Betreiberpflichten nach dem TKG: Sicherheitskonzept, Sicherheitsbeauftragte und Schutzmaßnahmen
Kernaussage
Wer in Deutschland öffentliche TK-Netze betreibt oder öffentlich zugängliche TK-Dienste anbietet, trägt eine gesetzlich umrissene Sicherheitsverantwortung. Das Telekommunikationsgesetz (TKG) verlangt angemessene technische und organisatorische Schutzmaßnahmen nach dem Stand der Technik, ein dokumentiertes Sicherheitskonzept, eine benannte verantwortliche Person und Nachweisfähigkeit gegenüber der Bundesnetzagentur (BNetzA).
Für den CISO ist das ein sektorspezifisches Regime mit eigener Aufsicht, eigenem Anforderungskatalog und eigener Nachweislogik, kein Anhängsel der allgemeinen IT-Sicherheit. Es ist ein laufender Steuerungs- und Nachweisprozess, keine einmalige Dokumentenübung.
Problem in der Praxis
In vielen TK-Organisationen existiert ein Sicherheitskonzept, aber es lebt nicht. Es wurde bei Betriebsaufnahme erstellt, eingereicht und seitdem kaum gepflegt, während sich Netze, Dienste, Komponenten, Lieferanten und Gefährdungslage weiterentwickelt haben. Parallel ist die Rolle des oder der Sicherheitsbeauftragten oft nur formal besetzt, ohne ausreichendes Mandat, Budget und Zugriff auf Architektur-, Beschaffungs- und Incident-Entscheidungen.
Spätestens bei einer BNetzA-Prüfung, einem Sicherheitsvorfall oder der Beschaffung kritischer Komponenten fällt die Lücke auf: Es fehlt die durchgängige Spur von Gefährdung über Maßnahme bis zum Nachweis. Genau diese Spur ist der Kern der Betreiberpflicht.
CISO-Einordnung
Das TKG bündelt die Sicherheitspflichten in Teil 10, Abschnitt 1, in den Paragraphen 165 ff. Drei Stränge gehören zusammen:
- Schutzmaßnahmen nach Stand der Technik: Schutz des Fernmeldegeheimnisses und der personenbezogenen Daten sowie Maßnahmen gegen Störungen und zur Risikobeherrschung. Die Angemessenheit bemisst sich an Risikoexposition, Betreibergröße und möglichen Auswirkungen von Vorfällen.
- Organisation und Konzept: Benennung einer oder eines Sicherheitsbeauftragten und ein Sicherheitskonzept, das Netze und Dienste, mögliche Gefährdungen und getroffene Schutzmaßnahmen darstellt.
- Anforderungskatalog und Aufsicht: Die BNetzA legt über einen Katalog von Sicherheitsanforderungen fest, was konkret zu erfüllen ist, und prüft die Umsetzung.
Die Paragraphennummerierung (TKG-Fassung ab 2021: 165 bis 168; zuvor 109 und 109a a.F.) ist für verbindliche Aussagen am aktuellen Gesetzestext gegenzuprüfen, da die Materie 2021 neu nummeriert und seither erneut geändert wurde. Es kommt auf den Perspektivwechsel an: TKG und BNetzA-Katalog beschreiben das "Was" und "Wozu" als Pflicht; das "Wie" kann ein ISMS nach ISO/IEC 27001 als Backbone liefern. Das TKG verlangt keine Zertifizierung, sondern Erfüllung und Nachweisbarkeit gegenüber der Aufsicht.
Umsetzungsperspektive
Praktisch sind drei Bausteine zu verzahnen.
Erstens das Sicherheitskonzept als lebendes, versioniertes Artefakt. Es beschreibt Netze und Dienste, mögliche Gefährdungen und die Maßnahmen zur Erfüllung der gesetzlichen Anforderungen und der Katalogvorgaben, ist nach Betriebsaufnahme vorzulegen und bei geänderten Bedingungen anzupassen. Die BNetzA überprüft es regelmäßig; der genaue Überprüfungsturnus ist am Gesetzestext zu bestätigen.
Zweitens die Rolle der oder des Sicherheitsbeauftragten. Die Benennung ist Pflicht; wirksam wird sie erst durch Mandat, Budget, Informationsrechte und Einbindung in relevante Entscheidungen. Zusätzlich ist ein in der EU ansässiger Ansprechpartner vorgesehen.
Drittens die Maßnahmensteuerung nach Stand der Technik. Leiten Sie Maßnahmen aus einer dokumentierten Risikobewertung ab, nicht aus einer generischen Checkliste, und verankern Sie eine regelmäßige Reevaluation. Betreiber mit erhöhtem Gefährdungspotenzial unterliegen verschärften Pflichten (etwa Systeme zur Angriffserkennung). Kritische Komponenten sind vor erstmaligem Einsatz zu zertifizieren; dieser Mechanismus ist mit dem BSIG verzahnt (genaue Verzahnung am Gesetzestext prüfen).
Querschnittlich gilt: Mit dem NIS2-Umsetzungsgesetz (Ende 2025) wurden TK-spezifische Pflichten unmittelbar in das TKG hineingearbeitet (u. a. Terminologie zu besonders wichtigen und wichtigen Einrichtungen, Anforderungen an Governance, Lieferketten und Verantwortung der Geschäftsleitung); Detailumfang und Absatzstruktur sind am Gesetzestext und am gültigen BNetzA-Katalog zu verifizieren.
Typische Fehler
- Das Sicherheitskonzept wird einmal erstellt und nicht an reale Änderungen von Netzen, Diensten und Gefährdungslage angepasst.
- Die oder der Sicherheitsbeauftragte wird formal benannt, aber ohne Mandat, Ressourcen und Informationszugang.
- Maßnahmen werden aus einer generischen Liste statt aus einer dokumentierten Risikobewertung abgeleitet.
- Der BNetzA-Katalog wird als statisch behandelt, obwohl er überarbeitet wird und gestaffelte, risikoabhängige Anforderungen vorsieht.
- TKG- und NIS2-/BSIG-Pflichten werden vermischt oder doppelt bzw. gar nicht adressiert, obwohl mehrfache Betroffenheit möglich ist.
Risiken und Trade-offs
Ein zu schlankes Vorgehen erfüllt die Pflichten formal, hält aber Prüfung oder Vorfall nicht stand und gefährdet Fernmeldegeheimnis und personenbezogene Daten. Ein zu schweres Vorgehen bindet Ressourcen in Dokumentation, die im Betrieb niemand pflegt.
Der Stand-der-Technik-Maßstab gibt Spielraum, verlangt aber eine dokumentierte Abwägung zwischen Risiko, Betreibergröße und Auswirkungen, sonst ist die Angemessenheit gegenüber der BNetzA nicht belegbar. Hinzu kommt die Komponenten- und Lieferkettenabhängigkeit: Entscheidungen über kritische Komponenten haben lange Vorlaufzeiten und berühren Zertifizierungs- und mögliche Untersagungsmechanismen.
Entscheidungspunkte
- Welcher Auslöser führt zur Anpassung und erneuten Vorlage des Sicherheitskonzepts?
- Wird die Rolle der oder des Sicherheitsbeauftragten intern besetzt oder extern unterstützt, und mit welchem Mandat?
- Wie verbindet die Maßnahmensteuerung das ISMS mit den spezifischen TKG- und Katalog-Anforderungen, ohne Doppelstrukturen?
- Welche Funktionen und Komponenten sind nach Katalogkriterien kritisch, und welche Vorlaufzeiten ergeben sich aus Zertifizierungspflichten?
- Wie werden TKG- und NIS2-/BSIG-Pflichten zusammengeführt, um Lücken und Doppelarbeit zu vermeiden?
Praktische Empfehlungen
- Führen Sie das Sicherheitskonzept versioniert und ereignisgetrieben; verknüpfen Sie jede wesentliche Änderung mit einer Aktualisierung.
- Statten Sie die Sicherheitsbeauftragte oder den Sicherheitsbeauftragten mit klarem Mandat, Informationsrechten und Einbindung in relevante Entscheidungen aus.
- Leiten Sie Maßnahmen aus einer dokumentierten Risikobewertung ab und halten Sie die Stand-der-Technik-Abwägung nachvollziehbar fest.
- Bauen Sie Nachweise als Nebenprodukt des Regelbetriebs auf, damit eine BNetzA-Prüfung keine Sonderaktion auslöst.
- Prüfen Sie regelmäßig den aktuellen BNetzA-Katalog und den geltenden TKG-Stand, bevor Sie verbindliche Aussagen oder Investitionen treffen.
Relevante Normreferenzen
- TKG (Fassung ab 2021), Teil 10, Abschnitt 1, Paragraphen 165 ff.: Schutzmaßnahmen, Sicherheitsbeauftragter und Sicherheitskonzept, Katalog von Sicherheitsanforderungen, Meldung von Sicherheitsvorfällen. Amtliches Werk, frei zitierbar mit Quellenangabe; verbindlicher Stand am aktuellen Gesetzestext.
- BNetzA "Katalog von Sicherheitsanforderungen": konkretisiert die Anforderungen; maßgeblich ist die jeweils gültige Fassung.
- ISO/IEC 27001: Referenz für ein ISMS als Umsetzungsrahmen der TKG-Pflichten. Reference-only.
Häufige Fragen
Was muss ein Sicherheitskonzept nach TKG enthalten?+
Die betriebenen Netze und Dienste, die möglichen Gefährdungen und die Schutzmaßnahmen zur Erfüllung der gesetzlichen Anforderungen und der Katalogvorgaben. Es wird der BNetzA vorgelegt und bei Änderungen angepasst.
Reicht es, eine Sicherheitsbeauftragte zu benennen?+
Die Benennung ist Pflicht, aber nicht ausreichend. Wirksam wird die Rolle erst durch Mandat, Ressourcen, Informationsrechte und Einbindung in relevante Entscheidungen.
Ersetzt eine ISO/IEC-27001-Zertifizierung die TKG-Pflichten?+
Nein. Das TKG verlangt keine Zertifizierung, sondern Erfüllung und Nachweisbarkeit gegenüber der BNetzA; ein ISMS kann als Umsetzungsrahmen dienen.
Wer prüft die Einhaltung?+
Die Bundesnetzagentur als sektorale TK-Sicherheitsaufsicht; das BSI ist über das Einvernehmen zum Katalog und als Meldeadressat eingebunden.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen Telekommunikation (TKG) prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: tkg-003.
