# UK lockert Cybersicherheitsvorschriften für Telekommunikation unter Branchen Druck Berichten zufolge hat Großbritannien kritische Cybersicherheitsmaßnahmen für seine Telekommunikationsnetze verwässert, die ursprünglich als direkte Reaktion auf die Spionagekampagne **Salt Typhoon** konzipiert wurden. Dokumente, die von Recorded Future News geprüft wurden, deuten darauf hin, dass dieser Rückzieher erfolgte, nachdem Telekommunikationsunternehmen gegen die vorgeschlagenen Anforderungen lobbyierten und Kosten- sowie Praktikabilitätsbedenken anführten. Obwohl weder die britische Regierung noch die Telekommunikationsbranche Kompromisse in britischen Netzwerken durch die mit China in Verbindung stehende **Salt Typhoon**-Kampagne bestätigt haben, erklärte das **National Cyber Security Centre (NCSC)** zuvor, dass chinesische Hacker weltweit „Organisationen in kritischen Sektoren ins Visier genommen“ hätten, wobei „eine Häufung von Aktivitäten in Großbritannien beobachtet“ worden sei. ## Eine breitere Spannung in der nationalen Sicherheit Diese Entscheidung unterstreicht eine wiederkehrende Spannung, die von westlichen Sicherheits- und Geheimdienstbeamten beschrieben wird: Eine Branche, die staatliche Hilfe gegen staatlich unterstützte Hacker sucht, aber dann den für eine effektive Verteidigung erforderlichen Zugang und die Verpflichtungen ablehnt. Ein hochrangiger Beamter eines NATO-Verbündeten berichtete von einem Szenario, in dem ein großes Telekommunikationsunternehmen um Hilfe gegen mutmaßliche chinesische Hacker bat, nur um der unterstützenden Behörde den Netzzugang zu verweigern. Historisch gesehen war dies nicht der Fall. **Ciaran Martin**, Gründer des **NCSC**, bemerkte, dass Branchenmanager bei der ersten Entwicklung des Telekommunikationssicherheitsrahmens aktiv nach Regulierung suchten und diese als gesetzliche Grundlage zur Rechtfertigung von Sicherheitsinvestitionen gegenüber Aktionären betrachteten. ## Die Entstehung der neuen Maßnahmen Die nun abgeschwächten Cybersicherheitsmaßnahmen wurden ursprünglich im August letzten Jahres vom **Department for Science, Innovation and Technology (DSIT)** vorgeschlagen. Sie bildeten einen Teil einer Konsultation für einen aktualisierten Verhaltenskodex, der regelt, wie Telekommunikationsanbieter ihre Netze sichern müssen. Die Initiative wurde als Reaktion auf staatlich unterstützte Angriffe auf US-Telekommunikationsnetze gestartet, die nach den **Salt Typhoon**-Vorfällen bekannt wurden. Unternehmen wie **BT**, **VMO2**, **VodafoneThree**, **Sky**, **Ericsson** und **Amazon Web Services** reichten Antworten auf die Konsultation ein. **TechUK**, der Industrieverband, koordinierte eine kollektive Einreichung. Während **TechUK** seine aktive Beteiligung an der Entwicklung des Kodex erklärte und behauptete, der Rahmen sei „angemessen, verhältnismäßig und technisch umsetzbar“, gab keines der Unternehmen zum Zeitpunkt der Veröffentlichung eine Erklärung ab. Als die Regierung letzte Woche auf die Konsultation reagierte, wurden viele ihrer bedeutendsten Maßnahmen entweder gestrichen oder verschoben. Diese Rückzieher, die bisher nicht gemeldet wurden, sollen Mitte Juli in Kraft treten, sofern das Parlament nicht dagegen stimmt. Der Kodex wird gemäß dem **Telecommunications (Security) Act 2021** erlassen, der die Anbieter verpflichtet, angemessene und verhältnismäßige Sicherheitsmaßnahmen zu ergreifen. Obwohl es sich um eine Richtlinie und nicht um direktes Gesetz handelt, erklärt **Rob Bratby**, geschäftsführender Gesellschafter von **Bratby Law**, dass sie als wichtiger „Maßstab“ dient. Abweichungen ohne triftigen Grund, so merkt er an, könnten zu Geldstrafen von bis zu zehn Prozent des Umsatzes führen. ## Wichtige Schutzmaßnahmen aufgegeben oder verschoben Mehrere entscheidende Schutzmaßnahmen wurden entweder aufgegeben oder nach hinten verschoben: * **Unabhängige Intrusion Detection Systeme für Signalisierung:** Eine Anforderung für Anbieter, ein separates System – idealerweise von einem anderen Anbieter – einzusetzen, um ausgehenden Datenverkehr auf umgangene Kontrollen zu überwachen, wurde gestrichen. Diese Systeme sollten die für die **Salt Typhoon**-Kampagne charakteristischen Datensicherungs-Methoden erkennen, die über 80 Länder betrafen. * **Nicht vertrauenswürdige eingehende Signalisierung:** Die Verpflichtung für Telekommunikationsunternehmen, eingehende Signalisierung standardmäßig als nicht vertrauenswürdig zu behandeln, wurde ebenfalls entfernt. Angreifer nutzen häufig Telekommunikationsprotokolle aus, die davon ausgehen, dass Nachrichten von anderen Netzwerken vertrauenswürdig sind. * **Monatliche Neustarts von Netzwerkausrüstung:** Eine Anforderung, Netzwerkausrüstung monatlich neu zu starten, um hochentwickelte speicherbasierte Malware zu löschen, wurde von den Anbietern als nicht umsetzbar eingestuft. Die überarbeiteten Regeln empfehlen Neustarts nun nur noch „wo machbar“. * **Sicherheit von Service-Konten:** Anforderungen zur Sicherung von Service-Konten – automatisierte Hintergrundkonten mit breitem Zugriff, die von der Regierung als „Hauptziel für Kompromittierung“ identifiziert wurden – wurden vom Ende 2028 auf Ende 2029 verschoben. * **Schwachstellen-Mapping und Abwehrtests:** Maßnahmen, die Anbieter verpflichten, ihre Schwachstellen zu kartieren, ihre Abwehrmaßnahmen zu testen und die Systemkommunikation mit der Außenwelt zu dokumentieren, wurden ebenfalls ähnlich verzögert. Der Sicherheitsbericht von **Ofcom** vom Dezember 2025 hatte bereits darauf hingewiesen, dass einige der größten britischen Anbieter bestehende Fristen für Maßnahmen zur Identitäts- und Zugriffsverwaltung, einem Bereich, der Service-Konten einschließt, wahrscheinlich verfehlen würden. **Rob Bratby** äußerte Bedenken hinsichtlich der Verzögerung bei Service-Konten und erklärte, es sei schwer mit der eigenen Bedrohungsanalyse der Regierung in Einklang zu bringen. „Service-Konten sind genau dort, wo ein fähiger Angreifer sein möchte… und die Regierung sagt das in ihrer Antwort auch.“ ## Eine einseitige Verhältnismäßigkeitsberechnung Als Reaktion auf Recorded Future News erklärte ein Sprecher des **DSIT**: „Das Vereinigte Königreich verfügt bereits über eines der stärksten Telekommunikationssicherheitsrahmen der Welt… Wir haben eng mit dem **NCSC** zusammengearbeitet, um sicherzustellen, dass das Feedback der Industrie berücksichtigt wird… neben der sich ändernden Sicherheitsbedrohung sowie den Kosten und praktischen Aspekten der Umsetzung dieser neuen Leitlinien.“ Die Verhältnismäßigkeitsprüfungen für jeden Rückzieher folgten jedoch durchweg einem Muster: Eine Maßnahme wurde vorgeschlagen, die Anbieter lehnten die Kosten oder die Praktikabilität ab, und die Maßnahme wurde anschließend gestrichen, abgeschwächt oder verschoben. Entscheidend ist, dass keine der veröffentlichten Bewertungen die potenziellen Kosten einer erfolgreichen feindlichen staatlichen Intrusion in die britische Telekommunikationsinfrastruktur berücksichtigte. Sieben der größten britischen Anbieter reichten vertrauliche Kostenschätzungen in einer ergänzenden Umfrage ein, die nicht veröffentlicht wurden. **Rob Bratby** argumentierte, dass der rechtliche Standard der Regierung eine umfassendere Erfassung erfordere. „Eine Verhältnismäßigkeitsprüfung, die nur die Kosten der Einhaltung für die Industrie zählt und nicht die Kosten eines Vorfalls für das Land, ist für sich genommen unvollständig.“ **Ciaran Martin**, jetzt Professor an der **Blavatnik School of Government** der Universität Oxford, teilte diese Bedenken: „Man soll diese Maßnahmen gegen die Kosten wahrscheinlicher nationaler Sicherheitsschäden bewerten. Wogegen misst man sie sonst?“ Während die Regierung solche Bewertungen für andere Gesetzgebungen bereits veröffentlicht hat – die jährlichen Kosten von Cyberangriffen für die britische Wirtschaft auf 14,7 Milliarden Pfund (19,7 Milliarden US-Dollar) zur Unterstützung des **Cyber Security and Resilience Bill** geschätzt –, wurde für den Telekommunikationssektor keine entsprechende Analyse erstellt. **Ollie Whitehouse**, Chief Technology Officer des **NCSC**, hatte dies bereits in einem Blogbeitrag vom Juni 2025 als systemisches Problem identifiziert. Er argumentierte, dass Entscheidungen über Investitionen in Cybersicherheit die nachgelagerten Kosten oft unterbewerten, da diese Kosten von Kunden und der Öffentlichkeit getragen werden, nicht von den Unternehmen, die die anfängliche Investition tätigen. „Die Kosten von Unterinvestitionen in Cybersicherheit werden letztendlich nicht von den Anbietern, sondern nachgelagert von Kunden, Versicherern, der Regierung und der breiteren Gesellschaft getragen“, schrieb er. Während einige Rückzieher als normaler Konsultationsprozess erklärt werden könnten, bei dem die Industrie alternative Compliance-Methoden nachweist, geben das Ausmaß der Änderungen und das Fehlen einer umfassenden Kosten-Nutzen-Analyse erhebliche Anlass zur Sorge über die Bereitschaft des Vereinigten Königreichs gegen hochentwickelte staatlich unterstützte Cyberbedrohungen.