detailliert. Sie könnten, sollten sie durch einen Angriff oder – noch einfacher und deshalb wahrscheinlicher – durch einen Missbrauch aus dem Kreis der Berechtigten bekannt werden, erhebliche Risiken für kritische Infrastrukturen der Versorgungswirtschaften, insbesondere aber für die Telekommunikations-Infrastruktur, bergen.
Die Telekommunikationsunternehmen sind verpflichtet, neben Informationen über die Lage von Leerrohren, Glasfaserleitungen oder Masten vor allem Standortdaten zu Netzzugangspunkten zum Gigabit-Grundbuch zu melden, an denen üblicherweise der Datenverkehr aggregiert wird. Diese Standorte sind ebenso wie Weitverkehrsnetze (Backbone) potenzielle Angriffsziele, weil sie auf einen Schlag eine Vielzahl von Anschlüssen lahmlegen können.
Der Kreis der Abrufberechtigten ist zu groß
Das neue Gigabit-Grundbuch können nutzen:
- Gebietskörperschaften, zu denen insbesondere Bund, Länder, Landkreise, Städte und Gemeinden zählen
Eigentümer oder Betreiber öffentlicher Versorgungsnetze
Auftragnehmer, soweit sie im Auftrag von anderen Einsichtnahmeberechtigten die Breitbandausbauplanung unterstützen (beispielsweise Breitbandkompetenzzentren oder Planungsbüros) – wobei diese, etwa im Fall von Freiberuflern, auch einzelne natürliche Personen sein können
Sonstige am Ausbau von öffentlichen Versorgungsnetzen Beteiligte, soweit mit dem Ausbauvorhaben Einrichtungen geschaffen werden sollen, die zu Telekommunikationszwecken genutzt werden können
Für eine Abfrage muss eine Registrierung vorgenommen und ein berechtigtes Interesse in Form „genauerer Angaben zum Projekt“ dargelegt werden. Wie genau diese Aussagen sein müssen, hängt wahrscheinlich vom jeweiligen Stand der Projektplanung ab. Die wichtigste Frage ist aber, wie genau die Legitimität der Abfrageberechtigung geprüft wird, insbesondere wenn die Zahl der Einsichtnahmeanträge steigt oder zu bestimmten Zeiten besonders hoch ist.
Allein im öffentlichen Dienst arbeiten in Deutschland 5 Millionen Menschen, von denen ein nicht unerheblicher Teil potenziell zugriffsberechtigt ist. Ohne diesen Menschen eine böse Absicht oder nur eine Unachtsamkeit unterstellen zu wollen, ist der Kreis der Zugriffsberechtigten auf solch sensible Daten unangemessen hoch.
Transparenz und Schutz in Einklang bringen
Mein Fazit ist: Das Gigabit-Grundbuch kann einen Beitrag für einen erleichterten und damit schnelleren Ausbau der digitalen Infrastruktur leisten. Dies gilt insbesondere, wenn der Zugriff der Telekommunikationsunternehmen auf Liegenschafts-, Kataster- und Grundbuchdaten zeitnah ermöglicht wird.
Aber: Bei aller Freude über das neue Gigabit-Grundbuch und die damit beabsichtigte Erhöhung der Transparenz müssen die Sicherheit der enthaltenen Daten uneingeschränkt gewährleistet und die Zugriffsrechte restriktiv geregelt werden. Der Schutz der Telekommunikationsnetze als kritische Infrastruktur hat eine überragende Bedeutung für das gesellschaftliche Miteinander, die Wirtschaft, das Gesundheitssystem und die öffentliche Sicherheit.
Das muss sich auch in allen neuen Werkzeugen widerspiegeln, die den Datenzugriff erleichtern und die Digitalisierung vorantreiben sollen. Ob die BNetzA ausreichend darauf vorbereitet ist, ein solches Tool abzusichern, ist allerdings eine Frage, die die Verantwortlichen beantworten müssen, bevor das Gigabit-Grundbuch zum „Ermöglicher“ neuer Angriffe auf unsere Sicherheit wird.
Alfred Rauscher ist Geschäftsführer der R-KOM Regensburger Telekommunikationsgesellschaft. Er ist außerdem Vize-Präsident des Bundesverband Breitbandkommunikation (Breko) mit mehr als 440 Mitgliedsunternehmen.
