Politische Forderungen an Katastrophenschutz sowie Behörden und Organisationen mit Sicherheitsaufgaben

Der Datenabfluss in der Einsatzkräfte-Alarmierung von Rettungsleitstellen dauert auch 2 Jahre nach unserer Veröffentlichung immer noch an.

Alleine im Sommer 2024 konnten wieder in 9 Rettungsleitstellen-Bereichen die personenbezogene Daten von Hilfesuchenden und die damit verbundenen Einsatz-Informationen einfach über das Internet mitgelesen werden.

Wir haben dies zum Anlass genommen, noch einmal konkrete Forderungen an die politisch Verantwortlichen in Bund, Ländern und Kommunen zu formulieren.

Für den Bereich Behörden und Organisationen mit Sicherheitsaufgaben (BOS) sowie den Katastrophenschutz sind diese unten aufgeführt. Die Übersicht unserer Forderungen für alle Sektoren findet sich hier.

  1. Ausnahmslos alle Behörden und Organisationen mit Sicherheitsaufgaben (BOS) der Bundesländer müssen verbindlich das abhörsichere und hochverfügbare BOS-Digitalfunknetz nutzen. Denn im Bereich der nicht-polizeilichen Gefahrenabwehr (Rettungsdienst, Feuerwehr, Katastrophenschutz) kommen bundesweit aktuell immer noch analoger Sprechfunk und unverschlüsselte digitale Alarmierungstechnik zum Einsatz. Sie können lokal einfach abgehört werden und wurden in der Vergangenheit im großen Umfang im Internet frei zugänglich gemacht. Lediglich die Polizei nutzt flächendeckend den abhörsicheren BOS-Digitalfunk.
    1. Wir fordern zur Härtung des BOS-Digitalfunk-Zugangsnetzes von jedem Bundesland den Betrieb eigenbeherrschter Übertragungsleitungen, die nach Gesichtspunkten der Ausfallsicherheit verlegt und nicht vom billigsten Anbieter angemietet werden.
    2. In jedem Bundesland müssen stationäre Netzersatzanlagen mit mindestens 72 Stunden Überbrückungszeit an allen BOS-Digitalfunk-Basisstationen verbaut werden. Die aktuelle unterbrechungsfreie Batterieversorgung mit nur wenigen Stunden Überbrückungszeit ist nicht ausreichend.
    3. In jedem Bundesland müssen proportional zur Fläche und Bevölkerung ausreichend viele – jedoch mindestens drei – Satelliten-angebundene mobile Basisstationen (Sat-mBS) zur Verfügung stehen, welche ausgefallene stationäre BOS-Digitalfunk-Basisstationen kurzfristig ersetzen können.
      Zur Einordnung: Beim Hochwasser im Ahrtal 2021 waren ca. 60 stationäre BOS-Digitalfunk-Basisstationen über mehrere Tage ausgefallen. Es kamen dort alle zehn bundesweit existenten Sat-mBS zum Einsatz. Dies war nicht ausreichend.
    4. Wir fordern mittelfristig die Teilnahme aller kommunalen Ordnungsbehörden am BOS-Digitalfunk. Denn mit der letzten Überarbeitung der „Anerkennungsrichtlinie Digitalfunk BOS“ können auch kommunale Ordnungsbehörden auf Antrag am BOS-Digitalfunk teilnehmen. Insbesondere im Katastrophenfall wäre so eine definierte, hochverfügbare Schnittstelle zwischen BOS und kommunaler Verwaltung sichergestellt.
  2. Die Alarmierung der Einsatzkräfte (insbesondere Rettungsdienst, Feuerwehr, psychosoziale Notfallversorgung) muss zwingend verschlüsselt vorgenommen werden.
    1. Sollte die zeitnahe kommunale Finanzierung von verschlüsselungsfähigen Endgeräten nicht möglich sein, dann hat das Bundesland zwingend in Vorleistung zu treten. Denn die Alarmierungsnetze liegen in 14 der 16 Bundesländer aktuell in kommunaler Trägerschaft.
    2. Die kommunal betriebenen Alarmierungs-Netze müssen gegen langanhaltende Stromausfälle von bis zu 72 Stunden gehärtet werden. Ebenso ist der eigenbeherrschte Betrieb der Übertragungsleitung gegenüber der Anmietung kommerzieller Übertragungs-Netze vorzuziehen. Bei den Alarmierungs-Netzen muss ein vergleichbares Resilienz-Niveau wie beim BOS-Digitalfunknetz erreicht werden.
    3. Kommunale Betreiber von Webservern für Alarmierungs-Nachrichten müssen zu Zugangsbeschränkungen und starken Passwörtern verpflichtet werden. Wenn immer möglich, ist eine Zwei-Faktor-Authentisierung (MFA) anzustreben. Sicherheits-Updates müssen zeitnah eingespielt werden. Angehörigen von Behörden und Organisationen mit Sicherheitsaufgaben muss der private Betrieb von Webservern für Alarmierungs-Nachrichten untersagt werden.
    4. Die Verantwortung für den Betrieb der Alarmierungseinrichtungen muss mittelfristig von den Kommunen auf das Bundesland übergehen. Dies muss in den 16 Landesgesetzen für Brand- und Katastrophenschutz festgeschrieben werden.
    5. Eine generelle Harmonisierung der 16 Landesgesetze für Brand- und Katastrophenschutz ist anzustreben.
    6. Die Innenministerien der Bundesländer müssen eine fortlaufende Evaluierung der technischen Möglichkeiten zur Verbesserung des Informationsflusses zwischen Rettungsleitstellen und Hilfsorganisationen durchführen. Allen Hilfsorganisationen muss der aktuelle Stand der Kommunikationstechnik zur Verfügung gestellt werden.
  3. Die Mittel zur Warnung der Bevölkerung müssen flächendeckend vorhanden und regelmäßig getestet werden.
    1. Der Betrieb und die Beschaffung von Warnmitteln zur Warnung der Bevölkerung müssen explizit in die Hände der Länder gelegt werden. Derzeit delegieren die Länder diese wichtige Aufgaben an die Kommunen, statten die Kommunen dann aber nicht mit den notwendigen Finanzmitteln aus. Im Ergebnis gibt es nicht überall Sirenen. Beispielsweise ist auch die Anbindung von Stadtinformationssystemen an das Modulare Warnsystem (MoWaS) äußerst heterogen.
    2. Wir fordern die verpflichtende Teilnahme aller Kommunen am bundesweiten Warntag. Aktuell erfolgt die Teilnahme am bundesweiten Warntag auf freiwilliger Basis.
  4. Wir fordern die Errichtung eines Kommunal-CERT in allen Bundesländern. Entweder als Aufgabe des Landes-CERT oder als eigene Struktur. Dieses sollte für alle Einrichtungen auf kommunaler Ebene zum Einsatz kommen, wie etwa Rathäuser, Kreisverwaltungen und Rettungsleitstellen. Nur so kann das Gemeinwesen der Bundesländer auf allen Ebenen resilienter gestaltet werden. Insbesondere gegen Bedrohungen aus dem Cyber-Raum und großflächige Ausfälle landesweiter IT-Infrastruktur. In den meisten Bundesländern ist das Landes-CERT nicht zuständig für kommunale Einrichtungen, sondern nur für Behörden und Ämter des Landes und landeseigene Betriebe.

Das Titelbild wurde von Karl Gruber angefertigt und via Wikimedia Commons veröffentlicht. Das Bild steht unter CC BY-SA 4.0 Lizenz.

Schriftliche Stellungnahme zum Referentenentwurf der C5-Äquivalenz-Verordnung

Das Referat 512 – Cybersicherheit und Interoperabilität vom Bundesministerium für Gesundheit (BMG) hat die AG KRITIS um Stellungnahme zum Referentenentwurf der C5-Äquivalenzverordnung (Verordnung nach § 393 Absatz 4 Satz 4 des Fünften Buches Sozialgesetzbuch) gebeten.

Im Gesundheitswesen werden besonders schützenswerte Daten verarbeitet. Um den dafür angemessenen Schutz auch beim Einsatz cloudbasierter Informationssysteme sicherzustellen, in denen Gesundheits- oder Sozialdaten verarbeitet werden, wurde durch das Digital-Gesetz der § 393 des Fünften Buches Sozialgesetzbuch (SGB V) neu eingeführt. Damit wurde ein verpflichtend einzuhaltender Mindeststandard eingeführt: der durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte „Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue)“. Durch die Anforderung einer C5 Zertifizierung der informationstechnischen Systeme soll die Resilienz der Einrichtungen im Gesundheitswesen gesteigert werden.

Aus unserer Sicht ist nicht nachvollziehbar, dass ein C5-Testat ausschließlich durch Wirtschaftsprüfer erstellt werden darf und dass nicht auf das bewährte Verfahren der Erteilung von Zertifikaten zurückgegriffen wird.

Mit der Äquivalenzverordnung soll Rechtssicherheit bezüglich eines vergleichbaren Sicherheitsniveaus hergestellt werden. Dies ist zu begrüßen.

Unsere Stellungnahme ging dem BMG fristgemäß am 23.01.2025 zu. Wir haben die Stellungnahme hier im Volltext bereitgestellt.

Titelbild wurde von akitada31 angefertigt und via pixabay Inhaltslizenz veröffentlicht.

Offener Brief „Fünf Schritte zu mehr Vertrauen in die ePA“​​​​​​​

Die AG KRITIS unterstützt den offenen Brief „Fünf Schritte zu mehr Vertrauen in die ePA“​​​​​​​.

Die jüngsten Einlassungen des Bundesministeriums zu Änderungen an der ePA, nachdem in einem Vortrag auf dem 38. Chaos Communication Congress Sicherheitslücken präsentiert wurden, erscheinen lediglich während der Testphase begrenzt tragfähig und bieten nur einen überschaubaren Sicherheitsgewinn. Es darf nicht sein, dass das Sicherheitsniveau der ePA vom Schutzgrad einzelner Arztpraxen abhängt.

Die Architektur der ePA muss der Realität Rechnung tragen, dass Arztpraxen weder über ausreichende Budgets noch über die notwendige Fachkompetenz verfügen, um IT-Sicherheit auf hohem Niveau zu gewährleisten. Eine patientenindividuelle Ende-zu-Ende-Verschlüsselung würde es hingegen ermöglichen, das Sicherheitsniveau der Arztpraxen und Leistungserbringer in der Risikoabschätzung geringer zu gewichten.

Besonders kritisch bewerten wir, dass ein „Sicherheitsgutachten“ des Fraunhofer SIT jegliche Angriffe durch Regierungsorganisationen explizit ausgeklammert hat. Ob solche Angriffe möglich sind, wurde daher nicht einmal geprüft. Dies offenbart ein alarmierendes Verständnis von Sicherheitsanforderungen und wirft zusätzliche Fragen zur Resilienz der ePA gegen gezielte Angriffe auf.

In der Stellungnahme der Gematik zum 38C3-Vortrag hieß es, auf die Daten der ePA zuzugreifen sei illegal und somit strafbar. Die IT-Sicherheit muss jedoch so robust sein, dass auch Akteure mit hoher krimineller Energie technisch effektiv daran gehindert werden, an Gesundheitsdaten zu gelangen.

Dass Angriffe von Regierungsorganisationen im Sicherheitsgutachten ausgeklammert wurden, ist nicht akzeptabel. Die Bundesregierung hat den Auftrag, Bürger auch vor fremden Geheimdiensten oder Regierungen zu schützen. In Zeiten hybrider Bedrohungen ist es unabdingbar, auch dieses Szenario zu berücksichtigen. Viele Bürger haben aus dienstlichen Gründen Kenntnis von Staatsgeheimnissen. Nur wenn auch deren Gesundheitsdaten ausreichend geschützt werden, können wir diese Bürger vor Erpressung bewahren.

Schlecht geschützte Gesundheitsdaten sind daher direkt ein Thema der nationalen Sicherheit. Es reicht nicht aus, lediglich Bundesminister und den Bundeskanzler von der ePA auszuklammern, denn Berufsgeheimnisse existieren in nahezu jeder Gehaltsstufe.

Da auch die weiteren Prüfsteine aus dem letzten offenen Brief „Vertrauen lässt sich nicht verordnen“ bislang nicht umgesetzt wurden, empfiehlt die AG KRITIS der Bundesregierung, das Projekt ePA zu stoppen, und rät den Bürgerinnen und Bürgern, der Nutzung der ePA zu widersprechen.

Foto von Chris Liverani auf Unsplash