Schriftliche Stellungnahme zum Gesetzentwurf der Bundesregierung des NIS2UmsuCG vom 02.10.2024

Update auf v1.1 am 27.10.2024: Ergänzungen durch Feedback von den Mitgliedern der AG KRITIS als auch aus der Zivilgesellschaft.

Mit dem vorliegenden Referentenentwurf (Gesetzentwurf der Bundesregierung, Drucksache 20/13184) des Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), kurz NIS2UmsuCG, wird die Umsetzung der EU NIS2-Richtlinie (2022/2555) angestrebt. Damit einher geht eine Ausweitung des Geltungsbereiches von Betreibern kritischer Anlagen (ehem. sogenannte KRITIS-Betreiber) und der als wichtige und besonders wichtige Einrichtungen definierten sonstigen Unternehmen.

Das NIS2UmsuCG ist ein Artikelgesetz, welches insgesamt über 23 Gesetze und Verordnungen ändern soll. Unsere Kommentierung bezieht sich hierbei ausschließlich auf die unter Artikel 1 eingebrachte Änderung des BSI-Gesetzes.

Der Gesetzesentwurf bringt grundsätzlich einige Klarheiten und tiefgreifende Regulierungen im KRITIS-Umfeld mit sich. Gleichzeitig bewirken unnötige Komplexität und Ausschlüsse eine zerklüftete Regelung insgesamt, aber insbesondere auch der KRITIS-Sektoren. Im Ergebnis ergibt sich die Einstufung einer konkreten Einrichtung als auch der daraus abzuleitenden erforderlichen Tätgikeiten leider erst nach ausführlicher und individueller Betroffenheitsprüfung.

Mit dem neuen Referentenentwurf vom 02.10.2024 werden aus unserer Sicht keine wesentlichen Verbesserungen zu den bisherigen Referentenentwürfen erreicht und lediglich Defizite aufrechtgehalten.

Zur Berücksichtigung der Zivilgesellschaft (gemäß Kolaitionsvertrag!) stellt die AG KRITIS fest:

Definitionen wie „kritische Anlagen“ können § 56 entsprechend durch Rechtsverordnungen konkretisiert werden. Diese werden durch das BMI im Zusammenwirken mit anderen Ministerien erarbeitet. Bereits im Entwurf vom 07.05.2024 wurde in Absatz 4 die Einbindung der Zivilgesellschaft für die Definition von „kritischen Anlagen“ entfernt. Im aktuellen Referentenentwurf wurde diese fehlgeleitete Anpassung auf alle 5 Absätze des Artikels ausgeweitet und betrifft somit die Definition von kritischen Anlagen, erheblichen Sicherheitsvorfällen, die Verfahren zur Erteilung von Sicherheitszertifikaten, wann die Sicherheitszertifikate verpflichtend sind, sowie das Sicherheitskennzeichen. Entgegen der bisherigen Praxis sollen Akteure aus der Wirtschaft und der Wissenschaft nicht (mehr) eingebunden werden.

Für alle Regelungen des § 56 fordern wir weiterhin die verbindliche Einbindung der Zivilgesellschaft, die bisher und offenbar auch zukünftig weiterhin keine Berücksichtigung finden soll.

Abschließend betonen wir als AG KRITIS erneut, dass ein transparenter Prozess in der Gesetzgebung sowie umfassende und zeitlich angemessene Beteiligungsverfahren der Wirtschaft, Wissenschaft und Zivilgesellschaft bei derart tiefgreifenden und weitreichenden Gesetzgebungsverfahren dringend geboten ist.

Insbesondere hinsichtlich einer einheitlichen und kongruenten Regulierung im KRITIS-Umfeld betrachten wir als AG KRITIS eine gleichzeitige Veröffentlichung und Diskussion von Gesetzesentwürfen zur Umsetzung der NIS2-Richtlinie (NIS2UmsuCG) und CER-Richtlinie (KRITIS-Dachgesetz) sowie der im NIS2UmsuCG vorgesehenen Verordnungen für zwingend erforderlich.

Es scheint, als sei weiterhin keine vollständige Harmonisierung der Regelungen zwischen den beiden Gesetzesvorlagen erfolgt – was aktuell aufgrund der mangelnden Transparenz nicht überprüfbar ist. Übrig bleibt eine unsichere Lage bei allen potenziell betroffenen Einrichtungen und ihren Lieferketten, sowie bei allen verantwortlichen Aufsichtsbehörden und Zuständigen für die Umsetzung und Einhaltung der kommenden Regulierungen als auch bei der Wissenschaft, Forschung und zuletzt auch der fachkundigen Bevölkerung, die willens sind, ihren Beitrag durch Fachexpertise ehrenamtlich und kostenfrei beizutragen, dies aber nicht angemessen in den intransparenten Dialog einbringen können.

Alle NIS2UmsuCG Referentenentwürfe findet ihr hier:

Nachbesserungsbedarf beim Reformvorschlag zum Hackerparagraph

Das BMJ hat in seinem Reformvorschlag zum Computerstrafrecht nicht die beste Wahl getroffen. Die Rechtsunsicherheit wäre mit diesem Gesetz, wie versprochen, endlich beseitigt, auch wenn sich die IT-Sicherheitsforschenden weiterhin Risiken aussetzen müssen.

Im Entwicklungsprozesses dieses Gesetzes veranstaltete das BMJ ein Symposium zum Reformbedarf im Computerstrafrecht, zu welchen verschiedene zivilgesellschaftliche Vertretergruppen, IT-Sicherheitsforscher aber auch Staatsanwälte und Ermittler eingeladen wurden. Auch HonkHase und Ijon haben teilgenommen.

Die beiden Möglichkeiten, Rechtssicherheit für IT-Sicherheitsforschende zu schaffen, die im Rahmen des Symposiums diskutiert wurden, waren:

  1. Computerstraftaten zu Vorsatzstraftaten zu machen. Ein Betrug ist z.B. eine Vorsatzstraftat. Damit ein Betrug als Betrug gilt, muss der Täter die Absicht gehabt haben, das Opfer zu betrügen. Das bedeutet, das ein anklageerhebender Staatsanwalt zumindest prüfen muss, ob es Indikationen für einen Vorsatz der Schädigung des Dritten gibt.
  2. Eine Ausnahme definieren, die unter bestimmten Umständen das Überwinden von Zugangshindernissen in fremde Computern straffrei definiert. Diese Umstände muss dann die angeklagte Person nach Anklageerhebung darlegen und wird dann freigesprochen.

Durch die vorgenommene Wahl des zweiten Ansatzes werden Staatsanwaltschaften entlastet – jedoch zum Nachteil der IT-Sicherheitsforschenden, die im Zweifel von Vernehmung bis Hausdurchsuchung und mit Monate- oder jahrelanger Beschlagnahmung von Computerhardware rechnen müssen, bevor es zum Freispruch kommt.

Wir fordern daher das Parlament auf, Computerstraftaten dieser Art zu Vorsatzstraftaten zu machen.

Um das Problem unnötiger Hausdurchsuchungen und Hardware-Beschlagnahmungen trotz Ausnahme-Regelung (2.) zu verhindern wird von einzelnen die Idee diskutiert, ein Register zu schaffen, in welchem proaktiv die Intention dokumentiert wird. Diese Idee lehnen wir ab, denn ein solches Register kann nicht verhältnismäßig sein. Nur die Daten die man nicht hat, kann man auch nicht verlieren.

In § 202a wird ein neuer Absatz 3 und 4 angefügt, welcher regelt, dass das Eindringen in fremde Systeme dann nicht unbefugt ist, wenn es zur Feststellung einer Sicherheitslücke erfolgt, welche dann gemeldet werden muss. Das Gesetz ist explizit und definiert als mögliche Meldestellen die für das informationstechnische System Verantwortlichen, den betreibenden Dienstleister des jeweiligen Systems, den Hersteller der betroffenen IT-Anwendung oder das Bundesamt für Sicherheit in der Informationstechnik.

Aus unserer Sicht fehlt in dieser Liste der Meldestellen mindestens die Bundes- und 16 Landesdatenschutzbeauftragten, sowie die auf Landesebene eingerichteten Zentralen Ansprechstellen Cybercrime (ZAC). Eine entdeckte IT-Sicherheitslücke ist regelmäßig auch Anlass zur Vermutung eines Datenabflusses durch Dritte. Der Fund der Lücke beweist, das andere diese auch hätten nutzen können. Es ist daher möglich, dass IT-Sicherheitsforschende nicht die Ursache (die IT-Sicherheitslücke), sondern den möglichen Datenabfluss melden und auch so ihr gutwilliges und gemeinnütziges Verhalten dokumentieren. Weitere Anregungen zur Vervollständigung der Liste der möglichen Meldeempfänger bietet das Cyber-Wimmelbild der Verantwortungsdiffusion, bereitgestellt durch die NGO interface

Ein Aspekt, der leider nicht im Rahmen des Symposiums vertiefend erläutert wurde, ist die Tatsache, dass IT-Sicherheitsforschung auch im Bereich von Funkübertragungen erfolgt. Hier steht der § 5 TDDDG sogar schon der Meldung an eine zuständige Behörde im Weg. Das Abhörverbot entstammt aus einer Zeit, als wirksame Verschlüsselungsgeräte im Bereich von Funkübertragungen unglaublich klobige Geräte waren, die mit Mobilität nichts gemein hatten und eigentlich nur in Gebäuden, Schiffen oder Flugzeugen montiert werden konnten.

Der Stand der Technik hat sich hier weiterentwickelt. Bei Funkkommunikation in sensitiven Bereichen (beispielsweise KRITIS generell, Staat und Verwaltung, unverschlüsselte personenbezogene Daten) ist verschlüsselte Kommunikation inzwischen die Norm. Dort wo trotzdem noch unverschlüsselt über Funk kommuniziert wird, ist dies ein Anlass zur Besorgnis und staatlicher Prüfung. Unsere Entdeckungen rund um die Möglichkeiten Energieerzeugungsanlagen und andere Anlagen über unverschlüsselte und unauthentifizierte Funkkommunikation zu steuern, zeigen das Problem auf, dass der Staat nicht ausreichend in der Lage ist, diese Problematiken zu prüfen. Zwar wird in manchen sensitiven Bereichen der Stand der Technik zumindest für privatwirtschaftliche Betreiber von KRITIS vorgegeben, in staatlichen Einrichtungen gibt es allerdings oft keine Vorgaben für Mindestsicherheitsstandards im Bereich der IT-Sicherheit.

Alleine in der letzten Woche (KW42/2024) sind beim BSI und den LfDIs Schwachstellenmeldungen zu mindestens 6 verschiedenen Funkschnittstellen von 6 Rettungsleitstellen eingegangen, bei denen personenbezogene Daten ungesichert über Funk übertragen wurden.

Der Empfang und die Kenntnisnahme solcher unverschlüsselter Kommunikation, mit dem Zweck der Meldung an die zuständige Behörde, muss legalisiert werden. Ein möglicher Ansatz wäre eine Adaption nach dem Wesensgehalt des neuen StgB § 202a (3) als neuen §5 (4) TDDDG.

Im Ref-E wurde bisher keine Änderung des §202c vorgesehen. Dieser Paragraph regelt das Verbot von Hackingwerkzeugen. Da allerdings dieser Paragraph auf den § 202a verweist, der geändert werden soll, ist uns derzeit noch unklar, welche Auswirkungen in dieser Konstellation befürchtet werden müssen.

Hackerparagraph: Stellungnahme der AG KRITIS zum Referentenentwurf Computerstrafrecht

Der RefE Computerstrafrecht zum Hackerparagraph ist ein guter Anfang, aber er schützt die deutsche Sicherheitsforschenden Community unzureichend!

Die Sicherheitsforschenden sollen 3 Voraussetzungen erfüllen, damit sie sich nicht mehr strafbar machen:

  1. In der Absicht handeln, „eine Sicherheitslücke festzustellen“
  2.  Sicherheitslücke an Herstellende bzw. Betreibende oder BSI melden
  3.  Technisches Vorgehen muss „erforderlich sein, um eine Lücke festzustellen“

Wenn die Strafverfolger aufgrund einer Anzeige eine Hausdurchsuchung anordnen, alles einpacken (alle Computer, Handys und jede andere IT) und im Nachgang erst die Absicht vor Gericht besprochen wird, hilft das keinem Sicherheitsforschenden. Es ermutigt weitere dann auch nicht, Lücken zu melden und wir haben den alten Zustand wieder zurück.

Sicherheitsforschende möchten auch nicht nur direkte Sicherheitslücken oder Schwachstellen, sondern auch bemerkte (Funk-)Datenabflüsse ohne vorgenommene root-cause Analyse zur schnellen Behebung melden können. Daher müssen auch solche Szenarien explizit in Bezug auf die Definitionen aber auch in Bezug auf weitere Gesetzesänderungen, die der RefE nicht vorsieht, geklärt werden.

Straferhöhung von 3 auf 5 Jahre für „besonders schwere Fälle“ von IT-Straftaten, also zB wenn Hacker Kritische Infrastrukturen beeinträchtigen. Die Organisierte Kriminalität wird sich bei Ransomware-Erpressungen davon nicht beeindrucken lassen. Das Militär, die Geheimdienste, weitere staatliche Akteure und andere kriminelle Tätergruppierungen ebenso wenig.

Strafmaßerhöhungen bringen in diesen Fällen nichts und simulieren eine Verbesserung der Sicherheit, die nicht wirklich eintritt.

Des weiteren möchten Sicherheitsforschende sich nicht in einer Datenbank registrieren, um für unser aller Gemeinwohl zu sorgen.

Meldungen müssen an Betreibende, Herstellende und das BSI, wie im Entwurf vorhanden gemeldet werden können. Darünber Hinaus muss aber auch an alle anderen Behörden oder Aufsichten auf Bundes-, Landes- oder Kommunalebene Meldung, wie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit oder die Landesdatenschutzbeauftragten möglich sein.

Das „Abhörverbot“ gemäß § 5 TDDDG wurde nicht berücksichtigt und korrigiert. Diese Art von Problemen bleibt damit weiterhin bestehen:

Kurznachrichten Mitlesen leichtgemacht
https://ag.kritis.info/2024/10/10/kurznachrichten-mitlesen-leichtgemacht/

Datenabfluss bei Feuerwehr und Rettungsdienst
https://ag.kritis.info/2022/05/20/datenabfluss-bei-feuerwehr-und-rettungsdienst/

Behördenfunk in Deutschland: Anspruch und Wirklichkeit
https://ag.kritis.info/2023/07/09/behoerdenfunk-in-deutschland-anspruch-und-wirklichkeit/

Es gab schon lange Forderungen, die unter anderem auch ijon und HonkHase als Mitglieder der AG KRITIS mitgezeichnet haben:
https://sec4research.de/forderungen

Auf dem 2. Symposium des BMJ waren ijon und HonkHase ebenfalls dabei, vorher wurde HonkHase in einer Expertenworkshop-Runde beteiligt und einbezogen:
https://fragdenstaat.de/anfrage/unterlagen-zu-symposien-zur-reform-des-computerstrafrechts/

Der RefE Computerstrafrecht ist unter anderem hier zu finden:
https://netzpolitik.org/2024/hacker-paragrafen-wir-veroeffentlichen-den-gesetzentwurf-zum-computerstrafrecht/#2024-10-22_BMJ_RefE_Computerstrafrecht

Kurznachrichten Mitlesen leichtgemacht

Digitale Mobilfunknetze sind seit den 1990er Jahren in Deutschland in Betrieb. Leider lassen auch digitale Standards Möglichkeiten für eine unverschlüsselte Kommunikation offen.

Die AG KRITIS wurde von Hinweisgebenden kontaktiert, denen es möglich war, die Kurznachrichten eines deutschen Mobilfunk-Netzbetreibers an mehreren Standorten in Deutschland mitzulesen. Und zwar ohne einen eigenen Funkempfänger. Es war lediglich ein Internet-Zugang notwendig.

Wir haben Einblick bekommen in Mitschnitte von Kurznachrichten mit privaten, geschäftlichen und behördlichen Inhalten. Auch Inhalte aus dem Gesundheitsbereich wurden unverschlüsselt übermittelt und konnten so ohne große technische Hürden mitgelesen werden.

Dabei kamen gleich zwei gravierende Schwachstellen zutage:

  1. Das Mobilfunknetz verwendete bei der Übertragung von Kurznachrichten keine Verschlüsselung.
  2. Über das Internet-Portal des Mobilfunk-Netzbetreibers war der massenhafte, automatisierte und kostenlose Versand von Kurznachrichten möglich.

Die Kombination dieser Schwachstellen erlaubte es Angreifenden, automatisiert die Rufnummer der mobilen Endgeräte der temporären Mobilfunk-Teilnehmerkennung zuordnen, welche über Funk übertragen wird.

So war es – mit vertretbarem Aufwand – möglich, die mitlesbaren Kurznachrichten eindeutig der jeweiligen Mobilfunk-Rufnummer zuzuschreiben.

Funkempfang ohne eigenen Funkempfänger

Das mittlerweile stillgelegte Electrosense-Netzwerk bot die folgenden Möglichkeiten:

  • Freiwillige betreiben an Standorten weltweit verteilt software-definierte Funkempfänger an kleinen, kostengünstigen eingebetteten Systemen wie dem Raspberry Pi.
  • Die eingebetteten Systeme sind über eine zentrale Instanz über Internet zugänglich.
  • Für den Empfang analoger Signale (wie UKW-Rundfunk oder Flugfunk) erfolgte die Demodulation im Internet-Browser. Die Funksignale konnten also direkt angehört werden.
  • Auch die Auswertung bestimmter digitaler Signale, wie z.B. der Transponderdaten von Flugzeugen, konnte einfach im Browser erfolgten.
    Eine weitere Zusatz-Software war dazu nicht erforderlich.
  • Die Rohdaten der Empfangssignale konnten in I&Q-Format (In-Phase- und Quadratur-Komponente des Empfangssignals) heruntergeladen werden. Damit war es möglich, sie für spätere Auswertung zu archivieren und die Dekodierung komplexer Modulationsverfahren nachträglich durchzuführen.

Über das Electrosense-Netzwerk war es somit registrierten Nutzern möglich, auf ein sehr breites Funkspektrum an vielen Standorten weltweit zuzugreifen. Und zwar kostenlos und über einen längeren Zeitraum. In Deutschland standen ein Funkempfänger in Westdeutschland und einer in Süddeutschland zur Verfügung. Diese beiden Funkempfänger wurden von unseren Hinweisgebenden benutzt, um die Funksignale im Downlink eines deutschen Mobilfunkbetreibers (also die Aussendungen vom Funkmast in Richtung der mobilen Teilnehmenden) zu erfassen und lokal auf ihren Rechnern auszuwerten.

Zur lokalen Signalverarbeitung kam die Linux-Distribution DragonOS zum Einsatz. Sie enhält schlüsselfertig alle notwendigen Werkzeuge zum Dekodieren der gängigen Funkprotokolle. Laut Dokumentation ist auch das Mitlesen unverschlüsselter Kurznachrichten in Mobilfunknetzen möglich.

So ausgestattet, konnten die Hinweisgebenden eine sehr große Anzahl an unverschlüsselten Kurznachrichten eines deutschen Mobilfunk-Netzbetreibers systematisch erfassen und auswerten:

Einsehbar waren Kurznachrichten mit persönlichen Inhalten.

Ferner waren auch geschäftliche Inhalte lesbar. Durch die Größenbeschränkung der Kurznachrichten handelte es sich aber in der ausgewerteten Stichprobe eher um Belanglosigkeiten.

Pikant waren jedoch die Kurznachrichten mit Inhalten aus dem Bereich der Kritischen Infrastrukturen (KRITIS), von Behörden und Organisationen mit Sicherheitsaufgaben (BOS), sowie aus dem Gesundheitsbereich:

  • Von zwei Energieversorgungs-Unternehmen war die Kommunikation mit den Kundendienst-Kräften vor Ort einsehbar. Dies beinhaltete auch die zahlreichen Benachrichtigungen über die nächsten Einsatzorte, mit Namen, Anschrift und Telefonnummern von Kunden.
  • Ein Bahnunternehmen verschickte seine aktuellen Streckenstörungen und Sicherheitsvorfälle per Kurznachricht an seine Mitarbeitenden. So waren z.B. Störungen durch Personen im Gleis und andere Abweichungen vom Betriebsablauf mitzulesen.
  • Einige Rettungsleitstellen verschickten automatisiert Voranmeldungen von Verletzen an die regionalen Krankenhäuser. Dies konnte in Klartext mitgelesen werden. Auf personenbezogene Daten wurde hier zum größten Teil – aber nicht immer – verzichtet.
  • Einzelne Feuerwehren nutzten die Weiterleitung von Einsatz-Alarmierungen als Kurznachricht. Hier waren in größerem Umfang personenbezogene Daten einsehbar.
  • Ein Krankentransport-Dienstleister in Westdeutschland nutzte Kurznachrichten zur Disposition seiner Einsatzfahrten. So war frei mitlesbar, welche Personen wann an ihrer Wohnanschrift abgeholt wurden, welche medizinische Einrichtungen konkret angefahren wurden, und wann die Rückfahrt nach Hause erfolgte. Ferner auch, ob die Personen z.B. liegend oder mit Sauerstoff-Versorgung befördert wurden.

Schwachstellenmeldung an das Computer Emergency Response Team des Bundes (CERT-Bund)

Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) betreibt ein Portal zur Meldung von Schwachstellen. Die Hinweisgebenden gaben auf diesem Weg eine qualifizierte Schwachstellenmeldung ab. Dazu erhielten sie auch eine Eingangsbestätigung. Die Aussendung der Kurznachrichten des Mobilfunk-Netzbetreibers erfolgte aber auch noch mehrere Monate nach der Schwachstellenmeldung an das BSI weiterhin unverschlüsselt.

Meldung an den Bundes-Beauftragten für Datenschutz und Informationsfreiheit (BfDI)

Nach der Meldung an den BfDI erfolgte nach einigen Wochen ausführlicher Prüfung sinngemäß folgende Rückmeldung:

[…] Es wirft die Frage auf, wie ein Unternehmen wie der Mobilfunk-Netzbetreiber seine Kunden über die Gefahren bei unverschlüsselter Übertragung informiert.

Einige der von Ihnen genannten Unternehmen [gemeint sind die betroffenen Versender der Kurznachrichten, Anmerkung des Autors] sind seit Jahrzehnten Kunden des Mobilfunk-Netzbetreibers. Meist bestanden die Vertragsverhältnisse seit Anfang der 90er Jahre.
Insofern gab es in diesen Fällen keine initiale Produktberatung, wie sie heute üblich ist.
Aufgrund Ihrer Hinweise hat der Mobilfunk-Netzbetreiber die Unternehmen gezielt angesprochen und auf besser geeignete Lösungen hingewiesen. […] „.

Auch Monate nach dieser Korrespondenz wurden Kurznachrichten allerdings weiterhin unverschlüsselt übertragen.

Kontaktieren der Kurznachrichten-Versender

In den zahlreichen Kurznachrichten mit behördlichen Inhalten konnten direkte Rückschlüsse auf die Absender der Nachrichten gezogen werden. Die Hinweisgebenden konnten so direkt auf die augenscheinlichen Versender zugehen.

Insbesondere bei den betroffenen Rettungsleitstellen konnte so die unverschlüsselte Aussendung personenbezogener Daten kurzfristig unterbunden werden. Da den Rettungsleitstellen die Problematik der unverschlüsselten Übertragung nicht bekannt war, wurden auch strukturelle Anpassungen in der Voranmeldung von Verletzten an Krankenhäuser angekündigt.

Bei den beiden regional tätigen Energieversorgungs-Unternehmen war ebenso eine direkte Zuordnung auf den Absender anhand der Kunden-Anschriften möglich. Ein Energieversorger schaltete die Kundendienst-Kommunikation per unverschlüsselter Kurznachrichten innerhalb weniger Tage nach der Hinweis-Meldung ab. Beim zweiten Energieversorger wurden nach der Meldung der Hinweisgebenden wenigstens der Name und die Telefon-Nummer von Kunden nicht mehr übermittelt.

Um den Versender der Krankentransport-Einsatzdispositionen zu ermitteln, mussten die Hinweisgebenden die laut Kurznachrichten angefahrenen Krankenhäuser kontaktieren. Die Krankhäuser widerum konnten anhand der – von den Hinweisgebenden anonymisiert übermittelten – Patienten-Daten den Krankentransport-Dienstleisters ermitteln.
Auch dieser Dienstleister war von der Problematik der unverschlüsselten Kurznachrichten überrascht und konnte dann doch zeitnah auf andere Kommunikations-Mittel zur Disposition der Einsatzfahrten umstellen.

Rechtlicher Rahmen

Die rechtlichen Regelungen zum „Abhören“ von Funksignalen sind im „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten“ (TDDDG) geregelt. Dieses ist aus dem „Telekommunikation-Telemedien-Datenschutzgesetz“ (TTDSG) hervorgegangen. Mit dem TTDSG widerum wurden 2021 die Datenschutzregelungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) an die DSGVO angepasst.

In § 5 des TDDDG ist das „Abhörverbot“ geregelt. So heißt es:

§ 5 Abhörverbot, Geheimhaltungspflicht der Betreiber von Funkanlagen
(1) Mit einer Funkanlage (§ 3 Absatz 1 Nr 1 des Funkanlagengesetzes) dürfen nur solche Nachrichten abgehört oder in vergleichbarer Weise zur Kenntnis genommen werden, die für den Betreiber der Funkanlage, für Funkamateure im Sinne des § 2 Nummer 1 des Amateurfunkgesetzes, für die Allgemeinheit oder für einen unbestimmten Personenkreis bestimmt sind.
(2) Der Inhalt anderer als in Absatz 1 genannter Nachrichten sowie die Tatsache ihres Empfangs dürfen, auch wenn der Empfang unbeabsichtigt geschieht, auch von Personen, für die eine Pflicht zur Geheimhaltung nicht schon nach § 3 besteht, anderen nicht mitgeteilt werden. § 3 Absatz 4 gilt entsprechend.
(3) Das Abhören oder die in vergleichbarer Weise erfolgende Kenntnisnahme und die Weitergabe von Nachrichten aufgrund besonderer gesetzlicher Ermächtigung bleiben unberührt.

Gemäß § 27 TDDDG droht hier bei Verstoß eine Freiheitsstrafe von bis zu 2 Jahren:

§ 27 Strafvorschriften
(1) Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer
1. entgegen § 5 Absatz 1 eine Nachricht abhört oder in vergleichbarer Weise zur Kenntnis nimmt,
2. entgegen § 5 Absatz 2 Satz 1 eine Mitteilung macht oder
3. entgegen § 8 Absatz 1 eine dort genannte Telekommunikationsanlage herstellt oder auf dem Markt
bereitstellt. […]

Es drohen also schon beim unbefugten Abhören „im stillen Kämmerlein“, auch unverschlüsselt ausgesendeter Funksignale, empfindliche strafrechtliche Konsequenzen.

Das Abhörverbot greift aber auch dann, wenn z.B. die Sicherheitslücke eines Funknetzes – wie die fehlende Verschlüsselung – dokumentiert und als Schwachstellenmeldung an eine Sicherheitsbehörde weitergereicht wird. Ebenso, wenn Hinweisgebende den Funknetz-Betreiber oder betroffene Personen selber über die unverschlüsselte Übermittlung von personenbezogenen Daten hinweisen.

Auch die mit uns in Kontakt stehenden Hinweisgebenden wurden darauf unmissverständlich hingewiesen. So stellt der BfDI sinngemäß klar:

Von einer strafrechtlichen Verfolgung [gegenüber dem Mobilfunk-Netzbetreiber, Anmerkung des Autors] möchte ich absehen, da dies auch Fragen im Zusammenhang mit § 5 [„Abhörverbot“, Anmerkung des Autors] des Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekomunikation und bei Telemedien (TTDSG) aufwirft.

Und eine Staatsanwaltschaft meldete den Hinweisgebenden sinngemäß zurück:

[…] Hier wurde aus Sicht der Bundesnetzagenur mitgeteilt, dass aus ihrer Sicht das bloße Bereitstellen eines internet-angebundenen Funkempfängers kein Verstoß gegen das Abhörverbot darstellt, wobei zugleich die Frage aufgeworfen wurde, inwieweit ein strafrechtlcihes Verhalten beim Hinweisgeber vorliegen könnte, da dieser bewusst die fragliche Frequenz eingestellt und damit Daten empfangen und decodiert hat. […]

Ein konkretes Strafverfahren gegen die Hinweisgebenden wurde aber – unseres Wissens nach – nicht eröffnet.

Was tun ?

Hinweisgebenden bleibt also nur die anonyme Abgabe einer Schwachstellenmeldung, um rechtlich auf der sicheren Seite zu sein.

Auch im europäischen Ausland gibt es ähnliche gesetzliche Regelungen. Als Beispiel sei hier der Fall Dejan Ornig aus Slovenien angeführt. Herr Ornig hatte die fehlende Verschlüsselung beim TETRA-Digitalfunknetz der Sicherheitsbehörden seines Landes aufgedeckt und wurde mittlerweile rechtskräftig verurteilt.

Aufgrund der eindeutigen strafrechtlichen Situation müssen wir eindringlich davor warnen, Mobilfunk-Netze selber abzuhören. Schwachstellen-Meldungen sollten – wenn überhaupt – nur anonym erfolgen.

Als AG KRITIS fordern wir deshalb:

  • Rechtliche Regelungen, die es Sicherheitsforschenden ermöglicht, die Sicherheitslücke eines Funknetzes – wie z.B. die fehlende Verschlüsselung – straffrei zu dokumentieren und als Schwachstelle verantwortungsvoll melden zu können.
    Das „Abhörverbot“ im TDDDG muss dahingehend angepasst werden.
    Das Dokumentieren von Schwachstellen in Funknetzen zum Zweck der Meldung an Sicherheitsbehörden muss straffrei sein.
  • Nach unserem Verständnis von § 6 TDDDG haben Betreiber von Mobilfunknetzen „die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um Fehlübermittlungen und das unbefugte Offenbaren von Nachrichteninhalten innerhalb des Unternehmens des Anbieters und an Dritte auszuschließen. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Soweit es im Hinblick auf den angestrebten Schutzzweck erforderlich ist, sind die Maßnahmen dem jeweiligen Stand der Technik anzupassen“ [Zitat § 6 TDDDG].
    Mobilfunk-Netzbetreiber sind also unserer Meinung nach verpflichtet, das unbefugte Offenbaren von Nachrichteninhalten an Dritte auszuschließen.
    Konkret bedeutet dies, Nachrichteninhalte – insbesondere jene mit personenbezogenen Daten – sind nach dem Stand der Technik zu verschlüsseln.
  • Die Aufsichtbehörden (d.h. BfDI und Bundesnetzagentur) müssen auf die konsequente Verschlüsselung personenbezogener Daten seitens der Mobilfunk-Netzbetreiber aktiv hinwirken. Die muss auch mit den gesetzlich verfügbaren Mitteln in der Praxis durchgesetzt werden.

Status Quo

Die Sicherheitslücke bei einem deutschen Mobilfunk-Netzbetreiber wurde von den Hinweisgebenden Ende 2022 an BSI und BfDI gemeldet. Sie bestand noch bis mindestens Ende 2023 weiterhin fort.

Wir hoffen, der betreffende Mobilfunk-Netzbetreiber hat die Sicherheitslücke mittlerweile geschlossen. Verifizieren konnten wir dies aufgrund der oben dargestellten Rechtslage („Abhörverbot“) aber nicht.