Artikel von unseren Mitgliedern

BVG-Interpretation der BSI-Kritisverordnung schlicht falsch

/in /von

Die Interpretation der Berliner Verkehrsbetriebe, dass die BSI-Kritisverordnung für sie nicht gelte, ist aus unserer Sicht schlicht falsch. Wir sind der Meinung, dass die BVG zweifelsfrei die Schwellenwerte der BSI-Kritisverordnung überschreitet.

Die BVG versteht die Formulierung „Anzahl Fahrgäste/Jahr“ in der BSI-Kritisverordnung als „Individuen pro Jahr“ und behauptete gegenüber dem Tagesspiegel, dass sie „lediglich“ 30 Millionen Individuen als Fahrgäste hat. Gleichzeitig wirbt die BVG aber auf der eigenen Website laut Tagesspiegel mit über 1 Milliarde Fahrgästen pro Jahr. Die BSI-Kritisverordnung legt fest, das ein ÖPNV-Betreiber ab 125 Mio Fahrgäste pro Jahr als kritische Infrastruktur gilt.

Selbst wenn die BVG nicht unter die BSI-Kritisverordnung fallen würde, so sollte sie trotzdem – im Sinne der Versorgungssicherheit – die Mindestvorgaben für kritische Infrastrukturen erfüllen und ihre Infrastruktur regelmäßig unabhängig prüfen lassen.

Die laufende gerichtliche Überprüfung, ob die BVG unter die BSI-Kritisverordnung fällt, kann jedenfalls nicht als Grund herangezogen werden, die KRITIS-Maßnahmen nicht trotzdem zu ergreifen.

Von einem öffentlich-rechtlichen Unternehmen wie der BVG müssen wir erwarten können, dass es unmittelbar und auch ohne gesetzliche Pflicht alle zumutbaren und sinnvollen Maßnahmen umsetzt, welche die Versorgungs- und Betriebssicherheit weiter erhöhen. Alles andere wäre aus unserer Sicht fahrlässig.

Selbst wenn es nicht zu einem Ausfall des Berliner ÖPNV kommt wäre es wahrscheinlich, dass die drohenden Bußgelder am Ende über erhöhte Fahrpreise auf die Fahrgäste umgelegt werden müssten. Des Weiteren ist bereits absehbar, dass der Bußgeldrahmen sich durch das kommende IT-Sicherheitsgesetz 2.0 deutlich vervielfachen wird.

Die BVG sollte daher im Sinne der Berliner Bürger unter der Annahme handeln, dass Sie als größter Verkehrsbetrieb unter die BSI-Kritisverordnung fällt.

Das Bundesministerium des Inneren für Bau und Heimat ist parallel dazu weiterhin gesetzlich verpflichtet, die Umsetzung der BSI-Kritisverordnung zu evaluieren. Im Rahmen einer solchen Evaluierung könnte das BMI auch Einsichten in die kreativen Interpretationsweisen der BSI-Kritisverordnung berücksichtigen, um ähnliche Fälle zukünftig zu vermeiden. Wir fordern daher weiterhin, dass das BMI seinen gesetzlichen Pflichten nachkommt und die fehlenden Evaluierungen durchführt.

 

Tagesspiegel: BVG eskaliert im Konflikt mit Bonner Bundesamt

 

Unsere Forderung zur Evaluierung durch das BMI:

Bundesinnenministerium ignoriert Fristen in den eigenen Gesetzen!

IT-Sicherheitsgesetz 2.0 – alle verfügbaren Versionen

/in /von

Hier stellt die AG KRITIS zur Übersicht alle Versionen des IT-Sicherheitsgesetz 2.0 bereit, die irgendwo öffentlich geworden sind, so dass es eine Chance gibt, den Überblick zu halten. Das BMI hat leider versäumt, eine solche Transparenz im Sinne der Gesetzgebung eigenständig vorzunehmen – ebenso gibt es leider weiterhin keine vom BMI bereitgestellten Synopsen, anderweitige Differenzversionen oder Versionen mit Änderungsmarkierungen jeglicher Art.

Timeline der IT-SIG 2.0 Versionen:

01.01.2021 IT-Sicherheitsgesetz 2.0 (Bundestagsfassung) (130 Seiten)

16.12.2020 IT-Sicherheitsgesetz 2.0 (Kabinettsfassung) (118 Seiten)

11.12.2020 IT-Sicherheitsgesetz 2.0 (119 Seiten)

09.12.2020 IT-Sicherheitsgesetz 2.0 (Anschreiben Verbände) (10 Seiten)

09.12.2020 IT-Sicherheitsgesetz 2.0 (Verbändefassung) (108 Seiten)

01.12.2020 IT-Sicherheitsgesetz 2.0 (92 Seiten)

19.11.2020 IT-Sicherheitsgesetz 2.0 (92 Seiten)

07.05.2020 IT-Sicherheitsgesetz 2.0 (73 Seiten)

27.03.2019 IT-Sicherheitsgesetz 2.0 (90 Seiten)

To be continued…

Vorherige Stellungnahme der AG KRITIS

Bei weiteren sachdienlichen Hinweisen wenden Sie sich bitte an Ihre nächste Kontaktperson der AG KRITIS.

Für Risiken und Nebenwirkungen kontaktieren Sie Ihre Abgeordneten.

IT-Sicherheitsgesetz 2.0 – vierter Entwurf: Jetzt vom BMI nur noch 24h Zeit zur Kommentierung

Notbremse für den Entwurf! – Stellungnahme der AG KRITIS zum 3. Entwurf des IT-SiG 2.0

Neue Version des IT-Sicherheitsgesetz 2.0 aufgetaucht!

Kommentar zum neuen Referentenentwurf des IT-Sicherheitsgesetz 2.0 (IT-SiG2)

Erste Fraktion im Deutschen Bundestag fordert ein Cyberhilfswerk

/in , /von

Die Fraktion der freien Demokraten im Deutschen Bundestag hat auf Drucksache 19/24632 einen Antrag mit dem Titel: „Pandemie als digitalen Weckruf ernst nehmen – Umfangreiche
Digitalisierungsstrategie vorlegen“ veröffentlicht.

Dort heißt es neben wichtigen anderen Positionen zu einer defensiven Cybersicherheitsstrategie und zu der Forderung eines unabhängigen BSI unter anderem auch:

Damit auch nach einer Großschadenslage im Cyberraum die Versorgung der Bevölkerung sichergestellt werden kann, sind weiterhin die vorhandenen Bewältigungskapazitäten im BSI zu erweitern, indem ergänzende, ehrenamtliche Strukturen nach Vorbild des THW geschaffen werden.

Der vollständige Antrag ist hier zu finden:

Antrag auf Drucksache 19/24632

Damit ist die Fraktion der Freien Demokraten die erste Fraktion, die unsere Forderung zur Gründung eines Cyberhilfswerks aufgenommen und zur Fraktionsposition gemacht hat. Dies freut uns sehr, denn wir sind davon überzeugt, dass ein Cyberhilfswerk ein notwendiger und wichtiger Schritt zur Erhöhung der Versorgungssicherheit der Bevölkerung ist.

Gerne beraten wir bei Interesse alle Fraktionen im Deutschen Bundestag, wie sie die Gründung eines Cyberhilfswerk bestmöglich auf die eigene politische Agenda setzen.

IT-Sicherheitsgesetz 2.0 – vierter Entwurf: Jetzt vom BMI nur noch 24h Zeit zur Kommentierung

/in /von

Das BMI hat eine neue Version des IT-Sicherheitsgesetz 2.0 an die Verbände zirkuliert – diesmal von heute morgen (09.12.2020), exportiert um 10:15 Uhr. Laut mehreren Tweets soll die Frist für die Beteiligung nur noch bis morgen um 14:00 laufen – also etwas über 24h.

Vor dem Hintergrund der Montag veröffentlichten „Berlin Declaration“ des BMI, in der es heißt:

„a commitment to the vital role of public administration in digital transformation based on fundamental democratic values, ethical principles and active involvement of civil society by EU member states“

ist diese Frist ein Schlag ins Gesicht der Zivilgesellschaft. Deutlicher kann das BMI nicht mehr hervorheben, dass es nicht wirklich um eine Beteiligung der Zivilgesellschaft geht, sondern eigentlich nur ein Durchwinken vorgesehen wird. Gerade in der für die meisten Menschen stressigen Vorweihnachtszeit für die Bewertung der umfassenden Änderungen nur 24 Stunden Zeit zu lassen, zeigt allen denjenigen, die sich dienstlich oder ehrenamtlich für eine Verbesserung der IT-Sicherheit einsetzen, dass ihre Meinung, Bewertung und demokratische Teilhabe unerwünscht ist.

Die AG KRITIS stellt hierzu fest: Eine so kurze Frist ist der ministerielle Mittelfinger ins Gesicht der Zivilgesellschaft!

Auch bei der Veröffentlichung des dritten Entwurfs gab es zuerst nur 2,5 Werktage Zeit für die Bewertung – nach einem Aufschrei auf Twitter hat das BMI dann kommentarlos die Frist auf 5 Werktage geändert und später von einem redaktionellen Fehler gesprochen – ob eine kommentarlose Fristverlängerung jetzt auch passieren wird, bleibt abzuwarten.

Die kurze Frist legt nahe, das trotz durchgängig kritischer Stimmen durch alle Bundesverbände und Interessensvertretungen hinweg, das IT-Sicherheitsgesetz 2.0 noch unbedingt am 16. Dezember durch das Kabinett beschlossen werden soll.

Wir konnten bestätigen, dass die in diesem Tweet verlinkte Version des IT-SiG2-RefE4 der heute morgen veröffentlichten entspricht:

Hier wird die dritte und die vierte Version des IT-Sig2.0 verglichen: https://draftable.com/compare/lupgBxkcRtAd  

Räumliche Trennung bei der Digitalisierung von Kritischen Infrastrukturen?

/in /von

Unsere Mitglieder haben sich für die AG KRITIS mit der räumlichen Trennung bei der Digitalisierung von Kritischen Infrastrukturen auseinandergesetzt.Paper der AG KRITIS: Räumliche Trennung bei der Digitalisierung von Kritischen Infrastrukturen

Es ist nicht klug, so das Sprichwort, alle Eier in einem Korb zu lagern. Eine grundlegende Vorsichtsmaßnahme gegen Unfälle und Missgeschicke, aber auch gegen Angriffe, ist die räumliche Trennung von Werten. Insbesondere werden kritische Komponenten grundsätzlich redundant ausgelegt und diese redundanten Systeme räumlich voneinander getrennt betrieben, um zu vermeiden dass ein einzelnes Ereignis einen Schaden anrichten kann.

Es wird niemanden überraschen, dass die fortschreitende Digitalisierung und Vernetzung von Systemen der Kritischen Infrastruktur die Schutzwirkung von Redundanz und räumlicher Trennung deutlich schwächt. Für digitale Angreifer stellt Redundanz alleine kein Hindernis dar, wenn die redundanten Systeme dieselben Schwachstellen aufweisen. Und die Kommunikation in der digital vernetzten Welt koppelt räumlich getrennte Systeme wieder so dicht zusammen, wie schnell Daten durch das Kommunikationsnetz gesendet werden können. Eine unabsichtliche Fehl-Fernbedienung oder ein absichtlicher Angriff können digitalisierte, redundante Komponenten gleichermaßen betreffen.

In diesem Artikel diskutieren wir die Schwächung physischer Barrieren durch Digitalisierung und mögliche Maßnahmen zur Sicherstellung eines grundlegenden Schutzniveaus einer digitalisierten Kritischen Infrastruktur.

Physische Trennung als traditionelle Schutzmaßnahme

Physische Trennung in den verschiedensten Ausprägungen ist eines der am weitesten verbreiteten Schutzkonzepte, um Schaden zu vermeiden oder zumindest das Schadensausmaß zu reduzieren. Die Techniken sind dabei so vielfältig wie für uns alltäglich und intuitiv, dass wir sie vielleicht nicht einmal wirklich als solche erkennen. Ein Beispiel für so eine intuitive räumliche Trennung sind Bürgersteige und Fahrspuren, während Ampeln eine ebenso intuitive zeitliche Trennung darstellen.

Auch Kritische Infrastruktur wird in wesentlichen Teilen durch physische Trennung geschützt, sei dies die räumliche Barriere um ein Kraftwerk oder die räumlich getrennte redundante Stromversorgung eines Krankenhauses. Auch die durch Ressourcen-Lagerung erreichte zeitliche Trennung der Verbraucher von den Versorgungsquellen ist ein wesentlicher Baustein traditioneller Schutzkonzepte.

Schaden mit nahezu Lichtgeschwindigkeit

Digitalisierung von Kritischer Infrastruktur bedeutet vor allem einen automatisierten Austausch, sowie die Erzeugung und Verarbeitung von Sensor- und Steuerdaten. Insbesondere die hohe Geschwindigkeit der Kommunikation, zwischen 50 und 90% der Lichtgeschwindigkeit, verringert den Schutzeffekt räumlicher Trennung von kommunizierenden Komponenten in dramatischer Weise.

Allein in diesem Jahr finden sich etliche öffentliche Berichte von Firmen, Universitäten, Gerichten, kommunalen Systemen als auch Universitätskliniken und Krankenhäusern, die durch Ransomware innerhalb kürzester Zeit für Tage oder Wochen vollständig lahmgelegt wurden. Was selbst eine massive Sabotage an der Stromversorgung nicht erreichen könnte, bewirkt die Schadsoftware der organisierten Kriminalität in Minuten. Traditionelle Schutzkonzepte, die nur auf Redundanz und physischer Trennung beruhen, sind in einer digitalisierten Infrastruktur offensichtlich unzureichend.

Digitalisierte Schutzkonzepte

Die wesentliche Frage ist also, wie die physische Trennung ergänzt werden kann, um sowohl gegen Fehler als auch gegen Angriffe in einer digitalisierten Infrastruktur zu schützen? Sehr abstrakt betrachtet ist dies ein Kernthema der IT-Sicherheit, in deren Entwicklung eine Vielzahl von Schutzmechanismen erarbeitet wurden, mit denen physische Mechanismen ersetzt oder ergänzt werden. Die „Firewall“ hat es als dominantere Technologie sogar bis in den allgemeinen Sprachgebrauch geschafft. Im Folgenden werden einige Konzept vorgestellt, die in der IT-Sicherheit entwickelt wurden, um die Auswirkungen von Angriffen und Fehlern zu limitieren und zu verringern.

Isolation & Kapselung

Auch wenn es verlockend bzw. kostengünstiger erscheint, Systeme großflächig einheitlich zu digitalisieren, sollte nicht einfach „alles mit allem“ vernetzt werden. Der Grad der Vernetzung sollte sich an dem konkret vorgesehenen Kommunikationsbedarf orientieren. Systeme unterschiedlicher Kritikalität sollten auch im digitalen grundsätzlich voneinander getrennt bleiben. Kommunikation sollte nur in dem Maße ermöglicht werden, wie Bedarf und Nutzen nachgewiesen werden – sog. Business need to Know Designprinzip. Insbesondere sollen redundante Komponenten nicht über dieselben Kommunikationsnetze steuerbar bzw. erreichbar sein.

Eng verbunden mit dem Designprinzip der Isolation ist auch das „least privilege“ Designprinzip, das die Zugriffsmöglichkeiten und Rechte auf den einzelnen Systemen in ähnlicher Weise auf das Notwendige einschränkt.

Unabhängigkeit

Jede Abhängigkeit eines digitalen Systems bedeutet auch eine weitere potentielle Angriffsfläche. Auch die möglichen Fehlerquellen werden schnell unüberschaubar. Daher sollten Systeme in Kritischen Infrastrukturen möglichst unabhängig von anderen Systemen, Diensten und Funktionen betrieben werden. Ist eine Abhängigkeit notwendig, sollte diese als ebenso kritisch berücksichtigt werden. Benötigt ein System beispielsweise die exakte Uhrzeit, lässt sich eine Abhängigkeit zu einem Zeit-Server nicht vermeiden. Dieser Zeit-Server muss dann in das Schutzkonzept gegen Angriffe und Fehler mit einbezogen werden.

Heterogenität

Zuerst einmal sollte akzeptiert werden, dass Teile eines Systems ausfallen oder kompromittiert werden können. Insbesondere muss geplant werden, dass gleichartige Komponenten mit höherer Wahrscheinlichkeit gleichzeitig betroffen sind, weshalb Backup- und Wiederherstellung für den Ausfall ganzer Komponentengruppen geplant, umgesetzt und (auch die Wiederherstellung) getestet werden müssen.

Digitalisierte Systeme bestehen heutzutage jeweils aus einem komplexen Stapel von Software- und Hardware-Komponenten. Eine wesentlich Erkenntnis ist, dass Schwachstellen einer Komponente dieses Stapels meist alle Systeme betreffen, in denen diese Komponente verwendet wird. Die weite Verbreitung einer Komponente, z. B. eines Betriebsystems oder einer beliebten Softwarebibliothek führt dazu, dass auch deren Schwachstellen weit verbreitet sind und die betroffene System dementsprechend angreifbar wären. Um die Auswirkungen einzelner Schwachstellen zu reduzieren ist es demzufolge wichtig, die Verbreitung gleichartiger Baureihen zu beschränken, kurz, die Infrastruktur aus Systemen mit möglichst unterschiedlichen Software- und Hardware-Komponenten aufzubauen. Damit würde Heterogenität als eine digitale Schutztechnik die Redundanz bzw. räumliche Trennung ergänzen.

Praktisch bedeutet Heterogenität aber auch, dass der Aufwand in der Herstellung und im Betrieb der Infrastruktur steigt. Offensichtlich kann nicht jedes System vollständig anders als alle anderen aufgebaut werden. Deshalb ist es zuerst wichtig, eine Abwägung zu treffen und minimale Heterogenitätsanforderungen zu definieren. Dabei kann weiterhin der, oft durchaus räumlich beschränkte, Wirkbereich von Systemen berücksichtigt werden. Eine einfache Verteilung gleichartiger Komponenten auf unterschiedliche Systeme führt nämlich auch dazu, dass alle Systeme gleichzeitig angreifbar werden. Diese Abschätzung fehlt bisher in allen wesentlichen Standards und Richtlinien für den Schutz von Systemen.

Bei einigen Technologien ist Heterogenität nur in geringem Maß umsetzbar. In diesem Fall ist neben erhöhten Isolations- und Unabhängigkeitsanforderungen auch eine bessere Reaktivität notwendig.

Reaktivität

Im Vergleich zu nicht digitalisierter Kritischer Infrastruktur unterliegen Hardware und insbesondere Software heutzutage sehr kurzen Lebenszyklen. Wöchentliche Updates und monatliche „Patchdays“ sind eher die Regel als die Ausnahme. Gleichzeitig gilt das Betreiben möglichst aktueller Software und Hardware als beste Maßnahme gegen Angriffe. Dies ist schon in einem Büro-IT Umfeld schwierig. Digitale Kritische Infrastruktur schnell und häufig zu aktualisieren wird in den meisten Fällen ein enorme Herausforderung sein. Gleichzeitig stellt dies sogar ein wesentliches Risiko für die Verfügbarkeit der Versorgung dar. Trotzdem gehört die Reaktivität auf neue Schwachstellen als auch aktualisierte Software und Hardware in jedes Schutzkonzept. Möglichst frühzeitig sollte das eigene Reaktionsvermögen – unter anderem auf Schwachstellen und veraltete Komponenten – realistisch abgeschätzt werden. Dieses (vermutlich nicht allzu schnelle) Reaktionsvermögen sollte dann die Basis für die Planung von Betriebs- und Wartungszyklen sein. Ebenso sollte der Schutzbedarf gemäß den vorher vorgestellten Konzepten daran ausgerichtet werden, wie viele Schwachstellen innerhalb eines Betriebszyklus zu erwarten sind, ohne diese reaktiv beheben zu können.

Konsultation zur und Evaluierung der Cybersicherheitsstrategie 2016

/in /von

Im Rahmen der Entwicklung der neuen Cybersicherheitsstrateige 2021 hat das Bundesministerium des Inneren für Bau und Heimat eine offizielle Konsultation der Zivilgesellschaft zur Cybersicherheitsstrategie 2016 (CSS2016) durchgeführt. In diesem Rahmen ist auch die AG KRITIS gebeten worden, teilzunehmen.

Wir haben uns die Cybersicherheitsstrategie 2016 genau angeschaut und die zugrundeliegenden Thesen in einem Dokument diskutiert. Dabei haben wir Verbesserungsvorschläge und konstruktive Kritik an der CSS2016 erarbeitet. Das Ergebnis der Konsultation wollen wir im Sinne der Transparenz hiermit veröffentlichen.

Die Cybersicherheitsstrategie in der von uns evaluierten Version findet sich hier:

Cybersicherheitsstrategie 2016 im Original

Unsere Evaluation der Cybersicherheitsstrategie findet sich hier:

Evaluation der AG KRITIS der Cybersicherheitsstrategie 2016

weggeWARNttag – Der Warntag2020

/in , /von

Ein gemeinsamer Gastbeitrag von Herbert Saurugg, Andreas Kling, Björn Vetter, Jens von den Berken und unserem AG KRITIS Mitglied Manuel AtugPaper der AG KRITIS: weggeWARNttag – Der Warntag2020

Der Warntag 2020 und die Abberufung Ungers als Vergrößerungsglas für die seit langem bestehenden Defizite im Bevölkerungsschutz.

Eine unvorbereitete Bevölkerung, Ladehemmungen in der Warnapp NINA und abgebaute Sirenen. Die Konsequenz: der Präsident des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) Christoph Unger wird abberufen. Die Politik sendet mit der Abberufung Ungers das schlechtmöglichste Signal:

Unger hat seit der Neugründung des Bundesamtes 2004 immer wieder, zuletzt vor dem Bundestagsausschuss im Januar 2020, für die Verbesserung der strukturellen Defizite im Zivil- und Katastrophenschutz geworben. Erhört wurden er und das BBK nicht. Die Politik ignorierte die umfangreichen Ausarbeitungen sowie die Erkenntnisse aus der Forschung oder Übungen, wie der Länderübergreifenden Übung (LÜKEX). Daher stellt der nunmehrige Schritt wohl mehr ein Ablenken von den eigenen Versäumnissen dar, als die Bereitschaft, dieses wichtige Thema endlich anzugehen.

Der Warntag scheiterte, weil man sich zu viel vorgenommen hat. Vor allem, da man anscheinend seitens der Politik die Jubelmeldung erwartete: „Alles hat funktioniert, die jahrzehntelange Ignoranz hat sich nicht ausgewirkt.“

Zu erwarten, dass ein System beim ersten Test reibungslos funktioniert, das seit Jahrzehnten nicht angemessen betreut und koordiniert eingesetzt wurde, ist naiv. Daher war genau dieser Test dringend erforderlich, um zu sehen, was funktioniert und wo es noch einen Nachbesserungsbedarf gibt. Mit dem politischen Aktionismus, den Überbringer der schlechten Botschaft zu bestrafen, wird genau das Gegenteil erreicht! Man wird wohl in Zukunft solche Tests und Übungen tunlichst vermeiden, denn es könnte ja den eigenen Kopf kosten. Daher wird man zukünftig lieber schweigen oder schönreden. Ein fatales Signal für die Katastrophenhilfe. Die Folgen wird wiederum die Bevölkerung zu tragen haben.

Der Warntag hat auch einmal mehr den Reibungsverlust durch das Neben- und Gegeneinander von Bund, Ländern und Kommunen sichtbar gemacht. Das BBK ist nach wie vor eine Bundesbehörde mit einer nicht mehr zeitgemäßen Zuständigkeit: ausschließlich für den Spannungs- und Verteidigungsfall. Eine Richtlinien- oder Weisungskompetenz gibt es nicht. Für den Katastrophenschutz sind die Bundesländer und nicht das BBK zuständig, was 16 teils erheblich unterschiedliche Landeskatastrophenschutz-/Brandschutz- und Rettungsdienstgesetze zur Folge hat.

Wobei es hier nicht um ein entweder-oder, sondern um ein sowohl-als-auch gehen soll. Es ist durchaus zweckmäßig, dass es regionale Bestimmungen und Risikobeurteilungen gibt. Aber in einer zunehmend stärker vernetzten und damit wechselseitig abhängigen Welt braucht es auch eine gemeinsame Sicht und Leitlinien, die national abgestimmt und vorgegeben werden.

Ländergrenzenüberschreitende Ereignisse wie Hochwasserlagen, Cyber-Angriffe, Pandemien oder großflächige Strom- und Infrastrukturausfälle erfordern eine übergeordnete Führungsebene. Das ist in sämtlichen Dienstvorschriften in den entsprechenden Behörden und Organisationen mit Sicherheitsaufgaben Standard, endet aber faktisch auf der Landesebene als höchste Instanz.

Die Bundesländer stellen Katastrophenschutzkonzepte auf, die der Bund mit Ausrüstung ergänzt. Den Kommunen obliegt die allgemeine Gefahrenabwehr, also das Tagesgeschäft der Feuerwehren und Rettungsdienste. Oftmals fehlen übergreifende Gesamtkonzepte und Standards, was im Anlassfall auch eine überregionale Zusammenarbeit oder Hilfe erheblich aufwendiger oder sogar unmöglich macht.

So bestimmt beispielsweise in den meisten Ländern im Rahmen der kommunalen Selbstverwaltung jede Gemeinde oder Stadt selbst, welche Fahrzeugtypen, Bekleidung oder Technik die Feuerwehren beschaffen. Vorgaben gibt es hier oftmals nur durch einschlägige DIN-Vorschriften oder durch das Vergaberecht.

Diese Problematik ist seit langem bekannt. Bereits 1967 war im Spiegel zu lesen: „Ämterwirrwarr und mangelhafte Koordination, Fehlbeschaffungen oder Fehlkonstruktionen, parkinsonsche Bürokratie wie technische Typenvielfalt stellen den Erfolg des Bonner Zivilschutzes von vornherein in Frage.“ Es gibt, so tadelte die SPD-Bundestagsabgeordnete Annemarie Renger, „viele Überschneidungen, Doppelarbeit und dadurch unnötige Kosten und leider kein Ergebnis.“ Und der Hamburger Innensenator Heinz Ruhnau spottet, es gebe „für jede Katastrophe einen besonderen Verein“.

Seither gab es offenbar keine wesentliche Verbesserung. Und das, obwohl den Beteiligten und der Politik auch heute diese Themen durchaus bekannt sind. Ein aktueller Antrag der FDP-Fraktion beschreibt vergleichbare Ursachen in knappen Sätzen:

Eine weitere Schwierigkeit liegt in der Vielzahl der beteiligten Akteure im Rahmen des Bevölkerungsschutzes. So sind neben Bund, Ländern und Kommunen auch zahlreiche Akteure aus Zivilgesellschaft und Privatwirtschaft beteiligt. Diese Vielzahl verschiedener Akteure, deren Konstellation und Aufgabenbereiche sich mit den jeweiligen Krisenszenarien verändern, führt zu Intransparenz und Abgrenzungsproblemen im Rahmen der Aufgabenbereiche.

Horst Seehofer (CSU) und sein Ministerium für Inneres, Bau und Heimat, das die Fachaufsicht für das BBK innehat, sind ihrer Verantwortung nicht in ausreichendem Maß nachgekommen. Eine Verknüpfung der Themen Bevölkerungsschutz, Ehrenamt und Heimat? Ohne nennenswerte Resultate.

Die bestehenden Ressourcen und Kompetenzen des BBK spielten in der Corona-Pandemie bisher keine relevante Rolle. Der Spiegel titelte dazu gar „das vergessene Amt“.

Die Pandemie hat gezeigt, dass es einer Verbesserung und Anpassung der Zuständigkeiten bedarf. Würden wir diese Defizite aufgreifen und das BBK mit einer besseren gesetzlichen Grundlage ausstatten, könnten wir durchaus am Warntag reifen. Es kam aber alles anders.

Ein gesamtstaatliches oder gesamtgesellschaftliches Herangehen ist noch nicht erkennbar. […] Es fehlt an verpflichtenden Regeln und Befugnissen, insofern fordere ich an dieser Stelle, dass der Bund, konkret wir das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eine Zentralstellenfunktion erhalten. [ich möchte Ihnen…] den Wunsch nahelegen, den Bevölkerungsschutz in Deutschland auch durch eine formale Stärkung der Bundeskompetenz langfristig und nachhaltig zukunftsfähig zu machen.“ Christoph Unger, 13.01.2020, Bundestagsausschuss.

Das Warnsignal, das Seehofer mit der öffentlichkeitswirksamen Demission Ungers hier in den gesamten Bevölkerungsschutz sendet, könnte nicht fataler sein. Es lautet: „Wir vernachlässigen den Bevölkerungsschutz, ja. Und wenn ihr Probleme aufzeigt, hören wir auch nicht zu. Wenn ihr dann aber an allseits bekannten Defiziten scheitert, betreffen die Konsequenzen alleine euch und nicht die Politik. Eine Fehlerkultur ist unerwünscht.“

Das im Bevölkerungsschutz zart aufgekommene Pflänzchen namens „Fehlerkultur“ könnte nicht brutaler zertreten werden. Diese können wir für die nächsten Jahre getrost vergessen, denn in Übungen scheitern wird keine Option mehr sein. Als Folge dessen wird sich jeder Verantwortliche sehr genau überlegen, ob und in welcher Form er Übungen überhaupt noch durchführen lassen muss. Auch bei desaströsen Ergebnissen werden wir „Die Übung war ein voller Erfolg“ als Resümee lesen, gepaart von gegenseitigem Schulterklopfen. Ob die Ergebnisse der LÜKEX 2007 „Pandemie“ bei dieser Kultur zustande gekommen wären? Das darf deutlich bezweifelt werden.

Im konkreten Fall des Warntags passierte – basierend auf öffentlich verfügbaren Informationen, denn ein Abschlussbericht liegt noch nicht vor – folgendes: Zeitgleich versuchte eine größere Anzahl von Anwendern wie das BBK, Bezirksregierungen oder Leitstellen, jeweils Warnmeldungen an die Bevölkerung einzuspeisen. Die Einspeisung von vielen berechtigten Benutzern an eine überlappende Anzahl von Warnempfängern überforderte das System. Rechenbeispiel: wenn der Bund alle Nutzer der Warn-App NINA warnen (5 Mio Nutzer, Stand 6/2019, siehe Meldung des BBK), jeweils ein Bundesland alle Nutzer in der Fläche des Bundeslandes warnen und zusätzlich noch diverse Gebietskörperschaften jeweils die Nutzer in der Gebietskörperschaft warnen wollen, dann ergibt dies eine Warnanzahl, die signifikant höher ist als die Gesamtnutzerzahl der App, für die das System ausgelegt ist. Es scheint auch so – und jetzt begeben wir uns auf eine Spekulation – dass es in dem System keine Hierarchie gibt, wonach Warnungen des Bundes priorisiert vor Warnungen der Länder und nachgelagert dann die Gebietskörperschaften behandelt werden. Es war ein selbstgemachter DDoS, basierend auf der Zuständigkeitsverteilung. Dies erklärt zumindest schlüssig, warum unterschiedliche Nutzer der NINA Warn-App zu unterschiedlichen Zeitpunkten gewarnt wurden.

Eine Warninformation darf keine Pull-Information sein, die ein Benutzer aktiv einholen muss. Eine Warninformation muss das Push-Prinzip mit Weckfunktion abdecken. Eine Warn-App, die bei einem Handy im Vibrationsmodus oder im Nachtmodus stumm bleibt, verliert erheblich an Wirkung der Schutzfunktionalität. Die Lücke im System ist der aktive Part des Benutzers, der die Warn-App NINA aktiv herunterladen muss. Der Erreichungsgrad ist noch zu schlecht. Andere Länder nutzen dazu Cell Broadcast, bei dem eine SMS an alle Geräte in einer Netzzelle gesendet wird. Christoph Unger wurde unlängst im Spiegel zitiert, dass man von dieser Möglichkeit der Warnung Abstand genommen habe, da die „Mobilfunknetze – wie man etwa an Silvester sieht – im Fall der Fälle nicht ausreichen“. Darüber hinaus gäbe es Datenschutzprobleme, da auch Bewegungsdaten erfasst würden. Zwischenzeitlich wurde im Spiegel-Artikel diese Aussage richtigerweise durch das BBK nachträglich korrigiert, Stichwort offene Fehlerkultur. Es heißt nun „Cell-Broadcasting wird derzeit aber von keinem deutschen Mobilfunkanbieter angeboten und steht daher zu Zwecken der Bevölkerungswarnung aktuell nicht zur Verfügung.“

Es gibt argumentativ keine Grundlage gegen Cell Broadcast. Es funktioniert technisch in vielen anderen Ländern der Welt einwandfrei, die EU hat entsprechende Weichen mit einer Verordnung gestellt. Gerade dann, wenn die Mobilfunknetze völlig überlastet sind und Daten an Apps wie NINA nicht mehr durchkommen, funktionieren Cell Broadcasts aufgrund der sehr geringen Datenlast noch am wahrscheinlichsten. Die Funktion wird von so ziemlich allen Mobiltelefonen unterstützt, da Cell Broadcasts im amerikanischen, asiatischen und auch im europäischen Absatzmarkt der Gerätehersteller genutzt werden. Der datenschutzrechtliche Einwand, dass Bewegungsdaten erfasst würden, ist nicht haltbar. Im Gegenteil: Bei Cell Broadcasts gibt es keinen Rückkanal – es kann nicht nachvollzogen werden, welches Gerät die Nachricht empfangen hat. Die Telekommunikationsanbieter in Deutschland warten vermutlich nur noch auf eine entsprechende gesetzliche Grundlage. Hier wäre das BMI gefordert, sich aktiv in die Gesetzgebung und die Umsetzung einzubringen. Aber Prävention ist nicht sexy und damit erlangt man offenbar nicht genügend Wählerstimmen.

Das BBK ist aber an der ganzen Sache nicht ganz aus der Verantwortung zu nehmen, denn die Fokussierung auf den Zivilschutz war in den friedlichen Jahren bequem. Die Konzepte des Bundes – als Vorplanung auf den Zivilschutz – gestalten sich oft schwerfällig und wenig detailliert. So sind über Deutschland flächendeckend Fahrzeuge verteilt (Betreuungskombis des Bundes mit Lautsprechereinheiten und Durchsagemodul). Diese wurden aber für den Warntag nicht eingeplant. Es gibt für diese Lautsprecherfahrzeuge auch kein bundesweites Konzept. Man ging im BBK stillschweigend davon aus, dass diese von den Kommunen eingebunden werden. Die Kommunen kennen diese Ressource und die Fähigkeit dieser aber oft nicht – und setzen diese daher auch nicht ein.

Auch gefiel man sich in der Rolle eines forschenden Amtes, dessen eigentlicher Zweck zu unwahrscheinlich erschien. Das BBK betreibt immense Forschungsanstrengungen, hat aber ein Nachhaltigkeitsproblem (Siehe Forschungsvorhaben 5 und 6/ 2020). Die Erkenntnisse aus den vielfältigen Forschungsprojekten und den LÜKEX Übungen kommen in der Fläche nicht an. Der Bevölkerungsschutz in dieser Form ist oftmals ein System ohne Anpassung. Fahrzeuge sind 10-15 Jahre alt und noch im Originalbeladungszustand. Änderungen am Fahrzeug sind nur mittels einem langwierigen und bürokratischen Formänderungsantrag möglich. Es fehlt ein transparenter und kontinuierlicher Verbesserungsprozess, der Erkenntnisse aus Übungen und Einsätzen in die Ausrüstung und Fahrzeuge oder Konzeptionen einfließen lässt. Maximal fließen diese Erkenntnisse in die Neukonzeption der nächsten Fahrzeuggeneration ein.

Die Aufteilung der Kompetenzen sorgt immer wieder für Verzögerungen. So wird seit 2007 an der Konzeption einer Spezialeinheit namens „Medizinische Task Force“ für die medizinische Versorgung bei großflächiger Zerstörung von Infrastruktur gearbeitet. Trotz des englisch klingenden Fachbegriffes ist diese für den internationalen Einsatz nicht vorgesehen und erfüllt keine internationalen Standards wie z.B. der Emergency-Medical-Team (EMT)-Zertifizierung der WHO. Von der MTF sollen in Deutschland 61 Stück aufgestellt werden. Vollständig mit Fahrzeugen ausgerüstet sind 13 Jahre nach Start: Null. Die Abstimmung mit den Bundesländern gestaltete sich schwierig, Nordrhein-Westfalen verglich die Medizinische Task Force mit seinen eigenen Bundeslandkonzepten und sagte „Danke, aber nein Danke“ und entschied sich für eine Sonderlösung.

Ein Wechsel an der Spitze des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe wird die strukturellen Defizite nicht beheben, wenn diese nicht durch umfangreiche Reformen und der dazu erforderlichen Ressourcenbereitstellung begleitet werden. Nicht zuletzt die fehlende nationale Koordinierungsrolle des BBK muss angegangen werden. Es liegt an der Bundesregierung, insbesondere an Horst Seehofer und dem BMI, hier tätig zu werden. Ohne das Scheitern des Warntags 2020 würde es die Möglichkeit der Verbesserung für einen Warntag 2021 nicht geben – falls dieser nicht durch den designierten Nachfolger von Unger, den CDU-Bundestagsabgeordneten Armin Schuster, still eingestellt wird, um die Karriere nicht zu gefährden. Denn seit 2020 gilt: Wer Übungen macht, riskiert seinen Job. Lerneffekte und Fehlerkultur unerwünscht.

Bundesweiter #Warntag2020

/in /von

Gut, dass die bundesweite Warnung der Bevölkerung nach ca. 30 Jahren wieder getestet worden ist. Es wäre fatal, wenn erst im Ernstfall feststellt wird, dass dies nicht wie vorgesehen funktioniert.

Viele Mitglieder der AG KRITIS zeichnen sich auch dadurch aus, dass sie aus eigenem Engagement in Hinblick auf den Bevölkerungsschutz sehr interessiert an frühzeitigen Warn- und Katastrophenmeldungen sind. Um 11:00 Uhr war es heute deshalb etwas ernüchternd, statt Warnmeldungen das Scheitern des Modularen Warnsystems (MoWas) zu erleben.

Ein kurze, nicht-repräsentative Umfrage in der Runde hat ein eher ruhiges Bild gezeichnet. In Bundesländern wie Bremen und Städten wie München und Berlin, in denen die Sirenen vor Jahren schon abgebaut wurden, blieb es erwartungsgemäß ruhig. Aber auch die Warn-App Nina des BBK hat sich nicht bemerkbar gemacht. Immerhin hat sich KatWarn mindestens an einer Stelle gemeldet. Auch in Bundesländern und Städten mit Sirenen, deren sonntäglicher Test regelmäßig erfahrbar ist, hat sich heute um 11 nicht immer ein Warnton eingestellt.

Eine Warnung direkt über Nachrichten im Mobilfunknetz, mittels Cell Broadcast wurde im deutschen Mobilfunknetz überhaupt nicht erst eingerichtet, hätte also auch nicht der Teil des bundesweiten Tests sein können, der großflächig funktioniert. Wir möchten da durchaus den Hinweisen aus dieser Diskussion auf Twitter zustimmen. Katastrophenwarnungen gehören nicht in einen großen Softwarestapel in einer App verbuddelt.

Ein bisschen Überraschung gab es dann vereinzelt noch über die Entwarnung, die Nina dann an vielen Stellen erfolgreich verteilt hat. Auch, wenn die Entwarnung dann auf eine „unvorbereitete Bevölkerung“ (Zitat Christoph Unger, Präsident des BBK) traf. Leider hat der bundesweite Test der Warninfrastruktur aber auch eine unvorbereitete Warninfrastruktur erwischt.

Sehen wir das ganze mal konstruktiv: wir freuen uns, dass der Test Defizite aufgezeigt hat, die jetzt behoben werden können, um für den Ernstfall gewappnet zu sein. Dafür sind Krisenübungen und Tests von Anlagen und Systemen ja auch da. Wer nicht übt, bemerkt auch keine Defizite. Insofern ist dies ein gutes Resultat, wenn das After Action Review und die Lessons Learned konsequent angegangen und die Defizite strukturiert eliminiert werden.

Daher warten wir dann jetzt mit Spannung auf den offiziellen Fehlerbericht.

BMI gefährdet die Umsetzung des Onlinezugangsgesetzes

/in /von

Das Bundesministerium des Inneren für Bau und Heimat (BMI) hat es versäumt, eine wichtige Rechtsverordnung zu erlassen – entsprechend ist es möglich, dass die bisher entwickelte Software zur Digitalisierung der staatlichen Verwaltung neu entwickelt werden muss.

2017 hat sich die Bundesregierung zum Ziel gesetzt, innerhalb von 5 Jahren alle Dienstleistungen aller Behörden zu digitalisieren. Das Ziel ist, das Bürger zukünftig alle Verwaltungsdienstleistungen auch von zu Hause aus per Internet erreichen können. Aus diesem wichtigen Ziel folgte ein Gesetz – das sogenannte Onlinezugangsgesetz. Dort findet sich der wichtige Paragraph 5.

§ 5 IT-Sicherheit

Für die im Portalverbund und für die zur Anbindung an den Portalverbund genutzten IT-Komponenten werden die zur Gewährleistung der IT-Sicherheit erforderlichen Standards durch Rechtsverordnung des Bundesministeriums des Innern, für Bau und Heimat ohne Zustimmung des Bundesrates festgelegt. (…)

Unser Mitglied clarity hat eine Anfrage (nach Informationsfreiheitsgesetz) über Fragdenstaat.de gestellt, um genau diese Rechtsverordnung einsehen zu können. Die Anfrage findet sich hier. Die IFG-Anfrage förderte zu Tage, dass diese Rechtsverordnung, in der beschrieben wird, welche IT-Sicherheits-Standards für die IT-Komponenten der digitalen Verwaltung gelten sollen, bisher nicht erlassen worden ist. Auch einen Entwurf dazu gibt es bisher nicht.

 

Die Umsetzung des Onlinezugangsgesetzes geschieht nach dem Prinzip „Einer für Alle“ – jedes Bundesland soll einen der Lebensbereiche komplett digitalisieren und die so entstandene Software den anderen Ländern zur Verfügung stellen. Die meisten Länder haben bereits angefangen und geben sich große Mühe, die Versäumnisse der letzten 20 Jahre im Bereich eGovernment unter Hochdruck nachzuholen.

Aus einigen Ländern und Kommunen hört man bereits jetzt, das man an der fristgemäßen Umsetzung zweifelt, da die Entwicklung langsamer voranschreitet als geplant.

Bei der Digitalisierung der Verwaltungsdienstleistungen müssen ebenen-übergreifende Verknüpfung geschaffen werden, denn notwendige Daten liegen sowohl in den Kommunen, den Ländern aber auch beim Bund. Es ist technisch eine immense Herausforderung, Software zu entwickeln, die unserem Föderalismus gerecht wird, denn zugegriffen wird hier auf sämtliche bei Bund, Ländern und Kommunen vorliegenden Informationen. Wenn Sicherheit in diesem komplexen System erst nachträglich implementiert werden muss, kann dies sehr aufwendig oder sogar unmöglich sein. Eine gute Konzeption (Privacy by Design), die sich intensiv mit Verschlüsselung, Zugrifftokens und den Nutzern befasst, wäre daher sinnvoller als eine spätere Nachrüstung der Sicherheit.

Die gemeinsamen IT-Sicherheits-Grundsätze dieser drei Ebenen, dem Bund, der Länder und den Kommunen, fehlen jedoch nicht nur im OZG, sondern auch an anderen Stellen. Bei kritischer Infrastruktur werden die Anforderungen an den Sektor Staat und Verwaltung auf Bundesebene durch den sogenannten Umsetzungsplan Bund (UP Bund) festgelegt. Die notwendigen Regelungen für Länder und Kommunen treffen die Länder selbst, aber auch diese Regelungen fehlen bisher. Die Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung des IT-Planungsrates ist immerhin verbindlich für Bund und Länder – für Kommunen ist sie aber leider nur empfehlend.

Der Sektor „Staat und Verwaltung“, und damit auch manche Teile der Verwaltung, die bürgernahe Verwaltungsdienstleistungen erbringen, fallen auch unter die kritischen Infrastrukturen, auch wenn in diesem Sektor die Kritis-Verordnung nicht anwendbar ist. Umso wichtiger ist es, dass der Staat bei Softwareprojekten in diesem Bereich höchste Sorgfalt walten lässt, den Stand der Technik beachtet und IT-Sicherheit von Anfang an mitdenkt.

Das Onlinezugangsgesetz (OZG) trat am 18. August 2017 in Kraft. Es regelt, dass bis zum 31.12.2022 die Umsetzung abgeschlossen sein muss. Der Gesetzgeber hat den Ländern also 1961 Tage oder auch 5,37 Jahre gegeben, die 578 Verwaltungsdienstleistungen, geteilt in 14 sog. „Lebensbereiche“ digital abzubilden.

Nun sind von den 1961 Tagen Projektdauer bereits 1115 Tage (Stand 06.09.2020) verstrichen. Das sind 56,8% der gesamten Projektdauer, ohne das festgelegt wurde, welche IT-Sicherheits-Standards beachtet werden sollen. Selbstverständlich haben die Länder und die Kommunen bereits angefangen, Software zu entwickeln.

Es ist zu befürchten, das ein Großteil dieser bisher geleisteten Arbeit der Länder und Kommunen „für die Tonne“ ist – denn wie sollen sich Softwareentwickler an Standards halten, wenn nicht feststeht, welche Standards das sind?

Durch das Versäumnis des Bundesministerium des Inneren (BMI) diese Rechtsverordnung zu Projektbeginn zu erlassen, droht nun das Projekt zu scheitern, denn eine jahrelange Verzögerung dieses mehr als überfälligen Projekts wäre nichts anderes als ein Scheitern.

Da bereits mehr als die Hälfte der Projektdauer verstrichen ist, ohne das die notwendigen Standards festgelegt wurden, ist eine fristgemäße Fertigstellung der digitalisierten Verwaltungsdienstleistungen mehr als unwahrscheinlich geworden.

Es ist daher dringend notwendig, dass diese Rechtsverordnung nun zügig erlassen wird. Bundesminister des Inneren Horst Seehofer muss nun dafür sorgen, das trotz des Versäumnisses seiner Behörde, das Prinzip „Security by Design“ eingehalten wird. IT-Sicherheit darf kein nachgerüstetes Feature sein, sondern muss von Anfang an in jeder Architektur und jeder Entscheidung mitgedacht werden.