Artikel von unseren Mitgliedern

Der gar nicht ausfallsichere und auch nicht hochverfügbare digitale Behördenfunk

Das Digitalfunknetz der Behörden und Organisationen mit Sicherheitsaufgaben (BOSnet) soll eine verschlüsselte und gegen Ausfall besonders gesicherte Infrastruktur bereitstellen, die gerade im Katastrophenfall die Kommunikation der Einsatz- und Rettungskräfte untereinander sicherstellt. In der Unwetterkatastrophe in Rheinland-Pfalz und Nordrhein-Westfalen hat das nicht funktioniert. Warum?

Das BOSnet ist technisch ähnlich aufgebaut wie ein Mobilfunknetz der 1990er Jahre. Es ermöglicht seinen registrierten Teilnehmern Sprachkommunikation und den Austausch von kurzen Textnachrichten. In der Fläche ist es ausreichend gut ausgebaut, in Gebäuden ist unter Umständen keine Kommunikation möglich. Das Netz besteht aus Basisstationen, die wiederum an eigenen Vermittlungsstellen angeschlossen sind. Die Vermittlungsstellen sind über das Kernnetz untereinander verbunden.

Die Basisstationen empfangen die Funksignale der Endgeräte und leiten diese weiter. Dafür benötigen sie zwei Dinge: Erstens eine Verbindung zu einer BOSnet-Vermittlungsstelle (zur Weiterleitung an das BOSnet-Kernnetz) in Form eines Kabels oder einer Richtfunkstrecke. Zweitens: Strom.
Verantwortlich für den Betrieb des Systems ist die Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS), die dem Bundesministerium des Inneren unterstellt ist. Der Betrieb des BOSnet ist allerdings eine gemeinsame Aufgabe von Bund und Ländern. Sowohl die Auswahl der Standorte für Basisstationen als auch die für eine Basisstation zu installierende Notstromversorgung und die Art, wie und wohin ein Verbindung zur BOSnet-Vermittlungsstelle erfolgt, unterliegen der Hoheit der Bundesländer.

Laut der Vorgaben für das BOSnet muss jede Basisstation über eine unterbrechungsfreie Stromversorgung (USV) verfügen, die einen Stromausfall für einige wenige Stunden überbrücken kann. In der Praxis sind das an vielen Stellen USVs in Form von wiederaufladbaren Batterien, die das System bis zu vier oder sechs Stunden mit Strom versorgen können. Aber irgendwann ist die Batterie trotzdem leer.

Jedes Bundesland legt für seinen Verantwortungsbereich fest, auf welche Art die Versorgung der Basisstationen bei langanhaltenden Stromausfällen sichergestellt wird und realisiert die Lösung im Rahmen seiner Verantwortlichkeit. In Rheinland-Pfalz wird z.B. auf sogenannte mobile Netzersatzanlagen (mNEA) zurückgegriffen, von denen 14 beschafft und dezentral den lokalen Feuerwehren übergeben wurden, um sie bei Bedarf zum Standort einer betroffenen BOSnet-Basisstation zu bringen.

In einer kurzfristig auftretenden und großflächigen Katastrophenlage, wie sie durch die Unwetterkatastrophe in Rheinland-Pfalz und Nordrhein-Westfalen entstanden ist, kann es jedoch dazu kommen, dass die Verbringung der vorhandenen Notstromaggregate nicht schnell genug erfolgen kann. Straßen sind unpassierbar, Brücken weggespült, der Zugang zu betroffenen BOSnet-Basisstationen unmöglich. Zudem erfolgt die Kommunikations-Anbindung vieler Basisstationen über konventionelle Kabelverbindungen, z. B. Glasfaserkabel oder angemietete Übertragungsleitungen, die aus Kostengründen oft auf denselben Strecken verlegt werden, wie andere Strom- oder Kommunikationskabel. Vielfach wurden diese Kabelverbindungen durch das Hochwasser unterbrochen. Somit waren auch etliche BOSnet-Basisstationen ohne Verbindung zur BOSnet-Vermittlungsstelle und zum BOSnet-Kernnetz.

Selbst in dem Fall, dass eine solche Basisstation dann noch mit Strom versorgt ist, kann sie bestenfalls als Knotenpunkt für diejenigen Teilnehmer dienen, die an dieser Basisstation lokal angemeldet sind („Fallback-Modus“). Untereinander können die so verbundenen Teilnehmer dann noch kommunizieren. Eine Kommunikation zur Leitstelle oder jeder anderen Einheit, die keine Verbindung zur lokalen Basisstation hat, ist hingegen nicht mehr möglich. Auch neu zugewiesene Nutzer (z. B. zur Verstärkung nachrückende Katastrophenschutz-Einheiten anderer Landkreise bzw. Bundesländer) können nicht über die verbliebene Basisstation kommunizieren. Denn das notwendige Update der Nutzergruppen-Verwaltung durch die BOSnet-Vermittlungsstelle kann die betroffene Basisstation nicht mehr erreichen.

Bei der Einrichtung des BOSnet und der länderspezifischen Ausgestaltung sowohl der BOSnet-Kernnetz-Anbindungen, als auch der Notstrom-Versorgung wurde durch die Verantwortlichen eine Risikoabschätzung getroffen. Ein dermaßen großflächiger Schaden an der Infrastruktur, der so viele Verbindungen kappt und zu Stromausfällen über mehrere Tage oder Wochen führt, wurde dabei nicht berücksichtigt. Das Risiko wurde wohl als vernachlässigbar gering eingeschätzt. Aus der Sicht von vor einigen Jahren war das vermutlich eine vertretbare Einschätzung, auch wenn die Auswirkungen des August-Hochwassers in Sachsen im Jahr 2002 schon eine Warnung hätten sein können.

Nun sollten aus dieser Katastrophe und dem technischen Versagen des BOSnet Lehren gezogen werden. Dazu gehören:

  • Es muss mehr Basisstationen geben, die Gebiete redundant abdecken
  • Die Anbindung der Basisstationen zur Vermittlungsstelle muss zwingend redundant erfolgen, und zwar auf unterschiedlichen physischen Wegen (z.B. Richtfunk und Kabel, Richtfunk über unterschiedliche Zubringer, Anbindung über räumlich getrennte Kabelstrecken)
  • Alle Basisstationen müssen vor Ort über eine eigene Notstromversorgung (z.B. durch Brennstoffzellen oder Dieselaggregate) verfügen, die Ausfälle über mindestens 72 Stunden überbrücken kann.

Der Artikel wurde von unseren Mitgliedern Yves Ferrand und Mark Neis verfasst. Vielen Dank! Das Bild des Artikels wurde von Fabian Horst aufgenommen, es steht unter einer CC-BY-Lizenz.

DIY Notstromanlage – ein Erfahrungsbericht

Die Unwetterkatastrophe in NRW und Rheinland-Pfalz hat gezeigt, dass die Befürchtungen vieler Wissenschaftler schnell Realität werden können. Innerhalb von nur wenigen Stunden waren ganze Landstriche von der Außenwelt abgeschnitten. Ich selbst war mit im Krisengebiet, da meine Eltern und viele Freunde aus der Schulzeit dort wohnen. Das Bild vor Ort kann man nicht beschreiben.

Update 26.08.2021: Das Projekt ist in der stetigen Weiterentwicklung und wir freuen uns über eure Kommentare. Wir haben daher den Artikel erweitert. Ihr könnt mir gerne eine DM zukommen lassen auf Twitter

 

Wir als Gesellschaft sind gewohnt, dass alles funktioniert. Wir sind abhängig von funktionierenden Infrastrukturen. Diese Tatsache ist als Verletzlichkeitsparadoxon bekannt und gilt gerade für kritische Infrastrukturen als Hauptargument, um diese zu schützen. Es gibt mehrere Gesetze, um die Sicherheit und Verfügbarkeit dieser Infrastrukturen zu gewährleisten. Naturkatastrophen können jedoch unberechenbar und verheerend sein.

Die Gebiete, in denen ich war, wurden gerade am Anfang relativ wenig von THW und Feuerwehr unterstützt, da erst einmal die Dämme und überflutete Gebiete versorgt werden mussten. Es gab vor Ort oft keinen Strom, kein sauberes Wasser und keine Kommunikation. Aufgrund des Ausfalls des Mobilfunknetzes war bei sehr vielen Handys der Akku viel schneller als üblich leer, weil Handys in diesen Situationen mit maximaler Leistung nach verfügbaren Netzen suchen. Selbst als die Mobilfunknetze teilweise wieder funktionierten, konnten viele aufgrund der leeren Handy-Akkus und der fehlenden Stromversorgung immer noch nicht telefonieren und beispielsweise keine Hilfe organisieren oder ihre Verwandten und Freunde darüber informieren, dass es ihnen gut geht und was genau sie als Unterstützung brauchen. Zudem gab es ohne Strom auch weitere Probleme. Junge Eltern konnten mangels alternativer Kochmöglichkeiten beispielsweise den Brei oder die Milch für ihre Babys nicht erwärmen.

In diesem Projekt soll daher gezeigt werden, wie man sich auf solche Situationen vorbereiten und mit vorhandenen Mitteln vor Ort eine kleine Ersatzversorgung aufbauen kann. Normale Generatoren erfordern Treibstoff und Wartung. Zudem funktionieren sie ohne regelmäßige Testläufe gemäß Murphys Gesetz „natürlich“ gerade im Notfall nicht. Je nach Bedarf gibt es sehr viele am Markt verfügbare Optionen. So kann eine USB Powerbank reichen oder eine große unterbrechungsfreie Stromversorgung (USV) im Keller. Auch im Caravan Bedarf gibt es entsprechende Anlagen. Diese kosten aber Teils über 1.000 Euro.

Da ich bereits viel mit Strom und Photovoltaik Systemen als Hobby arbeite, entstand die Idee einer mobilen Notstromversorgung auf Photovoltaik-Basis mit Batteriepuffer. Das System sollte einen Batteriespeicher besitzen, das Laden von USB Geräten unterstützen und ein 230V Wechselstrom-System für Dinge des alltäglichen Bedarfs (Flaschenwärmer, Licht, etc.) sowie einen 12V Ausgang für Ladegeräte besitzen. Fertige Lösungen gibt es natürlich zu kaufen. Diese kosten auch entsprechend.

Eine Kernfrage bestand in der Auswahl der Batterie. Kauflösungen setzen fast ausnahmslos auf Lithium-Polymer-Akkumulatoren (auch LiPo genannt). Diese wurden in diesem Projekt jedoch ausgeschlossen, weil die Verwendung von LiPos nicht ganz trivial und erst recht nicht für jeden Handwerker geeignet ist. Zudem gibt es extreme Qualitätsunterschiede, die schnell in einem Brand enden können. Daher wurden normale KFZ-Batterien verwendet. Eine KFZ-Batterie ist überall erhältlich und kann im Worst Case auch aus einem defektem Fahrzeug vor Ort ausgebaut werden. Natürlich sind diese nicht für den Dauereinsatz geeignet, da diese nicht zyklenfest sind. Wir reden jedoch von einem Notsystem, das nur ein paar mal genutzt werden soll. LiFePO4 Akkus sind eine weitere aber noch sehr teure Alternative.

Um mobil zu bleiben, sollte nur ein kleines Photovoltaik-Panel genutzt werden. Die normalen Panele für Häuser haben meist Maße von 1 Meter mal 1,8 Metern. Dies passt nicht wirklich gut in ein Auto oder Lastenfahrrad. Grundsätzlich ist die Wahl der Technik eine Preis- und Geschmacksfrage. Um mehr aus einer kleinen Fläche zu holen, sollte ein monokristallines Modul genutzt werden, weil dieses eine bessere Energieausbeute hat. Genauso gut geht es mit den günstigeren polykristallinen Modulen.

Die letzte technische Frage bezog sich auf den PV-Wechselrichter. Dieser dient als Bindeglied zwischen dem PV-Panel und der Batterie. Es gibt zwei typische Verfahren; PWM-Laderegler (Pulsweitenmodulation) sind hierbei die einfacheren Geräte im Vergleich zu MPPT-Reglern (Maximum Power Point Tracking). Kostenmäßig sind die PWM-Geräte günstiger und reichen für die Anwendung vollkommen aus. Das Ziel bestand schließlich darin, ein günstiges Modul zu bauen.

Der Aufbau

Zuallererst sei darauf hingewiesen, dass im fertigen System auch mit Wechselspannung gearbeitet wird. Für den normalen Maker also Neuland. Arbeiten an diesen Anlagen dürfen nur von einer Elektrofachkraft durchgeführt werden. Sofern der Sinus-Wechselrichter für die 230V Systeme eine fertige Schuko-Steckdose hat, sollte dies nicht weiter ins Gewicht fallen. Aber auch mit 12V kann man bei hohen Ampere Zahlen schöne Lichtbögen erzeugen.

Der Zusammenbau ist relativ einfach und in zwei Stunden erledigt. Die Kosten belaufen sich auf ca. 320 Euro. Wenn man bestimmte Dinge anpasst, können auch die angepeilten 250 Euro erzielt werden.

  1. Um die Batterie vor dem Verrutschen zu sichern, wird eine passgenaue Bodenplatte aus Spannholz zurecht geschnitten. Diese hat eine Aussparung für die Batterie, so dass sie nicht mehr rutschen kann. Die Aussparung muss natürlich je nach Box passend geschnitten werden.
  2. Im nächsten Schritt wird der Strom angeschlossen. Die Sicherungen sollten noch nicht gesteckt sein! Es besteht Kurzschlussgefahr. Bei dem von mir genutzten PV-Set sind bereits alle Kabel enthalten. Bitte achtet bei eigenen Kabeln auf die passenden Kabelquerschnitte (6-10mm) und Sicherungen (maximal 15 cm von der Batterie weg). Als erstes wird das Kabel zum Solar Panel angeschlossen. Plus auf Plus, Minus auf Minus. Da hohe Ströme fließen, bitte fest anziehen. Das PV-Panel wird noch nicht verbunden.
  3. Danach wird die Batterie angeschlossen. In die Plus-Leitung muss eine 20A Sicherung eingebaut werden. Auch hier wieder Plus auf Plus, Minus auf Minus.
  4. Der 230V-Wechselrichter darf nicht direkt an den Solar Wechselrichter angeschlossen werden, weil er zu viel Leistung benötigt. Er muss direkt an die Batterie angeklemmt werden. Bei meinem Wechselrichter waren 2 Kabel mit dabei, welche jedoch nicht direkt angeschlossen werden konnten. Diese habe ich gekürzt, neu gecrimpt und dann entsprechend direkt an die Batterie angeschlossen. Auch hier wird direkt eine Sicherung in der Plus Leitung der Batterie eingebaut, welche ebenfalls noch nicht gesteckt ist.
  5. Am Lastausgang des Solar Wechselrichters wird eine Standard 12V KFZ Buchse angeschlossen. Auch hier ist eine Sicherung in der Buchse eingebaut. An den 12V Ausgang sollten nur kleine Abnehmer angeschlossen werden (Ladegeräte oder kleinere 12V Verbraucher wie LED-Licht).
  6. Nach Verkabelung wird das innere der Box mit Holz ausgekleidet und alles mit Holzleim verbunden. Das Holz-Paneel wird über der Batterie nur aufgelegt und kann zu Wartungszwecken geöffnet werden.
  7. Für den finalen Test werden das PV-Panel angeschlossen und die Sicherungen eingebaut. Das System schaltet sich automatisch ein. Da ich eine Nass-Batterie verwende, habe ich dies im PV-Wechselrichter eingestellt. Bitte prüft daher euren Wechselrichter daraufhin, welche Typen unterstützt werden. Dann wird die 12V Buchse an den Laptop geklemmt und geprüft, ob geladen wird. Funktioniert alles, können die Kabel noch schön verlegt werden und die Batterie initial voll aufgeladen werden.

Im geschlossenen Zustand passt es zusammen mit dem Solarpanel in den Kofferraum eines Autos oder auch in ein Lastenrad. Durch die 6 Meter Kabel kann das Modul genau dort platziert werden, wo gerade Sonne ist.

Was kann die Box?

Da man bei Bleibatterien nie die volle Leistung entnehmen sollte (maximal 50%), kann grob eine 27Ah Leistung erreicht werden, womit der 300W Wechselrichter für eine Stunde bei maximaler Last laufen kann. Natürlich nutzt der Wechselrichter selten die volle Leistung und daher reicht die Batterie im Feldbetrieb normalerweise einen Tag. Zudem wird die Batterie im Betrieb durch das Solarpanel aufgeladen. Je nach Budget und Größe der Box können natürlich größere Batterien benutzt werden. Dies erhöht aber auch das Gewicht. Mit Batterie-Schnellklemmen kann die Batterie auch schnell gegen eine andere Batterie getauscht werden. Daher sollten genügend Kabel in der Box vorrätig sein, um eine externe Batterie schnell anklemmen zu können. Die Auswahl ist daher sehr variabel.

Als geplante Verbesserung ist ein Update des Solar-Wechselrichters auf eine 30A Version geplant, an welcher auch direkt die Module einer bestehenden PV-Anlage angeschlossen werden können. So wurde zu Testzwecken ein 600W Balkonkraftwerk auf dem Gartenhaus montiert, welches aber nur als Insellösung konzipiert war. Hier können auch mehrere Batterien geladen und bei Bedarf in das mobile System eingebaut werden. Es wurde darauf geachtet, dass alle PV-Panele vor Ort (Dach, Garten, mobil) über MC4 Adapter verfügen, damit diese untereinander ausgetauscht werden können. Hierbei ist darauf zu achten, dass die PV-Wechselrichter mit der Leistung der Module klar kommen. Auch hier noch ein Warnhinweis: Die PV-Anlage auf dem Dach hat oft DC-Spannungen über 500V. Bitte niemals unter Last die Verbindungen trennen und unbedingt generell darauf achten, dass die Anlage abgeschaltet und im besten Fall verschattet ist.

Die kleine Box ist regelmäßig beim Outdoor-Einsatz mit dabei und wird auch auf den nächsten Camps vom CCC oder dem niederländischen Pendant dabei sein.

Teileliste:

  • Auto Batterie (in meinem Fall eine Anlasser Batterie, 12V, 45Ah, 400A)
  • 12V auf 230V Wechselrichter
  • 12V Buchse (ein Zigarettenanzünder aus dem KFZ-Bedarf)
  • Solar-Wechselrichter (als Set mit Solarmodul und Kabel, z.B. von Offgrid Tec. Hinweis: Die Sets sind heiß begehrt und ggf. gerade ausverkauft. Viele Baumärkte haben diese auch im Angebot.)
  • PV-Panel (ist ggf. im Set inbegriffen)
  • Anschlusskabel (ist ggf. im Set inbegriffen)
  • Werkzeug (Stichsäge, Seitenschneider, Holzleim, Crimp-Zange sind von Vorteil)
  • Spanplatten 1cm
  • Kiste zum Einbau (Hier nutze ich eine Stanley/DeWalt TSTAK, da ich mein ganzes Werkzeug hiermit organisiere.)
  • Lust am basteln

 

Ab wann ist etwas grob fahrlässig? – Historie von Cell Broadcast in Deutschland

Cell Broadcast, ein technisches System zur Aussendung von Katastropheninformationen über Mobilfunknetze, ist seit dem Hochwasser im Juli 2021 in aller Munde. Dieses System sorgt dafür, dass alle in einer Mobilfunkzelle eingebuchten Geräte eine Information erhalten. Die Information wird dabei nicht einzeln für jedes Gerät ausgesendet, sondern nur einmal – während alle Geräte diese empfangen. Dies sorgt dafür, dass ohne jegliche Kenntnis, wer die Nachricht bekommen hat (datenschutzfreundlich), die Handys in einer bestimmten Region über eine Notlage oder Katastrophe informiert werden, ohne dass das Mobilfunknetz dadurch überlastet wird.

Leider wurde dieses System in Deutschland nie für Kriseninformationen oder den Katastrophenschutz genutzt, obwohl alle Mobilfunknetze seit Anfang der 2000er Jahre technisch zu solchen Aussendungen in der Lage gewesen wären und mehrere Mobilfunknetzbetreiber sogar bis 2010 Experimente durchgeführt haben, bei denen über Cell Broadcast z.B. Verkehrs- oder Wetterinformationen ausgesendet wurden.

Eine erste technische Demonstration des Systems gab es 1997 in Paris. Seit 1999 wird die Technologie laut der Wikipedia in asiatischen, amerikanischen und europäischen Mobilfunknetzen eingesetzt, allerdings in den ersten Jahren für andere Zwecke, als Krisen- und Katastropheninformationen.

Die USA begannen 2006 mit dem Aufbau eines Systems zur Krisen- und Katastropheninformation – unter dem Titel „Wireless Emergency Alerts“ (WEA) – welches auch Cell Broadcast verwendete, um die Menschen zu informieren.

Spätestens seit 2001 ist Cell Broadcast als Möglichkeit zur Katastrophen- und Kriseninformation bekannt. Auf Seite 63 und Seite 64 des Zweiten Gefahrenbericht der Schutzkommission beim Bundesminister des Innern, herausgegeben im Oktober 2001 (https://repository.publisso.de/resource/frl:1997671-1/data), heißt es zur damaligen Situation:

„Das gegenwärtige System zur Warnung der Bevölkerung in Deutschland im Verteidigungsfall sowie bei Katastrophen und größeren Schadensereignissen besteht aus Warnmeldungen und Informationen durch den Rundfunk (Hörfunk, Fernsehen) sowie aus örtlich begrenzten Alarmierungen mit Sirenen. Seine Struktur und sein Ausbau ist für eine rasche, gleichzeitige und umfassende Warnung bei großflächigen Gefahren nicht ausgelegt“

Als mögliche Lösung wird im darauffolgenden Absatz 3.2.2 vorgeschlagen:

„Die Untersuchung von [für ein technisches Warnsystem] geeigneten Technologien und Systemen hat gezeigt, dass unter den genannten Gesichtspunkten im Wesentlichen drei Systeme mit Alarmfunktion für die Mitbenutzung in einem zukünftigen Warnsystem in Frage kommen: Mobilfunk nach GSM- oder UMTS-Standard mit Cell Broadcast-Funktion, Langwellen-Zeitfunk DCF 77 mit zusätzlicher Alarmfunktion und das Radio-Daten-System (RDS) des terrestrischen UKW-Hörfunks.“

Die Bundesnetzagentur hat sich laut Tätigkeitsbericht in den Jahren 2006/2007 sowie 2007/2008 im Rahmen der Mitwirkung an der europäischen Arbeitsgruppe „ETSI EMTEL“ mit Cell Broadcast beschäftigt. Diese Arbeitsgruppe, oder die BNetzA selbst, das wird aus dem Tätigkeitsbericht nicht deutlich, hat eine „Analyse der Anwendbarkeit von SMS und Cell Broadcast Service im Katastrophenfall“ durchgeführt.

Auch in den Bundestagsdrucksachen finden sich Spuren von Cell Broadcast – unserer Kenntnis nach erstmalig im Jahr 2008 auf Drucksache 16/9907. Dort schreibt das BMI: „Nach einem erfolgreichen Test in den Niederlanden wird dieses System im internationalen Rahmen unter Beteiligung des BBK ab 2009 untersucht.“

Die Forschungsergebnisse dieser Untersuchungen des BBK waren bisher nicht auffindbar, weswegen wir dazu eine IFG-Anfrage gestellt haben (https://fragdenstaat.de/anfrage/untersuchung-von-cell-broadcast-seit-2009/)

Seit 2012 ist Cell Broadcast als Komponente des niederländischen Warnsystems „NL-Alert“ im Einsatz und wurde bei Krisensituationen mehrfach mit großem Erfolg genutzt. Die Niederländer berichten, dass Sie mit Cell Broadcast regelmäßig mehr als 90% der Bevölkerung erreichen können.

Seit 2018 gibt es europäische Vorgaben in Artikel 110 der EU-Richtlinie 2018/1972 zur Umsetzung von Cell Broadcast im Rahmen des geplanten Systems „EU-Alert“ – das verbindlich im Juni 2022 fertiggestellt worden sein soll.

Absatz 1 beschreibt unserer Ansicht nach eindeutig Cell Broadcast im Kontext des europäischen Systems „EU-Alert“. Absatz 2 legt dann Ausnahmen dafür fest. Der Wortlaut des Absatzes lautet:

„(2) Ungeachtet des Absatzes 1 können die Mitgliedstaaten festlegen, dass öffentliche Warnungen über öffentlich zugängliche elektronische Kommunikationsdienste, bei denen es sich weder um die in Absatz 1 genannten Dienste noch um Rundfunkdienste handelt, oder über eine über einen Internetzugangsdienst verfügbare mobile Anwendung übertragen werden, sofern die Effektivität des öffentlichen Warnsystems in Bezug auf Abdeckung und Kapazität zur Erreichbarkeit der Endnutzer, auch derjenigen, die sich nur zeitweilig in dem betreffenden Gebiet aufhalten, gleichwertig ist; dabei tragen sie den GEREK-Leitlinien weitest möglich Rechnung. Öffentliche Warnungen müssen von den Endnutzern leicht empfangen werden können.“

Aus unserer Sicht lässt sich in diesem Absatz 2 der Versuch herauslesen, Apps wie NINA oder KATWARN den gleichen Status wie Cell Broadcast zu geben, aber die Formulierung lässt auch Interpretationsspielraum zu. Wir sind der Meinung, dass Apps wie NINA oder KATWARN eben nicht der „Effektivität des öffentlichen Warnsystems in Bezug auf Abdeckung und Kapazität zur Erreichbarkeit der Endnutzer, (…), gleichwertig“ sind.

Nichtsdestotrotz wird sich ein Beamter in der zuständigen Behörde sicherlich darauf berufen, dass der „GEREK-Leitlinien“ im Zweifel „weitestmöglich Rechnung“ getragen wurde und damit die Richtlinie zu EU-Alert als erfüllt gilt.

Als offene Fragen verbleiben zum jetzigen Zeitpunkt:

  • Was ist aus dem BBK-Forschungsprojekt von 2009 zu Cell Broadcast geworden?
  • Welches Ministerium hat sich 2017 und 2018 für diese schwammigen Ausnahmen in EU-Alert eingesetzt?
  • Wer trägt dafür die politische Verantwortung?

Klar ist: Seit 20 Jahren ist die Notwendigkeit von Cell Broadcast im Katastrophenschutz im BMI bekannt, wie der oben zitierte Absatz aus dem „Zweiten Gefahrenbericht der Schutzkommission beim Bundesminister des Innern“ beweist. An welcher Stelle die Umsetzung von Cell Broadcast im BMI seit 2001 gescheitert ist, ist unklar.

Vor dem Hintergrund dieser eindeutigen öffentlichen Informationen, scheint es angebracht, die Frage der groben Fahrlässigkeit des zuständigen Ministeriums und seiner nachgeordneten Behörden öffentlich zu stellen. Wenn bekannt war, dass die Alarmierung durch u.A. die Reduktion der Sirenen nicht mehr die gesamte Bevölkerung erreichen kann, warum wurde dann nicht bereits vor 10 oder 15 Jahren, als dies technisch möglich war, Cell Broadcast auch umgesetzt?

Sicherlich kann man den Schuldigen nicht alleine auf dem Stuhl des Bundesinnenministers suchen. Als der zweite Gefahrenbericht 2001 veröffentlicht wurde, saß auf diesem noch Otto Schily. Und nach Schily hatten wir fünf weitere Bundesminister des Inneren. Viel wahrscheinlicher liegt die tatsächliche Verantwortung hier wahrscheinlich bei einem Staatsekretär im Bundesministerium des Inneren – oder sogar mehreren, die diesem Thema in der Vergangenheit, bis heute in fahrlässiger Weise nicht die notwendige Aufmerksamkeit haben zukommen lassen. Ein Land, das sich gerne Hochtechnologieland nennt, sollte es auch auf staatlicher Ebene schaffen, der Technologie nicht hinterher zu rennen, sondern Vorbild und Vorreiter zu sein.

Bereits im Nachgang des Bundeswarntags im September 2020 haben wir einen Artikel veröffentlicht, in dem wir die notwendigen Learnings aus dem Bundeswarntag zusammenfassen.

Offener Brief zur Cybersicherheitsstrategie für Deutschland 2021 – Update vom 30.06.2021

Update vom 30.06.2021: Mit weiteren UnterzeichnerInnen geht der offene Brief in eine zweite Runde.

Die AG KRITIS hat den offenen Brief zur Cybersicherheitsstrategie für Deutschland 2021 mitunterzeichnet, um ein Zeichen für die Zivilgesellschaft und die kritischen Infrastrukturen zu setzen.

Hier findet ihr darüber hinaus die politischen Forderungen der AG KRITIS.

Fristverlängerung für die Bewertung der Cybersicherheitsstrategie 2021

Das Bundesministerium für Inneres, Bau und Heimat (BMI) lässt zur Bewertung der Cybersicherheitsstrategie 2021 lediglich eine Woche Zeit. Die Frist für die Abgabe der Kommentierungen wurde vom BMI auf den 16.06.2021 festgelegt, die Veröffentlichung der Strategie erfolgte am 09.06.2021  Aus nicht öffentlichen Quellen wurde uns zugetragen, dass eine Ressortabstimmung entweder nicht geplant oder noch nicht durchgeführt wurde.

Im Regelfall erfolgt die Beteiligung der Zivilgesellschaft erst nach der Ressortabstimmung – wir sind daher über diese frühe Einbindung der Zivilgesellschaft erstaunt, würden uns aber wünschen, dass insbesondere das BMJV im Rahmen der Ressortabstimmung die bürgerrechtsfeindlichsten Abschnitte entfernt hätte, um der Zivilgesellschaft etwas davon abzunehmen.

Vor dem Hintergrund der deutlichsten Kritik aller Wirtschaftsverbände und zivilgesellschaftlichen Initiativen an den extrem kurzen Fristen rund um das IT-Sicherheitsgesetz 2.0 und den vergleichbar kurzen Fristen bei anderen Vorhaben des BMI im Jahr 2020 und 2021 kann leider nicht von einem lernfähigen BMI gesprochen werden.

Eine bisher äußerst flüchtige Bewertung der CSS 2021 kommt zum gleichen Ergebnis – relevante wissenschaftliche Erkenntnisse zur IT-Sicherheit und Cyberstrategie verschiedener staatlicher Stellen wurden nicht berücksichtigt – auch hier drängt sich uns die Vermutung auf, dass das BMI weder wissenschaftlich-fundiert arbeitet, noch lernfähig oder lernwillig ist.

Wir werden eine detaillierte Stellungnahme bis 07. Juli 2021 einreichen – Dies entspricht vier Wochen Kommentierungsfrist. Wir halten diese vier Wochen für angemessen, da das BMI auf kleine Anfragen regelmäßig die gleiche Frist zur Beantwortung erbittet.

Mit dem Wissen, dass die Beamten im BMI für ihre Tätigkeit bezahlt werden, wir unsere Bewertungen allerdings im Ehrenamt durchführen, halten wir es für angemessen, uns für die Bewertung dieses umfassenden Dokumentes die selbe Frist zu beanspruchen, die das BMI für die Beantwortung parlamentarischer Fragen beansprucht.

Hierzu hat die AG KRITIS auch einen offenen Brief der Gesellschaft für Informatik mit unterzeichnet, der „Angemessene Fristen statt Scheinbeteiligung“ fordert.

KRITIS auf EU-Ebene – Teil 2

Derzeit beschäftigt sich das europäische Parlament in den Vorgängen 2020/0359 (COD) und 020/0365 (COD), auch genannt NIS2- und RCE-Direktive, mit Cybersicherheit und der Resilienz Kritischer Infrastrukturen.

Da sich beide Direktiven auch auf die IT-Sicherheit kritischer Infrastrukturen in Deutschland auswirken, hat eine Untergruppe der AG KRITIS in den letzten Wochen eine Bewertung der vorliegenden Entwürfe vorgenommen.

Eine erste Bewertung haben wir bereits hier veröffentlicht: Bewertung der EU-NIS und EU-RCI Richtlinie, die dort erwähnten noch fehlenden Punkte haben wir nun in einer zweiten Bewertung analysiert und stellen Ihnen die Bewertung hier zur Verfügung:

Vielen Dank an die Mitglieder der AG KRITIS, die sich bereit erklärt haben, neben den regulären Aufgaben innerhalb der AG KRITIS, diese Bewertung vorzunehmen.

IT-Sicherheitsgesetz 2.0 – alle verfügbaren Versionen

Hier stellt die AG KRITIS zur Übersicht alle Versionen des IT-Sicherheitsgesetz 2.0 bereit, die irgendwo öffentlich geworden sind, so dass es eine Chance gibt, den Überblick zu halten. Das BMI hat leider versäumt, eine solche Transparenz im Sinne der Gesetzgebung eigenständig vorzunehmen – ebenso gibt es leider weiterhin keine vom BMI bereitgestellten Synopsen, anderweitige Differenzversionen oder Versionen mit Änderungsmarkierungen jeglicher Art.

Timeline der IT-SIG 2.0 Versionen:

18.05.2021 IT-Sicherheitsgesetz 2.0 (Vollständiges IT-SiG 2.0) (Vollständige HTML Version via Buzer.de)

18.05.2021 IT-Sicherheitsgesetz 2.0 (Beschlossene Fassung aus dem  Bundesgesetzblatt) (17 Seiten)

20.04.2021 IT-Sicherheitsgesetz 2.0 (Antrag Entschließung CDU/CSU und SPD) (5 Seiten)

20.04.2021 IT-Sicherheitsgesetz 2.0 (Änderungsantrag CDU/CSU und SPD) (20 Seiten)

25.01.2021 IT-Sicherheitsgesetz 2.0 (Bundestagsfassung) (110 Seiten)

01.01.2021 IT-Sicherheitsgesetz 2.0 (Bundestagsfassung) (130 Seiten)

16.12.2020 IT-Sicherheitsgesetz 2.0 (Kabinettsfassung) (118 Seiten)

11.12.2020 IT-Sicherheitsgesetz 2.0 (119 Seiten)

09.12.2020 IT-Sicherheitsgesetz 2.0 (Anschreiben Verbände) (10 Seiten)

09.12.2020 IT-Sicherheitsgesetz 2.0 (Verbändefassung) (108 Seiten)

01.12.2020 IT-Sicherheitsgesetz 2.0 (92 Seiten)

19.11.2020 IT-Sicherheitsgesetz 2.0 (92 Seiten)

07.05.2020 IT-Sicherheitsgesetz 2.0 (73 Seiten)

27.03.2019 IT-Sicherheitsgesetz 2.0 (90 Seiten)

To be continued…

Vorherige Stellungnahme der AG KRITIS

Bei weiteren sachdienlichen Hinweisen wenden Sie sich bitte an Ihre nächste Kontaktperson der AG KRITIS.

Für Risiken und Nebenwirkungen kontaktieren Sie Ihre Abgeordneten.

Stellungnahme der AG KRITIS zum BSI-KritisV-Entwurf vom 22.04.2021

Am 26. April 2021 hat das Bundesministerium des Innern, für Bau und Heimat (BMI) den „Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung“ (KritisV) veröffentlicht. Insgesamt werden durch die darin enthaltenen Änderungen über alle KRITIS Sektoren hinweg ca. 270 zusätzliche KRITIS Betreiber erwartet, was eine umfangreiche Ausweitung der registrierten KRITIS Betreiber darstellt. Adressiert werden dadurch im Wesentlichen die folgenden Sektoren:

  • Energie: ~170 (insbesondere Stromerzeugung)
  • IT und TK: ~10 (insbesondere IXP & Rechenzentren)
  • Finanz- und Versicherungswesen: ~20 (insbesondere Wertpapier- & Derivathandel)
  • Transport und Verkehr: ~70 (insbesondere intelligente Verkehrssystem)

Evaluierung? Weiterhin unvollständig, halbherzig, intransparent und nicht öffentlich!

Angeblich hat inzwischen eine Evaluierung der KritisV stattgefunden, deren Erkenntnisse in dem Entwurf Berücksichtigung finden. Allerdings gibt es keinerlei Informationen zu Umfang, Methodik und Ergebnissen dieser Evaluierung, ganz zu schweigen von einem Nachweis der Unabhängigkeit oder der Expertise der Evaluierenden. Nur eine Veröffentlichung der KritisV Evaluierungen schafft die notwendige Transparenz, um eine objektive Beurteilung der KritisV zu gewährleisten.

So wurden offensichtliche Fragestellungen, wie Auswirkungen durch sektorübergreifende KRITIS Betreiber oder auch der pauschale Regelschwellenwert von 500.000 Personen, nicht analysiert. Im Ergebnis werden z.B. Ver- und Entsorgungsbetriebe von Städten wie Bielefeld, Bonn, Münster, Karlsruhe, Mannheim, Augsburg, Wiesbaden, Braunschweig oder Aachen mit ihrer Einwohneranzahl weiterhin nicht zu kritischen Infrastrukturen gezählt.

Es wirkt eher, als habe das BMI das Feedback der Aufsichtsbehörden und des BSI eingesammelt und in ein Update einfließen lassen. Von einer Evaluierung ist weiterhin weit und breit keine Spur.

Allgemeine Änderungen

Unter Anlagen werden jetzt auch explizit „Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind“ definiert. Diese waren allerdings bereits zuvor relevant und wurden nur der Vollständigkeit halber ergänzt.

Konkretisiert wurde auch die Definition von mehreren Anlagen, die eng miteinander verbunden sind und somit als gemeinsame Anlage gelten. Denn eine Störung oder der Ausfall einer Anlage zieht mit hoher Wahrscheinlichkeit alle anderen Anlagen mit, so dass diese auch wie eine große Anlage zu sehen sind.

Sofern mehrere KRITIS-Betreiber gemeinsam eine Anlage betreiben, ist jeder für die Erfüllung der Pflichten als Betreiber verantwortlich und kann sich somit nicht aus der Verantwortung stehlen.

Details in den Sektoren

Sektor Energie

  • Stromerzeugungsanlagen sind im Schwellenwert von 420 MW auf 36 MW reduziert worden, somit werden weitere kleinere Anlagen aufgenommen. Mit dieser signifikanten Änderung des Schwellwerts wird einer Empfehlung der Bundesnetzagentur gefolgt.
  • Schwellwerte für zentrale Anlagen und Systeme für den Stromhandel wurden von 200 TWh/Jahr auf 3.700 TWh/Jahr angehoben. Dabei sind gleichzeitig aber Einschränkungen auf den „physischen kurzfristigen Spothandel im deutschen Markt“ entfallen. Laut Referentenentwurf wurden in diesem Bereich bisher keine KRITIS-Betreiber verzeichnet. Somit besteht hier wohl das Bestreben, weitere KRITIS-Betreiber zu erfassen.
  • Messstellen wurden als Kategorie ersatzlos gestrichen, da sie sich laut Evaluierung als nicht erforderlich herausgestellt haben. Eine weitere Begründung ist nicht ersichtlich.

Sektor Wasser

  • Stauanlagen wurden hinzugefügt.

Sektor Ernährung

  • Fuhrpark-, Hof- und Flottenmanagementsysteme wurden hinzugefügt.
  • ERP-, Warenwirtschaft und Lagerveraltungssysteme sowie EDI- Dispositionssysteme, Lieferanten- und Kundenstammdatensysteme finden beispielhafte Erwähnung als Konkretisierung.
  • Alkopops sind jetzt KRITIS, da Getränke mit einem Alkoholgehalt von bis zu 1,2 Volumenprozent in die Definition fallen.

Sektor IT und TK

  • Registrierungsstellen für Top-Level-Domains fallen jetzt explizit in die Definition, obwohl DNS-Server bereits in die Anlagenkategorie „DNS-Server“ fallen.
  • Der Schwellenwert für Internet Exchange Points (IXP) wurde von 300 auf 100 angeschlossene autonome Systeme herabgesetzt und die Beschreibung konkretisiert.
  • Der Schwellwert von Housing-Rechenzentren wurde von 5 MW auf 3,5 MW vertraglich vereinbarter Leistung reduziert.

Sektor Gesundheit

  • Wareneingang, Lagerung und Warenausgang finden beispielhafte Erwähnung als Konkretisierung.
  • Im Laborinformationsverbund finden die Steuerung des Probentransports, die Kommunikation zum Auftragseingang und zur Befundübermittlung sowie der Betrieb eines Laborinformationssystems beispielhafte Erwähnung als Konkretisierung. Hier scheinen die Praxiserfahrungen der Pandemie-Situation eingeflossen zu sein.

Sektor Finanz- und Versicherungswesen

  • Lastschriften oder Zahlungsaufträge finden beispielhafte Erwähnung als Konkretisierung.
  • Das Erzeugen und Weiterleiten von Aufträgen zum Handel von Wertpapieren und Derivaten an einen Handelsplatz, der Handelsplatz selbst und sonstige Depotführungssysteme sind neu hinzugefügt worden.
  • „Ein integriertes Anwendungssystem zur Erfassung, Prüfung und Berechnung von sozialversicherungsbezogenen Transferleistungen nach SGB II“ wurde hinzugefügt.

Sektor Transport und Verkehr

  • Es wurden die Flugsicherung und Luftverkehrskontrolle und das Flughafenleitungsorgan hinzugefügt.
  • Bei der Leitzentrale der Eisenbahn findet die Disposition von Personal und die Disposition des Wartungsbetriebs Erwähnung.
  • In der Seeschifffahrt findet die Disposition des Schiffsraums und die Leitzentrale der Binnenschifffahrt (nur Güterverkehr) als Konkretisierung Erwähnung. Neu hinzugekommen sind Umschlaganlagen in See- und Binnenhäfen, Hafenleitungsorgane (nur Güterverkehr) sowie Anlagen oder Systeme zur Abwicklung, Koordination, Steuerung und Verwaltung des übergreifenden Hafenbetriebs.
  • In Verkehrssteuerungs- und Leitsystemen finden Bundesautobahnen, zum Beispiel Verkehrs-, Betriebs- und Tunnelleitzentralen, Entwässerungsanlagen, intelligente Verkehrssysteme und Fachstellen für Informationstechnik und Informationssicherheit im Straßenbau Erwähnung.
  • Im kommunalen Straßenverkehr wurden Intelligente Verkehrssysteme hinzugefügt. Ebenfalls hinzu kommen Leitzentralen des ÖSPV, Anlagen oder Systeme zur Erbringung operativer Logistikleistungen und IT-Systeme zur Logistiksteuerung oder -verwaltung. Eine weitere Änderung wurde mutmaßlich durch die Berliner Verkehrsbetriebe (BVG) verursacht und ändert die Bemessungsgröße im ÖPNV von „Anzahl Fahrgäste/Jahr“ zu „Anzahl unternehmensbezogener Fahrgastfahren/Jahr“.
  • Auch neu hinzugekommen sind Bodenstationen eines europäischen Satellitennavigationssystems.
  • Es wurde konkretisiert, dass es sich um den deutschen Teil des Kernnetzes bei Schienennetzen und Stellwerken der Eisenbahn handelt.

Fazit

Wir begrüßen, dass einige Schwellenwerte herabgesetzt wurden und dadurch weitere Betreiber unter die BSI-Kritisverordnung fallen und durchaus einen großen Beitrag zur Versorgungssicherheit in Deutschland leisten. Zudem dürften die Konkretisierungen und ergänzenden Beispiele in den jeweiligen Sektoren insbesondere für die Betreiber eine Hilfe sein, wenn es um die Identifikation ihrer kritischen Anlagen und Dienstleistungen für die Versorgung Deutschlands geht.

Auf der anderen Seite ist das pauschale Festhalten an dem Regelschwellenwert von 500.000 Personen für uns weiterhin unverständlich, da somit weiterhin nicht einmal viele der deutschen Großstädte Berücksichtigung finden, z. B. im Bereich der Wasserversorgung. Wir fordern daher weiterhin, die Schwellenwerte öffentlich zu diskutieren und wissenschaftlich zu evaluieren. Dabei sind auch sektorübergreifende Kaskedeneffekte zu berücksichtigen.

Hier findet ihr die politischen Forderungen der AG KRITIS.

Bewertung der EU-NIS und EU-RCI Richtlinie

Derzeit beschäftigt sich das europäische Parlament in den Vorgängen 2020/0359 (COD) und 020/0365 (COD), auch genannt NIS2- und RCE-Direktive, mit Cybersicherheit und der Resilienz Kritischer Infrastrukturen.

Da sich beide Direktiven auch auf die IT-Sicherheit kritischer Infrastrukturen in Deutschland auswirken, hat eine Untergruppe der AG KRITIS in den letzten Wochen eine Bewertung der vorliegenden Entwürfe vorgenommen.

Nicht alle Aspekte wurden tiefgehend bewertet – am Ende der Bewertung findet sich eine Abgrenzung, zu welchen Themenbereichen noch keine Bewertung vorgenommen wurde. Es ist geplant, diese noch unbearbeiteten Punkte in zukünftigen Bewertungen zu ergänzen.

Die Bewertung findet sich hier:

Vielen Dank an die Mitglieder der AG KRITIS, die sich bereit erklärt haben, neben den regulären Aufgaben innerhalb der AG KRITIS, diese Bewertung vorzunehmen.

Ergebnis der Sachverständigenanhörung zum IT-Sicherheitsgesetz 2.0

Am 01. März 2021 war Manuel Atug, Gründer und Sprecher der AG KRITIS, als Sachverständiger im Ausschuss für Inneres und Heimat im Rahmen der Anhörung zum Entwurf des IT-Sicherheitsgesetz 2.0 geladen. Neben unserer Stellungnahme gab es von allen Sachverständigen enorme Kritik an dem geplanten Gesetzesvorhaben. Wir fordern daher weiterhin die Notbremse für den Entwurf, damit die dringend erforderlichen umfangreichen Änderungen durchgeführt werden können. Weiterhin muss die vorgesehene Evaluierung des ersten IT-Sicherheitsgesetzes durchgeführt werden.

Als Sachverständige wurden geladen:

  • Sebastian Artz, Branchenverband Bitkom
  • Manuel Atug, Arbeitsgemeinschaft Kritische Infrastrukturen (AG KRITIS)
  • Prof. Dr. Klaus F. Gärditz, Staatsrechtler
  • Dr. Sven Herpig, Stiftung Neue Verantwortung
  • Linus Neumann, Chaos Computer Club
  • Martin Schallbruch, Digital Society Institute der European School of Management and Technology Berlin

Die geladenen Sachverständigen waren sich einig, dass der vorliegende Gesetzesentwurf mangelhaft ist. Bereits vor der Einbringung des Entwurfs in den Bundestag hat das Ministerium des Inneren, für Bau und Heimat existierende Entwürfe des Gesetzestexts nicht oder nur mit sehr kurzen Rückmeldefristen für eine Stellungnahme der zivilgesellschaftlichen Organisationen veröffentlicht, sodass erste Kommentare auf geleakten Versionen des Texts beruhen. Zusätzlich handelt es sich bei den vorliegenden Texten um sogenannte Änderungsgesetze, die ein einfaches Lesen des aus den Änderungen resultierenden Gesetzestexts nicht möglich machen.

In der Stellungnahme erläuterte Manuel Atug die von uns bereits mehrfach kritisierten Punkte: Fehlende Unabhängigkeit des BSIs, fehlende Evaluierung des ersten IT-Sicherheitsgesetzes, die Streichung der Stärkung des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe sowie insbesondere die Einführung der Möglichkeit des Zurückhalten von Schwachstellen durch das BSI, da sich die Behörde damit zum „Handlanger der Sicherheitsbehörden und Nachrichtendienste“ mache und das Vertrauen in den Responsible Disclosure Prozess des BSI erschüttert werden würde.

Auch die anderen Sachverständigen formulierten teils erhebliche Kritik. Dr. Sven Herpig äußerte Kritik an wirkungslosen Passagen bezüglich des digitalen Verbraucherschutzes, da „[…] es in Deutschland weiter möglich sein werde, unsichere IT-Produkte auf den Markt zu bringen“. Linus Neumann vermisst eine Strategie, die „kompromisslos auf IT-Sicherheit“ setzt, beispielsweise durch ein Mindesthaltbarkeitsdatum für Softwarekomponenten und kritisiert das freiwillige IT-Sicherheitskennzeichen. Der Verfassungsrechtler Dr. Klaus F. Gärditz formuliert zusätzlich zu der inhaltlichen Kritik der anderen Sachverständigen verfassungs- und verwaltungsrechtliche Bedenken an § 9b des Entwurfs.

Die Aufzeichnung der kompletten Sitzung ist auf der Webseite des Bundestags abrufbar. Unsere Stellungnahme [AG KRITIS], [Deutscher Bundestag], die Stellungnahmen der anderen Sachverständigen sowie die Rede von Manuel Atug sind öffentlich einsehbar.