Cell Broadcast DE-Alert- aber richtig

Erst in Folge der Flutkatastrophe im Westen Deutschlands im Juli 2021 wurde von der Bundesregierung entschieden, auch hierzulande Cell Broadcast als Mobilfunk-basiertes Mittel zur Warnung der Bevölkerung einzusetzen.

Dies war eigentlich schon damals längst überfällig, denn der Rat der Europäischen Union verabschiedete bereits 2018 die neue Richtlinie zum europäischen Kodex für elektronische Kommunikation (European Electronic Communications Code, EECC).

Entsprechend dieser Richtlinie mussten alle EU-Mitgliedsstaaten bis zum 21. Juni 2022 ein solches Mobilfunk-basiertes Warnsystem für den Zivilschutz einrichten, das sogenannten “EU-Alert”-System.

Die grundlegende technische Spezifikation des Europäischen Instituts für Telekommunikationsnormen (ETSI) liegt in Form des Dokuments TS 102 900 V1.3.1 seit Februar 2019 vor.

Erst im Februar 2022 veröffentlichte die Bundesnetzagentur in der “Technischen Richtlinie DE-Alert (TR DE-Alert)” die für Deutschland relevante Umsetzung des sogenannten “DE-Alert”-Systems.
Gemäß Telekommunikationsgesetz (TKG) §164a muss der Wirkbetrieb des “DE-Alert”-Systems innerhalb eines Jahres nach Veröffentlichung der TR DE-Alert erfolgen, also spätestens bis zum 24.02.23.

Ein erster Probealarm mittels “DE-Alert” war zum nächsten Warntag am 8. September 2022 geplant. Mittlerweile hat der Arbeitskreis V der Innenministerkonferenz jedoch als neues Datum für den Warntag den 8. Dezember 2022 vorgeschlagen.

Vor dem Hintergrund der besonders späten deutschen Umsetzung möchten wir auch noch einmal darauf hinweisen, dass die Technologie dafür seit mindestens 2001 im Bundesinnenministerium bekannt ist.
Auch ohne europäische Vorgabe hätte sie spätestens 2012 umgesetzt werden können. Zur Historie von Cell Broadcast in Deutschland haben wir bereits einen Artikel veröffentlicht.

Die Technischen Richtlinie DE-Alert spezifiziert im Detail die technischen Maßnahmen, die auf Seiten der Mobilfunk-Netzbetreiber – also Telekom, Vodafone, Telefónica und 1&1 – durchgeführt werden müssen

Jedoch auf Endgeräte-Seite – also bei den Smartphones und Mobiltelefonen – zeichnet sich ein gravierendes Problem in der Umsetzung ab:

Die Technischen Richtlinie DE-Alert definiert verschiedene vierstellige Message Identifier (ID). Damit werden 16 Nachrichten-Typen festgelegt, die sich je nach Alarmart, -reichweite und -sprache unterscheiden.
Ferner gibt es verschiedene Stufen für die Wichtigkeit und Dringlichkeit der Warnung.

Vierstellige Message Identifier sind jedoch in den allermeisten älteren Mobiltelefone gar nicht vorgesehen.
Smartphones mit älteren Betriebssystemen bis Android 10 bieten zudem keine einfache Einstellmöglichkeit für Cell Broadcast-Warnungen und müssen umständlich manuell konfiguriert werden.

Apple-Endgeräte unterstützen das DE-Alert-System generell erst ab iOS 16 ab Herbst 2022, vermutlich ab iPhones der achten Generation.

Es ist also zu erwarten:

“DE-Alert” wird zukünftig nur zuverlässig funktionieren bei Smartphones
– mit Google-Android ab Version 11
– mit Apple-Endgeräten ab iOS 16.

“DE-Alert” könnte von erfahrenen Nutzenden manuell eingestellt und aktiviert werden bei Smartphones
– mit älteren Versionen von Google-Android
– anderen Android-Versionen (freie Custom-ROMS oder Versionen anderer Hersteller).
Im Detail hängt dies jedoch konkret von Smartphone-Modell und Software-Stand ab.

“DE-Alert” funktioniert definitiv nicht bei älteren Mobiltelefonen, die nur dreistellige Message Identifier unterstützen, wie ältere Nokia, Ericsson.

Fazit:

Stand heute werden nur weniger als die Hälfte aller Smartphones und Mobiltelefonen in Deutschland technisch in der Lage sein, Warnungen des DE-Alert-Systems zu empfangen.

In anderen Ländern (z.B. Niederlande, Litauen, Taiwan) hat man hingegen konkrete Maßnahmen getroffen, damit auch ältere Mobiltelefone Warnungen über Cell Broadcast empfangen können.
Denn dort werden auch dreistellige Message Identifier für Warnmeldungen benutzt.

Es sind daher Anpassungen erforderlich, damit die Warnungen des DE-Alert-Systems mehr Mobiltelefone technisch erreichen können.


U
nsere Forderungen in diesem Kontext lauten daher:

– Erweiterung der Technischen Richtlinie DE-Alert um einen Nachrichten-Typ mit dreistelligem Message Identifier für die Abwärtskompatibilität mit älteren Mobiltelefonen, wie bei der Umsetzung des EU-Alert-Systems in den Niederlanden und in Litauen.

– Beteiligung der technisch interessierten Zivilgesellschaft an einer Cell Broadcast Testumgebung unter dem Dach des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK).
Mittels freier software und günstiger, allgemein verfügbarer Hardware wird eine kostengünstige Testumgebung aufgebaut, um den Empfang von DE-Alert-Warnungen auf unterschiedlichen Smartphones und Mobiltelefonen zu validieren.

– Aufbau einer Datenbank mit freier Zugriffsmöglichkeit über den Internetauftritt des BBK.
Mit den Ergebnissen aus der genannten Cell Broadcast Testumgebung bekommen Nutzende eine konkrete Anleitung, wie bei älteren Smartphones und Mobiltelefonen der Empfang von DE-Alert-Warnungen aktiviert werden kann.

– Durchführung einer Werbekampagne für DE-Alert im Internet, in Rundfunk und Fernsehen, auf Werbetafeln und in Zeitungen. Als Vorbild für diese Kampagne kann die Werbekampagne des niederländischen “Rijksoverheid” genutzt werden. [Google-übersetzter Bericht über die Kampagne] [Beispielvideo 1] [Beispielvideo 2]
Zweck der Kampagne muss sein, allen Menschen in Deutschland eine konkrete Hilfestellung zugeben, wie der Empfang von DE-Alert-Warnungen auf ihrem mobilen Endgerät eingestellt und aktiviert werden kann.

Der Artikel wurde von unseren Mitgliedern Yves Ferrand und Johannes Rundfeldt verfasst. Vielen Dank!

Das Bild des Artikels wurde von Tony Webster aus Minneapolis, Minnesota, United States aufgenommen, es steht unter einer CC-BY-SA Lizenz

Cybersicherheitsagenda ist alter Wein in neuen Schläuchen: BMI Strukturen von neuer Regierung unbeeindruckt.

Bundesinnenministerin Nancy Faeser hat am 12.07.2022 im Rahmen einer Pressekonferenz die Cybersicherheitsagenda vorgestellt. Faeser beschwört dabei die Zeitenwende und die daraus resultierende strategische Neuausrichtung der deutschen Cybersicherheit.

Offensichtlich hat Ministerin Faeser nicht verstanden, dass es zwischen strukturinhärenten Interessenskonflikten keinen Kompromiss geben kann. Viele alte Themen sind nun neu bezeichnet worden. Dabei sind die Bezeichnungen so vage und allgemein gefasst, dass die Zivilgesellschaft misstrauisch werden muss. Die „neue“ Cybersicherheitsagenda versucht den wohlbekannten Wunschzettel der Sicherheitsbehörden neu zu verpacken, scheitert aber daran.

Ministerin Faeser beruft sich in ihrer Pressekonferenz auf Experten, jedoch scheint es so als ob diese Berater primär die Interessen der Sicherheitsbehörden vertreten. Die Forderungen und Vorhaben der vermeintlich neuen Cybersicherheitsagenda gleichen den Vorhaben des BMI unter der Vorgängerregierung mit CSU-Innenminister Horst Seehofer.

Wir empfehlen allen Beteiligten im BMI dringend die Zivilgesellschaft stärker einzubinden, darüber hinaus empfehlen wir dringend die Lektüre des Koalitionsvertrags. Wäre dies geschehen, dann wäre aufgefallen, dass eine neue Regierung gewählt wurde, die in Sachen Cybersicherheit und Digitalisierung, Grundrechtsschutz und Bürgerrechte andere Ziele verfolgte als einst Minister Seehofer.

Aktive Cyberabwehr

Auf der Pressekonferenz zur Veröffentlichung der Agenda sagte Frau Faeser:

„Ein Hackback ist ein angressiver Gegenschlag, das heisst wir würden mit staatlichen Mitteln einen anderen Server – einen möglicherweise ausländischen [Server] aktiv bekämpfen und gegenschlagen, das will niemand. Das was der Staatssekretär Richter angesprochen hat ist, dass ein Angriff so stark sein kann, dass wir irgendwann gezwungen sind auf den Server zuzugreifen und es abzustellen, aber abstellen ist was anderes als aggressiv dagegen zuschlagen und selbst Angriffe vorzunehmen, das möchte niemand.“

Der verbale Tenor ist „wir machen keine Gegenschläge“, dennoch befinden sich erhebliche Widersprüche in der Cybersicherheitsagenda, die eine klare Positionierung vermissen lassen. Ebenso wird weder aus der Pressekonferenz noch aus der Agenda selbst ersichtlich, welche Grenzen zwischen einem „Abschalten“ und einen „aggressiven Gegenschlag“ liegen. Was bleibt ist der fahle Beigeschmack einer begrifflichen Umdeutung oder wie es LOAD e.V. treffend formuliert „Eine bewusste Irreführung der Öffentlichkeit“.

Letztlich wird damit leider deutlich, dass der digitale Gegenschlag politisch noch lange nicht vom Tisch ist. Im Gegenteil – im Rahmen der in der Agenda ebenfalls adressierten Forschungsförderung wird die „Cyberverteidigung“ ausdrücklich adressiert. Generell ist das operieren im Cyberraum aus Sicht der kritischen Infrastrukturen, auch als Abwehrmaßnahme, höchst problematisch wie unser Mitglied Manuel Atug bereits hier umfangreich erklärt hat.

1. Cybersicherheitsarchitektur modernisieren und harmonisieren

Im ersten Kapitel wird weitgehend das Zuständigkeitschaos und der sogenannte Ausbau des BSI zu einer Zentralstelle im Bund-Länder-Verhältnis adressiert. Insbesondere soll die Zuständigkeitsverteilung im Bereich der Gefahrenabwehr angepasst werden. Außerdem soll das BSI unabhängiger werden. Das begrüßen wir ausdrücklich.
Von wem es allerdings unabhängiger werden (darf) bleibt die Agenda schuldig. Zwar haben immer wieder Expert:innen die Abhängigkeit des BSI vom Innenministerium als Dienstherr im Kontext des Interessenskonflikts der Sicherheitsbehörden in der Gefahrenabwehr angemahnt, ob die Innenministerin diesen Schritt tatsächlich geht bleibt fraglich.

2. Cyberfähigkeiten und digitale Souveränität der Sicherheitsbehörden stärken

In Kapitel zwei wird wieder ein Schwachstellenmanagement versprochen. Wir bleiben weiterhin davon überzeugt, dass Schwachstellen nicht „gemanaged“ werden müssen. Wir sind uns relativ sicher, dass das BMI mit einem Schwachstellenmanagement einen Managementprozess, angelehnt an den amerikanischen Vulnerabilities Equities Process, anstrebt, welcher zum Ziel hat, intransparent auszuwählen, welche bekannt gewordenen Sicherheitslücken gemeldet werden sollen und welche geheim bleiben sollen, damit die Sicherheitsbehörden diese ausnutzen können. Dies ist inakzeptabel. Der einzig richtige Weg, der die Cybersicherheit der Bürger:innen, der Behörden und der kritischen Infrastruktur nicht gefährdet, ist Sicherheitslücken unverzüglich und ausnahmslos zu schließen.

Der Abschnitt spricht weiterhin von

„Ermittlungsfähigkeiten und -instrumente des Bundes (…) im Bereich Verschlüsselung“ für das Bundeskriminalamt.

Wir können uns unter dieser Formulierung nur vorstellen, dass die Bundesregierung weiter versucht, Verschlüsselungssysteme unsicher zu machen um diese Unsicherheiten für Ermittlungen auszunutzen.

3. Cybercrime und strafbare Inhalte im Internet bekämpfen

Zu den Problemstellungen die die Agendapunkte in Kapitel drei darstellen, möchten wir hier auf die [Stellungnahme des LOAD e.V.]() verweisen.

4. Cybersicherheit der Behörden des Bundes stärken

Die „Etablierung des Grundsatzes ’security by design and by default‘ in der Bundesverwaltung“ begrüßen wir grundsätzlich. Die Cybersicherheitsagenda ist hier aber inhaltlich zweideutig. So werden nach wie vor an verschiedenen Stellen explizit Türen offen gelassen, um die Cybersicherheit durch Sicherheitsbehörden schwächen zu können. Solange „security by design and by default“ nicht zur rechtsverbindlichen Verpflichtung werden, besteht die Gefahr, dass dieses an sich begrüßenswerte Ziel zu einem bloßen Buzzword verkommt. Die Bundesregierung ist daher aufgerufen, als Follow-up der Agenda konkrete Maßnahmen vorzustellen, wie „security by design“ umgesetzt werden soll. Auch die letzten zwei Bundesregierungen haben diese Formulierung bereits verwendet, ohne dass es zu konkreten Umsetzungsbestrebungen gekommen wäre. Das BMI muss deshalb weiterhin aktiv an dieser Zielsetzung festhalten.

5. Cyber-Resilienz Kritischer Infrastrukturen stärken

Abschnitt 5 wollen wir uns im Detail widmen, betrifft dieser doch den Kernbereich der Aktivitäten der AG KRITIS. Zu den anderen Abschnitten verweisen wir neben der Stellungnahme des LOAD e.V. auch auf die [Stellungnahme unseres Mitglieds Prof. Dr. Dennis-Kenji Kipker bei beck.de].

Prüfung der Etablierung sektorspezifscher CERTs für KRITIS-Betreiber

Wir halten sektorspezifische CERTS nicht für sinnvoll. Wir halten es in diesem Kontext für zielführender, die Länder-CERTS zu stärken und auszubauen, das MIRT sowie das CERT-Bund auszubauen sowie ein Cyberhilfswerk zu schaffen. Gerne beraten wir die prüfende Stelle im Ehrenamt.

Wir sind bestürzt, dass wir die Schaffung eines Cyberhilfswerks leider nicht in dieser Agenda wiederfinden konnten. Wir hoffen weiterhin, dass das BMI die Schaffung eines Cyberhilfswerks auf die Agenda nimmt.

6. Schutz ziviler Strukturen vor Cyberangriffen

Der Schutz ziviler Infrastruktur kommt viel zu wenig Gewicht in der Cybersicherheitsagenda zu. Lediglich zwei kryptische Vorhaben werden aufgeführt um die zivile Infrastruktur besser gegen Cyberbedrohungen abzusichern. Ein wohlklingendes „BSI Information Sharing Portal (BISP) soll aufgebaut und später zu einem zivilen Cyberabwehrsystem (ZCAS) ausgebaut werden.

Das BISP kann unserer vorläufigen Einschätzung nach auch eine gute Idee sein, sofern der Zugang offen gestaltet wird. Die angestrebte Weiterentwicklung zu einem System, das „aktiv und automatisiert auf Cyberangriffe“ reagieren soll klingt jedoch nach einer besonders schlechten Idee. Nicht nur ist die technische Machbarkeit aus unserer Sicht höchst fragwürdig, sondern würde in dieser Formulierung auch automatisierte Hackbacks gleichgestellt sein.

Selbst ein manueller Hackback ist aus Sicht der kritischen Infrastrukturen, der Zivilgesellschaft wie auch aus völkerrechtlichen Betrachtung strikt abzulehnen. Solche Fähigkeiten vollständig oder auch nur teilweise zu automatisieren, ist im besten Falle nicht nur höchst gefährlich, sondern auch verantwortungslos und leichtsinnig und wird daher von uns strikt abgelehnt.

7. Digitale Souveränität in der Cybersicherheit stärken

Nach über dreißig Jahren Internet, werden auch langsam die Bedrohungen im Cyberraum erkannt. Zwar wird von einem „ganzheitliche[n] Ansatz“ gesprochen, dieser aber im weiteren Kontext nicht näher definiert.

Es wird im Kontext jedoch klar, dass es um die Vertrauenswürdigkeit von Technologien geht. Der hier gezeigte Ansatz der Förderung von Produkten und Dienstleistungen mit Schwerpunkt Cybersicherheit ist jedoch nicht gänzlich sinnvoll, da es hier bereits ausreichend Produkte gibt. Eigentlich geht es um die Vertrauenswürdigkeit von Produkten und deren Herstellern und diese lässt sich am einfachsten über die Förderung oder auch Vorgaben von Open Source für Hard- und Software umsetzen. Forschungsgelder sind aber in jedem Fall sinnvoll.

Außerdem soll das BSI Prüfungmöglichkeiten bekommen um „kritische Komponenten“ und die Vertrauenswürdigkeit der Herrsteller zu prüfen. Dass „kritische Komponenten“ ein gänzlich falscher Begriff ist, haben wir bereits in unser Stellungnahme zum IT-Sicherheitsgesetz 2.0 erklärt (Seite 12).
Außerdem suggiert eine solche Prüfung der „kritischen Komponenten“ eine trügerische Sicherheit, denn um kritische Systeme sicher zu betreiben, müssen diese im Ganzen betrachtet werden und nicht komponentenweise. Das Zusammenspiel aller relevanten Komponenten in der Architektur ist wesentlich für die Versorgung.

8. Krisenfeste Kommunikationsfähigkeit schaffen und Sicherheit der Netze ausbauen

Die Digitalisierung der öffentlichen Verwaltung benötigt noch vor einer Kommunikationsplattform den Willen und die Akzeptanz, dass sich Digitalisierung nicht über das Copy & Paste analoger Verfahren in die digitale Welt lösen lässt.

Für die Nutzung und den Ausbau digitaler Angebote der öffentlichen Verwaltung wäre vor allem ein flächendeckender Netzausbau von Vorteil, in dessen Rahmen am Besten auch eine resiliente Fallback-Infrastruktur für Katastrophenfälle etabliert werden sollte. Diese Infrastruktur scheint diesem Kapitel nach noch nicht zu existieren, obwohl sie das sogar nach Vorgabe auf Europäischer Ebene sollte.

Vom flächendeckenden Netzausbau würden neben der Verwaltung auch die Nutzer:innen und nicht-KRITIS Institutionen wie z.B. Schulen profitieren.

Es besteht der dringende Bedarf, den Digitalfunk BOS erst einmal bundesweit einzusetzen.
Denn heute noch nutzen Rettungsdienst und Feuerwehr in weiten Teilen einiger Bundesländern immer noch den nicht abhörsicheren Analogfunk auf dem technischen Stand der 1970er Jahre.
Hier ist eine bundesweite Migrationpflicht aller BOS ins Digitalfunknetz unabdingbar.

Die Sicherheit und Hochverfügbarkeit des Digitalfunks BOS liegt aktuell im Verantwortungsbereich der Bundesländer.
Diese entscheiden selber, wie resilient das Digitalfunknetz in ihrem Bundesland hinsichtlich Stromausfällen und Ausfällen von Übertragungsleitungen (angemietete Erdkabel, eigener Richtfunk) implementiert wird oder eben nicht.
Ein bundesweit einheitlicher Resilienzstandard für den Digitalfunk BOS muss zwingend definiert und konsequent umgesetzt werden.

Unser Fazit

Das abschließende Fazit zur „neuen“ Cybersicherheitsagenda der SPD-Innenministerin Faeser fällt bestenfalls ernüchternd und schlechtestensfalls grob fahrlässig aus. Wieder einmal werden große Vorhaben (Zentralstelle BSI, BISP oder ZCAS) formuliert, die aber an der inhaltlichen, fachlichen und rechtlichen Substanz scheitern. Anstatt auf vorhandene Konzepte zu setzen und Versäumnisse der Vorgängerregierung abzustellen, legte uns die Ministerin Faeser und ihr Haus eine Agenda vor mit der eine Zeitenwende in der deutschen Cybersicherheitspolitik nicht gelingen kann.