DIY Notstromanlage – ein Erfahrungsbericht

Die Unwetterkatastrophe in NRW hat gezeigt, dass die Befürchtungen vieler Wissenschaftler schnell Realität werden können. Innerhalb von Stunden waren ganze Landstriche von der Außenwelt abgeschnitten. Ich selbst war mit im Krisengebiet, da meine Eltern und viele Freunde aus der Schulzeit dort wohnen. Das Bild vor Ort kann man nicht beschreiben.

Die Gebiete in denen ich war, wurden gerade am Anfang relativ wenig von THW und Feuerwehr unterstützt. Es gab keinen Strom, kein Wasser und kein Telefon. Aufgrund des Ausfalls des Mobilfunknetzes war bei sehr vielen Handys der Akku viel schneller als üblich leer, da Handys in diesen Situationen mit maximaler Leistung nach verfügbaren Netzen suchen. So auch bei meinen Eltern. Wir als Gesellschaft sind gewohnt, das alles funktioniert und wir sind davon abhängig geworden. Dies nennt man Verletzlichkeitsparadoxon und ist gerade für kritische Infrastrukturen eines der Hauptargumente, um diese zu schützen (siehe Nationale Strategie zum Schutz Kritischer Infrastrukturen).

Selbst als die Mobilfunknetze teilweise wieder funktionierten, konnten viele aufgrund der leeren Handy-Akkus und der fehlenden Stromversorgung immer noch nicht telefonieren. Zudem gab es ohne Strom natürlich auch kaum Licht und junge Eltern hatten mangels alternativer Kochmöglichkeiten das Problem, Babybrei oder die Milch für die Kinder warm zu bekommen.

Notstrom-Generatoren sind eine Möglichkeit, aber diese erfordern Treibstoff, Wartung und funktionieren ohne regelmäßige Testläufe gemäß Murphys Gesetz „natürlich“ gerade im Notfall nicht. Ich selbst konnte mich mit Powerbank und Solarpanelen mit USB-Ausgang über Wasser halten. Dabei kam mir aber schon die Idee, dies professioneller und robuster aufzubauen. Die Idee einer Notstromversorgung auf Solar-Basis mit Batteriepuffer war geboren.

Natürlich gibt es solche Systeme fertig zu kaufen, aber diese kosten teils über 1000 Euro als Bausatz und sind dann immer noch nicht portabel. Also musste etwas für den mobilen Einsatz her. Die folgenden Ziele wurden definiert:

  • Batteriespeicher
  • Laden von USB Geräten
  • 230V System für Dinge des alltäglichen Bedarfs (Flaschenwärmer, Licht, etc)
  • 12V Ausgang für Ladegeräte

Ich habe mich bewusst gegen Lipos entschieden, da diese schwieriger zu sichern sind und je nach Qualität der Lipos ein höherer Brandrisiko haben. Eine KFZ Batterie bekommt man an jeder Ecke und kann Sie im Worst Case auch aus einem defekter Fahrzeug vor Ort ausbauen.

Um mobil zu bleiben, wollte ich nur ein Solarpanel nutzen. Zudem sollte es ein monokristallines Modul sein, da dieses eine bessere Energieausbeute hat. Dies ist aber nur eine Preis- und Geschmacksfrage. Es geht genauso gut mit den deutlich günstigeren polykristallinen Modulen. Als Batterie hatte ich schon länger eine 45 Ah Auto-Batterie im Keller stehen. Das Ziel war also definiert und ich bin im Kellerlabor auf die Suche nach Einzelteilen gegangen.

Hinweis: Elektroarbeiten sollten grundsätzlich nur von qualifizierten, fachkundigen Personen durchgeführt werden. Wir übernehmen keine Haftung für die Richtigkeit der Angaben.

Folgende Teile werden für den Nachbau benötigt:

  • Auto Batterie (in meinem Fall eine Varta Anlasser Batterie, 12V, 45Ah, 400A)
  • 12V auf 230V Wechselrichter (ich hatte noch einen HQ Wechselrichter im Keller liegen)
  • 12V Buchse (ein Zigarettenanzünder aus dem KFZ Bedarf)
  • Solar Wechselrichter (Als Set mit Solarmodul und Kabel, z.B. hier zu bekommen. Hinweis: Die Sets sind heiß begehrt und ggf gerade ausverkauft. Vielleicht mal hier schauen oder im Baumarkt vor Ort.)
  • Solarpanel
  • Anschlusskabel
  • Werkzeug (Stichsäge, Seitenschneider, Holzleim, Crimp-Zange ist von Vorteil)
  • Spanplatten 1cm
  • Kiste zum Einbau (Hier nutze ich eine Stanley/DeWalt TSTAK IV da ich eh mein ganzes Werkzeug hiermit organisiere)

Der Zusammenbau ist relativ einfach und in zwei Stunden gemacht. Kostenmäßig lag ich ca. bei 320 Euro. Wenn man bestimmte Dinge anpasst (Kiste zum Einbau, andere Solarpanel), kann man sogar auf 250 Euro kommen.

Zuerst wurde geprüft, welche Komponenten wie am besten platziert werden können.

Danach wurde mit dem Sperrholz eine Box für die Batterie und eine Box für die Kabel gebaut. Auf der Batteriebox ist noch ein Holzdeckel, auf dem der PV Wechselrichter sowie eine Dreifach-Steckdose und die 12V Buchse angebracht wurde.

Das finale Produkt sieht dann so aus.

Im geschlossenen Zustand passt es zusammen mit dem Solarpanel in den Kofferraum. Durch die 6 Meter Kabel kann das Modul genau dort platziert werden, wo gerade Sonne ist.

Da man bei Bleibatterien nie die volle Leistung entnehmen sollte (maximal 50%) rechnen wir also grob mit 27Ah. Damit können wir den 300W Wechselrichter für eine Stunde bei maximaler Last laufen lassen. Natürlich nutzt der Wechselrichter selten die volle Leistung und daher reicht die Batterie im Feldbetrieb normalerweise einen Tag. Zudem wird die Batterie ja auch im Betrieb durch das Solarpaneel aufgeladen.

An der Box können natürlich auch Laptops und weitere elektronische Geräte für ein mögliches Cyber-Hilfswerk geladen werden.

Update 01.08.2021:

Auf vielfachen Wunsch wurde eine detaillierte Anleitung mit angefügt.

  1. Um die Batterie vor dem verrutschen zu sichern wurde eine passgenaue Bodenplatte aus Spannholz zurecht geschnitten. Diese hat eine Aussparung für die Batterie so das diese nicht mehr rutschen kann. Dies muss natürlich je nach Benutzer Box passend geschnitten werden.
  2. Als nächster wurde der Strom angeschlossen. Bei dem von mir genutzten PV Set waren bereits alle Kabel enthalten. Bitte achtet bei eigenen Kabels auf die passenden Kabelquerschnitte (10mm) und Sicherungen (Maximal 15 cm von der Batterie weg). Als erster habe ich das Kabel zum Solar Paneel angeschlossen. Plus auf Plus, Minus auf Minus. Da hohe Ströme fließen bitte fest anziehen. Das Solar Paneel habe ich noch nicht verbunden (Dies hat ja noch einmal spezielle Schnelladapter). Als nächster habe ich die Batterie angeschlossen. In die Plus Leitung muss eine 20A Sicherung eingebaut werden (ist im PV Set mit dabei gewesen). Auch hier wieder Plus auf Plus, Minus auf Minus. Dies Sicherung sollte nicht gesteckt sein! Es besteht Kurzschlussgefahr.
  3. Der 230V Wechselrichter darf nicht direkt an den Solar Wechselrichter angeschlossen werden. Der 230V Wechselrichter muss direkt an die Batterie angeklemmt werden. Bei meinem Wechselrichter waren 2 Kabel mit dabei, welche jedoch nicht direkt angeschlossen werden konnten. Diese habe ich gekürzt, neu gecrymt und dann entsprechend direkt an die Batterie angeschlossen. Auch hier ist direkt eine Sicherung in der Plus Leitung der Batterie eingebaut worden.
  4. Am Lastausgang des Solar Wechselrichters habe ich eine Standard 12V KFZ Buchse angeschlossen. Auch hier ist eine Sicherung in der Buchse eingebaut. An den 12V Ausgang sollten nur kleine Abnehmer angeschlossen werden (Ladegeräte oder kleinere 12V Verbraucher wie Licht)
  5. Nachdem die Verkabelung durchgeführt worden ist, habe ich das innere der Box mit Holz ausgekleidet und alles mit Holzleim verbunden. Das Paneel über der Batterie ist nur aufgelegt und kann zu Wartungszwecken geöffnet werden.
  6. Für den finalen Test wurde das PV Paneel angeschlossen und die Sicherungen eingebaut. Das System schaltet sich automatisch ein. Da ich eine Nass Batterie verwende, habe ich dies im PV Wechselrichter eingestellt. Bitte prüft daher euren Wechselrichter welche Typen unterstützt werden. Ich habe dann in die 12 V Buchse meinen Laptop geklemmt und geprüft ob geladen wird. Funktioniert alles, können die Kabel noch schön verlegt werden und die Batterie initial voll aufgeladen werden.

Es gibt ebenfalls eine englische Anleitung unter Hackaday

Ab wann ist etwas grob fahrlässig? – Historie von Cell Broadcast in Deutschland

Cell Broadcast, ein technisches System zur Aussendung von Katastropheninformationen über Mobilfunknetze, ist seit dem Hochwasser im Juli 2021 in aller Munde. Dieses System sorgt dafür, dass alle in einer Mobilfunkzelle eingebuchten Geräte eine Information erhalten. Die Information wird dabei nicht einzeln für jedes Gerät ausgesendet, sondern nur einmal – während alle Geräte diese empfangen. Dies sorgt dafür, dass ohne jegliche Kenntnis, wer die Nachricht bekommen hat (datenschutzfreundlich), die Handys in einer bestimmten Region über eine Notlage oder Katastrophe informiert werden, ohne dass das Mobilfunknetz dadurch überlastet wird.

Leider wurde dieses System in Deutschland nie für Kriseninformationen oder den Katastrophenschutz genutzt, obwohl alle Mobilfunknetze seit Anfang der 2000er Jahre technisch zu solchen Aussendungen in der Lage gewesen wären und mehrere Mobilfunknetzbetreiber sogar bis 2010 Experimente durchgeführt haben, bei denen über Cell Broadcast z.B. Verkehrs- oder Wetterinformationen ausgesendet wurden.

Eine erste technische Demonstration des Systems gab es 1997 in Paris. Seit 1999 wird die Technologie laut der Wikipedia in asiatischen, amerikanischen und europäischen Mobilfunknetzen eingesetzt, allerdings in den ersten Jahren für andere Zwecke, als Krisen- und Katastropheninformationen.

Die USA begannen 2006 mit dem Aufbau eines Systems zur Krisen- und Katastropheninformation – unter dem Titel „Wireless Emergency Alerts“ (WEA) – welches auch Cell Broadcast verwendete, um die Menschen zu informieren.

Spätestens seit 2001 ist Cell Broadcast als Möglichkeit zur Katastrophen- und Kriseninformation bekannt. Auf Seite 63 und Seite 64 des Zweiten Gefahrenbericht der Schutzkommission beim Bundesminister des Innern, herausgegeben im Oktober 2001 (https://repository.publisso.de/resource/frl:1997671-1/data), heißt es zur damaligen Situation:

„Das gegenwärtige System zur Warnung der Bevölkerung in Deutschland im Verteidigungsfall sowie bei Katastrophen und größeren Schadensereignissen besteht aus Warnmeldungen und Informationen durch den Rundfunk (Hörfunk, Fernsehen) sowie aus örtlich begrenzten Alarmierungen mit Sirenen. Seine Struktur und sein Ausbau ist für eine rasche, gleichzeitige und umfassende Warnung bei großflächigen Gefahren nicht ausgelegt“

Als mögliche Lösung wird im darauffolgenden Absatz 3.2.2 vorgeschlagen:

„Die Untersuchung von [für ein technisches Warnsystem] geeigneten Technologien und Systemen hat gezeigt, dass unter den genannten Gesichtspunkten im Wesentlichen drei Systeme mit Alarmfunktion für die Mitbenutzung in einem zukünftigen Warnsystem in Frage kommen: Mobilfunk nach GSM- oder UMTS-Standard mit Cell Broadcast-Funktion, Langwellen-Zeitfunk DCF 77 mit zusätzlicher Alarmfunktion und das Radio-Daten-System (RDS) des terrestrischen UKW-Hörfunks.“

Die Bundesnetzagentur hat sich laut Tätigkeitsbericht in den Jahren 2006/2007 sowie 2007/2008 im Rahmen der Mitwirkung an der europäischen Arbeitsgruppe „ETSI EMTEL“ mit Cell Broadcast beschäftigt. Diese Arbeitsgruppe, oder die BNetzA selbst, das wird aus dem Tätigkeitsbericht nicht deutlich, hat eine „Analyse der Anwendbarkeit von SMS und Cell Broadcast Service im Katastrophenfall“ durchgeführt.

Auch in den Bundestagsdrucksachen finden sich Spuren von Cell Broadcast – unserer Kenntnis nach erstmalig im Jahr 2008 auf Drucksache 16/9907. Dort schreibt das BMI: „Nach einem erfolgreichen Test in den Niederlanden wird dieses System im internationalen Rahmen unter Beteiligung des BBK ab 2009 untersucht.“

Die Forschungsergebnisse dieser Untersuchungen des BBK waren bisher nicht auffindbar, weswegen wir dazu eine IFG-Anfrage gestellt haben (https://fragdenstaat.de/anfrage/untersuchung-von-cell-broadcast-seit-2009/)

Seit 2012 ist Cell Broadcast als Komponente des niederländischen Warnsystems „NL-Alert“ im Einsatz und wurde bei Krisensituationen mehrfach mit großem Erfolg genutzt. Die Niederländer berichten, dass Sie mit Cell Broadcast regelmäßig mehr als 90% der Bevölkerung erreichen können.

Seit 2018 gibt es europäische Vorgaben in Artikel 110 der EU-Richtlinie 2018/1972 zur Umsetzung von Cell Broadcast im Rahmen des geplanten Systems „EU-Alert“ – das verbindlich im Juni 2022 fertiggestellt worden sein soll.

Absatz 1 beschreibt unserer Ansicht nach eindeutig Cell Broadcast im Kontext des europäischen Systems „EU-Alert“. Absatz 2 legt dann Ausnahmen dafür fest. Der Wortlaut des Absatzes lautet:

„(2) Ungeachtet des Absatzes 1 können die Mitgliedstaaten festlegen, dass öffentliche Warnungen über öffentlich zugängliche elektronische Kommunikationsdienste, bei denen es sich weder um die in Absatz 1 genannten Dienste noch um Rundfunkdienste handelt, oder über eine über einen Internetzugangsdienst verfügbare mobile Anwendung übertragen werden, sofern die Effektivität des öffentlichen Warnsystems in Bezug auf Abdeckung und Kapazität zur Erreichbarkeit der Endnutzer, auch derjenigen, die sich nur zeitweilig in dem betreffenden Gebiet aufhalten, gleichwertig ist; dabei tragen sie den GEREK-Leitlinien weitest möglich Rechnung. Öffentliche Warnungen müssen von den Endnutzern leicht empfangen werden können.“

Aus unserer Sicht lässt sich in diesem Absatz 2 der Versuch herauslesen, Apps wie NINA oder KATWARN den gleichen Status wie Cell Broadcast zu geben, aber die Formulierung lässt auch Interpretationsspielraum zu. Wir sind der Meinung, dass Apps wie NINA oder KATWARN eben nicht der „Effektivität des öffentlichen Warnsystems in Bezug auf Abdeckung und Kapazität zur Erreichbarkeit der Endnutzer, (…), gleichwertig“ sind.

Nichtsdestotrotz wird sich ein Beamter in der zuständigen Behörde sicherlich darauf berufen, dass der „GEREK-Leitlinien“ im Zweifel „weitestmöglich Rechnung“ getragen wurde und damit die Richtlinie zu EU-Alert als erfüllt gilt.

Als offene Fragen verbleiben zum jetzigen Zeitpunkt:

  • Was ist aus dem BBK-Forschungsprojekt von 2009 zu Cell Broadcast geworden?
  • Welches Ministerium hat sich 2017 und 2018 für diese schwammigen Ausnahmen in EU-Alert eingesetzt?
  • Wer trägt dafür die politische Verantwortung?

Klar ist: Seit 20 Jahren ist die Notwendigkeit von Cell Broadcast im Katastrophenschutz im BMI bekannt, wie der oben zitierte Absatz aus dem „Zweiten Gefahrenbericht der Schutzkommission beim Bundesminister des Innern“ beweist. An welcher Stelle die Umsetzung von Cell Broadcast im BMI seit 2001 gescheitert ist, ist unklar.

Vor dem Hintergrund dieser eindeutigen öffentlichen Informationen, scheint es angebracht, die Frage der groben Fahrlässigkeit des zuständigen Ministeriums und seiner nachgeordneten Behörden öffentlich zu stellen. Wenn bekannt war, dass die Alarmierung durch u.A. die Reduktion der Sirenen nicht mehr die gesamte Bevölkerung erreichen kann, warum wurde dann nicht bereits vor 10 oder 15 Jahren, als dies technisch möglich war, Cell Broadcast auch umgesetzt?

Sicherlich kann man den Schuldigen nicht alleine auf dem Stuhl des Bundesinnenministers suchen. Als der zweite Gefahrenbericht 2001 veröffentlicht wurde, saß auf diesem noch Otto Schily. Und nach Schily hatten wir fünf weitere Bundesminister des Inneren. Viel wahrscheinlicher liegt die tatsächliche Verantwortung hier wahrscheinlich bei einem Staatsekretär im Bundesministerium des Inneren – oder sogar mehreren, die diesem Thema in der Vergangenheit, bis heute in fahrlässiger Weise nicht die notwendige Aufmerksamkeit haben zukommen lassen. Ein Land, das sich gerne Hochtechnologieland nennt, sollte es auch auf staatlicher Ebene schaffen, der Technologie nicht hinterher zu rennen, sondern Vorbild und Vorreiter zu sein.

Offener Brief zur Cybersicherheitsstrategie für Deutschland 2021 – Update vom 30.06.2021

Update vom 30.06.2021: Mit weiteren UnterzeichnerInnen geht der offene Brief in eine zweite Runde.

Die AG KRITIS hat den offenen Brief zur Cybersicherheitsstrategie für Deutschland 2021 mitunterzeichnet, um ein Zeichen für die Zivilgesellschaft und die kritischen Infrastrukturen zu setzen.

Hier findet ihr darüber hinaus die politischen Forderungen der AG KRITIS.

Fristverlängerung für die Bewertung der Cybersicherheitsstrategie 2021

Das Bundesministerium für Inneres, Bau und Heimat (BMI) lässt zur Bewertung der Cybersicherheitsstrategie 2021 lediglich eine Woche Zeit. Die Frist für die Abgabe der Kommentierungen wurde vom BMI auf den 16.06.2021 festgelegt, die Veröffentlichung der Strategie erfolgte am 09.06.2021  Aus nicht öffentlichen Quellen wurde uns zugetragen, dass eine Ressortabstimmung entweder nicht geplant oder noch nicht durchgeführt wurde.

Im Regelfall erfolgt die Beteiligung der Zivilgesellschaft erst nach der Ressortabstimmung – wir sind daher über diese frühe Einbindung der Zivilgesellschaft erstaunt, würden uns aber wünschen, dass insbesondere das BMJV im Rahmen der Ressortabstimmung die bürgerrechtsfeindlichsten Abschnitte entfernt hätte, um der Zivilgesellschaft etwas davon abzunehmen.

Vor dem Hintergrund der deutlichsten Kritik aller Wirtschaftsverbände und zivilgesellschaftlichen Initiativen an den extrem kurzen Fristen rund um das IT-Sicherheitsgesetz 2.0 und den vergleichbar kurzen Fristen bei anderen Vorhaben des BMI im Jahr 2020 und 2021 kann leider nicht von einem lernfähigen BMI gesprochen werden.

Eine bisher äußerst flüchtige Bewertung der CSS 2021 kommt zum gleichen Ergebnis – relevante wissenschaftliche Erkenntnisse zur IT-Sicherheit und Cyberstrategie verschiedener staatlicher Stellen wurden nicht berücksichtigt – auch hier drängt sich uns die Vermutung auf, dass das BMI weder wissenschaftlich-fundiert arbeitet, noch lernfähig oder lernwillig ist.

Wir werden eine detaillierte Stellungnahme bis 07. Juli 2021 einreichen – Dies entspricht vier Wochen Kommentierungsfrist. Wir halten diese vier Wochen für angemessen, da das BMI auf kleine Anfragen regelmäßig die gleiche Frist zur Beantwortung erbittet.

Mit dem Wissen, dass die Beamten im BMI für ihre Tätigkeit bezahlt werden, wir unsere Bewertungen allerdings im Ehrenamt durchführen, halten wir es für angemessen, uns für die Bewertung dieses umfassenden Dokumentes die selbe Frist zu beanspruchen, die das BMI für die Beantwortung parlamentarischer Fragen beansprucht.

Hierzu hat die AG KRITIS auch einen offenen Brief der Gesellschaft für Informatik mit unterzeichnet, der „Angemessene Fristen statt Scheinbeteiligung“ fordert.

KRITIS auf EU-Ebene – Teil 2

Derzeit beschäftigt sich das europäische Parlament in den Vorgängen 2020/0359 (COD) und 020/0365 (COD), auch genannt NIS2- und RCE-Direktive, mit Cybersicherheit und der Resilienz Kritischer Infrastrukturen.

Da sich beide Direktiven auch auf die IT-Sicherheit kritischer Infrastrukturen in Deutschland auswirken, hat eine Untergruppe der AG KRITIS in den letzten Wochen eine Bewertung der vorliegenden Entwürfe vorgenommen.

Eine erste Bewertung haben wir bereits hier veröffentlicht: Bewertung der EU-NIS und EU-RCI Richtlinie, die dort erwähnten noch fehlenden Punkte haben wir nun in einer zweiten Bewertung analysiert und stellen Ihnen die Bewertung hier zur Verfügung:

Vielen Dank an die Mitglieder der AG KRITIS, die sich bereit erklärt haben, neben den regulären Aufgaben innerhalb der AG KRITIS, diese Bewertung vorzunehmen.

IT-Sicherheitsgesetz 2.0 – alle verfügbaren Versionen

Hier stellt die AG KRITIS zur Übersicht alle Versionen des IT-Sicherheitsgesetz 2.0 bereit, die irgendwo öffentlich geworden sind, so dass es eine Chance gibt, den Überblick zu halten. Das BMI hat leider versäumt, eine solche Transparenz im Sinne der Gesetzgebung eigenständig vorzunehmen – ebenso gibt es leider weiterhin keine vom BMI bereitgestellten Synopsen, anderweitige Differenzversionen oder Versionen mit Änderungsmarkierungen jeglicher Art.

Timeline der IT-SIG 2.0 Versionen:

18.05.2021 IT-Sicherheitsgesetz 2.0 (Vollständiges IT-SiG 2.0) (Vollständige HTML Version via Buzer.de)

18.05.2021 IT-Sicherheitsgesetz 2.0 (Beschlossene Fassung aus dem  Bundesgesetzblatt) (17 Seiten)

20.04.2021 IT-Sicherheitsgesetz 2.0 (Antrag Entschließung CDU/CSU und SPD) (5 Seiten)

20.04.2021 IT-Sicherheitsgesetz 2.0 (Änderungsantrag CDU/CSU und SPD) (20 Seiten)

25.01.2021 IT-Sicherheitsgesetz 2.0 (Bundestagsfassung) (110 Seiten)

01.01.2021 IT-Sicherheitsgesetz 2.0 (Bundestagsfassung) (130 Seiten)

16.12.2020 IT-Sicherheitsgesetz 2.0 (Kabinettsfassung) (118 Seiten)

11.12.2020 IT-Sicherheitsgesetz 2.0 (119 Seiten)

09.12.2020 IT-Sicherheitsgesetz 2.0 (Anschreiben Verbände) (10 Seiten)

09.12.2020 IT-Sicherheitsgesetz 2.0 (Verbändefassung) (108 Seiten)

01.12.2020 IT-Sicherheitsgesetz 2.0 (92 Seiten)

19.11.2020 IT-Sicherheitsgesetz 2.0 (92 Seiten)

07.05.2020 IT-Sicherheitsgesetz 2.0 (73 Seiten)

27.03.2019 IT-Sicherheitsgesetz 2.0 (90 Seiten)

To be continued…

Vorherige Stellungnahme der AG KRITIS

Bei weiteren sachdienlichen Hinweisen wenden Sie sich bitte an Ihre nächste Kontaktperson der AG KRITIS.

Für Risiken und Nebenwirkungen kontaktieren Sie Ihre Abgeordneten.

Artikel: Spiegel.de – Der Cyberangriff auf die US-Pipeline ist ein Warnschuss für Deutschland

Der Spiegel berichtete über den Ransomware-Angriff auf den amerikanischen Pipeline-Betreiber „Colonial Pipeline“ und fragte dazu unsere Einschätzung an.

Johannes Rundfeldt, Sprecher der Gruppe, sagt, dass Cyberkriminelle, die ihre Opfer gezielt auswählen, sich gern für Ziele mit hoher Sichtbarkeit und Wichtigkeit für das Gemeinwesen entscheiden. Das erhöhe die Wahrscheinlichkeit, nicht nur ein Lösegeld zu bekommen, sondern ein besonders großes Lösegeld fordern zu können. Betreiber kritischer Infrastruktur seien so gesehen ein interessantes Ziel, so Rundfeldt, »denn dadurch, dass besonders viele Menschen von den Betreibern kritischer Infrastrukturen abhängig sind, ist die Bereitschaft der Betreiber, ein Lösegeld zu bezahlen, besonders hoch.«

Stellungnahme der AG KRITIS zum BSI-KritisV-Entwurf vom 22.04.2021

Am 26. April 2021 hat das Bundesministerium des Innern, für Bau und Heimat (BMI) den „Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung“ (KritisV) veröffentlicht. Insgesamt werden durch die darin enthaltenen Änderungen über alle KRITIS Sektoren hinweg ca. 270 zusätzliche KRITIS Betreiber erwartet, was eine umfangreiche Ausweitung der registrierten KRITIS Betreiber darstellt. Adressiert werden dadurch im Wesentlichen die folgenden Sektoren:

  • Energie: ~170 (insbesondere Stromerzeugung)
  • IT und TK: ~10 (insbesondere IXP & Rechenzentren)
  • Finanz- und Versicherungswesen: ~20 (insbesondere Wertpapier- & Derivathandel)
  • Transport und Verkehr: ~70 (insbesondere intelligente Verkehrssystem)

Evaluierung? Weiterhin unvollständig, halbherzig, intransparent und nicht öffentlich!

Angeblich hat inzwischen eine Evaluierung der KritisV stattgefunden, deren Erkenntnisse in dem Entwurf Berücksichtigung finden. Allerdings gibt es keinerlei Informationen zu Umfang, Methodik und Ergebnissen dieser Evaluierung, ganz zu schweigen von einem Nachweis der Unabhängigkeit oder der Expertise der Evaluierenden. Nur eine Veröffentlichung der KritisV Evaluierungen schafft die notwendige Transparenz, um eine objektive Beurteilung der KritisV zu gewährleisten.

So wurden offensichtliche Fragestellungen, wie Auswirkungen durch sektorübergreifende KRITIS Betreiber oder auch der pauschale Regelschwellenwert von 500.000 Personen, nicht analysiert. Im Ergebnis werden z.B. Ver- und Entsorgungsbetriebe von Städten wie Bielefeld, Bonn, Münster, Karlsruhe, Mannheim, Augsburg, Wiesbaden, Braunschweig oder Aachen mit ihrer Einwohneranzahl weiterhin nicht zu kritischen Infrastrukturen gezählt.

Es wirkt eher, als habe das BMI das Feedback der Aufsichtsbehörden und des BSI eingesammelt und in ein Update einfließen lassen. Von einer Evaluierung ist weiterhin weit und breit keine Spur.

Allgemeine Änderungen

Unter Anlagen werden jetzt auch explizit „Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind“ definiert. Diese waren allerdings bereits zuvor relevant und wurden nur der Vollständigkeit halber ergänzt.

Konkretisiert wurde auch die Definition von mehreren Anlagen, die eng miteinander verbunden sind und somit als gemeinsame Anlage gelten. Denn eine Störung oder der Ausfall einer Anlage zieht mit hoher Wahrscheinlichkeit alle anderen Anlagen mit, so dass diese auch wie eine große Anlage zu sehen sind.

Sofern mehrere KRITIS-Betreiber gemeinsam eine Anlage betreiben, ist jeder für die Erfüllung der Pflichten als Betreiber verantwortlich und kann sich somit nicht aus der Verantwortung stehlen.

Details in den Sektoren

Sektor Energie

  • Stromerzeugungsanlagen sind im Schwellenwert von 420 MW auf 36 MW reduziert worden, somit werden weitere kleinere Anlagen aufgenommen. Mit dieser signifikanten Änderung des Schwellwerts wird einer Empfehlung der Bundesnetzagentur gefolgt.
  • Schwellwerte für zentrale Anlagen und Systeme für den Stromhandel wurden von 200 TWh/Jahr auf 3.700 TWh/Jahr angehoben. Dabei sind gleichzeitig aber Einschränkungen auf den „physischen kurzfristigen Spothandel im deutschen Markt“ entfallen. Laut Referentenentwurf wurden in diesem Bereich bisher keine KRITIS-Betreiber verzeichnet. Somit besteht hier wohl das Bestreben, weitere KRITIS-Betreiber zu erfassen.
  • Messstellen wurden als Kategorie ersatzlos gestrichen, da sie sich laut Evaluierung als nicht erforderlich herausgestellt haben. Eine weitere Begründung ist nicht ersichtlich.

Sektor Wasser

  • Stauanlagen wurden hinzugefügt.

Sektor Ernährung

  • Fuhrpark-, Hof- und Flottenmanagementsysteme wurden hinzugefügt.
  • ERP-, Warenwirtschaft und Lagerveraltungssysteme sowie EDI- Dispositionssysteme, Lieferanten- und Kundenstammdatensysteme finden beispielhafte Erwähnung als Konkretisierung.
  • Alkopops sind jetzt KRITIS, da Getränke mit einem Alkoholgehalt von bis zu 1,2 Volumenprozent in die Definition fallen.

Sektor IT und TK

  • Registrierungsstellen für Top-Level-Domains fallen jetzt explizit in die Definition, obwohl DNS-Server bereits in die Anlagenkategorie „DNS-Server“ fallen.
  • Der Schwellenwert für Internet Exchange Points (IXP) wurde von 300 auf 100 angeschlossene autonome Systeme herabgesetzt und die Beschreibung konkretisiert.
  • Der Schwellwert von Housing-Rechenzentren wurde von 5 MW auf 3,5 MW vertraglich vereinbarter Leistung reduziert.

Sektor Gesundheit

  • Wareneingang, Lagerung und Warenausgang finden beispielhafte Erwähnung als Konkretisierung.
  • Im Laborinformationsverbund finden die Steuerung des Probentransports, die Kommunikation zum Auftragseingang und zur Befundübermittlung sowie der Betrieb eines Laborinformationssystems beispielhafte Erwähnung als Konkretisierung. Hier scheinen die Praxiserfahrungen der Pandemie-Situation eingeflossen zu sein.

Sektor Finanz- und Versicherungswesen

  • Lastschriften oder Zahlungsaufträge finden beispielhafte Erwähnung als Konkretisierung.
  • Das Erzeugen und Weiterleiten von Aufträgen zum Handel von Wertpapieren und Derivaten an einen Handelsplatz, der Handelsplatz selbst und sonstige Depotführungssysteme sind neu hinzugefügt worden.
  • „Ein integriertes Anwendungssystem zur Erfassung, Prüfung und Berechnung von sozialversicherungsbezogenen Transferleistungen nach SGB II“ wurde hinzugefügt.

Sektor Transport und Verkehr

  • Es wurden die Flugsicherung und Luftverkehrskontrolle und das Flughafenleitungsorgan hinzugefügt.
  • Bei der Leitzentrale der Eisenbahn findet die Disposition von Personal und die Disposition des Wartungsbetriebs Erwähnung.
  • In der Seeschifffahrt findet die Disposition des Schiffsraums und die Leitzentrale der Binnenschifffahrt (nur Güterverkehr) als Konkretisierung Erwähnung. Neu hinzugekommen sind Umschlaganlagen in See- und Binnenhäfen, Hafenleitungsorgane (nur Güterverkehr) sowie Anlagen oder Systeme zur Abwicklung, Koordination, Steuerung und Verwaltung des übergreifenden Hafenbetriebs.
  • In Verkehrssteuerungs- und Leitsystemen finden Bundesautobahnen, zum Beispiel Verkehrs-, Betriebs- und Tunnelleitzentralen, Entwässerungsanlagen, intelligente Verkehrssysteme und Fachstellen für Informationstechnik und Informationssicherheit im Straßenbau Erwähnung.
  • Im kommunalen Straßenverkehr wurden Intelligente Verkehrssysteme hinzugefügt. Ebenfalls hinzu kommen Leitzentralen des ÖSPV, Anlagen oder Systeme zur Erbringung operativer Logistikleistungen und IT-Systeme zur Logistiksteuerung oder -verwaltung. Eine weitere Änderung wurde mutmaßlich durch die Berliner Verkehrsbetriebe (BVG) verursacht und ändert die Bemessungsgröße im ÖPNV von „Anzahl Fahrgäste/Jahr“ zu „Anzahl unternehmensbezogener Fahrgastfahren/Jahr“.
  • Auch neu hinzugekommen sind Bodenstationen eines europäischen Satellitennavigationssystems.
  • Es wurde konkretisiert, dass es sich um den deutschen Teil des Kernnetzes bei Schienennetzen und Stellwerken der Eisenbahn handelt.

Fazit

Wir begrüßen, dass einige Schwellenwerte herabgesetzt wurden und dadurch weitere Betreiber unter die BSI-Kritisverordnung fallen und durchaus einen großen Beitrag zur Versorgungssicherheit in Deutschland leisten. Zudem dürften die Konkretisierungen und ergänzenden Beispiele in den jeweiligen Sektoren insbesondere für die Betreiber eine Hilfe sein, wenn es um die Identifikation ihrer kritischen Anlagen und Dienstleistungen für die Versorgung Deutschlands geht.

Auf der anderen Seite ist das pauschale Festhalten an dem Regelschwellenwert von 500.000 Personen für uns weiterhin unverständlich, da somit weiterhin nicht einmal viele der deutschen Großstädte Berücksichtigung finden, z. B. im Bereich der Wasserversorgung. Wir fordern daher weiterhin, die Schwellenwerte öffentlich zu diskutieren und wissenschaftlich zu evaluieren. Dabei sind auch sektorübergreifende Kaskedeneffekte zu berücksichtigen.

Hier findet ihr die politischen Forderungen der AG KRITIS.

Bewertung der EU-NIS und EU-RCI Richtlinie

Derzeit beschäftigt sich das europäische Parlament in den Vorgängen 2020/0359 (COD) und 020/0365 (COD), auch genannt NIS2- und RCE-Direktive, mit Cybersicherheit und der Resilienz Kritischer Infrastrukturen.

Da sich beide Direktiven auch auf die IT-Sicherheit kritischer Infrastrukturen in Deutschland auswirken, hat eine Untergruppe der AG KRITIS in den letzten Wochen eine Bewertung der vorliegenden Entwürfe vorgenommen.

Nicht alle Aspekte wurden tiefgehend bewertet – am Ende der Bewertung findet sich eine Abgrenzung, zu welchen Themenbereichen noch keine Bewertung vorgenommen wurde. Es ist geplant, diese noch unbearbeiteten Punkte in zukünftigen Bewertungen zu ergänzen.

Die Bewertung findet sich hier:

Vielen Dank an die Mitglieder der AG KRITIS, die sich bereit erklärt haben, neben den regulären Aufgaben innerhalb der AG KRITIS, diese Bewertung vorzunehmen.

Ergebnis der Sachverständigenanhörung zum IT-Sicherheitsgesetz 2.0

Am 01. März 2021 war Manuel Atug, Gründer und Sprecher der AG KRITIS, als Sachverständiger im Ausschuss für Inneres und Heimat im Rahmen der Anhörung zum Entwurf des IT-Sicherheitsgesetz 2.0 geladen. Neben unserer Stellungnahme gab es von allen Sachverständigen enorme Kritik an dem geplanten Gesetzesvorhaben. Wir fordern daher weiterhin die Notbremse für den Entwurf, damit die dringend erforderlichen umfangreichen Änderungen durchgeführt werden können. Weiterhin muss die vorgesehene Evaluierung des ersten IT-Sicherheitsgesetzes durchgeführt werden.

Als Sachverständige wurden geladen:

  • Sebastian Artz, Branchenverband Bitkom
  • Manuel Atug, Arbeitsgemeinschaft Kritische Infrastrukturen (AG KRITIS)
  • Prof. Dr. Klaus F. Gärditz, Staatsrechtler
  • Dr. Sven Herpig, Stiftung Neue Verantwortung
  • Linus Neumann, Chaos Computer Club
  • Martin Schallbruch, Digital Society Institute der European School of Management and Technology Berlin

Die geladenen Sachverständigen waren sich einig, dass der vorliegende Gesetzesentwurf mangelhaft ist. Bereits vor der Einbringung des Entwurfs in den Bundestag hat das Ministerium des Inneren, für Bau und Heimat existierende Entwürfe des Gesetzestexts nicht oder nur mit sehr kurzen Rückmeldefristen für eine Stellungnahme der zivilgesellschaftlichen Organisationen veröffentlicht, sodass erste Kommentare auf geleakten Versionen des Texts beruhen. Zusätzlich handelt es sich bei den vorliegenden Texten um sogenannte Änderungsgesetze, die ein einfaches Lesen des aus den Änderungen resultierenden Gesetzestexts nicht möglich machen.

In der Stellungnahme erläuterte Manuel Atug die von uns bereits mehrfach kritisierten Punkte: Fehlende Unabhängigkeit des BSIs, fehlende Evaluierung des ersten IT-Sicherheitsgesetzes, die Streichung der Stärkung des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe sowie insbesondere die Einführung der Möglichkeit des Zurückhalten von Schwachstellen durch das BSI, da sich die Behörde damit zum „Handlanger der Sicherheitsbehörden und Nachrichtendienste“ mache und das Vertrauen in den Responsible Disclosure Prozess des BSI erschüttert werden würde.

Auch die anderen Sachverständigen formulierten teils erhebliche Kritik. Dr. Sven Herpig äußerte Kritik an wirkungslosen Passagen bezüglich des digitalen Verbraucherschutzes, da „[…] es in Deutschland weiter möglich sein werde, unsichere IT-Produkte auf den Markt zu bringen“. Linus Neumann vermisst eine Strategie, die „kompromisslos auf IT-Sicherheit“ setzt, beispielsweise durch ein Mindesthaltbarkeitsdatum für Softwarekomponenten und kritisiert das freiwillige IT-Sicherheitskennzeichen. Der Verfassungsrechtler Dr. Klaus F. Gärditz formuliert zusätzlich zu der inhaltlichen Kritik der anderen Sachverständigen verfassungs- und verwaltungsrechtliche Bedenken an § 9b des Entwurfs.

Die Aufzeichnung der kompletten Sitzung ist auf der Webseite des Bundestags abrufbar. Unsere Stellungnahme [AG KRITIS], [Deutscher Bundestag], die Stellungnahmen der anderen Sachverständigen sowie die Rede von Manuel Atug sind öffentlich einsehbar.