The Morpheus Tutorials Podcast: Kritische Infrastruktur ist kritisch – auch in der IT-Sicherheit!

„Wir möchten auch morgen noch kraftvoll in ein Glas Wasser schlürfen können.“ Darüber und über vieles mehr spricht unser Mitglied @HonkHase mit @TheMorpheusTuts in seinem Podcast Speak 1337. Es geht um die AG Kritis, aktuelle politische (Fehl)Entscheidungen und das Cyberhilfswerk.

Was wäre das schlimmste, was ein Hacker hacken könnte? Wasserwerke und alle vergiften? Stromkraftwerke und Blackout? All das sind Szenarien, die kritische Infrastruktur betreffen. Was dagegen getan wird, erfahrt ihr heute 🙂

Den vollständigen @TheMorpheusTuts Podcast „Kritische Infrastruktur ist kritisch“ mit @HonkHase findet ihr hier:

https://open.spotify.com/show/0xlIih789FcMbZaASyhuAm

https://podcasts.apple.com/de/podcast/speak-1337/id1577956101

https://podcasts.google.com/feed/aHR0cHM6Ly9hbmNob3IuZm0vcy9jODIxYjEwL3BvZGNhc3QvcnNz

DIY emergency power system – a field report

The storm disaster in NRW and Rhineland-Palatinate has shown that the fears of many scientists can quickly become reality. Within just a few hours, entire regions were cut off from the outside world. I myself was in the crisis area, as my parents and many friends from my school days live there. It is impossible to describe the picture on the ground. The same just happend in the US.

Update 26.08.2021: The project is in constant development and we welcome your comments. We have therefore expanded the article. You are welcome to send me a DM at Twitter

 

We as a society are used to everything working. We are dependent on functioning infrastructures. This fact is known as the vulnerability paradox and is considered the main argument for protecting critical infrastructures in particular. There are several laws to ensure the safety and availability of these infrastructures. However, natural disasters can be unpredictable and devastating.

The areas I was in were relatively unsupported by german THW and the fire brigade, especially in the beginning, because first the dams and flooded areas had to be supplied. There was often no electricity, no clean water and no communication on site. Due to the failure of the mobile phone network, the battery of many mobile phones ran out much faster than usual, because mobile phones in these situations search for available networks with maximum power. Even when the mobile phone networks were partially working again, many were still not able to make phone calls due to the empty mobile phone batteries and the lack of power supply and were, for example, not able to organise help or inform their relatives and friends that they are okay and what exactly they need as support. Moreover, without electricity, there were other problems as well. Young parents could not, for example, heat the porridge or milk for their babies for lack of alternative cooking facilities.

This project therefore aims to show how to prepare for such situations and how to set up a small substitute supply with existing local resources. Normal generators require fuel and maintenance. Moreover, according to Murphy’s Law, without regular test runs they „naturally“ do not work, especially in an emergency. Depending on the need, there are very many options available on the market. A USB power bank can be enough or a large uninterruptible power supply (UPS) in the cellar. There are also corresponding systems for caravans. However, these cost over 1,000 euros.

Since I already work a lot with electricity and photovoltaic systems as a hobby, I came up with the idea of a mobile emergency power supply based on photovoltaics with a battery buffer. The system should have a battery storage, support the charging of USB devices and have a 230V AC (Changeable to 110V) system for everyday things (bottle warmer, light, etc.) as well as a 12V output for chargers. Ready-made solutions are of course available for purchase. These also cost accordingly.

A key question was the choice of battery. Purchased solutions almost invariably rely on lithium-polymer accumulators (also called LiPo). However, these were excluded in this project because the use of LiPos is not entirely trivial and certainly not suitable for every craftsman. In addition, there are extreme differences in quality that can quickly end in a fire. Therefore, normal car batteries were used. A car battery is available everywhere and, in the worst case, can also be removed from a defective vehicle on site. Of course, these are not suitable for continuous use, as they are not cycle-resistant. However, we are talking about an emergency system that is only to be used a few times. LiFePO4 batteries are another but still very expensive alternative.

To remain mobile, only a small photovoltaic panel should be used. The normal panels for houses usually have dimensions of 1 metre by 1.8 metres. This does not really fit well in a car or cargo bike. Basically, the choice of technology is a matter of price and taste. To get more out of a small area, a monocrystalline module should be used because it has a better energy yield. It works just as well with the cheaper polycrystalline modules.

The last technical question was about the PV inverter. This serves as a link between the PV panel and the battery. There are two typical methods; PWM (pulse width modulation) charge controllers are the simpler devices compared to MPPT (maximum power point tracking) controllers. In terms of cost, the PWM devices are cheaper and are perfectly adequate for the application. The ultimate goal was to build a low-cost module.

 

The construction

First of all, it should be pointed out that the finished system also works with alternating voltage (AC). This is new territory for the normal maker. Work on these systems may only be carried out by a qualified electrician. As long as the sine wave inverter for the 230V systems has a ready-made protective mains plug , this should not be a problem. But even with 12V you can produce nice arcs at high amperage.

Assembly is relatively easy and can be done in two hours. The cost is about 320 euros. If certain things are adjusted, the targeted 250 euros can also be achieved.

  • To prevent the battery from slipping, a precisely fitting base plate is cut out of chipboard. This has a recess for the battery so that it can no longer slip. The recess must of course be cut to fit the box.
  • The next step is to connect the electricity. The fuses should not be plugged in yet! There is a risk of short circuits. All cables are already included in the PV set I used. If you use your own cables, please make sure that the cable cross-sections (6-10mm) and fuses are suitable (maximum 15 cm away from the battery).
  • First, connect the cable to the solar panel. Plus to plus, minus to minus. Since high currents flow, please tighten them firmly. The PV panel is not yet connected.
  • Then connect the battery. A 20A fuse must be installed in the plus line. Again, plus to plus, minus to minus.
  • The 230V inverter must not be connected directly to the solar inverter because it requires too much power. It must be connected directly to the battery. My inverter came with 2 cables that could not be connected directly. I shortened them, crimped them again and then connected them directly to the battery. Here, too, a fuse is installed directly in the positive cable of the battery, which is also not yet plugged in.
  • A standard 12V car socket is connected to the load output of the solar inverter. A fuse is also installed in the socket here. Only small consumers should be connected to the 12V output (chargers or smaller 12V consumers such as LED lights).
  • After wiring, the inside of the box is lined with wood and everything is connected with wood glue. The wooden panel is only placed over the battery and can be opened for maintenance purposes.
  • For the final test, the PV panel is connected and the fuses are installed. The system switches on automatically. As I use a wet battery, I have set this in the PV inverter. Therefore, please check your inverter to see which types are supported. Then connect the 12V socket to the laptop and check whether charging takes place. If everything works, the cables can still be laid nicely and the battery can be fully charged initially.

When closed, it fits together with the solar panel in the boot of a car or even in a cargo bike. Thanks to the 6-metre cable, the module can be placed exactly where the sun is.

What is the Box capable of?

Since one should never draw full power from lead-acid batteries (maximum 50%), a 27Ah output can be roughly achieved, which allows the 300W inverter to run for one hour at maximum load. Of course, the inverter rarely uses full power and therefore the battery will usually last a day in field operation. In addition, the battery is charged by the solar panel during operation. Depending on the budget and size of the box, larger batteries can of course be used. However, this also increases the weight. The battery can also be quickly exchanged for another battery with quick-release battery clamps. Therefore, enough cables should be available in the box to be able to quickly connect an external battery. The selection is therefore very variable.

As a planned improvement, an update of the solar inverter to a 30A version is planned, to which the modules of an existing PV system can also be connected directly. For test purposes, a 600W balcony power plant was mounted on the garden house, but this was only designed as an island solution. Several batteries can also be charged here and installed in the mobile system if required. Care was taken to ensure that all PV panels on site (roof, garden, mobile) had MC4 adapters so that they could be interchanged. It is important to ensure that the PV inverters can cope with the power of the modules. Another warning: The PV system on the roof often has DC voltages of over 500V. Please never disconnect the connections under load and make sure in general that the system is switched off and in the best case shaded.

The small box is regularly used for outdoor activities and will also be present at the next CCC camps or the Dutch counterpart.

Partlist:

  • Car battery (in my case a starter battery, 12V, 45Ah, 400A)
  • 12V to 230V inverter
  • 12V socket (a cigarette lighter from the car supply)
  • Solar inverter (as a set with solar panel and cable, e.g. from Offgrid Tec. Note: The sets are in great demand and may be sold out at the moment. Many DIY stores also have them on sale, at least in germany)
  • PV panel (may be included in the set)
  • Connection cable (may be included in the set)
  • Tools (jigsaw, side cutters, wood glue, crimping pliers are advantageous)
  • Chipboard 1cm
  • Box for installation (Here I use a Stanley/DeWalt TSTAK, as I organise all my tools with this)
  • Desire to make things 🙂

 

Der gar nicht ausfallsichere und auch nicht hochverfügbare digitale Behördenfunk

Das Digitalfunknetz der Behörden und Organisationen mit Sicherheitsaufgaben (BOSnet) soll eine verschlüsselte und gegen Ausfall besonders gesicherte Infrastruktur bereitstellen, die gerade im Katastrophenfall die Kommunikation der Einsatz- und Rettungskräfte untereinander sicherstellt. In der Unwetterkatastrophe in Rheinland-Pfalz und Nordrhein-Westfalen hat das nicht funktioniert. Warum?

Das BOSnet ist technisch ähnlich aufgebaut wie ein Mobilfunknetz der 1990er Jahre. Es ermöglicht seinen registrierten Teilnehmern Sprachkommunikation und den Austausch von kurzen Textnachrichten. In der Fläche ist es ausreichend gut ausgebaut, in Gebäuden ist unter Umständen keine Kommunikation möglich. Das Netz besteht aus Basisstationen, die wiederum an eigenen Vermittlungsstellen angeschlossen sind. Die Vermittlungsstellen sind über das Kernnetz untereinander verbunden.

Die Basisstationen empfangen die Funksignale der Endgeräte und leiten diese weiter. Dafür benötigen sie zwei Dinge: Erstens eine Verbindung zu einer BOSnet-Vermittlungsstelle (zur Weiterleitung an das BOSnet-Kernnetz) in Form eines Kabels oder einer Richtfunkstrecke. Zweitens: Strom.
Verantwortlich für den Betrieb des Systems ist die Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS), die dem Bundesministerium des Inneren unterstellt ist. Der Betrieb des BOSnet ist allerdings eine gemeinsame Aufgabe von Bund und Ländern. Sowohl die Auswahl der Standorte für Basisstationen als auch die für eine Basisstation zu installierende Notstromversorgung und die Art, wie und wohin ein Verbindung zur BOSnet-Vermittlungsstelle erfolgt, unterliegen der Hoheit der Bundesländer.

Laut der Vorgaben für das BOSnet muss jede Basisstation über eine unterbrechungsfreie Stromversorgung (USV) verfügen, die einen Stromausfall für einige wenige Stunden überbrücken kann. In der Praxis sind das an vielen Stellen USVs in Form von wiederaufladbaren Batterien, die das System bis zu vier oder sechs Stunden mit Strom versorgen können. Aber irgendwann ist die Batterie trotzdem leer.

Jedes Bundesland legt für seinen Verantwortungsbereich fest, auf welche Art die Versorgung der Basisstationen bei langanhaltenden Stromausfällen sichergestellt wird und realisiert die Lösung im Rahmen seiner Verantwortlichkeit. In Rheinland-Pfalz wird z.B. auf sogenannte mobile Netzersatzanlagen (mNEA) zurückgegriffen, von denen 14 beschafft und dezentral den lokalen Feuerwehren übergeben wurden, um sie bei Bedarf zum Standort einer betroffenen BOSnet-Basisstation zu bringen.

In einer kurzfristig auftretenden und großflächigen Katastrophenlage, wie sie durch die Unwetterkatastrophe in Rheinland-Pfalz und Nordrhein-Westfalen entstanden ist, kann es jedoch dazu kommen, dass die Verbringung der vorhandenen Notstromaggregate nicht schnell genug erfolgen kann. Straßen sind unpassierbar, Brücken weggespült, der Zugang zu betroffenen BOSnet-Basisstationen unmöglich. Zudem erfolgt die Kommunikations-Anbindung vieler Basisstationen über konventionelle Kabelverbindungen, z. B. Glasfaserkabel oder angemietete Übertragungsleitungen, die aus Kostengründen oft auf denselben Strecken verlegt werden, wie andere Strom- oder Kommunikationskabel. Vielfach wurden diese Kabelverbindungen durch das Hochwasser unterbrochen. Somit waren auch etliche BOSnet-Basisstationen ohne Verbindung zur BOSnet-Vermittlungsstelle und zum BOSnet-Kernnetz.

Selbst in dem Fall, dass eine solche Basisstation dann noch mit Strom versorgt ist, kann sie bestenfalls als Knotenpunkt für diejenigen Teilnehmer dienen, die an dieser Basisstation lokal angemeldet sind („Fallback-Modus“). Untereinander können die so verbundenen Teilnehmer dann noch kommunizieren. Eine Kommunikation zur Leitstelle oder jeder anderen Einheit, die keine Verbindung zur lokalen Basisstation hat, ist hingegen nicht mehr möglich. Auch neu zugewiesene Nutzer (z. B. zur Verstärkung nachrückende Katastrophenschutz-Einheiten anderer Landkreise bzw. Bundesländer) können nicht über die verbliebene Basisstation kommunizieren. Denn das notwendige Update der Nutzergruppen-Verwaltung durch die BOSnet-Vermittlungsstelle kann die betroffene Basisstation nicht mehr erreichen.

Bei der Einrichtung des BOSnet und der länderspezifischen Ausgestaltung sowohl der BOSnet-Kernnetz-Anbindungen, als auch der Notstrom-Versorgung wurde durch die Verantwortlichen eine Risikoabschätzung getroffen. Ein dermaßen großflächiger Schaden an der Infrastruktur, der so viele Verbindungen kappt und zu Stromausfällen über mehrere Tage oder Wochen führt, wurde dabei nicht berücksichtigt. Das Risiko wurde wohl als vernachlässigbar gering eingeschätzt. Aus der Sicht von vor einigen Jahren war das vermutlich eine vertretbare Einschätzung, auch wenn die Auswirkungen des August-Hochwassers in Sachsen im Jahr 2002 schon eine Warnung hätten sein können.

Nun sollten aus dieser Katastrophe und dem technischen Versagen des BOSnet Lehren gezogen werden. Dazu gehören:

  • Es muss mehr Basisstationen geben, die Gebiete redundant abdecken
  • Die Anbindung der Basisstationen zur Vermittlungsstelle muss zwingend redundant erfolgen, und zwar auf unterschiedlichen physischen Wegen (z.B. Richtfunk und Kabel, Richtfunk über unterschiedliche Zubringer, Anbindung über räumlich getrennte Kabelstrecken)
  • Alle Basisstationen müssen vor Ort über eine eigene Notstromversorgung (z.B. durch Brennstoffzellen oder Dieselaggregate) verfügen, die Ausfälle über mindestens 72 Stunden überbrücken kann.

Der Artikel wurde von unseren Mitgliedern Yves Ferrand und Mark Neis verfasst. Vielen Dank! Das Bild des Artikels wurde von Fabian Horst aufgenommen, es steht unter einer CC-BY-Lizenz.

DIY Notstromanlage – ein Erfahrungsbericht

Die Unwetterkatastrophe in NRW und Rheinland-Pfalz hat gezeigt, dass die Befürchtungen vieler Wissenschaftler schnell Realität werden können. Innerhalb von nur wenigen Stunden waren ganze Landstriche von der Außenwelt abgeschnitten. Ich selbst war mit im Krisengebiet, da meine Eltern und viele Freunde aus der Schulzeit dort wohnen. Das Bild vor Ort kann man nicht beschreiben.

Update 26.08.2021: Das Projekt ist in der stetigen Weiterentwicklung und wir freuen uns über eure Kommentare. Wir haben daher den Artikel erweitert. Ihr könnt mir gerne eine DM zukommen lassen auf Twitter

 

Wir als Gesellschaft sind gewohnt, dass alles funktioniert. Wir sind abhängig von funktionierenden Infrastrukturen. Diese Tatsache ist als Verletzlichkeitsparadoxon bekannt und gilt gerade für kritische Infrastrukturen als Hauptargument, um diese zu schützen. Es gibt mehrere Gesetze, um die Sicherheit und Verfügbarkeit dieser Infrastrukturen zu gewährleisten. Naturkatastrophen können jedoch unberechenbar und verheerend sein.

Die Gebiete, in denen ich war, wurden gerade am Anfang relativ wenig von THW und Feuerwehr unterstützt, da erst einmal die Dämme und überflutete Gebiete versorgt werden mussten. Es gab vor Ort oft keinen Strom, kein sauberes Wasser und keine Kommunikation. Aufgrund des Ausfalls des Mobilfunknetzes war bei sehr vielen Handys der Akku viel schneller als üblich leer, weil Handys in diesen Situationen mit maximaler Leistung nach verfügbaren Netzen suchen. Selbst als die Mobilfunknetze teilweise wieder funktionierten, konnten viele aufgrund der leeren Handy-Akkus und der fehlenden Stromversorgung immer noch nicht telefonieren und beispielsweise keine Hilfe organisieren oder ihre Verwandten und Freunde darüber informieren, dass es ihnen gut geht und was genau sie als Unterstützung brauchen. Zudem gab es ohne Strom auch weitere Probleme. Junge Eltern konnten mangels alternativer Kochmöglichkeiten beispielsweise den Brei oder die Milch für ihre Babys nicht erwärmen.

In diesem Projekt soll daher gezeigt werden, wie man sich auf solche Situationen vorbereiten und mit vorhandenen Mitteln vor Ort eine kleine Ersatzversorgung aufbauen kann. Normale Generatoren erfordern Treibstoff und Wartung. Zudem funktionieren sie ohne regelmäßige Testläufe gemäß Murphys Gesetz „natürlich“ gerade im Notfall nicht. Je nach Bedarf gibt es sehr viele am Markt verfügbare Optionen. So kann eine USB Powerbank reichen oder eine große unterbrechungsfreie Stromversorgung (USV) im Keller. Auch im Caravan Bedarf gibt es entsprechende Anlagen. Diese kosten aber Teils über 1.000 Euro.

Da ich bereits viel mit Strom und Photovoltaik Systemen als Hobby arbeite, entstand die Idee einer mobilen Notstromversorgung auf Photovoltaik-Basis mit Batteriepuffer. Das System sollte einen Batteriespeicher besitzen, das Laden von USB Geräten unterstützen und ein 230V Wechselstrom-System für Dinge des alltäglichen Bedarfs (Flaschenwärmer, Licht, etc.) sowie einen 12V Ausgang für Ladegeräte besitzen. Fertige Lösungen gibt es natürlich zu kaufen. Diese kosten auch entsprechend.

Eine Kernfrage bestand in der Auswahl der Batterie. Kauflösungen setzen fast ausnahmslos auf Lithium-Polymer-Akkumulatoren (auch LiPo genannt). Diese wurden in diesem Projekt jedoch ausgeschlossen, weil die Verwendung von LiPos nicht ganz trivial und erst recht nicht für jeden Handwerker geeignet ist. Zudem gibt es extreme Qualitätsunterschiede, die schnell in einem Brand enden können. Daher wurden normale KFZ-Batterien verwendet. Eine KFZ-Batterie ist überall erhältlich und kann im Worst Case auch aus einem defektem Fahrzeug vor Ort ausgebaut werden. Natürlich sind diese nicht für den Dauereinsatz geeignet, da diese nicht zyklenfest sind. Wir reden jedoch von einem Notsystem, das nur ein paar mal genutzt werden soll. LiFePO4 Akkus sind eine weitere aber noch sehr teure Alternative.

Um mobil zu bleiben, sollte nur ein kleines Photovoltaik-Panel genutzt werden. Die normalen Panele für Häuser haben meist Maße von 1 Meter mal 1,8 Metern. Dies passt nicht wirklich gut in ein Auto oder Lastenfahrrad. Grundsätzlich ist die Wahl der Technik eine Preis- und Geschmacksfrage. Um mehr aus einer kleinen Fläche zu holen, sollte ein monokristallines Modul genutzt werden, weil dieses eine bessere Energieausbeute hat. Genauso gut geht es mit den günstigeren polykristallinen Modulen.

Die letzte technische Frage bezog sich auf den PV-Wechselrichter. Dieser dient als Bindeglied zwischen dem PV-Panel und der Batterie. Es gibt zwei typische Verfahren; PWM-Laderegler (Pulsweitenmodulation) sind hierbei die einfacheren Geräte im Vergleich zu MPPT-Reglern (Maximum Power Point Tracking). Kostenmäßig sind die PWM-Geräte günstiger und reichen für die Anwendung vollkommen aus. Das Ziel bestand schließlich darin, ein günstiges Modul zu bauen.

Der Aufbau

Zuallererst sei darauf hingewiesen, dass im fertigen System auch mit Wechselspannung gearbeitet wird. Für den normalen Maker also Neuland. Arbeiten an diesen Anlagen dürfen nur von einer Elektrofachkraft durchgeführt werden. Sofern der Sinus-Wechselrichter für die 230V Systeme eine fertige Schuko-Steckdose hat, sollte dies nicht weiter ins Gewicht fallen. Aber auch mit 12V kann man bei hohen Ampere Zahlen schöne Lichtbögen erzeugen.

Der Zusammenbau ist relativ einfach und in zwei Stunden erledigt. Die Kosten belaufen sich auf ca. 320 Euro. Wenn man bestimmte Dinge anpasst, können auch die angepeilten 250 Euro erzielt werden.

  1. Um die Batterie vor dem Verrutschen zu sichern, wird eine passgenaue Bodenplatte aus Spannholz zurecht geschnitten. Diese hat eine Aussparung für die Batterie, so dass sie nicht mehr rutschen kann. Die Aussparung muss natürlich je nach Box passend geschnitten werden.
  2. Im nächsten Schritt wird der Strom angeschlossen. Die Sicherungen sollten noch nicht gesteckt sein! Es besteht Kurzschlussgefahr. Bei dem von mir genutzten PV-Set sind bereits alle Kabel enthalten. Bitte achtet bei eigenen Kabeln auf die passenden Kabelquerschnitte (6-10mm) und Sicherungen (maximal 15 cm von der Batterie weg). Als erstes wird das Kabel zum Solar Panel angeschlossen. Plus auf Plus, Minus auf Minus. Da hohe Ströme fließen, bitte fest anziehen. Das PV-Panel wird noch nicht verbunden.
  3. Danach wird die Batterie angeschlossen. In die Plus-Leitung muss eine 20A Sicherung eingebaut werden. Auch hier wieder Plus auf Plus, Minus auf Minus.
  4. Der 230V-Wechselrichter darf nicht direkt an den Solar Wechselrichter angeschlossen werden, weil er zu viel Leistung benötigt. Er muss direkt an die Batterie angeklemmt werden. Bei meinem Wechselrichter waren 2 Kabel mit dabei, welche jedoch nicht direkt angeschlossen werden konnten. Diese habe ich gekürzt, neu gecrimpt und dann entsprechend direkt an die Batterie angeschlossen. Auch hier wird direkt eine Sicherung in der Plus Leitung der Batterie eingebaut, welche ebenfalls noch nicht gesteckt ist.
  5. Am Lastausgang des Solar Wechselrichters wird eine Standard 12V KFZ Buchse angeschlossen. Auch hier ist eine Sicherung in der Buchse eingebaut. An den 12V Ausgang sollten nur kleine Abnehmer angeschlossen werden (Ladegeräte oder kleinere 12V Verbraucher wie LED-Licht).
  6. Nach Verkabelung wird das innere der Box mit Holz ausgekleidet und alles mit Holzleim verbunden. Das Holz-Paneel wird über der Batterie nur aufgelegt und kann zu Wartungszwecken geöffnet werden.
  7. Für den finalen Test werden das PV-Panel angeschlossen und die Sicherungen eingebaut. Das System schaltet sich automatisch ein. Da ich eine Nass-Batterie verwende, habe ich dies im PV-Wechselrichter eingestellt. Bitte prüft daher euren Wechselrichter daraufhin, welche Typen unterstützt werden. Dann wird die 12V Buchse an den Laptop geklemmt und geprüft, ob geladen wird. Funktioniert alles, können die Kabel noch schön verlegt werden und die Batterie initial voll aufgeladen werden.

Im geschlossenen Zustand passt es zusammen mit dem Solarpanel in den Kofferraum eines Autos oder auch in ein Lastenrad. Durch die 6 Meter Kabel kann das Modul genau dort platziert werden, wo gerade Sonne ist.

Was kann die Box?

Da man bei Bleibatterien nie die volle Leistung entnehmen sollte (maximal 50%), kann grob eine 27Ah Leistung erreicht werden, womit der 300W Wechselrichter für eine Stunde bei maximaler Last laufen kann. Natürlich nutzt der Wechselrichter selten die volle Leistung und daher reicht die Batterie im Feldbetrieb normalerweise einen Tag. Zudem wird die Batterie im Betrieb durch das Solarpanel aufgeladen. Je nach Budget und Größe der Box können natürlich größere Batterien benutzt werden. Dies erhöht aber auch das Gewicht. Mit Batterie-Schnellklemmen kann die Batterie auch schnell gegen eine andere Batterie getauscht werden. Daher sollten genügend Kabel in der Box vorrätig sein, um eine externe Batterie schnell anklemmen zu können. Die Auswahl ist daher sehr variabel.

Als geplante Verbesserung ist ein Update des Solar-Wechselrichters auf eine 30A Version geplant, an welcher auch direkt die Module einer bestehenden PV-Anlage angeschlossen werden können. So wurde zu Testzwecken ein 600W Balkonkraftwerk auf dem Gartenhaus montiert, welches aber nur als Insellösung konzipiert war. Hier können auch mehrere Batterien geladen und bei Bedarf in das mobile System eingebaut werden. Es wurde darauf geachtet, dass alle PV-Panele vor Ort (Dach, Garten, mobil) über MC4 Adapter verfügen, damit diese untereinander ausgetauscht werden können. Hierbei ist darauf zu achten, dass die PV-Wechselrichter mit der Leistung der Module klar kommen. Auch hier noch ein Warnhinweis: Die PV-Anlage auf dem Dach hat oft DC-Spannungen über 500V. Bitte niemals unter Last die Verbindungen trennen und unbedingt generell darauf achten, dass die Anlage abgeschaltet und im besten Fall verschattet ist.

Die kleine Box ist regelmäßig beim Outdoor-Einsatz mit dabei und wird auch auf den nächsten Camps vom CCC oder dem niederländischen Pendant dabei sein.

Teileliste:

  • Auto Batterie (in meinem Fall eine Anlasser Batterie, 12V, 45Ah, 400A)
  • 12V auf 230V Wechselrichter
  • 12V Buchse (ein Zigarettenanzünder aus dem KFZ-Bedarf)
  • Solar-Wechselrichter (als Set mit Solarmodul und Kabel, z.B. von Offgrid Tec. Hinweis: Die Sets sind heiß begehrt und ggf. gerade ausverkauft. Viele Baumärkte haben diese auch im Angebot.)
  • PV-Panel (ist ggf. im Set inbegriffen)
  • Anschlusskabel (ist ggf. im Set inbegriffen)
  • Werkzeug (Stichsäge, Seitenschneider, Holzleim, Crimp-Zange sind von Vorteil)
  • Spanplatten 1cm
  • Kiste zum Einbau (Hier nutze ich eine Stanley/DeWalt TSTAK, da ich mein ganzes Werkzeug hiermit organisiere.)
  • Lust am basteln

 

Ab wann ist etwas grob fahrlässig? – Historie von Cell Broadcast in Deutschland

Cell Broadcast, ein technisches System zur Aussendung von Katastropheninformationen über Mobilfunknetze, ist seit dem Hochwasser im Juli 2021 in aller Munde. Dieses System sorgt dafür, dass alle in einer Mobilfunkzelle eingebuchten Geräte eine Information erhalten. Die Information wird dabei nicht einzeln für jedes Gerät ausgesendet, sondern nur einmal – während alle Geräte diese empfangen. Dies sorgt dafür, dass ohne jegliche Kenntnis, wer die Nachricht bekommen hat (datenschutzfreundlich), die Handys in einer bestimmten Region über eine Notlage oder Katastrophe informiert werden, ohne dass das Mobilfunknetz dadurch überlastet wird.

Leider wurde dieses System in Deutschland nie für Kriseninformationen oder den Katastrophenschutz genutzt, obwohl alle Mobilfunknetze seit Anfang der 2000er Jahre technisch zu solchen Aussendungen in der Lage gewesen wären und mehrere Mobilfunknetzbetreiber sogar bis 2010 Experimente durchgeführt haben, bei denen über Cell Broadcast z.B. Verkehrs- oder Wetterinformationen ausgesendet wurden.

Eine erste technische Demonstration des Systems gab es 1997 in Paris. Seit 1999 wird die Technologie laut der Wikipedia in asiatischen, amerikanischen und europäischen Mobilfunknetzen eingesetzt, allerdings in den ersten Jahren für andere Zwecke, als Krisen- und Katastropheninformationen.

Die USA begannen 2006 mit dem Aufbau eines Systems zur Krisen- und Katastropheninformation – unter dem Titel „Wireless Emergency Alerts“ (WEA) – welches auch Cell Broadcast verwendete, um die Menschen zu informieren.

Spätestens seit 2001 ist Cell Broadcast als Möglichkeit zur Katastrophen- und Kriseninformation bekannt. Auf Seite 63 und Seite 64 des Zweiten Gefahrenbericht der Schutzkommission beim Bundesminister des Innern, herausgegeben im Oktober 2001 (https://repository.publisso.de/resource/frl:1997671-1/data), heißt es zur damaligen Situation:

„Das gegenwärtige System zur Warnung der Bevölkerung in Deutschland im Verteidigungsfall sowie bei Katastrophen und größeren Schadensereignissen besteht aus Warnmeldungen und Informationen durch den Rundfunk (Hörfunk, Fernsehen) sowie aus örtlich begrenzten Alarmierungen mit Sirenen. Seine Struktur und sein Ausbau ist für eine rasche, gleichzeitige und umfassende Warnung bei großflächigen Gefahren nicht ausgelegt“

Als mögliche Lösung wird im darauffolgenden Absatz 3.2.2 vorgeschlagen:

„Die Untersuchung von [für ein technisches Warnsystem] geeigneten Technologien und Systemen hat gezeigt, dass unter den genannten Gesichtspunkten im Wesentlichen drei Systeme mit Alarmfunktion für die Mitbenutzung in einem zukünftigen Warnsystem in Frage kommen: Mobilfunk nach GSM- oder UMTS-Standard mit Cell Broadcast-Funktion, Langwellen-Zeitfunk DCF 77 mit zusätzlicher Alarmfunktion und das Radio-Daten-System (RDS) des terrestrischen UKW-Hörfunks.“

Die Bundesnetzagentur hat sich laut Tätigkeitsbericht in den Jahren 2006/2007 sowie 2007/2008 im Rahmen der Mitwirkung an der europäischen Arbeitsgruppe „ETSI EMTEL“ mit Cell Broadcast beschäftigt. Diese Arbeitsgruppe, oder die BNetzA selbst, das wird aus dem Tätigkeitsbericht nicht deutlich, hat eine „Analyse der Anwendbarkeit von SMS und Cell Broadcast Service im Katastrophenfall“ durchgeführt.

Auch in den Bundestagsdrucksachen finden sich Spuren von Cell Broadcast – unserer Kenntnis nach erstmalig im Jahr 2008 auf Drucksache 16/9907. Dort schreibt das BMI: „Nach einem erfolgreichen Test in den Niederlanden wird dieses System im internationalen Rahmen unter Beteiligung des BBK ab 2009 untersucht.“

Die Forschungsergebnisse dieser Untersuchungen des BBK waren bisher nicht auffindbar, weswegen wir dazu eine IFG-Anfrage gestellt haben (https://fragdenstaat.de/anfrage/untersuchung-von-cell-broadcast-seit-2009/)

Seit 2012 ist Cell Broadcast als Komponente des niederländischen Warnsystems „NL-Alert“ im Einsatz und wurde bei Krisensituationen mehrfach mit großem Erfolg genutzt. Die Niederländer berichten, dass Sie mit Cell Broadcast regelmäßig mehr als 90% der Bevölkerung erreichen können.

Seit 2018 gibt es europäische Vorgaben in Artikel 110 der EU-Richtlinie 2018/1972 zur Umsetzung von Cell Broadcast im Rahmen des geplanten Systems „EU-Alert“ – das verbindlich im Juni 2022 fertiggestellt worden sein soll.

Absatz 1 beschreibt unserer Ansicht nach eindeutig Cell Broadcast im Kontext des europäischen Systems „EU-Alert“. Absatz 2 legt dann Ausnahmen dafür fest. Der Wortlaut des Absatzes lautet:

„(2) Ungeachtet des Absatzes 1 können die Mitgliedstaaten festlegen, dass öffentliche Warnungen über öffentlich zugängliche elektronische Kommunikationsdienste, bei denen es sich weder um die in Absatz 1 genannten Dienste noch um Rundfunkdienste handelt, oder über eine über einen Internetzugangsdienst verfügbare mobile Anwendung übertragen werden, sofern die Effektivität des öffentlichen Warnsystems in Bezug auf Abdeckung und Kapazität zur Erreichbarkeit der Endnutzer, auch derjenigen, die sich nur zeitweilig in dem betreffenden Gebiet aufhalten, gleichwertig ist; dabei tragen sie den GEREK-Leitlinien weitest möglich Rechnung. Öffentliche Warnungen müssen von den Endnutzern leicht empfangen werden können.“

Aus unserer Sicht lässt sich in diesem Absatz 2 der Versuch herauslesen, Apps wie NINA oder KATWARN den gleichen Status wie Cell Broadcast zu geben, aber die Formulierung lässt auch Interpretationsspielraum zu. Wir sind der Meinung, dass Apps wie NINA oder KATWARN eben nicht der „Effektivität des öffentlichen Warnsystems in Bezug auf Abdeckung und Kapazität zur Erreichbarkeit der Endnutzer, (…), gleichwertig“ sind.

Nichtsdestotrotz wird sich ein Beamter in der zuständigen Behörde sicherlich darauf berufen, dass der „GEREK-Leitlinien“ im Zweifel „weitestmöglich Rechnung“ getragen wurde und damit die Richtlinie zu EU-Alert als erfüllt gilt.

Als offene Fragen verbleiben zum jetzigen Zeitpunkt:

  • Was ist aus dem BBK-Forschungsprojekt von 2009 zu Cell Broadcast geworden?
  • Welches Ministerium hat sich 2017 und 2018 für diese schwammigen Ausnahmen in EU-Alert eingesetzt?
  • Wer trägt dafür die politische Verantwortung?

Klar ist: Seit 20 Jahren ist die Notwendigkeit von Cell Broadcast im Katastrophenschutz im BMI bekannt, wie der oben zitierte Absatz aus dem „Zweiten Gefahrenbericht der Schutzkommission beim Bundesminister des Innern“ beweist. An welcher Stelle die Umsetzung von Cell Broadcast im BMI seit 2001 gescheitert ist, ist unklar.

Vor dem Hintergrund dieser eindeutigen öffentlichen Informationen, scheint es angebracht, die Frage der groben Fahrlässigkeit des zuständigen Ministeriums und seiner nachgeordneten Behörden öffentlich zu stellen. Wenn bekannt war, dass die Alarmierung durch u.A. die Reduktion der Sirenen nicht mehr die gesamte Bevölkerung erreichen kann, warum wurde dann nicht bereits vor 10 oder 15 Jahren, als dies technisch möglich war, Cell Broadcast auch umgesetzt?

Sicherlich kann man den Schuldigen nicht alleine auf dem Stuhl des Bundesinnenministers suchen. Als der zweite Gefahrenbericht 2001 veröffentlicht wurde, saß auf diesem noch Otto Schily. Und nach Schily hatten wir fünf weitere Bundesminister des Inneren. Viel wahrscheinlicher liegt die tatsächliche Verantwortung hier wahrscheinlich bei einem Staatsekretär im Bundesministerium des Inneren – oder sogar mehreren, die diesem Thema in der Vergangenheit, bis heute in fahrlässiger Weise nicht die notwendige Aufmerksamkeit haben zukommen lassen. Ein Land, das sich gerne Hochtechnologieland nennt, sollte es auch auf staatlicher Ebene schaffen, der Technologie nicht hinterher zu rennen, sondern Vorbild und Vorreiter zu sein.

Bereits im Nachgang des Bundeswarntags im September 2020 haben wir einen Artikel veröffentlicht, in dem wir die notwendigen Learnings aus dem Bundeswarntag zusammenfassen.

Offener Brief zur Cybersicherheitsstrategie für Deutschland 2021 – Update vom 30.06.2021

Update vom 30.06.2021: Mit weiteren UnterzeichnerInnen geht der offene Brief in eine zweite Runde.

Die AG KRITIS hat den offenen Brief zur Cybersicherheitsstrategie für Deutschland 2021 mitunterzeichnet, um ein Zeichen für die Zivilgesellschaft und die kritischen Infrastrukturen zu setzen.

Hier findet ihr darüber hinaus die politischen Forderungen der AG KRITIS.

Fristverlängerung für die Bewertung der Cybersicherheitsstrategie 2021

Das Bundesministerium für Inneres, Bau und Heimat (BMI) lässt zur Bewertung der Cybersicherheitsstrategie 2021 lediglich eine Woche Zeit. Die Frist für die Abgabe der Kommentierungen wurde vom BMI auf den 16.06.2021 festgelegt, die Veröffentlichung der Strategie erfolgte am 09.06.2021  Aus nicht öffentlichen Quellen wurde uns zugetragen, dass eine Ressortabstimmung entweder nicht geplant oder noch nicht durchgeführt wurde.

Im Regelfall erfolgt die Beteiligung der Zivilgesellschaft erst nach der Ressortabstimmung – wir sind daher über diese frühe Einbindung der Zivilgesellschaft erstaunt, würden uns aber wünschen, dass insbesondere das BMJV im Rahmen der Ressortabstimmung die bürgerrechtsfeindlichsten Abschnitte entfernt hätte, um der Zivilgesellschaft etwas davon abzunehmen.

Vor dem Hintergrund der deutlichsten Kritik aller Wirtschaftsverbände und zivilgesellschaftlichen Initiativen an den extrem kurzen Fristen rund um das IT-Sicherheitsgesetz 2.0 und den vergleichbar kurzen Fristen bei anderen Vorhaben des BMI im Jahr 2020 und 2021 kann leider nicht von einem lernfähigen BMI gesprochen werden.

Eine bisher äußerst flüchtige Bewertung der CSS 2021 kommt zum gleichen Ergebnis – relevante wissenschaftliche Erkenntnisse zur IT-Sicherheit und Cyberstrategie verschiedener staatlicher Stellen wurden nicht berücksichtigt – auch hier drängt sich uns die Vermutung auf, dass das BMI weder wissenschaftlich-fundiert arbeitet, noch lernfähig oder lernwillig ist.

Wir werden eine detaillierte Stellungnahme bis 07. Juli 2021 einreichen – Dies entspricht vier Wochen Kommentierungsfrist. Wir halten diese vier Wochen für angemessen, da das BMI auf kleine Anfragen regelmäßig die gleiche Frist zur Beantwortung erbittet.

Mit dem Wissen, dass die Beamten im BMI für ihre Tätigkeit bezahlt werden, wir unsere Bewertungen allerdings im Ehrenamt durchführen, halten wir es für angemessen, uns für die Bewertung dieses umfassenden Dokumentes die selbe Frist zu beanspruchen, die das BMI für die Beantwortung parlamentarischer Fragen beansprucht.

Hierzu hat die AG KRITIS auch einen offenen Brief der Gesellschaft für Informatik mit unterzeichnet, der „Angemessene Fristen statt Scheinbeteiligung“ fordert.

KRITIS auf EU-Ebene – Teil 2

Derzeit beschäftigt sich das europäische Parlament in den Vorgängen 2020/0359 (COD) und 020/0365 (COD), auch genannt NIS2- und RCE-Direktive, mit Cybersicherheit und der Resilienz Kritischer Infrastrukturen.

Da sich beide Direktiven auch auf die IT-Sicherheit kritischer Infrastrukturen in Deutschland auswirken, hat eine Untergruppe der AG KRITIS in den letzten Wochen eine Bewertung der vorliegenden Entwürfe vorgenommen.

Eine erste Bewertung haben wir bereits hier veröffentlicht: Bewertung der EU-NIS und EU-RCI Richtlinie, die dort erwähnten noch fehlenden Punkte haben wir nun in einer zweiten Bewertung analysiert und stellen Ihnen die Bewertung hier zur Verfügung:

Vielen Dank an die Mitglieder der AG KRITIS, die sich bereit erklärt haben, neben den regulären Aufgaben innerhalb der AG KRITIS, diese Bewertung vorzunehmen.

IT-Sicherheitsgesetz 2.0 – alle verfügbaren Versionen

Hier stellt die AG KRITIS zur Übersicht alle Versionen des IT-Sicherheitsgesetz 2.0 bereit, die irgendwo öffentlich geworden sind, so dass es eine Chance gibt, den Überblick zu halten. Das BMI hat leider versäumt, eine solche Transparenz im Sinne der Gesetzgebung eigenständig vorzunehmen – ebenso gibt es leider weiterhin keine vom BMI bereitgestellten Synopsen, anderweitige Differenzversionen oder Versionen mit Änderungsmarkierungen jeglicher Art.

Timeline der IT-SIG 2.0 Versionen:

18.05.2021 IT-Sicherheitsgesetz 2.0 (Vollständiges IT-SiG 2.0) (Vollständige HTML Version via Buzer.de)

18.05.2021 IT-Sicherheitsgesetz 2.0 (Beschlossene Fassung aus dem  Bundesgesetzblatt) (17 Seiten)

20.04.2021 IT-Sicherheitsgesetz 2.0 (Antrag Entschließung CDU/CSU und SPD) (5 Seiten)

20.04.2021 IT-Sicherheitsgesetz 2.0 (Änderungsantrag CDU/CSU und SPD) (20 Seiten)

25.01.2021 IT-Sicherheitsgesetz 2.0 (Bundestagsfassung) (110 Seiten)

01.01.2021 IT-Sicherheitsgesetz 2.0 (Bundestagsfassung) (130 Seiten)

16.12.2020 IT-Sicherheitsgesetz 2.0 (Kabinettsfassung) (118 Seiten)

11.12.2020 IT-Sicherheitsgesetz 2.0 (119 Seiten)

09.12.2020 IT-Sicherheitsgesetz 2.0 (Anschreiben Verbände) (10 Seiten)

09.12.2020 IT-Sicherheitsgesetz 2.0 (Verbändefassung) (108 Seiten)

01.12.2020 IT-Sicherheitsgesetz 2.0 (92 Seiten)

19.11.2020 IT-Sicherheitsgesetz 2.0 (92 Seiten)

07.05.2020 IT-Sicherheitsgesetz 2.0 (73 Seiten)

27.03.2019 IT-Sicherheitsgesetz 2.0 (90 Seiten)

To be continued…

Vorherige Stellungnahme der AG KRITIS

Bei weiteren sachdienlichen Hinweisen wenden Sie sich bitte an Ihre nächste Kontaktperson der AG KRITIS.

Für Risiken und Nebenwirkungen kontaktieren Sie Ihre Abgeordneten.

Artikel: Spiegel.de – Der Cyberangriff auf die US-Pipeline ist ein Warnschuss für Deutschland

Der Spiegel berichtete über den Ransomware-Angriff auf den amerikanischen Pipeline-Betreiber „Colonial Pipeline“ und fragte dazu unsere Einschätzung an.

Johannes Rundfeldt, Sprecher der Gruppe, sagt, dass Cyberkriminelle, die ihre Opfer gezielt auswählen, sich gern für Ziele mit hoher Sichtbarkeit und Wichtigkeit für das Gemeinwesen entscheiden. Das erhöhe die Wahrscheinlichkeit, nicht nur ein Lösegeld zu bekommen, sondern ein besonders großes Lösegeld fordern zu können. Betreiber kritischer Infrastruktur seien so gesehen ein interessantes Ziel, so Rundfeldt, »denn dadurch, dass besonders viele Menschen von den Betreibern kritischer Infrastrukturen abhängig sind, ist die Bereitschaft der Betreiber, ein Lösegeld zu bezahlen, besonders hoch.«