Kommunale Blackout-Prävention

Das Wort Blackout wird aktuell viel in den Medien aufgegriffen. Im Zuge der Energiekrise wird vermehrt diskutiert, wie wahrscheinlich ein Blackout beispielsweise im Winter 2022/23 ist, und ob alle relevanten Akteure ausreichend auf diesen Fall vorbereitet sind. Eine Umfrage des Report Mainz [1] lässt beispielsweise den Schluss zu, dass viele Kommunen keine ausreichenden Pläne für den Ernstfall haben. In diesem Artikel sollen einige Punkte und Maßnahmen zusammengefasst werden, welche auf kommunaler Ebene in (gerne auch in Abstimmung mit dem Landkreis oder angeschlossenen Unternehmen wie Stadtwerken oder Wasserversorgung) ergriffen werden sollten, um Folgen eines großflächigen Stromausfalls abzufedern.

Was bedeutet eigentlich Blackout?
Blackout wird in den meisten Fällen gleichgesetzt mit dem Ausfall der Energieversorgung. Eine einheitliche und verbindliche Definition ist jedoch nicht vorhanden und soll an dieser Stelle auch nicht gegeben werden. Blackout ist nicht gleich Blackout. Unterschiedliche Situationen können unterschiedliches Handeln erforderlich machen. Im Folgenden mögliche Ursachen:

  • Zerstörung von Infrastruktur der Energieversorgung, beispielsweise durch Sabotage, Naturkatastrophen, Unfälle oder Bauarbeiten
  • Gezielte regionale Lastabschaltungen, die durch eine Energiemangellage ausgelöst werden
  • Cyber-Attacken
  • Menschliches Versagen
  • Unzureichende Netzstabilität im Stromnetz
  • Zerfall des europäischen Höchstspannungsnetzes (System Split)

Während die Ursachen vielfältig sein können, hat eine Unterbrechung der Energieversorgung zwei Dimensionen, welche auch auf die Zivilbevölkerung eine unmittelbare Auswirkung haben. Zum Einen ist das die Zeit der Unterbrechung, zum Anderen die regionale Ausdehnung. Ist in einem Dorf oder Stadtteil die Stromversorgung ausgefallen, im Umland jedoch noch alles intakt, dann ist prinzipiell eine größere Handlungsfähigkeit der Krisenakteure gegeben. Ein Beispiel hierfür ist der Stromausfall in Berlin-Köpenick [2]. Bei einem großflächigen Stromausfall ist die regionale Hilfeleistung dagegen automatisch eingeschränkt und nicht mehr so direkt gegeben.

Unterbrechungen in der Stromversorgung werden mit zunehmender Dauer kritischer. Dies ist dadurch bedingt, dass auch andere kritische Infrastrukturen auf Energie angewiesen sind und die Beeinflussung hierauf mit zunehmender Dauer für die Bevölkerung sichtbarer wird. Beispielsweise laufen Notstromaggregate leer oder Kühlketten werden unterbrochen.

Weiter sollte unterschieden werden zwischen geplanten Abschaltungen [9] im Falle von akuten Strommangellagen und unvorhergesehenen Stromausfällen. Sollte es zu geplanten Abschaltungen kommen, besteht in der Regel die Möglichkeit die Bevölkerung über Dauer und Zeitpunkt zu informieren. Auch kurzfristig kann in solchen Fällen noch Vorsorge getroffen werden; die Aussicht auf eine Rückkehr der Versorgung zu einem vorab bekannten Zeitpunkt wirkt im Zweifel eher beruhigend. Für ungeplante Ausfälle gilt das in der Regel nicht.

Man kann sich auch als Kommune nicht auf alle erdenklichen Szenarien vorbereiten. Es gibt jedoch gewisse „no regret“-Maßnahmen, welche in allen Fällen einen positiven Beitrag zur Krisenbewältigung leisten. Ein Plan für ein geordnetes Vorgehen gehört dazu.

Prävention
Wie alle Katastrophenfälle ist auch der Blackout-Fall ein Präventionsthema. Da die Energieversorgung jedoch in den letzten Jahrzehnten in Deutschland eine der zuverlässigsten der Welt war und dem Thema Prävention meist nur ungern Ressourcen eingeräumt werden, fiel dieses Thema häufig unter den Tisch [2]. Dabei lässt sich hier auf kommunaler Ebene mit relativ wenig Aufwand und mit gesundem Menschenverstand schon viel erreichen.

Zum Einen müssen initial Überlegungen angestellt werden, welche Beeinträchtigungen es im Blackout-Fall konkret in der Kommune gibt, und wie man sich als Kommune organisiert. Im Ernstfall ist es hierfür zu spät. In einem zweiten Schritt muss dann für den Ernstfall eine Checkliste oder ein Plan zum Vorgehen erstellt werden, an der man sich orientiert. Hier muss man das Rad nicht komplett neu erfinden. Ein schönes Beispiel hierfür ist die Steiermark, in der es bereits einen generischen Leitfaden für Kommunen gibt [3].

Im Folgenden werden Leitplanken genannt, welche beim Erstellen eines Handlungsleitfadens helfen. Relevant werden diese Punkte speziell bei länger andauernden Unterbrechungen der Stromversorgung. Sie sind gegliedert in die folgenden Themen:

  • Sensibilisierung und Eigenvorsorge der Bevölkerung
  • Krisenmanagement
  • Krisenkommunikation und IT
  • Trinkwasser / Abwasser
  • Gesundheitsnotversorgung
  • Lebensmittelnotversorgung
  • Sonstiges

Sensibilisierung und Eigenvorsorge der Bevölkerung
Ein wichtiger Punkt in der Blackout-Prävention ist die Sensibilisierung der Bevölkerung für das Thema. Kaum jemand kann sich vorstellen was passiert, wenn man als Privatperson oder Firma mehrere Tage ohne Strom auskommen muss. Daher sollte das Thema auch seitens der Kommune zumindest initial adressiert werden. Hier müssen nicht zwangsläufig gleich Empfehlungen zur Lebensmittelbevorratung gegeben werden (diese gibt es übrigens vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe [4]). Eine Sensibilisierung hätte zur Folge, dass die Bürger im Ernstfall besonnener reagieren. Dies kann wesentlich zur Krisenbewältigung beitragen.

Die Information sollte in erster Linie mögliche Folgen einer Stromversorgungsunterbrechung aufzeigen und weiter auch die Grenzen der organisierten Hilfe. Die Information sollte transparent aufklären ohne Panik und Angst zu verbreiten. Letzten Endes ist in solchen Krisensituationen Solidarität gefragt. Dazu gehört zum Beispiel auch beim älteren allein lebenden Nachbarn mal nachzufragen, ob alles in Ordnung ist.

Dem Format einer möglichen Information sind dabei keine Grenzen gesetzt. Wichtig ist, dass die Bürger erreicht werden. Hinweisblätter, Vorträge oder auch im Internetauftritt der Kommunen abrufbare Informationen sind denkbar. Informationen sollten sowohl digital als auch analog bereitgestellt werden und idealerweise wird in ihnen auch über den individuellen Vorsorgeplan der Kommune informiert. Weiterhin kann die Bevölkerung auch in die Organisation von Selbsthilfestützpunkten (s.u.) mit einbezogen werden. Als Positivbeispiel kann an dieser Stelle ein Informationsflyer der Stadt Rosenheim genannt werden [7], in dem in kompakter Form auf zwei DIN-A4-Seiten wesentliche Informationen übersichtlich zusammengefasst sind.

Krisenmanagement
Krisenmanagement im Blackout zeichnet sich unter anderem dadurch aus, dass die Möglichkeiten zur Kommunikation sehr beschränkt sind. Hier sollte sich die Gemeinde fragen, ob sie personell und organisatorisch für diese Aufgabe aufgestellt ist. Prozesse müssen definiert sein und Verantwortlichkeiten müssen konkrete Köpfe zugeordnet sein. In der Regel basiert ein kommunaler Krisenstab, sofern vorhanden, auf freiwilliger Mitarbeit der Bürger, da auf kommunaler Ebene (mit Ausnahme der Feuerwehr, jedoch auch die ist häufig freiwillig) üblicherweise keine Bereitschaften in Arbeitsverträgen vereinbart sind.

Sofern für die Gemeinde ein Konzept ausgearbeitet wurde, muss dieses auch trainiert werden. Übungen zusammen mit der Feuerwehr oder dem THW-Ortsverein bieten sich hier an, da dieser auch im Blackout eine besondere Rolle zukommt.

Selbsthilfe-Stützpunkte (auch Kat-Leuchttürme genannt) für Bürger sind in der Regel ein gute Idee, da diese auch die Kommunikation mit den Bürgen erleichtern. Diese kann im Blackout nur vom Mund zum Ohr erfolgen. An Treffpunkten kann Nachbarschaftshilfe organisiert werden und gegebenenfalls auch eine Nahrungsmittelverteilung, Kochstellen oder eine Wärmeversorgung bereitgestellt werden. Die Stützpunkte sollten rund um die Uhr betrieben werden. Hierfür eignen sich Turnhallen, Gemeindezentren, größere Gasthäuser oder Kulturstätten. Nach Möglichkeit sollten an den Selbsthilfestützpunkten Licht und Wärme bereitgestellt werden sowie Möglichkeiten zur Kommunikation, beispielsweise zu Blaulichtorganisationen oder auch anderen Selbsthilfestützpunkten. Die Stützpunkte müssen allen Bürgern vorab bekannt sein und in die Katastrophenschutzpläne der Feuerwehr eingebunden sein.

Sollten sich größere Abhängigkeiten von Treibstoff oder sonstigem Kraftstoff ergeben, muss man über Reserven nachdenken. Notstromaggregate laufen nur solange Diesel im Tank ist. Hier muss vorab abgeschätzt werden, welche Verbraucher mit dem Aggregat versorgt werden sollen und wie lange eine Tankfüllung durchhält. In abgelegenen Gebieten, welche stark über auf eine Anbindung via Pkw angewiesen sind, ergeben Treibstoffreserven verstärkt Sinn.

Krisenkommunikation und IT
Im Blackout sollte davon ausgegangen werden, dass die Kommunikation über das öffentliche Netz (Internet, Mobilfunk, Festnetz) nicht mehr zur Verfügung steht. In Einzelfällen mag diese vereinzelt für eine kurze Zeit noch der Fall sein, ein Konzept sollte jedoch nicht darauf aufbauen. Eine Lageerfassung, insbesondere um die Ursachen des Blackouts zu finden, wird initial nur schwer möglich sein und der Informationsfluss ist in jedem Fall stark gestört. Es muss geklärt sein, wie ein Krisenstab im Falle eines großflächigen Ausfalls aller Kommunikationswege alarmiert werden kann. Für eine Information der Bevölkerung können auch Lautsprecherwagen zum Einsatz kommen.

Als Kommune sollte man sich fragen, mit wem man im Ernstfall kommunizieren muss. Neben Hilfskräften zur Krisenbewältigung sollten auch mit verknüpften Behörden (z. B. Landesämter) und letzten Endes auch mit den Bürgern kommuniziert werden. Sollte es einen lokalen Stromnetzbetreiber (Stadtwerk) geben, muss auch mit diesem kommuniziert werden. Im nächsten Schritt sollte man sich fragen, wie man kommuniziert, ob es schwarzfallfeste Kommunikationsverbindungen in der Kommune gibt, und wo diese gegebenenfalls verortet sind. Hier sind die Möglichkeiten der einzelnen Kommunen sicherlich begrenzt. Notfalls sollten rudimentäre Fallbacks definiert werden, beispielsweise speziell abgestellte Boten, um Informationen von auswärtigen Standorten einzuholen. Wichtige Kommunikationsknotenpunkte sollten mit einer unterbrechungsfreien Stromversorgung abgesichert werden.

Es lohnt sich beim Behördenfunk zweimal hinzuschauen. In Deutschland gibt es keine einheitlichen Standards für Fallback-Lösungen oder minimale Standzeit im Schwarzfall [10]. Hier wäre es wichtig zu wissen, wie lange der Behördenfunk abgesichert ist, und welche Rückfallebene es gibt bzw. ob überhaupt eine im Notfall greift.

Nach Wiederversorgung muss sichergestellt sein, dass IT-Systeme in der kritischen Infrastruktur auch wieder reibungsfrei ihren Betrieb aufnehmen. Was trivial klingt ist jedoch längst nicht immer gewährleistet. Dies kann jedoch im Vorfeld im Rahmen von Revisionen und Wartung getestet werden.

Trinkwasser / Abwasser
In vielen Fällen und gerade bei großflächigen Blackouts sind früher oder später auch die Trinkwasserversorgung und Abwasserabwasserentsorgung gestört. In Berlin ist beispielsweise die Trinkwasserversorgung aus den Hausleitungen noch bis zu 36 Stunden [5] nach einer Stromversorgungsunterbrechung garantiert. Anschließend gibt es Notbrunnen. Die Versorgung mit Leitungswasser ist ein wichtiger Hygieneaspekt, ein Ausbleiben über einen längeren Zeitraum, oder auch nur einen stundenweise Bereitstellung begünstigen die Verbreitung von Krankheitserregern oder Seuchen [6].

Als Gemeinde sollte man sich bewusst sein wie lange die Ver- und Entsorgung von Wasser bei einem Stromausfall noch gewährleistet werden kann. Dazu sollte man sich mit den entsprechenden Betreibern abstimmen und basierend auf den Ergebnissen eine Präventionsmaßnahme definieren.

Gesundheitsnotversorgung
Krankenhäuser verfügen in der Regel über Notstromaggregate. Diese werden unmittelbar nach einem Stromausfall aktiviert, halten aber auch nur eine begrenzte Zeit vor. Hier muss man sich über ein Nachbefüllungskonzept der Dieseltanks Gedanken machen. Schließlich ist auch davon auszugehen, dass sich mit zunehmender Dauer eines Blackouts das Patientenaufkommen zunehmend in die Krankenhäuser verlagert.
Nicht in allen Kommunen gibt es Krankenhäuser. In einem kommunalen Blackout-Notfallkonzept müssen niedergelassene Ärzte sowie Apotheken eingebunden werden um im Notfall zumindest eine Basisversorgung an Medikamenten und eine erweiterte medizinische Hilfe zu gewährleisten. Speziell bei Medikamenten, die gekühlt werden müssen, kann die Verfügbarkeit schnell kritisch werden.

Fast in allen Kommunen gibt es inzwischen Pflegeeinrichtungen für ältere oder auch körperlich oder geistig beeinträchtigte Menschen. Im Blackout-Fall ist nicht zwangsläufig gewährleistet, dass Schichtpläne für die Betreuung noch funktionieren. Hier muss zusammen mit der Kommune ein Konzept erarbeitet werden um eine Basisversorgung aufrecht zu erhalten.

Lebensmittelnotversorgung
Während der ersten Lockdowns in der Corona-Pandemie hat sich gezeigt, dass zum Einen die Bevölkerung erstaunlich wenig vorgesorgt hat, was Nahrungsmittel angeht, und zum Zweiten auch dass Lieferketten gestört sind. Das sind zwei Phänomene, die sich sicherlich im Blackout verstärkt bemerkbar machen.

Eigenvorsorge der Bevölkerung ist ein wichtiger Faktor. Allerdings kann nicht automatisch davon ausgegangen werden, dass alle Haushalte den Empfehlungen des BBK [4] folgen. Es sollte überlegt werden, lokale Lebensmittelhändler mit in den Vorsorgeplan mit einzubeziehen. Viele Waren müssen letzten Endes gekühlt werden. Da Lebensmittelhändler in der Regel keine Notstromversorgung haben, würden diese Waren nach einer gewissen Zeit verderben, sofern Sie nicht verzehrt werden. Weiter sollte sichergestellt werden, dass im Falle von Lieferkettenausfällen noch vereinzelt funktionierende Lieferungen von den Händlern auch angenommen werden können.

Schlüsselpersonal in der Krisenbewältigung muss in länger anhaltenden Blackouts (oder auch anderen Krisensituationen) mit Nahrung versorgt werden. Hierfür sollte Vorsorge getroffen werden. In Orten mit viel Tourismus (z. B. Wintersport) muss auch dieser im Konzept berücksichtigt werden.

Weitere Themenfelder
Stichpunktartig seien hier weitere Punkte genannt, welche ebenfalls in einem Blackout-Notfallplan berücksichtigt werden sollten.

  • Es ist davon auszugehen, dass die Abfallentsorgung nicht mehr funktioniert. Dies kann speziell im Sommer zum Problem werden und gegebenenfalls eine Seuchenausbreitung begünstigen.
  • Auch in der Landwirtschaft, speziell der Tierhaltung, kann ein Stromausfall schon relativ schnell zu großen Problemen führen. Automatische Fütterungs-, Lüftungs- oder Melkanlagen funktionieren nicht mehr.
  • Aufzüge bleiben stecken. Das klingt banal, ist aber gerade bei längeren Stromausfällen explizit zu berücksichtigen. Hier ist eine Absprache mit der Feuerwehr sinnvoll.
  • Möglicherweise gibt es in den Kommunen kritische Industrieeinrichtungen, welche Prozesse mit Strom stabilisieren, z. B. Chemieanlagen, in denen gegebenenfalls bei längerem Stromausfall Giftgase austreten können.

Fazit
Im Blackout-Fall kein Konzept zu haben und handlungsunfähig zu sein dürfte für jede Kommune eine Horrorvorstellung sein. Die Katastrophe im Ahrtal hat jedem in Deutschland vor Augen geführt, wie wichtig es ist, in Notfallsituationen einen Plan zu haben und reagieren zu können. Auch der Krieg in der Ukraine veranschaulicht eindringlich, welchen Effekt großflächige und länger anhaltenden Versorgungsengpässe gerade im Winter haben.

Die Überlegungen oben haben gezeigt, dass man schon mit relativ wenig Ressourcen und mit gesundem Menschenverstand ein erstes Konzept aufstellen kann. Die Präventionsmöglichkeiten der Kommunen sind sicher unterschiedlich, allerdings sollten gewisse Maßnahmen, wie z. B. die Einrichtung von Selbsthilfestützpunkten, überall umsetzbar sein. Vorhandene Notfallpläne sollten auch regelmäßig trainiert und überarbeitet werden, so dass die Bevölkerung dahingehend auch sensibilisiert wird. Nicht alle oben aufgeführten Maßnahmen lassen sich über Nacht umsetzen. Wichtig ist, das Thema Krisen- und Blackoutprävention konsequent und dauerhaft zu verfolgen, sowie bestehende Konzepte und Pläne kontinuierlich zu verbessern.

Seitens der Politik müssen bundesweit einheitliche Mindeststandards definiert werden. Ein Ansatzpunkt hierfür könnte das geplante Kritis-Dachgesetz sein, welches zumindest dem ersten Anschein nach hier einzahlen sollte.

Quellen & Verweise

[1] https://www.swr.de/unternehmen/kommunikation/pressemeldungen/report-mainz-notfallplaene-stromausfall-2022-100.html
[2] https://www.tagesspiegel.de/berlin/der-grosste-und-langste-stromausfall-in-berlin-seit-jahrzehnten-3094786.html
[3] https://stzsv.at/images/blackout/Blackoutleitfaden_für_Gemeinden_StZSV.pdf
[4] https://www.bbk.bund.de/DE/Warnung-Vorsorge/Tipps-Notsituationen/Stromausfall/stromausfall_node.html
[5] https://www.rbb24.de/panorama/beitrag/2022/11/trinkwasser-versorgung-berlin-stromausfall-wasserbetriebe.html
[6] https://www.bbk.bund.de/DE/Warnung-Vorsorge/Vorsorge/Hygiene/hygiene_node.html
[7] https://www.rosenheim.de/fileadmin/Buergerservice/Sicherheit-und-Gefahrenabwehr/Katastrophenschutz/Flyer_DL_6s_Blackout_oTel_web.pdf
[8] https://www.br.de/nachrichten/bayern/blackout-so-informiert-der-br-in-krisenfaellen,THz1eJb
[9] https://www.spiegel.de/wirtschaft/blackouts-bundesamt-fuer-bevoelkerungsschutz-warnt-vor-energieunterbrechungen-a-cc87a13b-fd76-434c-80ae-bb87e2f1f9e6?sara_ecid=soci_upd_wbMbjhOSvViISjc8RPU89NcCvtlFcJ
[10] https://ag.kritis.info/2022/02/15/und-wenn-der-digitale-behoerdenfunk-doch-ausfaellt/
[11] https://www.heise.de/news/Schutz-kritischer-Infrastrukturen-Regierung-bringt-Dachgesetz-auf-den-Weg-7351821.html

Beitragsbild im Header ist CC-BY-SA lizensiert. Es wurde von Tmax1998 erstellt. 

Dieser Artikel entstand unter Mitwirkung der AG Kritis Mitglieder Karo, Yves und Martin. Vielen Dank!

Warntag 2022: Cell Broadcast Umsetzung ist nur halb fertig

Der zweite bundesweite Warntag steht an. Wie schon im September 2020 wird erneut ein bundesweiter Warntag durchgeführt. Am 8. Dezember 2022 ab 11 Uhr werden dabei alle Warnmittel getestet.

Zum Warntag am 8. Dezember soll zum ersten mal „Cell Broadcast“ als neuer Warnkanal zum Einsatz kommen
(siehe auch unser Artikel: „Historie von Cell Broadcast in Deutschland“). Mittels Cell Broadcast werden Warnungen breit als Textnachrichten an alle Mobiltelefone gestreut. Die deutsche Umsetzung von Cell Broadcast heißt „DE-Alert“. Die Technische Umsetzung dazu wurde durch die Bundesnetzagentur (BNetzA) am 23.02.2022 in Version 1.0 der Technischen Richtlinie DE-Alert (TR DE-Alert) spezifiziert.

Während der Umsetzung hat sich jedoch an einzelnen Stellen gezeigt, dass Anforderungen ergänzt oder in Einzelheiten näher beschrieben werden sollten.

Nach einem weiteren Anhörungsverfahren hat die BNetzA nun kurzfristig die betreffende TR DE-Alert aktualisiert.
Am 23.11.2022 ist diese Version 1.1 in Kraft getreten.
Sie verpflichtete die Mobilfunk-Netzbetreiber, auch die Neuerungen bis zum bereits bekannten Termin am 23.02.2023 umzusetzen.

Die wesentliche Anpassung der Richtlinie aus Sicht der Mobilfunknutzer ist die Unterstützung von Warnnachrichten der höchsten Warnstufe für ältere Mobiltelefone:

In der initialen Version 1.0 der TR DE-Alert wurden nur Warnnachrichten mit 4-stelliger Message ID definiert.
Diese sind von älteren Mobiltelefonen nicht empfangbar, da früher in der Praxis nur dreistellige Message-IDs zur Anwendung kamen. Erst neuere Mobilfunkgeräte unterstützten vierstellige Message IDs.

In einer öffentlichen Stellungnahme gegenüber der Bundesnetzagentur (BNetzA) und in Gesprächen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) haben wir auf die Problematik hingewiesen.
Die nun in Kraft getretene Version 1.1 der TR DE-Alert gibt nun vor, Warnnachrichten des höchsten Warnniveaus parallel auch mit der dreistelligen Message ID 919 für ältere Geräte bereitzustellen.
Aus unserer Sicht ist dies ein kleiner, aber sehr positiver Erfolg zivilgesellschaftlicher Beteiligung.

Leider kommt diese Änderung in der aktualisierten Richtlinie zu kurzfristig. Zwei Wochen Vorlauf zum Warntag sind zu wenig für eine aktualisierte, verifizierte Implementierung durch die Mobilfunk-Netzbetreiber.

Denn am Warntag 2022 wird ausdrücklich die höchste Warnstufe 1 verwendet, das heißt auch mit Verwendung dreistelliger Message IDs für ältere Mobiltelefone.

Wir haben die drei großen Mobilfunk-Netzbetreiber angefragt:

  • T-Mobile hat uns auf Anfrage mitgeteilt, dass eine Umsetzung der parallelen Warnung für die älteren Mobiltelefone durchgeführt wird, sofern die geänderte TR bis zum 23.11. in Kraft getreten ist. Da die geänderte TR rechtzeitig in Kraft getreten ist, gehen wir davon aus, dass die Anpassungen rechtzeitig erfolgen werden.
  • Vodafone teilte jedoch mit, dass zum Warntag am 8.12. keine Aussendung von Warnungen für ältere Mobiltelefone vorgesehen ist.
  • Telefónica hat unsere Anfrage leider nicht beantwortet.

Nutzer älterer Mobiltelefone werden also am kommenden Warntag nur dann Warnungen erhalten können, wenn das Mobiltelefon entweder schon 4-stellige Message IDs unterstützt, oder aber im Netz von T-Mobile eingebucht ist.

Auch Nutzer neuerer Smartphones mit Android- und iOS-Betriebssystem empfangen die Warnnachrichten nicht unbedingt automatisch. Sie sollten deshalb unbedingt prüfen, ob das eigene Handy dafür korrekt eingestellt ist.
Eine guten Überblick dafür liefert z.B. die Verbraucherzentrale NRW e.V.

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) ist ausdrücklich an Rückmeldungen zu der Empfangbarkeit der Cell Broadcast-Nachrichten interessiert:
„Die Möglichkeit zum Feedback wird es zur genannten Zeit auf der Website warnung-der-bevölkerung.de, in der Warn-App NINA, auf der Unterseite zum bundesweiten Warntag auf bbk.bund.de und auf den Social Media-Kanälen des BBK geben.“

Wer die Warnungen am Warntag also korrekt empfangen hat oder eben nicht, sollte von der Rückmeldung unbedingt Gebrauch machen.

Unser Sprecher Thomas Blinn hat kürzlich mit TheMorpheusTuts über Warnsysteme und Cell Broadcast gesprochen.
Der vollständige @TheMorpheusTuts Podcast „Über Warnsysteme und Cell Broadcast“ ist verfügbar auf Spotify und Anchor.fm 

 

Beitragsbild im Header ist CC-BY-SA lizensiert. Es wurde von Fabian Horst erstellt. 

Update des Cyberhilfswerk Konzept

Wir veröffentlichen hier eine aktualisierte Fassung des CHW-Konzepts, das die Schaffung einer neuen Freiwilligengruppe beschreibt, welche die Bewältigungskapazitäten für Großschadenslagen, die aus Cyber-Vorfällen resultieren, ausbauen soll.

Die aktualisierte Fassung enthält neue Ausarbeitungen zu Einsatzszenarien und Einsatzrollen des Cyberhilfswerks. Außerdem enthält sie einen neuen Abschnitt über die Gewinnung von Freiwilligen Helfern und zur Frage der europäischen Dimension eines Cyberhilfswerks. Darüberhinaus wurde der Abschnitt „Rechtsform eines CHW“ umfassend neu gestaltet und mit vielen neuen Erkenntnissen ergänzt.

Die vorherige Version des CHW-Konzept wurde erstmals im Februar 2020 veröffentlicht und nun erstmals aktualisiert.

Ziel des CHW-Konzepts ist es, dem Staat eine Konzeption an die Hand zu geben, die sowohl das vorhandene Helfer-Potential in der Bevölkerung sinnvoll aktiviert als auch ein Fundament zu schaffen, auf dem eine vertrauensvolle Kooperation im Krisenfall stehen kann.

Die aktualisierte Version des CHW-Konzepts enthält mehrere neue Abschnitte, darunter:

– Die Schaffung sogenannter mobiler Interneterstversorgungsstationen (MIEVS)

– Eine deutliche Vertiefung der Diskussion über die Anbindung an das technische Hilfswerk

– weitere Szenarien im Bereich der Krankenhaus-IT, der Kommunalverwaltung und Ergänzungen zu vorhandenen Szenarien im Bereich der Stromversorgung

Das vollständige Konzept kann hier heruntergeladen werden:

Stellungnahme zur Technischen Richtlinie DE-Alert

Stellungnahme zur Entwurfsversion 1.1 der Bundesnetzagentur zur TR DE-Alert

Im Rahmen der Anhörung zur Technischen Richtlinie DE-Alert (TR DE-Alert) haben auch wir uns mit der neuen Entwurfsversion der Technischen Richtline (TR) DE-Alert beschäftigt und eine Stellungnahme mit konkreten Verbesserungs- und Optimierungsvorschlägen verfasst.

Diese Stellungnahme ist hier verlinkt und wurde von uns fristgemäß bei der Bundesnetzagentur eingereicht.

Wir bedanken uns herzlich bei unserem Mitglied Yves Ferrand für das Verfassen der Stellungnahme.

Cell Broadcast DE-Alert- aber richtig

Erst in Folge der Flutkatastrophe im Westen Deutschlands im Juli 2021 wurde von der Bundesregierung entschieden, auch hierzulande Cell Broadcast als Mobilfunk-basiertes Mittel zur Warnung der Bevölkerung einzusetzen.

Dies war eigentlich schon damals längst überfällig, denn der Rat der Europäischen Union verabschiedete bereits 2018 die neue Richtlinie zum europäischen Kodex für elektronische Kommunikation (European Electronic Communications Code, EECC).

Entsprechend dieser Richtlinie mussten alle EU-Mitgliedsstaaten bis zum 21. Juni 2022 ein solches Mobilfunk-basiertes Warnsystem für den Zivilschutz einrichten, das sogenannten “EU-Alert”-System.

Die grundlegende technische Spezifikation des Europäischen Instituts für Telekommunikationsnormen (ETSI) liegt in Form des Dokuments TS 102 900 V1.3.1 seit Februar 2019 vor.

Erst im Februar 2022 veröffentlichte die Bundesnetzagentur in der “Technischen Richtlinie DE-Alert (TR DE-Alert)” die für Deutschland relevante Umsetzung des sogenannten “DE-Alert”-Systems.
Gemäß Telekommunikationsgesetz (TKG) §164a muss der Wirkbetrieb des “DE-Alert”-Systems innerhalb eines Jahres nach Veröffentlichung der TR DE-Alert erfolgen, also spätestens bis zum 24.02.23.

Ein erster Probealarm mittels “DE-Alert” war zum nächsten Warntag am 8. September 2022 geplant. Mittlerweile hat der Arbeitskreis V der Innenministerkonferenz jedoch als neues Datum für den Warntag den 8. Dezember 2022 vorgeschlagen.

Vor dem Hintergrund der besonders späten deutschen Umsetzung möchten wir auch noch einmal darauf hinweisen, dass die Technologie dafür seit mindestens 2001 im Bundesinnenministerium bekannt ist.
Auch ohne europäische Vorgabe hätte sie spätestens 2012 umgesetzt werden können. Zur Historie von Cell Broadcast in Deutschland haben wir bereits einen Artikel veröffentlicht.

Die Technischen Richtlinie DE-Alert spezifiziert im Detail die technischen Maßnahmen, die auf Seiten der Mobilfunk-Netzbetreiber – also Telekom, Vodafone, Telefónica und 1&1 – durchgeführt werden müssen

Jedoch auf Endgeräte-Seite – also bei den Smartphones und Mobiltelefonen – zeichnet sich ein gravierendes Problem in der Umsetzung ab:

Die Technischen Richtlinie DE-Alert definiert verschiedene vierstellige Message Identifier (ID). Damit werden 16 Nachrichten-Typen festgelegt, die sich je nach Alarmart, -reichweite und -sprache unterscheiden.
Ferner gibt es verschiedene Stufen für die Wichtigkeit und Dringlichkeit der Warnung.

Vierstellige Message Identifier sind jedoch in den allermeisten älteren Mobiltelefone gar nicht vorgesehen.
Smartphones mit älteren Betriebssystemen bis Android 10 bieten zudem keine einfache Einstellmöglichkeit für Cell Broadcast-Warnungen und müssen umständlich manuell konfiguriert werden.

Apple-Endgeräte unterstützen das DE-Alert-System generell erst ab iOS 16 ab Herbst 2022, vermutlich ab iPhones der achten Generation.

Es ist also zu erwarten:

“DE-Alert” wird zukünftig nur zuverlässig funktionieren bei Smartphones
– mit Google-Android ab Version 11
– mit Apple-Endgeräten ab iOS 16.

“DE-Alert” könnte von erfahrenen Nutzenden manuell eingestellt und aktiviert werden bei Smartphones
– mit älteren Versionen von Google-Android
– anderen Android-Versionen (freie Custom-ROMS oder Versionen anderer Hersteller).
Im Detail hängt dies jedoch konkret von Smartphone-Modell und Software-Stand ab.

“DE-Alert” funktioniert definitiv nicht bei älteren Mobiltelefonen, die nur dreistellige Message Identifier unterstützen, wie ältere Nokia, Ericsson.

Fazit:

Stand heute werden nur weniger als die Hälfte aller Smartphones und Mobiltelefonen in Deutschland technisch in der Lage sein, Warnungen des DE-Alert-Systems zu empfangen.

In anderen Ländern (z.B. Niederlande, Litauen, Taiwan) hat man hingegen konkrete Maßnahmen getroffen, damit auch ältere Mobiltelefone Warnungen über Cell Broadcast empfangen können.
Denn dort werden auch dreistellige Message Identifier für Warnmeldungen benutzt.

Es sind daher Anpassungen erforderlich, damit die Warnungen des DE-Alert-Systems mehr Mobiltelefone technisch erreichen können.


U
nsere Forderungen in diesem Kontext lauten daher:

– Erweiterung der Technischen Richtlinie DE-Alert um einen Nachrichten-Typ mit dreistelligem Message Identifier für die Abwärtskompatibilität mit älteren Mobiltelefonen, wie bei der Umsetzung des EU-Alert-Systems in den Niederlanden und in Litauen.

– Beteiligung der technisch interessierten Zivilgesellschaft an einer Cell Broadcast Testumgebung unter dem Dach des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK).
Mittels freier software und günstiger, allgemein verfügbarer Hardware wird eine kostengünstige Testumgebung aufgebaut, um den Empfang von DE-Alert-Warnungen auf unterschiedlichen Smartphones und Mobiltelefonen zu validieren.

– Aufbau einer Datenbank mit freier Zugriffsmöglichkeit über den Internetauftritt des BBK.
Mit den Ergebnissen aus der genannten Cell Broadcast Testumgebung bekommen Nutzende eine konkrete Anleitung, wie bei älteren Smartphones und Mobiltelefonen der Empfang von DE-Alert-Warnungen aktiviert werden kann.

– Durchführung einer Werbekampagne für DE-Alert im Internet, in Rundfunk und Fernsehen, auf Werbetafeln und in Zeitungen. Als Vorbild für diese Kampagne kann die Werbekampagne des niederländischen “Rijksoverheid” genutzt werden. [Google-übersetzter Bericht über die Kampagne] [Beispielvideo 1] [Beispielvideo 2]
Zweck der Kampagne muss sein, allen Menschen in Deutschland eine konkrete Hilfestellung zugeben, wie der Empfang von DE-Alert-Warnungen auf ihrem mobilen Endgerät eingestellt und aktiviert werden kann.

Der Artikel wurde von unseren Mitgliedern Yves Ferrand und Johannes Rundfeldt verfasst. Vielen Dank!

Das Bild des Artikels wurde von Tony Webster aus Minneapolis, Minnesota, United States aufgenommen, es steht unter einer CC-BY-SA Lizenz

Cybersicherheitsagenda ist alter Wein in neuen Schläuchen: BMI Strukturen von neuer Regierung unbeeindruckt.

Bundesinnenministerin Nancy Faeser hat am 12.07.2022 im Rahmen einer Pressekonferenz die Cybersicherheitsagenda vorgestellt. Faeser beschwört dabei die Zeitenwende und die daraus resultierende strategische Neuausrichtung der deutschen Cybersicherheit.

Offensichtlich hat Ministerin Faeser nicht verstanden, dass es zwischen strukturinhärenten Interessenskonflikten keinen Kompromiss geben kann. Viele alte Themen sind nun neu bezeichnet worden. Dabei sind die Bezeichnungen so vage und allgemein gefasst, dass die Zivilgesellschaft misstrauisch werden muss. Die „neue“ Cybersicherheitsagenda versucht den wohlbekannten Wunschzettel der Sicherheitsbehörden neu zu verpacken, scheitert aber daran.

Ministerin Faeser beruft sich in ihrer Pressekonferenz auf Experten, jedoch scheint es so als ob diese Berater primär die Interessen der Sicherheitsbehörden vertreten. Die Forderungen und Vorhaben der vermeintlich neuen Cybersicherheitsagenda gleichen den Vorhaben des BMI unter der Vorgängerregierung mit CSU-Innenminister Horst Seehofer.

Wir empfehlen allen Beteiligten im BMI dringend die Zivilgesellschaft stärker einzubinden, darüber hinaus empfehlen wir dringend die Lektüre des Koalitionsvertrags. Wäre dies geschehen, dann wäre aufgefallen, dass eine neue Regierung gewählt wurde, die in Sachen Cybersicherheit und Digitalisierung, Grundrechtsschutz und Bürgerrechte andere Ziele verfolgte als einst Minister Seehofer.

Aktive Cyberabwehr

Auf der Pressekonferenz zur Veröffentlichung der Agenda sagte Frau Faeser:

„Ein Hackback ist ein angressiver Gegenschlag, das heisst wir würden mit staatlichen Mitteln einen anderen Server – einen möglicherweise ausländischen [Server] aktiv bekämpfen und gegenschlagen, das will niemand. Das was der Staatssekretär Richter angesprochen hat ist, dass ein Angriff so stark sein kann, dass wir irgendwann gezwungen sind auf den Server zuzugreifen und es abzustellen, aber abstellen ist was anderes als aggressiv dagegen zuschlagen und selbst Angriffe vorzunehmen, das möchte niemand.“

Der verbale Tenor ist „wir machen keine Gegenschläge“, dennoch befinden sich erhebliche Widersprüche in der Cybersicherheitsagenda, die eine klare Positionierung vermissen lassen. Ebenso wird weder aus der Pressekonferenz noch aus der Agenda selbst ersichtlich, welche Grenzen zwischen einem „Abschalten“ und einen „aggressiven Gegenschlag“ liegen. Was bleibt ist der fahle Beigeschmack einer begrifflichen Umdeutung oder wie es LOAD e.V. treffend formuliert „Eine bewusste Irreführung der Öffentlichkeit“.

Letztlich wird damit leider deutlich, dass der digitale Gegenschlag politisch noch lange nicht vom Tisch ist. Im Gegenteil – im Rahmen der in der Agenda ebenfalls adressierten Forschungsförderung wird die „Cyberverteidigung“ ausdrücklich adressiert. Generell ist das operieren im Cyberraum aus Sicht der kritischen Infrastrukturen, auch als Abwehrmaßnahme, höchst problematisch wie unser Mitglied Manuel Atug bereits hier umfangreich erklärt hat.

1. Cybersicherheitsarchitektur modernisieren und harmonisieren

Im ersten Kapitel wird weitgehend das Zuständigkeitschaos und der sogenannte Ausbau des BSI zu einer Zentralstelle im Bund-Länder-Verhältnis adressiert. Insbesondere soll die Zuständigkeitsverteilung im Bereich der Gefahrenabwehr angepasst werden. Außerdem soll das BSI unabhängiger werden. Das begrüßen wir ausdrücklich.
Von wem es allerdings unabhängiger werden (darf) bleibt die Agenda schuldig. Zwar haben immer wieder Expert:innen die Abhängigkeit des BSI vom Innenministerium als Dienstherr im Kontext des Interessenskonflikts der Sicherheitsbehörden in der Gefahrenabwehr angemahnt, ob die Innenministerin diesen Schritt tatsächlich geht bleibt fraglich.

2. Cyberfähigkeiten und digitale Souveränität der Sicherheitsbehörden stärken

In Kapitel zwei wird wieder ein Schwachstellenmanagement versprochen. Wir bleiben weiterhin davon überzeugt, dass Schwachstellen nicht „gemanaged“ werden müssen. Wir sind uns relativ sicher, dass das BMI mit einem Schwachstellenmanagement einen Managementprozess, angelehnt an den amerikanischen Vulnerabilities Equities Process, anstrebt, welcher zum Ziel hat, intransparent auszuwählen, welche bekannt gewordenen Sicherheitslücken gemeldet werden sollen und welche geheim bleiben sollen, damit die Sicherheitsbehörden diese ausnutzen können. Dies ist inakzeptabel. Der einzig richtige Weg, der die Cybersicherheit der Bürger:innen, der Behörden und der kritischen Infrastruktur nicht gefährdet, ist Sicherheitslücken unverzüglich und ausnahmslos zu schließen.

Der Abschnitt spricht weiterhin von

„Ermittlungsfähigkeiten und -instrumente des Bundes (…) im Bereich Verschlüsselung“ für das Bundeskriminalamt.

Wir können uns unter dieser Formulierung nur vorstellen, dass die Bundesregierung weiter versucht, Verschlüsselungssysteme unsicher zu machen um diese Unsicherheiten für Ermittlungen auszunutzen.

3. Cybercrime und strafbare Inhalte im Internet bekämpfen

Zu den Problemstellungen die die Agendapunkte in Kapitel drei darstellen, möchten wir hier auf die [Stellungnahme des LOAD e.V.]() verweisen.

4. Cybersicherheit der Behörden des Bundes stärken

Die „Etablierung des Grundsatzes ’security by design and by default‘ in der Bundesverwaltung“ begrüßen wir grundsätzlich. Die Cybersicherheitsagenda ist hier aber inhaltlich zweideutig. So werden nach wie vor an verschiedenen Stellen explizit Türen offen gelassen, um die Cybersicherheit durch Sicherheitsbehörden schwächen zu können. Solange „security by design and by default“ nicht zur rechtsverbindlichen Verpflichtung werden, besteht die Gefahr, dass dieses an sich begrüßenswerte Ziel zu einem bloßen Buzzword verkommt. Die Bundesregierung ist daher aufgerufen, als Follow-up der Agenda konkrete Maßnahmen vorzustellen, wie „security by design“ umgesetzt werden soll. Auch die letzten zwei Bundesregierungen haben diese Formulierung bereits verwendet, ohne dass es zu konkreten Umsetzungsbestrebungen gekommen wäre. Das BMI muss deshalb weiterhin aktiv an dieser Zielsetzung festhalten.

5. Cyber-Resilienz Kritischer Infrastrukturen stärken

Abschnitt 5 wollen wir uns im Detail widmen, betrifft dieser doch den Kernbereich der Aktivitäten der AG KRITIS. Zu den anderen Abschnitten verweisen wir neben der Stellungnahme des LOAD e.V. auch auf die [Stellungnahme unseres Mitglieds Prof. Dr. Dennis-Kenji Kipker bei beck.de].

Prüfung der Etablierung sektorspezifscher CERTs für KRITIS-Betreiber

Wir halten sektorspezifische CERTS nicht für sinnvoll. Wir halten es in diesem Kontext für zielführender, die Länder-CERTS zu stärken und auszubauen, das MIRT sowie das CERT-Bund auszubauen sowie ein Cyberhilfswerk zu schaffen. Gerne beraten wir die prüfende Stelle im Ehrenamt.

Wir sind bestürzt, dass wir die Schaffung eines Cyberhilfswerks leider nicht in dieser Agenda wiederfinden konnten. Wir hoffen weiterhin, dass das BMI die Schaffung eines Cyberhilfswerks auf die Agenda nimmt.

6. Schutz ziviler Strukturen vor Cyberangriffen

Der Schutz ziviler Infrastruktur kommt viel zu wenig Gewicht in der Cybersicherheitsagenda zu. Lediglich zwei kryptische Vorhaben werden aufgeführt um die zivile Infrastruktur besser gegen Cyberbedrohungen abzusichern. Ein wohlklingendes „BSI Information Sharing Portal (BISP) soll aufgebaut und später zu einem zivilen Cyberabwehrsystem (ZCAS) ausgebaut werden.

Das BISP kann unserer vorläufigen Einschätzung nach auch eine gute Idee sein, sofern der Zugang offen gestaltet wird. Die angestrebte Weiterentwicklung zu einem System, das „aktiv und automatisiert auf Cyberangriffe“ reagieren soll klingt jedoch nach einer besonders schlechten Idee. Nicht nur ist die technische Machbarkeit aus unserer Sicht höchst fragwürdig, sondern würde in dieser Formulierung auch automatisierte Hackbacks gleichgestellt sein.

Selbst ein manueller Hackback ist aus Sicht der kritischen Infrastrukturen, der Zivilgesellschaft wie auch aus völkerrechtlichen Betrachtung strikt abzulehnen. Solche Fähigkeiten vollständig oder auch nur teilweise zu automatisieren, ist im besten Falle nicht nur höchst gefährlich, sondern auch verantwortungslos und leichtsinnig und wird daher von uns strikt abgelehnt.

7. Digitale Souveränität in der Cybersicherheit stärken

Nach über dreißig Jahren Internet, werden auch langsam die Bedrohungen im Cyberraum erkannt. Zwar wird von einem „ganzheitliche[n] Ansatz“ gesprochen, dieser aber im weiteren Kontext nicht näher definiert.

Es wird im Kontext jedoch klar, dass es um die Vertrauenswürdigkeit von Technologien geht. Der hier gezeigte Ansatz der Förderung von Produkten und Dienstleistungen mit Schwerpunkt Cybersicherheit ist jedoch nicht gänzlich sinnvoll, da es hier bereits ausreichend Produkte gibt. Eigentlich geht es um die Vertrauenswürdigkeit von Produkten und deren Herstellern und diese lässt sich am einfachsten über die Förderung oder auch Vorgaben von Open Source für Hard- und Software umsetzen. Forschungsgelder sind aber in jedem Fall sinnvoll.

Außerdem soll das BSI Prüfungmöglichkeiten bekommen um „kritische Komponenten“ und die Vertrauenswürdigkeit der Herrsteller zu prüfen. Dass „kritische Komponenten“ ein gänzlich falscher Begriff ist, haben wir bereits in unser Stellungnahme zum IT-Sicherheitsgesetz 2.0 erklärt (Seite 12).
Außerdem suggiert eine solche Prüfung der „kritischen Komponenten“ eine trügerische Sicherheit, denn um kritische Systeme sicher zu betreiben, müssen diese im Ganzen betrachtet werden und nicht komponentenweise. Das Zusammenspiel aller relevanten Komponenten in der Architektur ist wesentlich für die Versorgung.

8. Krisenfeste Kommunikationsfähigkeit schaffen und Sicherheit der Netze ausbauen

Die Digitalisierung der öffentlichen Verwaltung benötigt noch vor einer Kommunikationsplattform den Willen und die Akzeptanz, dass sich Digitalisierung nicht über das Copy & Paste analoger Verfahren in die digitale Welt lösen lässt.

Für die Nutzung und den Ausbau digitaler Angebote der öffentlichen Verwaltung wäre vor allem ein flächendeckender Netzausbau von Vorteil, in dessen Rahmen am Besten auch eine resiliente Fallback-Infrastruktur für Katastrophenfälle etabliert werden sollte. Diese Infrastruktur scheint diesem Kapitel nach noch nicht zu existieren, obwohl sie das sogar nach Vorgabe auf Europäischer Ebene sollte.

Vom flächendeckenden Netzausbau würden neben der Verwaltung auch die Nutzer:innen und nicht-KRITIS Institutionen wie z.B. Schulen profitieren.

Es besteht der dringende Bedarf, den Digitalfunk BOS erst einmal bundesweit einzusetzen.
Denn heute noch nutzen Rettungsdienst und Feuerwehr in weiten Teilen einiger Bundesländern immer noch den nicht abhörsicheren Analogfunk auf dem technischen Stand der 1970er Jahre.
Hier ist eine bundesweite Migrationpflicht aller BOS ins Digitalfunknetz unabdingbar.

Die Sicherheit und Hochverfügbarkeit des Digitalfunks BOS liegt aktuell im Verantwortungsbereich der Bundesländer.
Diese entscheiden selber, wie resilient das Digitalfunknetz in ihrem Bundesland hinsichtlich Stromausfällen und Ausfällen von Übertragungsleitungen (angemietete Erdkabel, eigener Richtfunk) implementiert wird oder eben nicht.
Ein bundesweit einheitlicher Resilienzstandard für den Digitalfunk BOS muss zwingend definiert und konsequent umgesetzt werden.

Unser Fazit

Das abschließende Fazit zur „neuen“ Cybersicherheitsagenda der SPD-Innenministerin Faeser fällt bestenfalls ernüchternd und schlechtestensfalls grob fahrlässig aus. Wieder einmal werden große Vorhaben (Zentralstelle BSI, BISP oder ZCAS) formuliert, die aber an der inhaltlichen, fachlichen und rechtlichen Substanz scheitern. Anstatt auf vorhandene Konzepte zu setzen und Versäumnisse der Vorgängerregierung abzustellen, legte uns die Ministerin Faeser und ihr Haus eine Agenda vor mit der eine Zeitenwende in der deutschen Cybersicherheitspolitik nicht gelingen kann.

 

Bundesregierung finanziert Forschung zur Schaffung des Cyberhilfswerk im THW

Aus Regierungskreisen erfuhren wir am Freitag, dass die Ampelkoalition dem Technischen Hilfswerk (THW) den Forschungsetat verdoppelt hat. Die Ampelkoalition möchte mit weiteren 500.000 € die Erforschung der Kompetenzerweiterung des Technischen Hilfswerks im Bereich der Cyberhilfe finanzieren.

Zur Konzepterstellung für die Kompetenzerweiterung "Cyberhilfe" bei der Bundesanstalt Technisches Hilfswerk werden 500.000€ zur Verfügung gestellt

„Zur Konzepterstellung für die Kompetenzerweiterung „Cyberhilfe“ bei der Bundesanstalt Technisches Hilfswerk werden 500.000€ zur Verfügung gestellt“

Nachdem die letzte Bereinigungssitzung des Haushaltsausschusses des Deutschen Bundestages am Samstag Abend, den 21.05.2022 ohne besondere Vorkommnisse abgeschlossen wurde, gehen wir nun davon aus, dass die Bundesregierung diesen Haushalt so in der kommenden Woche verabschieden wird. Mit dieser Entscheidung geht die Bundesregierung aus unserer Sicht den ersten Schritt zu einem staatlichen Cyberhilfswerk.

Damit wird der dritte große Meilenstein auf dem Weg zu einem Cyberhilfswerk erreicht – nachdem sich schon in der letzten Legislatur zwei Fraktionen der Forderung nach einem Cyberhilfswerk angeschlossen haben und es die Forderung nach einem Cyberhilfswerk dann in den Koalitionsvertrag geschafft hat, wird nun im dritten Schritt die konkrete Forschung zur Umsetzung finanziert.

Wir begrüßen diesen Schritt der Bundesregierung ausdrücklich. Aus unserer Sicht wird damit unsere Forderung nach der Schaffung eines Cyberhilfswerks ernst genommen und konkret angegangen. Wir sind froh und dankbar, in einer Demokratie leben zu dürfen, in der Bürgerinitiativen wie die AG KRITIS Wertschätzung erleben und ernst genommen werden.

Im Hintergrund wird die Arbeit an der Konzeption eines Cyberhilfswerks auf unserer Seite fortgeführt – wir aktualisieren derzeit das Konzept, um weitere Erkenntnisse zu integrieren, die im Austausch mit Behörden, KRITIS-Betreiberinnen und Katastrophenschützerinnen gewonnen wurden.

Für das anstehende Forschungsprojekt empfehlen wir dem THW, insbesondere ehrenamtliche Beratungsleistungen in Anspruch zu nehmen. So kann nicht nur das Budget effektiv genutzt werden, sondern auch der Erfahrungsschatz von ehrenamtlich aktiven und fachkundigen Bürgerinnen von Anfang an mit einbezogen werden.

Die AG KRITIS steht mit ihrem Netzwerk weiterhin gerne bereit, ehrenamtlich zu beraten und zu unterstützen.

Hier findet ihr das Konzept zur Steigerung der Bewältigungskapazitäten in Cyber-Großschadenslagen der AG KRITIS.

 

Datenabfluss bei Feuerwehr und Rettungsdienst

Benötigt man im Notfall medizinische Hilfe oder technische Hilfe durch die Feuerwehr, dann wählt man die 112 und wird mit der nächstgelegenen Rettungsleitstelle verbunden. Hier schildert man sein Anliegen.
Was ist passiert? Namen und Anschrift der betroffenen Person werden übermittelt.
Weiter werden auch erste relevante medizinische Details, also ob sich die Betroffene ein Bein gebrochen hat, oder einen Kollaps erlitten hat, auch Alter und Geschlecht der Person in Not.
In manchen Fällen werden auch Rückrufnummern abgefragt.
Hat man sein Anliegen geschildert, dann ist „Hilfe unterwegs“.

In solch einer Notfallsituation kann sich der Hilfesuchende keine Gedanken über Datenschutz machen.
Sicher ist jedoch, dass es sich bei den Alarmierungsdaten um einen hoch sensitiven und sehr einfach individuell zuzuordnenden Datensatz handelt, welcher unter allen Umständen vertraulich behandelt werden sollte.
Blöd wenn dies nicht passiert. Doch genau das zeigte im Herbst 2020 eine Fachzeitschrift

Wenn Alarmierungsnachrichten wie:

28.03.22 14:48:24 1234567 RD Einsatz: Wiesbach Bahnbrücke K1536 Uslarer Straße 48. Richtung K 16 #Müller 36 J ##Fahrradsturz , Kopfplatzwunde##8382 14:48

26.03.22 19:01:12 0868989 KT liegend: Ostheim Alte Schulstraße 7 #Becker 68 Jahre#Norovirus#Durchfällen seit der Nacht#V. a. NORO#T 39,50#M4 Zwiefalter Bürgerspital GmbH#8202 19:01

27.03.22 10:54:20 3456789 Dialyse Tragestuhl: Dunzweiler Dialyse Hartwig / Stock 54A #Schmidt 76 Jahre##Fertig 11.20#Eichenweg#8235 10:54

25.03.22 18:06:57 4710815 Tür öffnen: Depsried Scharnhorststraße 3 2 OG#Für Polizei#8040 18:06

18.03.22 14:24:42 4988652 nfs-RV Ginsterweg 38 Mallstatt Notfallseelsorge – Übermittlung Todesnachricht nach Suizid – bei Polizei-Inspektion Worms melden

in Echtzeit und öffentlich auf einer Internet-Seite mitgelesen werden können, dann werden durch diesen Datenabfluss auch Tür und Tor für weiteren Missbrauch geöffnet.
Die oder der Betroffene bekommt davon zunächst erst mal nichts mit.

Nach Bekanntwerden der Sicherheitslücke eines gängigen Programms bei Hilfsorganisationen im Herbst 2020 wurde diese Problem durch ein Programm-Update behoben.
Allerdings zeigte sich, dass dieses Update nicht konsequent eingespielt wurde. Bis Frühjahr 2022 waren noch über 50 frei zugängliche Webserver online ohne Zugriffsschutz erreichbar.

51 dieser frei zugänglichen Webserver verteilten sie quer über Deutschland, auch 6 Fälle in Österreich konnten gefunden werden.

Dass diese Fälle nicht ohne Konsequenzen bleiben müssen, zeigt ein Fall aus Northeim. Rein rechtlich gesehen handelt es sich hier auch um Verstöße gegen die DSGVO, welche die zuständige Kreisverwaltung – als Betreiber der Rettungsleitstelle – der Landesbehörde für Datenschutz innerhalb 72 h nach Bekanntwerden melden muss. In Northeim wurde dies versäumt. Die Kreisverwaltung hatte „Glück“ und kam hier noch mit einem „deutlichen Hinweis“ davon.

Zu diesem Sachverhalt hat auch der Bayerische Rundfunk einen Artikel veröffentlicht, dieser beschreibt den hier dargelegten Sachverhalt:

 

Was ist passiert und warum konnte das in einem solchen Ausmaß passieren?

Das technische Problem hinter diesen Datenabflüssen liegt „auf der letzten Meile“, d. h. bei den Feuerwehr-Einheiten und Hilfsorganisationen vor Ort. Zur Nachalarmierung von Einsatzkräften verwenden Löscheinheiten von Feuerwehren und Ortsverbände von Hilfsorganisationen oft PC-basierte Programme bei sich vor Ort. Zu nennen ist hier beispielsweise BosMon, ein kostenloses, weit verbreitetes Programm.

Derartige Programme haben folgende Leistungsmerkmale:

a) unverschlüsselt übertragene analoge oder digitale Alarmierungen können über über die Soundkarte des PC selber ausgewertet werden. Das Audio-Signal wird von einem separaten angeschlossenen Funkmelde-Empfänger bereitgestellt.

b) Funkmelde-Empfänger werden über ihre serielle Schnittstelle mit dem PC verbunden. Damit ist auch es möglich, verschlüsselt übermittelte Alarmierungen (die erst im Funkmelde-Empfänger entschlüsselt wurden) in Klartext weiter zu verarbeiten.

Nachfolgend ist es dann möglich, eine konfigurierbare Weiterleitung der eingegangenen Alarm-Meldungen als SMS oder Push-Nachricht einzurichten. Dafür werden die eingegangenen Alarme auch auf einem Webserver dargestellt.

Das Problem:

BosMon erlaubte es in älteren Programmversionen bis Herbst 2020, den Webserver ohne Passwortschutz zu konfigurieren. Auf die Übersicht der eingehenden Alarme auf dem Webserver kann dann ohne Zugangsbeschränkungen zugegriffen werden.
Auffindbar sind die IP-Adressen und Ports der Webserver über die einschlägigen Suchmaschinen. Sind die IP-Adresse und die Ports bekannt, ist der direkte Zugriff auf die eingehenden Alarmmeldungen möglich.

Wie kann es dann sein, dass bei der Alarmierung immer wieder personenbezogene Daten in so großem Stil frei zugänglich im Internet landen und das auch noch deutschlandweit? Man liest doch immer vom bundesweiten, digitalen, abhörsicheren Behördenfunknetz. Wie erreichen die Alarmierungen der Rettungsleitstellen die hauptberuflichen oder ehrenamtlichen Rettungskräfte bei Rettungsdienst und Feuerwehr ?

Das hängt in Deutschland stark vom jeweiligen Bundesland und dem Landkreis ab.

Bei den Behörden und Organisationen mit Sicherheitsaufgaben (BOS) kommen im Bereich der nicht-polizeilichen Gefahrenabwehr (also Feuerwehr, THW, Rettungsdienst) zur Alarmierung von Einsatzkräften sogenannte Funkmelde-Empfänger zum Einsatz, im ländlichen Raum zusätzlich oft auch Sirenen.

Jedes Bundesland entscheidet selbst, welche Technologie für die Alarmierung verwendet wird.
Im Zuge der Digitalisierung entscheidet auch jedes Bundesland selbst über den Umstieg von bestehender analoger oder digitaler unverschlüsselter Alarmierung zu neuer digitaler und verschlüsselter Alarmierung.

In Deutschland verwendete Systeme

Die in Deutschland verwendeten Systeme lassen sich in diese vier Kategorien einteilen:

  • Unverschlüsselte analoge Alarmierung mit Sprach-Durchsage
  • Digitale unverschlüsselte Alarmierung (Textnachrichten) nach POCSAG-Standard
  • Digitale verschlüsselte Alarmierung nach POCSAG-Standard mit proprietärer Verschlüsselung
  • Verschlüsselte Alarmierung (Text-Nachricht) über das „BOSnet“, das Digitalfunknetz der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS)

Unverschlüsselte analoge Alarmierung mit Sprach-Durchsage:

Alle analogen Funkmelde-Empfänger z. B. einer Feuerwehr-Einheit werden auf die gleiche fünfstellige Adresse (5-Ton-Folge oder Selektivruf, ähnlich DTMF) kodiert.
Die Leitstelle sendet diese fünfstelligen Tonfolgen über Funk aus, um an den Funkmelde-Empfängern einen lauten Warnton zu aktivieren. Danach aktivieren die Funkmelde-Empfänger den eingebauten Lautsprecher und die Durchsage der Leitstelle ist zu hören.

Diese Technik ist seit den 1970ern in Deutschland im Einsatz.
Als Infrastruktur dienen die bis vor Einführung des Digitalfunkdienstes („BOSnet“) genutzten flächendeckenden Analog-Funknetze, welche von den Kommunen unterhalten wurden bzw. werden.

Nachteilig ist dabei:
Eine einzelne Alarmierung dauert mindestens 3 Sekunden zuzüglich Sprach-Durchsage.
Bei Großschadenslagen dauert die Alarmierung mehrerer Alarmierungs-Gruppen zum Teil einige Minuten. Außerdem kann die Alarmierung leicht abgehört werden.

Aktuell ist die Technik z. B. noch in Teilen von Rheinland-Pfalz, Thüringen, Baden-Württemberg und Bayern im Einsatz.

Auf einem BosMon-Webserver werden die Alarmierungen wie folgt dargestellt:

17.03.22 16:25:24 20-580 Kreisbrandinspektion Brettheim
19.03.22 01:30:17 20-598 Notzheim Feueralarm
21.03.22 19:18:46 47-253 Notarzt-Einsatzfahrzeug Rotkreuz Schweinfurt 76.1

Die analoge Alarmierung kann im jeweiligen Leitstellenbereich mit einfachen Mitteln abgehört werden, jedoch werden der Einsatzort und weitere personenbezogene Details nur in der analogen Sprachdurchsage mitgeteilt, die von BosMon nicht erfasst wird.
Die Darstellung auf dem Webserver beschränkt sich auf den Zeitstempel, die Alarmierungsadresse des Einsatzmittels und – falls vom Webserver-Betreiber korrekt eingepflegt – auch der Darstellung des Einsatzmittels in Klartext.

Ein Drittel der aufgefundenen frei erreichbaren Webserver zeigte „nur“ analoge Alarmierung an, die restlichen zeigten digitale Alarmierung, also Alarmierungen als Textnachricht an.

Digitale unverschlüsselte Alarmierung (Textnachrichten) nach POCSAG-Standard:

Der zugrunde liegende POCSAG-Standard aus den 1980er Jahren erlaubt die digitale Übertragung von kurzen Textnachrichten. Empfängt der Funkmelde-Empfänger eine Nachricht, wird diese nach dem Ertönen eines lauten Warntons auf einem Display dargestellt.

Als Infrastruktur dienen von den Kommunen unterhaltene POCSAG-Funkrufnetze, die ausschließlich für die Alarmierung genutzt werden.

Nachteilig ist hier:
Der POCSAG-Standard sieht per se keine Verschlüsselung vor.
Unverschlüsselte POCSAG-Nachrichten können mit kostengünstigen Empfängern und freier Software leicht mitgehört werden. Diese Technik kommt noch in Teilen von Rheinland-Pfalz und von Nordrhein-Westfalen zum Einsatz.

Auf einem BosMon-Webserver wird die Alarmierung wie folgt dargestellt:

28.03.22 14:48:24 1234567 RD Einsatz: Wiesbach Bahnbrücke K1536 Uslarer Straße 48. Richtung K 16 #Müller 36 J ##Fahrradsturz , Kopfplatzwunde##8382 14:48
27.02.21 10:54:20 3456789 Dialyse Tragestuhl: Dunzweiler Dialyse Hartwig / Stock 54A #Schmidt 76 Jahre##Fertig 11.20#Eichenweg#8235 10:54
25.02.21 18:06:57 4710815 Tür öffnen: Depsried Scharnhorststraße 3 2 OG#Für Polizei#8040 18:06

Auf dem Webserver werden also Zeitstempel, Alarmierungsadresse und der Alarmierungstext in Klartext dargestellt. Aufgrund der begrenzten Zeichenlänge werden oft Abkürzungen verwendet. Personenbezogene Daten sind in vollem Umfang einsehbar.

Ein Nachteil der von den Kommunen unterhaltenen POCSAG-Funkrufnetze ist:

Die Kommunen sind für den reibungslosen Betrieb im „Normalfall“ und bei „Großschadenslagen“ selbst verantwortlich, d. h. sie müssen die Infrastruktur auch bei flächendeckenden Ausfällen der Stromversorgung und von Übertragungstechnik in Betrieb halten. Das funktioniert aber nicht immer.
In Berlin-Köpenick kam es beim Stromausfall im Februar 2019 nach 5 Stunden auch zum teilweisen Ausfall der digitalen Alarmierungstechnik.

Rheinland-Pfalz setzt zukünftig ausdrücklich auf sein neues, autarkes POCSAG-Alarmierungsnetz, dieses verfügt über eine unterbrechungsfreie Stromversorgung für mindestens 12 Stunden.

Ferner bietet die e*message GmbH mit ihrem Dienst e*BOS ein kommerzielles POCSAG-Alarmierungsnetz, auf das manche Kommunen zurückgreifen, wie z. B. Gelsenkirchen.

Digitale verschlüsselte Alarmierung nach POCSAG-Standard mit proprietärer Verschlüsselung:

Eine Erweiterung bieten proprietäre Lösungen, die eine Verschlüsselung bei POCSAG nachträglich realisieren. Ähnlich der E-Mail-Verschlüsselung wird im unverschlüsselten Textfeld des Funktelegramms eine separates Verschlüsselungsprotokoll implementiert. Die Produkte unterschiedlicher Hersteller sind untereinander nur bedingt kompatibel, was Kommunen zum Teil auf einen einzelnen Lieferanten festlegt.

Auf einem BosMon-Webserver wird Alarmierung wie folgt dargestellt:

15.03.22 10:30:53 0013951 vXA<DC2><NAK>qPB<SI>X<GS>&<CR>A-x7<ETB>Z(<SUB>$<ETX>H/f$1=A-<DC4>(5<CAN>`!<SUB>ob<DC3>sk!,F>r-o4PC-!ä<SI>m<ETX>Pfö<DC4><CAN><ENQ>Z<HT>0<GS>FE!<ENQ>w<STX><ESC>k`+<BEL>p(t<BEL><DC3>4FeÄ!<CR>fL

Der Alarmierungstext wird nun verschlüsselt dargestellt. Allerdings gibt es auch Leitstellen, bei denen nur Rettungsdienst-Alarmierungen verschlüsselt werden. Alarmierungen für Feuerwehr- und Notfallseelsorge werden weiterhin unverschlüsselt übertragen. Leider finden sich auch hier Fälle, in denen personenbezogene Daten übermittelt werden. Erst nach mehrfachen Meldungen der AG KRITIS-Mitglieder an das Landes-CERT und den Landesdatenschutzbeauftragten konnte dies abgestellt werden.Die betroffene Leitstelle sendet stattdessen nur noch eine ungenaue Adresse ohne Hausnummer und die Einsatzkräfte müssen die genaue Einsatzstelle bei der Leitstelle erfragen.

Verschlüsselte Alarmierung (Textnachricht) über „BOSnet“, das Digitalfunknetz der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS):

Das BOSnet bietet neben den Diensten Sprachkommunikation und Text-Kurznachrichten zwischen einzelnen Teilnehmern („SDS“, ähnlich SMS) auch die Möglichkeit der Alarmierung von Funkmelde- und Sirenen-Empfängern („Call-out“).

Von Vorteil für die Kommunen ist, dass dazu auf die bestehende Infrastruktur des BOSnet zurückgegriffen werden kann. Es müssen keine eigenen Funkrufnetze errichtet und unterhalten werden. Auch für die Rettungsleitstellen und Einsatzleiter gibt es hier entscheidende Vorteile gegenüber den vorher genannten Alarmierungslösungen. Anders als bei den POCSAG-basierten Funkrufnetzwerken, haben Funkmelde- und Sirenen-Empfänger hier einen Rückkanal, die den korrekten Empfang der Alarmierung zurückmelden kann sowie eine Quittierung durch die alarmierten Einsatzkräfte erlaubt („ich komme“ bzw. „ich kann nicht“). Weiter ist es durch die Vernetzung des BOSnet leichter möglich, dass Leitstellen im Rahmen überörtlicher Katastrophenhilfe auch Einheiten und Sirenen außerhalb ihres Zuständigkeitsbereichs alarmieren können.
Nachteilig wirkt sich aus, dass in einigen Bundesländern das BOSnet bislang nur für eine Funkabdeckung zu (im Freien betriebenen) Fahrzeug-Funkgeräten ausgebaut ist. Für den zuverlässigen Empfang der Funkmelde-Empfänger innerhalb von Gebäuden müssen weitere BOSnet-Basisstationen errichtet werden. Verschlüsselung ist bei Alarmierung über das BOSnet obligatorisch, d. h. es werden grundsätzlich alle Alarmierungs-Nachrichten verschlüsselt übertragen.

Allerdings bleibt noch eine „Hintertür“, wie dennoch eigentlich verschlüsselt übertragene Alarmierungen über BosMon-Webserver im Klartext einsehbar sind:

Werden Funkmelde-Empfänger über ihre serielle Schnittstelle mit dem auswertenden PC verbunden, dann werden die verschlüsselt übermittelte Alarmierungen (die erst im Funkmelde-Empfänger entschlüsselt wurden) in Klartext zur Auswertung durch BosMon weitergegeben. Ist dann der Zugriff auf den Webserver – wegen einer veralteten BosMon-Version – ohne Passwort eingerichtet, so können diese Alarmierungen im Klartext eingesehen werden; die verschlüsselten Alarmierungen, die für andere Funkmelde-Empfänger bestimmt sind, jedoch nicht.

Insgesamt konnten Mitglieder der AG KRITIS auf 38 Webserver zugreifen, bei denen personenbezogene Daten und Gesundheitsdaten frei zugänglich waren. Die Historie der Einträge reichte typischerweise ein paar Tage zurück, in Einzelfällen auch über 2 Jahre. Die Aufstellung der Alarmierungen umfasste dabei über 200 frei einsehbare Einsatz-Aufträge.

Es geht nicht ohne: das Alarm-Fax.

Ein besonderer Fall konnte in Oberbayern beobachtet werden:
In Bayern kommen häufig sogenannte „Alarm-Faxe“ zum Einsatz. Zusätzlich zur Alarmierung über Funkmelde-Empfänger und Sirene sendet die Rettungsleitstelle ein Fax mit den Einsatzdetails ins Feuerwehrgerätehaus. Dies wird von den Anwendern als sehr praktisch empfunden, liegt die benötigte Information doch beim Eintreffen im Feuerwehrgerätehaus ausgedruckt bereits vor und kann direkt in das Einsatzfahrzeug mitgenommen werden. Das Alarm-Fax enthält die genaue Adresse und Geo-Koordinaten der Einsatzstelle, den Namen der Hilfesuchenden und ggf. eine private Rückrufnummer vor Ort.

Bei einer Feuerwehr-Einheit in Oberbayern war das Programm zur Alarm- und Einsatz-Verwaltung offen aus dem Internet erreichbar. Die elektronisch gespeicherten Alarm-Faxe der letzten 2 Monate waren frei zugänglich, trotz des Vermerks „Das Fax darf nur zum internen Dienstgebrauch für den jeweiligen Einsatz verwendet werden und ist anschließend zu vernichten“.

Der Bayerische Landesbeauftrage für den Datenschutz konnte abschließend in der Angelegenheit feststellen:

… zwischenzeitlich ist die Stellungnahme der Freiwilligen Feuerwehr eingegangen.
Hierin wird dargelegt, dass in den letzten Wochen das zusätzliche Alar
mierungssystem auf die Umstellung zur digitalen Alarmierung vorbereitet worden sei.
Dafür sei ein temporärer Fernzugriff für die Betreiberfirma eingerichtet worden.
Dabei sei bedauerlicherweise unbeabsichtigt der von Ihnen angegebene Port geöffnet worden.
Als der Fehler mitgeteilt worden sei, habe die Freiwillige Feuerwehr den Port sofort geschlossen. Auch der Fernzugriff sei wieder geschlossen.
Die Freiwillige Feuerwehr versichere, dass es sich hierbei um ein Versehen gehandelt habe. Zukünftig werde sie diesbezüglich noch mehr Sorgfalt walten lassen.

Aber auch in anderen Bundesländern lassen sich immer wieder „abenteuerliche“ Versionen der Alarmfax-Anbindungen finden. Es ist mindestens ein Landkreis bekannt, in dem es technische Probleme mit den Faxanschlüssen in der Telefonanlage gibt, weshalb Alarmierungen dort von der Rettungsleitstelle auch per unverschlüsselter E-Mail über das Internet versendet werden. Im Feuerwehr-Stützpunkt befindet sich ein kleiner PC, der per IMAP die E-Mails von dem Provider abholt und dann per Outlook-Regel direkt auf dem Drucker ausgibt. Die DSGVO-Konformität dieser Lösung bezweifeln wir.

Was tun, wenn man Feuerwehr- und Rettungsdienst-Alarmierungen im Internet frei zugänglich findet ?

Die 38 gefundenen Webserver sind inzwischen alle nicht mehr öffentlich erreichbar. Verschiedene Meldewege wurden evaluiert. Basierend auf unseren Erfahrungen empfehlen wir das folgende Vorgehen:

Hingegen waren Meldungen an die zuständigen Polizei-Präsidien oder Polizei-Inspektionen oft wenig zielführend. In mehreren Fällen blieb die Meldung über den offenen Zugang zu sensiblen personenbezogenen Daten – nach Auskunft der Staatsanwaltschaft – bis zu 7 Wochen liegen und der Anschluss-Inhaber konnte nicht mehr ermittelt werden (die Speicherfrist der IP-Adresse bei den Betreibern beträgt 7 Tage). In einigen Fällen wurde der Vorgang nach etlichen technischen Rückfragen schließlich doch an die Zentrale Ansprechstelle Cybercrime zur Bearbeitung weitergeleitet.

Bei knapp zehn Prozent der Meldungen gab es Rückmeldungen zum Webserver-Betreiber:

Meistens handelt es sich bei den Betreibern der frei zugänglichen Webserver um BOS-Einheiten, also z. B. Feuerwehr-Einheiten oder Rettungsdienst-Ortsverbände. Die Konfiguration des Webservers ohne Zugangsbeschränkungen ist hier meist aus Unwissen erfolgt und nach direkter Ansprache durch die Polizei kurzfristig abgestellt worden. Es erfolge keine weitere strafrechtliche Ahndung.

In einigen wenigen Fällen erfolgte die Auswertung von unverschlüsselter analoger bzw. unverschlüsselter digitaler Alarmierung mit dem frei einsehbaren Webserver durch Unberechtigte. Dabei handelte es sich um einen Verstoß gegen das Abhörverbot im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG).

Fazit

14 deutsche Bundesländer haben sich explizit dazu entschieden, keine verschlüsselte Alarmierung über das „BOSnet“ zu nutzen. Dort kommt zu einem gewissen Teil weiterhin unverschlüsselte (analoge und digitale) Alarmierung zum Einsatz.

In den Innenministerien der Länder ist das datenschutzrechtliche Problem von unverschlüsselter Alarmierung langsam angekommen. Diese können aber nur „konkretisierende Erläuterungen und ergänzende Informationen zur praktischen Umsetzung“ zur Verschlüsselung in der Alarmierung geben. Es sind weiter die Stadt- und Landkreise und Rettungsdienst-Organisationen als Betreiber der Kommunikationsnetze für Einsatzkräfte, die „selbst für die Einhaltung der rechtlichen Vorgaben u.a. nach DSGVO und die Einleitung geeigneter Maßnahmen zur Gewährleistung der Datensicherheit verantwortlich“ sind.

Jede einzelne Kommune steht hier in der Verantwortung und muss teils mit sehr begrenzten Mitteln diese Anforderungen umsetzen. So kommt es vor, dass der Webmaster der Feuerwehr-Homepage schnell mal für seine Kameraden eine SMS-Alarmierung bastelt, die eben nicht der DSGVO entspricht.

Sind verschlüsselungsfähige Funkmelde-Empfänger vorhanden, dann sind diese noch lange nicht administriert und es erfolgt weiterhin eine unverschlüsselte Übertragung. Diese Schwachstelle ist an sich lokal beschränkt, da die technische Reichweite der Alarmierung über Funk meist auf den jeweiligen Landkreis beschränkt ist. Klassisches Abhören ist nur regional möglich. Durch frei zugängliche Webserver bekommt das Problem aber eine bundesweite Dimension.

Auch über 19 Monate nach Bekanntwerden des Problems und der Bereitstellung von Updates durch die Software-Hersteller können auch heute immer noch Webserver gefunden werden, die den unbeschränkten Zugriff auf Alarmierungs-Mitteilungen ermöglichen.

Wir sehen vier konkrete, kurzfristige Maßnahmen zur Behebung der Schwachstellen:

  • Bei den kommunalen Trägern der Alarmierungsnetze muss ein Problembewusstsein geschaffen werden. Idealerweise muss dies auf Länderebene gesteuert werden und dort zentral und datenschutzkonform durchgesetzt werden, mit Mitteln, welche über einen „Hinweis-Flyer“ hinausgehen.
  • Kommunale Betreiber von Webservern für Alarmierungs-Nachrichten müssen zu Zugangsbeschränkungen und starken Passwörtern verpflichtet werden.
    Sicherheits-Updates müssen zeitnah eingespielt werden.
  • Angehörigen von Behörden und Organisationen mit Sicherheitsaufgaben muss der private Betrieb von Webservern für Alarmierungs-Nachrichten untersagt werden.
  • Perspektivisch muss die Alarmierung aller Einsatzkräfte (wie Rettungsdienst, Feuerwehr, THW, Psychosoziale Notfallversorgung) zwingend verschlüsselt erfolgen.

Diese kurzfristigen Maßnahmen werden sicherlich dazu führen, dass der Arbeitsaufwand mancher Hilfsorganisationen geringfügig steigt, denn sie können selbst gebastelte und privat betriebene Lösungen so nicht mehr nutzen. Sie müssen nach der Alarmierung, wie im Beispiel oben gezeigt, durch Rückruf bei der Leitstelle die erforderlichen Einsatzdaten erst erfragen. Aus diesem Grund können die vorgeschlagenen Maßnahmen nur kurzfristiger Natur sein. Darüber hinaus sind auch gesetzliche Änderungen der Verantwortung notwendig.

Unsere politischen Forderungen in diesem Kontext lauten daher:

  • Wir fordern die bundesweite Harmonisierung der Landesgesetze für Brand- und Katastrophenschutz.
  • Wir fordern, dass die Verantwortung für den Betrieb der Alarmierungseinrichtungen von den Kommunen auf das Bundesland übergeht und so in den 16 Landesgesetzen für Brand- und Katastrophenschutz festgeschrieben wird.
  • Darüber hinaus benötigen wir klare gesetzliche Regelung, dass die dem Rettungsdienst nahen Gruppen, wie z. B. die ehrenamtlichen Vereine, die die lokale Psychosoziale Notfallversorgung (PSNV) übernehmen, im gleichen Umfang mit aktuellen, verschlüsselungsfähigen Meldeempfängern auszustatten sind
  • Die Innenministerien der Länder müssen eine fortlaufende Evaluierung der technischen Möglichkeiten zur Verbesserung des Informationsflusses zwischen Leitstellen und Hilfsorganisationen durchführen. Allen Hilfsorganisationen muss der aktuelle Stand der Kommunikationstechnik zur Verfügung gestellt werden.

Der Artikel wurde von unseren Mitgliedern Yves Ferrand und Peter Merk verfasst. Vielen Dank!

Das Bild des Artikels wurde von Jacek Rużyczka aufgenommen, es steht unter einer CC-BY-Lizenz.

AG KRITIS zu Gast beim Terra X-Podcast mit Harald Lesch

Am 02.05.22 war unser AG KRITIS-Mitglied @HonkHase zu Gast bei Harald Lesch und dem Team des ZDF Terra X-Podcast „Maschinenraum Deutschland“. In der Folge „Sind wir gewappnet für den Krieg im Netz?“ geht es um Cybercrime, Ransomware, Information Warfare, unser Konzept zum Cyberhilfswerk und um die Bildungspolitik. Die einstündige Episode gibt es ab heute in der ZDF-Mediathek, über den RSS-Feed des Terra X-Podcast und bei allen weiteren Streaming-Anbietern.

Wir cybern besser nicht zurück – Warum offensive Cyberoperationen wie Hackback die eigene Bevölkerung bedrohen

Schon vor dem kriegerischen Angriff durch Russland auf die Ukraine, waren offensive Cyberoperationen und Cyberabwehrmaßnahmen im Zuge der Gefahrenabwehr im Cyberraum – wie z. B. der Hackback – immer wieder in den Medien präsent.

Politikerinnen forderten und fordern wiederholt das gezielte Zurückhalten von Schwachstellen und offensive Cyberfähigkeiten. So soll der deutsche Staat noch besser in der Lage sein, andere Staaten auszuspähen – (auch Aufklärung genannt), seien es Freunde oder Feinde. Mit dem Krieg in der Ukraine ist die Forderung nach generellen offensiven Cyberfähigkeiten bzw. militärischen Cyberoperationen (vormals Computer-Netzwerkoperationen, CNO) und zugehöriger Kapazitäten lauter geworden. Auch, weil die Befürchtung im Raum stand, dass kritische Infrastrukturen in Deutschland durch Cyberangriffe in Gefahr sein werden.

Heute wissen wir bereits, dass Bomben, Raketen und Kalaschnikows sehr viel effektiver kritische Infrastrukturen in der Ukraine zerstört haben, als Cyberangriffe das jemals könnten. Nichtsdestotrotz sind kritische Infrastrukturen durchaus vermehrt Cyberangriffen ausgesetzt. Nicht nur in der Ukraine, sondern weltweit. Und damit eben auch in Deutschland.

Welche Auswirkungen hätte denn das euphemistisch als „staatliches Schwachstellenmanagement zur Gefahrenabwehr“ bezeichnete Zurückhalten von Sicherheitslücken für Hackbacks auf unsere Versorgungssicherheit?

Ziel eines Hackbacks ist die Befähigung, einen lang anhaltenden Ausfall einer kritischen Infrastruktur durch cyber-physische Schäden zu bewirken und die Versorgungsleistung im Idealfall sogar überregionalen ausfallen zu lassen. Wirtschaftliche Schäden sind in diesen Szenarien eher sekundär. Verwendet würde das Eindringen in fremde IT-Systeme und IT-Umgebungen zur strategischen Aufklärung, als auch im Bündnisverteidigungsfall zum Zweck der Wirkung durch offensive Cyberoperationen.

Nun stellt sich die Frage, wieso konkret die Durchführung von offensiven Angriffen und damit einhergehend das Zurückhalten von Sicherheitslücken – umgangssprachlich als Hackback bekannt – eine sehr schlechte Idee für das Wohlergehen der eigenen Bevölkerung ist.

Man stelle sich folgendes Szenario vor: Wenige ausgewählte Personen mit entsprechender Expertise aus Militär, Innenministerium, Sicherheitsbehörden und Nachrichtendiensten sowie weitere Expertinnen für Informationssicherheit treffen sich in geheimer „staatliches Schwachstellenmanagement-Runde“ und entscheiden, welche Schwachstellen geheim gehalten und damit gegenüber der Öffentlichkeit und vor allem dem betroffenen Software- oder Hardware-Hersteller zurückgehalten werden sollen.

In diesem Szenario gibt es zwei eindeutige Schwachstellen: Erstens die Frage nach der Auswahl der Eingeweihten. Und zweitens die Auswahl der spezifischen Schwachstellen. Ganz zu schweigen von der Auswirkung auf die Versorgungssicherheit für die Zivilbevölkerung, deren Versorgung dann aufgrund unzureichender Risikoanalysen und Kollateralschäden nicht mehr gewährleistet werden kann. Doch dazu später mehr.

Zunächst ist es ein Thema, wer Teil eines solchen Gremiums sein soll. Insgesamt dürfen nicht zu viele Personen eingeweiht sein, sonst sind die Schwachstellen schnell öffentlich, weil sie durchsickern und dadurch öffentlich werden. Die Qualifikation der ausgewählten Expertinnen ist ein weiterer zentraler Punkt. Es gibt im BSI-Gesetz und der zugehörigen BSI-Kritisverordnung acht Sektoren (Energie, Gesundheit, Informationstechnik und Telekommunikation, Transport und Verkehr, Wasser, Finanz- und Versicherungswesen, Ernährung, Siedlungsabfallentsorgung) in über 40 Branchen sowie zwei weitere nicht regulierte Sektoren (Medien und Kultur, Staat und Verwaltung), die sogenannte kritische Dienstleistungen wie Strom und Wasser erbringen.

Anzumerken ist, dass es derzeit ca. 2.200 KRITIS-Betreiberinnen in acht KRITIS-Sektoren gibt, da diese mehr als 500.000 Personen versorgen. Alle Betreiberinnen aus diesen acht Sektoren, die weniger als 500.000 Personen versorgen oder den anderen beiden Sektoren angehören, sind hier nicht erfasst. Es gibt in Deutschland alleine über 10.000 Kommunen mit zugehörigem Notfall- und Rettungswesen als kritischer Dienstleistung, die von wichtiger Bedeutung für das staatliche Gemeinwesen ist, die hier keine Berücksichtigung finden. Daher betrifft eine vollständige Risikobetrachtung eine erheblich größere Anzahl von kritischen Infrastrukturen, als es offiziell und gesetzlich definierte KRITS-Betreiberinnen gibt.

Nun fällt es schwer, sich vorzustellen, dass es Personen gibt, die in allen zehn Sektoren vollständig über den Einsatz der betroffenen IT-Komponenten bei jeder(!) KRITIS-Betreiberin in diesen Sektoren und den zugehörigen ca. 40 unterschiedlichen Branchen informiert sind. Wenn es um 0days oder Schwachstellen in KRITIS geht, die kaum bekannt sind, ist ein erhebliches Wissen über IT und OT sowie den Industriesteueranlagen und Industrieautomatisierungen in den Produktionsumgebungen in den einzelnen Sektoren gefragt.

KRITIS-Betreiberinnen aus dem gleichen Sektor verwenden durchaus unterschiedliche Technologien und IT- oder OT-Komponenten. Das führt zu Problemen mit der Informationsbeschaffung. Eine vermeintliche Lösung wäre es, sich durch geheim gehaltene Abfragen einen Überblick zu verschaffen, welche KRITIS-Betreiberin welche IT- und OT-Komponenten verwendet. Sehr wahrscheinlich wäre eine solche Liste (quasi die immer aktuelle Assetmanagement-Liste) nicht aktuell und eine solche Umfrage bliebe auch nicht lange geheim.

Weiterhin ist die Auswahl der Sicherheitslücken relevant. Ziel wäre es ja, Schwachstellen zu identifizieren, die einen lang anhaltenden und überregionalen cyber-physischen Schaden und damit einen umfassenden Versorgungsausfall für die Zivilbevölkerung zu bewirken. Das wären dann naheliegender Weise eine Sicherheitslücken z. B. in einem Schaltrelais innerhalb einer Industriesteueranlage.

Es gibt weltweit nur sehr wenige Hersteller von solchen IT- und OT-Komponenten in Industriesteueranlagen. Damit ist die Wahrscheinlichkeit, dass deutsche kritische Infrastrukturen genau die gleichen IT- und OT-Komponenten mit den zurückgehaltenen Schwachstellen verwenden, sehr hoch. Dadurch sind auch deutsche kritische Infrastrukturen von den zurückgehaltenen Schwachstellen und offensiven Cyberabwehrmaßnahmen wie einem Hackback bedroht.

Nehmen wir an, das oben beschriebene Gremium existiert und führt die Risikoanalyse nebst Implikationen und Wahrscheinlichkeiten zu Ausnutzung der betroffenen Komponenten und möglichen Kollateralschäden aufgrund des Einsatzes oder der Zurückhaltung bzw. Geheimhaltung solchen Schwachstellen durch. Diese Analyse kann nur für alle gesetzlich bekannten KRITS-Betreiberinnen, also gemäß BSI-Kritisverordnung durchgeführt werden.

Es wird dann in geheimer Weise bei den ca. 2.000 potentiell betroffenen KRITIS-Betreiberinnen in Deutschland bewertet, ob sie anfällige Komponenten mit den vorhandenen Sicherheitslücken in ihrer Produktionsumgebung einsetzen. Gehen wir vereinfacht davon uns, dass die Umfrage gelingt und geheim bleibt. Man beschließt nun, solche Schwachstellen in der entsprechenden Industriesteueranlage auszunutzen und offensive Cyber-Operationen zu wirken, beispielsweise mittels eines Hackbacks.

KRITIS-Betreiberinnen, welche diese IT- und OT-Komponenten nicht einsetzen, scheinen dadurch sicher. Sofern nicht bei der Abfrage übersehen wurde, dass sie doch diese Komponenten einsetzen. Für die oben erwähnten mehreren tausend weiteren KRITIS-Betreiberinnen, die nicht nach BSI-Kritisverordnung bekannt sind, entsteht nun das gravierendes Risiko, dass die Versorgung der Zivilbevölkerung – im Extremfall sogar großflächig – ausfallen kann.

Stadtwerke in Städten wie Paderborn, Augsburg oder Bonn mit einer Einwohnerzahl um die 200.000 -250.000 Personen sind bereits betroffen, es sei denn sie versorgen noch ca. 300.000 Personen im Umland mit.

Die Befähigung zu offensive Cyber-Operationen als auch zum Hackback führt folglich zu einer Bedrohung der eigenen (kritischen) Infrastrukturen, verbunden mit dem Risiko möglicher Versorgungsausfälle in Deutschland. Besonders bei Betreiberinnen von kritischen Infrastrukturen, die nicht formal gesetzlich erfasst wurden und bei denen, die unterhalb der Schwellenwerte der BSI-Kritisverordnung agieren.

Die Risikoeinschätzung kann daher nur sehr unvollständig und damit absolut unzureichend vorgenommen werden oder involviert so umfassend viele Personen, dass die für einen Cyberangriff zur Gefahrenabwehr mittels z. B. Hackback erforderlichen Cyber-Wirkmittel nicht mehr geheim bleiben würden.

Zudem können Cyberangriffe nur auf eine Technologie zielen, aber nicht auf ein spezifisches Ziel wie ein Land oder eine Organisation. Ein Hackback kann potentiell jede Nutzung derselben Technologie weltweit treffen, auch wenn das nicht beabsichtigt ist.

Wer verantwortet den durch einen solchen Kollateralschaden möglichen Ausfall kritischer Infrastrukturen und die dadurch entstehende Gefährdung für Leib und Leben in der eigenen Zivilbevölkerung?

Unser Mitglied @HonkHase hat das Thema Hackback in diesem Vortragsauszug „Warum Hackback eine sehr schlechte Idee ist“ ebenfalls dargelegt.

Vortragsauszug „Warum Hackback eine sehr schlechte Idee ist“ von März 2022.