Liebe Mitglieder,

ich hätte nicht erwartet, dass ein „Raus aus der Pandemie“ konzeptionell schwieriger werden kann als der unvorbereitete, harte Einstieg in 2020 – heute bin ich eines Besseren belehrt. Ich fühle mich ein bisschen wie im Auslaufbecken am Ende einer Wasserrutsche – erst ein wilder Ritt, dann unsanftes Abbremsen, aufstehen, durchatmen und unter dem Geschrei des Bademeisters vom Rand schnell aus dem Weg springen, da der nächste Player ja auf den Fuß folgt. 

Einige Monate anstrengende hybride Treffen, das Zurücknehmen unfertiger Digitalisierungsprozesse, das fast schon zwanghafte Drängen auf Anwesenheit, verbunden mit der unfreiwilligen Aufgabe des Home Office, führen zu Spannungen in Betrieben und Verwaltungen. Während die eine Ecke der Gesellschaft oder gar ganze Länder wie Belgien an dauerhaften Home Office-Konzepten und der 4-Tage-Woche feilen, schallt am anderen Ende ein „be back in the office by Monday or pretend to work somewhere else“ und ähnliche Vertrauensbeweise an die Mitarbeiter durch den Raum. Maskenpflicht bei anderthalb Metern Abstand im Vortragssaal, aber in der Mittagspause dicht an dicht maskenfrei am Stehtisch? Been there, done that. Pflicht zur Auffrischung der Impfung? Aufhebung der Maßnahmen trotz hoher Inzidenzen? War da was? Wie sieht ein Pfad zurück in die „Normalität“ aus, wie kann er aussehen? Und wie sieht dieses „new normal“ überhaupt aus?

Am Ende des Jahres bleibt wohl nur die Videokonferenz nebst verminderter Reisetätigkeit und der verstärkte Einsatz von „Collaboration Software“ als dauerhafter Digitalisierungseffekt übrig – dass es zu deren Durchbruch einer Pandemie bedurfte, hatte ich bei meinem ersten Roll-Out eines Videokonferenz-Dienstes in 1998 nicht auf der Technology-Roadmap erkannt. Ach ja, und natürlich Cloud Services. Alle sind heute Cloud Services. Nur nicht im Mittelstand. Oder in der Verwaltung.

Wo ich gerade bei Verwaltung bin – fünf Jahre Onlinezugangsgesetz nebst zugehörigen Erleichterungen in der Pandemie reichen offenbar nicht einmal im Ansatz aus, um die 575 gesetzlich definierten Online-Angebote umzusetzen, deren Umsetzung bis Ende 2022 abgeschlossen sein sollte. Formalitäten wie persönliches Vorsprechen nebst Unterschrift oder selbst fehlende Zahlungsanbindungen in den „Fachverfahren“ der Länder und Kommunen hemmen den Prozess weiter. Identifikation und Unterschrift über den Personalausweis? Fehlanzeige, auch wenn dies dem Dauerprojekt eID potenziell die fehlende „Killer App“ hätte bescheren können. Heute üben wir die Nutzung der Online-Ausweisfunktion bei Eigentümern im Rahmen der Grundsteuer, welche die höchsten Nutzungsraten der Online-Identifikation über den Personalausweis seit Beginn des Verfahrens aufweist, und zuletzt auch bei der Energiepauschale für Studenten. Kurzum: Für „neue“ Verfahren schaffen wir das, die Umstellung von „Bestandsverfahren“ dauert weiter an.

Womit wir bei den Digitalprojekten der neuen Bundesregierung sind, denn, dass Verwaltungsleistungen „mit Hilfe staatlicher, digitaler Identitäten“ bis 2025 digitalisiert sind, ist einer von sechs „besonders wichtigen“ zentralen Punkten der „neuen“ Digitalstrategie. Ich lese das als „wir verschieben die Ziele des OZG vom 1.1.2023 auf den 31.12.2025“, erkenne aber an, dass Verwaltungsdigitalisierung im föderalen System ihre ganz eigenen Tücken aufweist. Hilfreich wäre sicherlich auch etwas mehr Kontinuität im zuständigen BMI und der dort aktiven Fachabteilung, welche seit längerem eine unnatürlich hohe Fluktuation aufweist.

Andere Punkte dieser Strategie sind beispielsweise die Verfügbarkeit von Glasfaser für 50 Prozent der Haushalte, die elektronische Krankenakte und das E-Rezept oder auch der Plan, ein chancengleiches, barrierefreies Bildungs-Ökosystem als Angebot für alle Lebensphasen zu etablieren – auch hier sind die föderalen Stolpersteine bereits absehbar, wie unlängst in der Pandemie eindrucksvoll und zum Leidwesen der betroffenen Kinder und Jugendlichen vorgeführt. 

Zu begrüßen sind die verbleibenden Ziele, einen modernen Rechtsrahmen für die Nutzung und Vernetzung von Daten zu schaffen sowie das abstrakte Ziel, dass sich Deutschland auf europäischer und internationaler Ebene für ein Internet als freien, demokratisierenden Raum mit einer globalen, digitalen Ordnung auf Basis der Menschenrechte einsetzen solle. Ersteres scheitert bisher an veritablen Anwendungsszenarien, letzteres am Spannungsfeld, Ziele des AA gegenüber Zielen des BMI.  

Für den Vorstandsbereich des eco e.V. direkt relevant sind die Ziele des BMDV und des „Digitalministers“, der im Juli 2022 die Neuauflage der Gigabitstrategie veröffentlichte. Das hehre Ziel: „Bis zum Jahr 2030 soll es flächendeckend Glasfaseranschlüsse bis ins Haus und den neuesten Mobilfunkstandard überall dort geben, wo Menschen leben, arbeiten oder unterwegs sind“. Inhaltlich finden sich neben einigen Dauerbrennern wie der Vereinfachung der Genehmigungsverfahren und der Etablierung neuer Verlegetechniken primär zwei neue Ansätze: Das Gigabit-Grundbuch, welches mit dem Anspruch antritt, alle relevanten Informationen zur Planung des Infrastrukturausbaus sowie zum aktuellen und künftigen Grad der Versorgung im Bereich der Telekommunikation in einem Informationsportal zu bündeln sowie die Umstellung der Festnetzförderung auf ein durch eine bundesweite Potenzialanalyse gestütztes Verfahren. Das „Potenzial“ einer Region gilt dabei als Indikator für die eigenwirtschaftliche Erschließbarkeit mit Glasfasernetzen und soll in Folge den etwaigen Bedarf an Förderung für eine Region widerspiegeln.

Die grundlegende Idee dahinter ist es, dass Gebiete mit hohem eigenwirtschaftlichem Ausbaupotenzial auch eigenwirtschaftlich durch den Markt ausgebaut werden, Gebiete mit geringem Potenzial hingegen dem geförderten Ausbau unterliegen – anders als bisher stellt also die Eigeninitiative der Regionalpolitik nur noch ein untergeordnetes Kriterium dar. Die Potenzialanalyse soll in Zukunft fortgeschrieben und jährlich erneuert werden, so dass bis ca. 2030 alle Regionen einen Ausbau zugeführt werden können.

Von unseren Mitgliedsunternehmen wurde das hieraus folgende Primat des eigenwirtschaftlichen Ausbaus weit mehrheitlich begrüßt. Das Problem der Überbauung bestehender oder geplanter Netze mit einem geförderten Regionalprojekt soll so der Vergangenheit angehören. Mir persönlich bleibt hinsichtlich des Verfahrens weiter unklar, wie z.B. im Jahr 2025 bei fiktiv erreichtem bundesweiten Ziel von mindestens 50 Prozent Glasfaser ein Landrat seinen Wählern „verkaufen“ soll, dass ihr Landkreis erst beispielsweise im Jahr 2028 an der Reihe ist und dann in den Glasfaserausbau einbezogen wird, vorher aber weder mit einem eigenwirtschaftlichen noch mit einem geförderten Ausbau zu rechnen ist – dies dürfte einem politischen Selbstmord gleichkommen.

Kurz nach der Veröffentlichung kam es zudem am 17.10.2022 ohne Ankündigung zu einem Förderstopp, da vor allem wegen der gebündelten Einreichung von Förderanträgen in Baden-Württemberg die Fördertöpfe ausgeschöpft waren. Dieser Stopp dauerte bis zum Start des neuen Programms am 3.4.2023 an, und der weitere Ausblick stimmt nicht optimistisch, dass es besser wird: Es ist schon jetzt abzusehen, dass die „neue“ Förderhöhe von rund 3 Mrd. EUR/Jahr trotz des Filters „Potenzialanalyse“ für 2023 und die Folgejahre voll ausgeschöpft werden wird.

Ebenfalls beim Digitalministerium angesiedelt ist der „Beirat Digitalstrategie Deutschland“, welcher im November 2022 ins Leben gerufen wurde, um primär die 18 „Leuchtturmprojekte“ der Digitalstrategie Deutschland zu begleiten – je Sitzung stehen zwei Projekte im Fokus und werden evaluiert. eco ist im Beirat prominent durch unseren Geschäftsführer Alexander Rabe vertreten.

Als interessant erachte ich im Rahmen der Digitalstrategie das parallele Forschungsprojekt „Monitoring“ zur Erfassung des Umsetzungsstandes der Digitalstrategie: Die Bundesregierung will sich bzw. die Effektivität ihrer Arbeit erstmalig an KPIs in nachvollziehbarer Weise messen lassen. Wie dies genau ausgestaltet wird, befindet sich noch in Arbeit, die „Wirkungsmessung“ als Forschungsprojekt ist aber bereits gestartet und vergeben.

Spürbar verändert hat sich im Laufe des Jahres 2022 der Umgang mit unserem Regulator Bundesnetzagentur – nur äußerst selten habe ich den Wechsel einer Hausspitze verbunden mit einem quasi zeitgleichen neuen Rechtsrahmen so deutlich gespürt wie im Fall des Übergangs von Jochen Homann zum ehemaligen Chef des VZBV Klaus Müller und den neuen Vorgaben des TKG und TTDSG. Der Fokus des Hauses hat sich damit deutlich hin zum Verbraucherschutz orientiert, was auch dem Geist des neuen Rechtsrahmens entspricht. 

Dauerbrenner im Dialog mit der Bundesnetzagentur waren folglich auch die Interpretation und Umsetzung der sich aus dem neuen TKG ergebenden Ansprüche auf Minderung sowie des Rechts auf schnelles Internet. Zu ersterem waren insbesondere die Bewertung der Messkampagnen der Breitbandmessung sowie die Berechnungsmethode einer potenziellen Minderung strittig, zu letzterem die Frage des Verpflichteten, der Technologieneutralität des vorhandenen Angebots unter Berücksichtigung von Satellitensystemen und insbesondere die Frage, ob dieses individuelle Recht auch für ganze Ortsteile, Neubaugebiete oder Regionen mit bereits vereinbartem zukünftigem Glasfaserausbau anzuwenden ist.

Auch zwischen den Unternehmen wurde durch das Verfahren der nationalen Streitbeilegung im neuen TKG, angesiedelt bei der BK11 der BNetzA, ein neues Kapitel aufgeschlagen. Bemerkenswert ist, dass die Mehrzahl an Verfahren durch eine Einigung der Parteien untereinander und eine Einstellung des Verfahrens ohne Entscheidung beendet werden, auch ist der Status „Ruhen des Verfahrens“ während einer Verhandlungsphase quasi der Normalzustand, die Unternehmen versuchen zumeist einen tatsächlichen Beschluss der Kammer zu vermeiden.  

Unabhängig von aller Förderung und Streitbeilegung bemüht sich der Markt im Format des bei der Bundesnetzagentur angesiedelten Gigabitforums um die Transition des monopolbasierten Kupfermarktes hin zum pluralistischen Glasfasermarkt. In einer Reihe von Projektgruppen sollen Lösungen für Produkte und Prozesse, für Schnittstellen, für den Gebäudeanschluss und die Inhouse-Netze bis hin zu den Fragen rund um die zukünftige Abschaltung der Kupfernetze ab 2025 abgestimmt werden. Ein besonderer Fokus liegt dabei auf Open Access, welcher als Alternative zum Aufbau mehrerer paralleler Netze die Auslastung der bestehenden Netze erhöhen und einem Überbau vermeiden soll. eco begleitet diese Prozesse durch die Teilnahme an den Projektgruppen selbst sowie im Lenkungskreis und dem High-Level-Forum der Vorstände der Marktteilnehmer. 

Auch im Bereich der öffentlichen Sicherheit ergaben sich als Folge aus dem neuen TKG-Veränderungen: Für eine Vielzahl von Unternehmen wurde durch die Neufassung in §170 TKG und §174 TKG in Verbindung mit der ebenfalls neuen TR-TKÜ 8.1 die Schaffung einer formalisierten E-Mail-Schnittstelle verpflichtend, zudem ist im Rahmen von Ausleitungskonzepten auch die bisher relativ formlose Erhebung der Daten im eigenen Netz getrennt nach Diensten zu dokumentieren.

Weniger rühmlich und retrospektiv unhaltbar waren die Vorgänge um die Hausleitung des BSI, dessen Präsident Arne Schönbohm ab 18.10.2022 freigestellt wurde. Auslöser war ein Bericht des ZDF Magazin Royale am 7.10.2022 zum Verein „Cyber-Sicherheitsrat Deutschland e.V.“, dessen Gründer und Vorsitzender er bis zu seiner Ernennung in 2016 war. Man mag zu Schönbohm stehen wie man will, da über diese Situation jedoch bereits im Rahmen der Ernennung 2016 und später in 2019 durch „Die Zeit“ und das Magazin „Kontraste“ berichtet wurde, kam inhaltlich nichts Neues zur Sprache. Das Vorgehen der Hausleitung des BMI war für Insider daher überraschend, offenbar wurden im Jahr 2022 etwaige Verbindungen zu Unternehmen der russischen Einflusssphäre deutlich kritischer bewertet als dies noch in 2016 oder 2019 der Fall war – the Wind of Change at work. Schönbohm und seine Positionen kannten wir, wie sich seine Nachfolgerin Claudia Plattner zu kritischen Problemen der Cybersicherheit positioniert und welche Veränderungen dies für die Politik des BSI bedeutet, bleibt abzuwarten.

Natürlich kann kein Bericht über 2022 vollständig sein, ohne den Ukrainekrieg und seine Folgen für den Netzbetrieb in Deutschland zu thematisieren. Der primäre Fokus lag und liegt dabei auf Cybersicherheit, konkret der Frage, ob wir ausreichend und effektiv gegen Angriffe aus dem Cyberraum geschützt sind. Die initiale Antwort: Während sich die Zahl der Angriffe im Bereich der Zentralregierung sowie auf Medienanstalten, Zeitschriften und Online-Dienste signifikant erhöht hat, ist die Anzahl der Angriffe gegen Infrastruktureinrichtungen, Netzbetreiber und ähnliches nicht außerhalb der normalen Wachstumsraten gestiegen. Anders gesagt: Wer immer im Fokus der Angreifer steht und seine Systeme schützen muss, hat wenig Auffälliges bemerkt, wer seinen Fokus erst jetzt auf Cybersicherheit legt, ist von der bloßen Anzahl echter und „gefühlter“ Angriffe überwältigt. Kombiniert man dies mit bekannt gewordenen Hacks und Datenabflüssen sowie dem Ruf nach „Capability Building“ im militärischen Komplex, besteht von staatlicher Seite anscheinend massiver Handlungsbedarf – die Industrie ist größtenteils schon einen Schritt weiter und beschäftigt sich mit auomatisierten Systemen zur Angriffserkennung, zu diesem Komplex wurden auch von der Bundesnetzagentur einige Workshops mit Betreibern durchgeführt.

Übergeordnet folgte aus der Cyber-Bedrohungslage des Ukraine-Krieges, kombiniert mit den Bemühungen um eine verbesserte Reaktion auf Naturkatastrophen wie dem Ahrtal, die Forderung nach einer Resilienz von kritischen Netzen und Diensten. Diese mündete im Sommer 2022 in einem Resilienzpapier der Bundesnetzagentur, an deren Erstellung eco elementar beteilig war. Hieraus folgend wurden im Dezember 2022 durch die Bundesregierung Eckpunkte für ein „KRITIS-Dachgesetz“ (KRITIS-DG) beschlossen, das noch 2023 mit dem Fokus auf den physischen Schutz kritischer Infrastrukturen verabschiedet werden soll.

Natürlich müssen in diesem Bereich alle Regelungen im Einklang mit den europäischen Regelwerken stehen, und auch an diesen wurde im Jahr 2022 massiv gearbeitet. Am 14.12.2022 erfolgte die Veröffentlichung der europäischen CER-Richtlinie zur Resilienz kritischer Einrichtungen, die bis Herbst 2024 in nationales Recht umzusetzen ist und im KRITIS-DG abgebildet wird. Noch prominenter ist die EU NIS-2-Richtlinie, die nach zähen Verhandlungen am 27.12.2022 veröffentlicht wurde. Auch sie muss bis spätestens 17.10.2024 in nationales Recht überführt werden. Dies wird aller Voraussicht nach 2023 durch das „NIS-2-Umsetzungs- und Cybersicherheits-Stärkungsgesetz“ (NIS2UmsuCG) erfolgen, das eine erneute Anpassung des BSI-Gesetzes und anderer Gesetz vornehmen wird und die Regelungen aus dem IT-SIG 2.0 anpasst. Noch liegen nur Entwürfe vor, aber sicher ist: Die Stärkung der Cybersicherheit der Unternehmen und Einrichtungen ist elementar und notwendig – insofern ist das Ziel richtig. Über den Weg und die Grenzen müssen wir uns nun mit dem Gesetzgeber vereinbaren. Ob ein direkter Sprung von kaum 2.000 auf fast 30.000 kritische und wichtige Unternehmen wirklich angemessen ist, wie er vom BMI geschätzt und geplant wird, muss jedenfalls erörtert werden.

Ergänzt werden die Regelungen aus CER und NIS 2 um den „Cyber Resilience Act“ (CRA), der im Entwurf am 15. September 2022 vorgelegt wurde und die Cybersicherheit von allen Produkten mit Online-Komponente regeln soll. Ganz im Sinne des BMI, das diesen Ansatz schon länger verfolgt, ist hier eine Update-Pflicht über mehrere Jahre sowie eine Kennzeichnung mit einem faktischen Gütesiegel, vermutlich einer erweiterten Version des CE-Kennzeichens, vorgesehen. Dazu kommt eine Verpflichtung zum Auflisten der verwendeten Softwarekomponenten („Software Bill of Material“, SBOM) und – für alle Geräte mit erhöhtem Schutzbedarf – ein externer Audit durch eine akkreditierte Prüfstelle. Der CRA soll nach den Plänen der Kommission noch 2023 verabschiedet werden und gilt anschließend unmittelbar in allen Mitgliedsländern.

Einige Netzebenen höher greift der am 17.10.2022 veröffentliche „Digital Services Act“ (DSA, die „EU-Verordnung zur Vollendung des Binnenmarktes“, sie enthält Haftungs- und Sicherheitsvorschriften für digitale Plattformen, Dienste und Produkte) sowie der am 12.10.2022 veröffentliche „Digital Markets Act“ (DMA, EU-Verordnung zur Regulierung von Gatekeepern) in das Marktgefüge ein, die konkrete Ausgestaltung der Umsetzung sowie die technischen Anforderungen an die Umsetzung der Schutzpflichten – auch und insbesondere im Verhältnis zum nationalen NetzDG – werden derzeit noch analysiert.

Weiterhin offen waren zum Jahresende die Verhandlungen zum „Data Act“ (EU-Verordnung über den Umgang mit Daten von Geräten/IoT-Devices) sowie die Verhandlungen zur „E-Evidence-Verordnung“ (Grenzüberschreitender Datenzugriff für Strafverfolgungsbehörden), die beide erst im Laufe des Jahres 2023 zum Abschluss kommen werden. Im Bereich E-Evidence muss dabei leider von einer umfassenden Verpflichtung aller Anbieter elektronischer Dienste ausgegangen werden, ohne dass es zu einer Auflösung der sich aus den unterschiedlichen Rechtsräumen ergebenden Konflikte kommt. 

Immerhin sind die „manuellen“ Anfragen dabei nun vom Tisch, alle Anforderungen werden elektronisch signiert über ein zentrales System (e-codex) geführt. Für alle über eine bloße Identifikation der Nutzer hinausgehenden Abfragen ist zudem nun eine elektronische Bestätigung durch den Wohnsitzstaat vor einer Herausgabe der Daten vorgesehen.

Kontrovers diskutiert wurden sowohl unter Beteiligung von eco als auch in einer Reihe eigener Veranstaltungen die Vorschläge zur Bekämpfung von CSAM-Inhalten sowie das hierzu vorgeschlagene Client Side Scanning auf den Endgeräten der Nutzer, welches eco mit Nachdruck ablehnt. Unabhängig von den rechtlichen und technischen Fragen sehen wir vor dem Hintergrund der unzulänglichen Behandlung der bereits bekannten und gemeldeten Vorfälle und den unzulänglichen Systemen der zuständigen Stellen zur Behandlung der bereits heute anfallenden Fallzahlen schlicht keine Notwendigkeit zu noch einmal erweiterten Zugriffsrechten und der damit verbundenen weiteren Erhöhung der Meldungen auf ein Mehrfaches der derzeitigen Fälle.

Last but not least muss an dieser Stelle – auch wegen des massiven Ressourcenbedarfs im Jahr 2022 – das Thema „Fair Share“ erwähnt werden, die geplante Kostenbeteiligung (oder „Netzmaut“) der Inhalteanbieter für die Nutzung der Netzinfrastruktur. Der Themenkomplex wird derzeit von der EU-Kommission, BEREC, Bundesnetzagentur, dem BMWI und einer Vielzahl anderer Interessengruppen untersucht. Auch eco hat Ende 2022 hierzu ein Kurzstudie veröffentlicht.

Für den eco als Treffpunkt der verschiedenen Interessenlagen – sowohl die Befürworter als auch die Gegner des Vorschlags sind zum überwiegenden Teil Mitglieder des Verbands – ist es äußerst schwierig, eine Positionierung zu finden. Das war in der Vergangenheit anders: eco hatte während der seit 1995 insgesamt viermal behandelten Thematik immer eine eindeutige Position, die unter den aktuellen Verhältnissen aber strittig ist.

Für unser Tochterunternehmen DE-CIX Group AG als Betreiberin öffentlicher Internetknoten gefährden die Vorschläge zum „Fair Share“ ihr gesamtes Modell des offenen Peerings zwischen Netzbetreibern. DE-CIX wäre hier als eine der weltweit wichtigsten Betreiberinnen, die das Marktsegment entscheidend prägt, durch die vorgeschlagene Veränderung der Zahlungsströme im Internet aller Voraussicht nach empfindlich beeinträchtigt.

Als Resultat wird eco an dieser Stelle zunächst einen konkreten Vorschlag der Kommission nach Auswertung der Anfang 2023 gestarteten Konsultation abwarten, bevor wir eine weitere Positionierung vornehmen. 

Wie Sie sehen, stellte alleine die Begleitung der Themenvielfalt des Jahres 2022 in vielerlei Hinsicht eine Herausforderung dar, Details zu den einzelnen Vorgängen können Sie den Berichten der Arbeitsgruppen und den Stellungnahmen des Geschäftsbereiches Recht und Regulierung entnehmen.

Ihr

Klaus Landefeld
Stellv. Vorstandsvorsitzender
Vorstand Infrastruktur und Netze