Artikel von unseren Mitgliedern

Aktualisierte BSI-Kritisverordnung tritt in Kraft

Zum 1.1.2024 ist die „Vierte Verordnung zur Änderung der BSI-Kritisverordnung“ in Kraft getreten. Sie bringt zwei positive Neuerungen bei Schwellwerten, spart aber die Sektoren Staat & Verwaltung, sowie Medien & Kultur weiterhin aus.

Mit der neuesten Änderung vom 29.11.2023 (https://www.recht.bund.de/bgbl/1/2023/339/VO.html) werden für den Sektor Siedlungsabfallentsorgung erstmals die Schwellenwerte definiert. Für Verwaltungs- und Zahlungssystem der
gesetzlichen Kranken- und Pflegeversicherung wird der Schwellenwert von 3 Millionen auf 500.000 Versicherte abgesenkt. Die Gas- oder Kapazitätshandelssystem werden zusätzlich zu gehandelten Gasmengen um gehandelte Gastransportkapazitäten erweitert.

Das Bundesministerium des Inneren (BMI) hat bei der AG KRITIS um Stellungnahme zum Entwurf gebeten. Leider konnten unsere Mitglieder diesen nicht rechtzeitig bewerten, denn unser Engagement erfolgt vollständig im Ehrenamt.

Wermutstropfen bleibt auch bei der vierten Änderung, dass die KRITIS Sektoren Staat & Verwaltung, sowie Medien & Kultur immer noch keine Beachtung finden. So sind jegliche staatliche Strukturen und deren Verwaltungen weiterhin nicht von den Regeln für KRITIS erfasst. Die Sektordefinition existiert, die dazugehörige Verordnung allerdings nicht. Cyberkriminelle lassen sich allerdings nicht abschrecken genau diese Verwaltungssysteme anzugreifen, weswegen diese besonders gut geschützt sein müssten.

Der komplette Text der BSI-Kritisverordnung in der aktuellen Fassung kann hier abgerufen werden: https://www.gesetze-im-internet.de/bsi-kritisv/BJNR095800016.html

offener Brief: Vertrauen lässt sich nicht verordnen

Die Gesetze zur Gesundheitsdatendigitalisierung, die diese Woche im Deutschen Bundestag verabschiedet werden sollen, sind äußerst kritisch. Diese sollen, im Schatten der großen Haushaltsdebatte kurz vor Weihnachten noch diese Woche verabschiedet werden.

Mit dem offenen Brief des Innovationsverbunds öffentliche Gesundheit wendet sich ein breites Bündnis der digitalen Zivilgesellschaft an die Öffentlichkeit und Politik, um dieses Vorhaben in letzter Minute konstruktiv aufzuhalten. Unter großer Eile und größerer Intransparenz versucht das Bundesministerium der Gesundheit zwei Gesetze – das Digitalisierungsgesetz (DigiG) und das Gesundheitsdatennutzungsgesetz – noch diese Woche durchs Parlament zu bringen.

Normalerweise fordert die AG KRITIS die Regulierung von kritischer Infrastruktur. Enge regulative Vorgaben, die auf die Ziele der Authentizität, Verfügbarkeit, Vertraulichkeit und Integrität der kritischen Infrastrukturen abzielen, sind der Weg um der Wirtschaft vorzugeben, welche Maßnahmen unumgänglich sind.

In diesem Fall bestand die Chance, eine Architektur zu schaffen, die von vornherein den vier Schutzzielen genügt – diese Chance hat das BMG leider nicht ergriffen. Die Entwürfe, die diese Woche im Deutschen Bundestag verabschiedet werden, entsprechen nicht dem Stand der Technik.

Die Prüfsteine, die im offenen Brief genannt werden sind unbedingt einzuhalten. Keiner davon ist verhandelbar – denn IT-Sicherheit ist wie eine Ingenieursleistung. Kein Politiker würde auf die Idee kommen, einen Kompromiss zur Traglast einer Brücke zu schließen, denn die Traglast wird von einem Ingenieur berechnet und festgelegt.

Ob ein Schutzniveau angemessen ist, muss von Experten auf wissenschaftliche Weise bewertet werden. Die staatlichen Stellen, die wir uns geschaffen haben, um solche Fragen verbindlich zu bewerten müssen nun nach diesem Gesetzesentwurf zu Fragen der elektronischen Patientenakte nicht mehr berücksichtigt werden.

Das BMG hat es versäumt, trotz mehrfacher Aufforderung aus Zivilgesellschaft und Politik, eine robuste Architektur in einem offenen Konsultationsprozess vorzulegen. Stattdessen wurde die Systemarchitektur unter Verschluss gehalten, mutmaßlich bis das Gesetz durch den Bundestag verabschiedet wurde. Die wenigen belastbaren Daten die es zur Systemarchitektur gibt, lassen nichts gutes vermuten. Das Konzept „confidential computing“ auf das sich der Gesundheitsminister bezieht, ist vage, nicht definiert und kein Ersatz für hochwertige, patientenindividuelle Verschlüsselung.

Wir unterstützen diese breite zivilgesellschaftliche Initiative, die im offenen Brief „Vertrauen lässt sich nicht verordnen“ ausgeführt werden. Die Erstunterzeichner dieses offenen Briefs sind in alphabetischer Reihenfolge:

  1. AG KRITIS
  2. Chaos Computer Club e. V.
  3. D64 – Zentrum für Digitalen Fortschritt e. V.
  4. Deutsche Aidshilfe e. V.
  5. Digitale Gesellschaft e. V.
  6. Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e. V.
  7. FrauenComputerZentrumBerlin e. V. (FCZB)
  8. Innovationsverbund Öffentliche Gesundheit (InÖG) e. V.
  9. Komitee für Grundrechte und Demokratie e. V.
  10. LAG Selbsthilfe von Menschen mit Behinderungen und chronischen Erkrankungen RLP e. V.
  11. LOAD e. V.
  12. Superrr Lab
  13. Topio e. V.
  14. Verbraucherzentrale Bundesverband e.V. (vzbv)

Wir fordern die Bundesregierung auf, das Gesetzesvorhaben zu stoppen. Der Text des öffentlichen Brief ist hier verlinkt:

 

Foto von Chris Liverani auf Unsplash

Bundesweiter Warntag 2023: AG KRITIS fordert bundesweite Gesetzesreform für Katastrophenschutz

Bundesweiter Warntag am 14.09.2023: AG KRITIS fordert Stärkung der Warnsysteme und bundeseinheitliche Gesetzgebung

Morgen, am 14. September 2023 werden um 11:00 im Rahmen des bundesweiten Warntages die Katastrophenwarnsysteme in ganz Deutschland getestet.

Unser Sprecher Manuel Atug dazu: „Katastrophenschutz ist keine kommunale Spielwiese!“ –

Johannes Rundfeldt mahnt: „Katastrophenwarnung und deren Übung darf nicht optional sein!“

Wir fordern dringend eine bundeseinheitliche Harmonisierung der Landesgesetze für Brand- und Katastrophenschutz. Die Verantwortung für den Betrieb und die Beschaffung der Warnmittel soll explizit in die Hände der Länder gelegt werden. Derzeit delegieren die Länder diese wichtige Aufgaben an die Kommunen, statten die Kommunen dann aber nicht mit den notwendigen Finanzmitteln aus. Im Ergebnis gibt es nicht überall Sirenen und z.B. die Anbindung von Stadtinformationssystemen ist äußerst heterogen.

Im Rahmen des bundesweiten Warntages erwarten wir, dass in allen drei Mobilfunknetzen 4-stellige Message ID Warnnachrichten per Cell Broadcast ausgesendet werden. Der Stichtag für die Umsetzung dieses Standards wurde bereits im Februar 2023 erreicht. Bedauerlicherweise unterliegt der Stichtag für die Umsetzung von 3-stelligen Message IDs, eine weitere Übergangsfrist, bis 24. Februar 2024.
Dies bedeutet, dass ältere Handys, insbesondere 2G-Geräte und Senioren-Handys – auch bekannt als „Tastentelefone“ – weiterhin nicht von Cell Broadcast Warnungen erreicht werden.
Möglicherweise wird, wie schon im Dezember 2022, immerhin die Telekom Cell Broadcast-Nachrichten für ältere Geräte aussenden.

Die AG KRITIS kritisiert die Tatsache, dass Kommunen die Teilnahme am bundesweiten Warntag freiwillig wählen können, jedoch nicht verpflichtet sind. Ein effektiver Warntag kann nur gewährleistet werden, wenn alle Beteiligten aktiv mitwirken.
Generell begrüßen wir jedoch den Warntag und sehen in ihm eine wichtige Möglichkeit, die Funktionsweise der Warnmittel zu testen und sicherzustellen, dass möglichst viele Bürgerinnen und Bürger erreicht werden. Alle Menschen in Deutschland können durch den Warntag die Funktionsweise der verschiedenen Systeme erfahren und so im Ernstfall noch schneller reagieren.

Beim letzten Warntag konnten nach einer repräsentativen Umfrage des BBK  90,8% der Bevölkerung mit mindestens einem Warnmittel erreicht werden. Das sind schon sehr gute Werte, damit die Durchdringung des Warnmittelmixes auch dieses Mal geprüft werden kann, empfehlen wir allen Bürgerinnen und Bürgern, die eigenen Erfahrungen am diesjährigen Warntag an das BBK zurückzumelden.

 

Foto von Etienne Girardet auf Unsplash 

Schriftliche Stellungnahme für den Landtag Thüringen

Wir wurden eingeladen, zu dem von der CDU-Fraktion eingebrachten Antrag 7/6817 trägt den Titel „Gewappnet für den Ernstfall? Reform des Thüringer Katastrophenschutzes endlich angehen!“ als AG KRITIS Stellung zu nehmen. Der Antrag aus der Opposition versucht mit offensiven Einzelmaßnahmen den Katastrophenschutz in Thüringen zu verbessern.

Außer acht gelassen wird dabei, dasss nur mehr Geld und mehr Ausrüstung nicht helfen, die Wirksamkeit des Katastrophenschutzes zu erhöhen: stattdessen braucht es systemische und strukturelle Veränderungen, Standardisierung und stärkere Digitalisierung, gerade in dem eher tradierten Feld des Katastrophenschutzes. Auch auf die Bereiche Ausbildung und Übung gehen wir in unserer Stellungnahme ein.

Unsere Schlußfolgerung zu dem Antrag:

Der föderale Staat stellt ein strukturelles Problem im Katastrophenschutz dar, denn Katastrophen und deren Bewältigung halten sich nicht an Landesgrenzen. Es ist dem Bürger nicht erklärbar, wenn zwischen Ländern der Katastrophenschutz unterschiedlich ausgerüstet ist, funktioniert oder reagiert.

Sowohl die Vorgehensweisen, als auch die eingesetzten Technologien und Strukturen des Katastrophenschutzes müssen so einheitlich wie irgendwie möglich aufgestellt sein, um nahtlose gegenseitige Unterstützung jederzeit gewährleisten zu können. Eine solche Harmonisierung ist daher auch innerhalb der Bundesländer dringend zu verwirklichen.

Hier muss viel Verantwortung von den Kreisen und Kommunen zurück auf das Land übertragen werden, denn Kreise und Kommune haben oft nicht die Ressourcen, dieser Verantwortung gerecht zu werden.

Download der Stellungnahme als PDF

Drucksache_7-6817_Stellungnahme_AG_KRITIS_20230825

 

Image: Landtag Thüringen

 

Kommentar zum Referentenentwurf des KRITIS-Dachgesetz (KRITIS-DachG)

Die beiden Leiter der AG KRITIS, Manuel Atug und Johannes Rundfeldt zum von der AG KRITIS veröffentlichten Entwurfs des KRITIS-DG von Juni 2023:

Der geleakte Entwurf des KRITIS-Dachgesetz (KRITIS-DachG) wirkt auf den ersten Blick überschaubar, aber bei genauerem Hinsehen ist er sehr unabgestimmt und unvollständig und es gibt viel zu viele Ausnahmen und sehr späte Fristen, die erst in vielen Jahren initial greifen oder wirken werden. Zu viele Punkte sind leider ein Stillstand oder gar Rückschritt und halten bestehende Gefahren und Risiken über Jahre weiterhin offen.

Manuel Atug dazu: „Schade, mit den vielen Ausnahmen und Verantwortungsdiffusion wird das keine ganzheitliche Resilienz für Deutschland werden. Mit den späten Fristen wird da auch vor 2028 nicht wirklich viel wirken, daher passiert auf der aktuellen Basis erst mal 5 Jahre lang wenig bis gar nichts. Haben wir so viel Zeit und können wir so entspannt sein?“

Johannes Rundfeldt dazu: „Der vorliegende Entwurf, der direkt nach den Anschlägen auf Nordstream 2 angekündigt wurde, entpuppt sich, wie bereits befürchtet, als politischer Opportunismus. Das KRITIS-Dachgesetz wird den hochtrabenden Versprechungen des BMI nicht gerecht und ist unvollständig.“

Analyse und Kommentierung der AG KRITIS zum Entwurf des KRITIS-DachG

Einleitung

Ein Dachgesetz soll, so sagt schon der Name, das gesamte Thema vollständig abdecken und einen verbindlichen regulatorischen Rahmen bilden. Die Ministerin hatte dazu erklärt: „Wir werden die besonders zu schützenden Bereiche definieren, Risiken und Bedrohungslagen besser erkennen und verpflichtende Schutzstandards festlegen.“ Da durch die bevorstehende Umsetzung der NIS2 Direktive und der DORA Richtlinie in den kommenden Monaten doch noch einiges an Änderungen zu erwarten sind, definiert das KRITIS-DachG entgegen der Behauptungen das Thema höchstens vorläufig.

Bewertung von Sicherheitsrisiken, Bedrohungen und Vorfällen § 3 Abs 2

Das BBK soll zukünftig von BSI und der BnetzA u.a. Infos zu IT-Sicherheitsrisiken, -bedrohungen, -vorfällen erhalten. Derzeit ist jedoch für die sinnvolle Auswertung und Bewertung dieser Daten im BBK kein fachlich kompetentes Personal vorhanden – im BSI jedoch schon. Einen Personalaufwuchs beim BBK würden wir begrüßen, ob es aber sinnvoll ist, diese Daten dann zweimal, sowohl im BSI als auch im BBK zu bewerten erscheint vor dem Hintergrund des Fachkräftemangels im IT-Bereich wenig sinnvoll. Falls das BMI trotzdem nur einen Grund sucht, dem BBK ein erhebliches Aufstocken der Belegschaft zu ermöglichen, würden wir empfehlen dieses im Zuge des „Neustart im Bevölkerungsschutz“ des BMI zu tun, der bisher leider eher einen Stillstand aufrecht hält. § 3 Abs 2

Neudefinition der Sektoren – § 2 Abs 12b, § 4 Abs 1

Das KRITIS Dachgesetz definiert die Sektoren der kritischen Anlagen neu. Im KRITIS Dachgesetz ist die öffentliche Verwaltung erstmalig aufgenommen, nachdem diese bisher im BSIG nicht vorhanden war. Gleichzeitig wird der Sektor „Wasser“ aufgeteilt in zwei Sektoren: „Trinkwasser“ und „Abwasser“. „Weltraum“ kommt als neuer Sektor hinzu. Auch im NIS2-Umsetzungsgesetz wird der Sektor „Weltraum“ aufgenommen – der Sektor „öffentliche Verwaltung“ ist jedoch nicht Teil der kritischen Anlagen. Der Sektor „Medien und Kultur“, unter den auch die Katastrophenschutzinformationssysteme der öffentlich-rechtlichen Medien fallen würden, ist weiterhin nicht definiert. Bemerkenswert ist außerdem, dass die Sektoren „Wissenschaft und Forschung“ und „Chemie“ fehlen. Diese sind nur unter der neuen Kategorie „wichtige Einrichtungen“ zu finden, nicht aber unter „kritische Anlagen“. § 2 Abs 12b, § 4 Abs 1

Leider bleiben die neuen Kategorien der „wichtigen Einrichtungen“ und der „besonders wichtigen Einrichtungen“ für das KRITIS Dachgesetz irrelevant, da diese Kategorien dort gar nicht reguliert werden. (Begründung Teil B §2 zu Nr. 10)

Im Endeffekt betrifft das KRITIS Dachgesetz also nur eine Teilmenge der kritischen Infrastruktur, die sich zudem von der Teilmenge kritischer Infrastruktur im NIS2-Umsetzungsgesetz unterscheidet.

Branchenspezifische Resilienzstandards – § 6 Abs 2

Betreiber von KRITIS können branchenspezifische Resilienzstandards (BSRS) erstellen, vergleichbar der branchenspezifischen Sicherheitsstandards (B3S in BSI-Gesetz § 8a Abs 2). Grundsätzlich ist dies eine gute Idee, allerdings wird es, genau wie bei den branchenspezifischen Sicherheitsstandards wieder viele Jahre dauern, bis diese neuen Resilienzstandards entwickelt und umgesetzt worden sind. § 6 Abs 2

Registrierung beim BBK – § 8 Abs 1,2

Schon jetzt müssen KRITIS Betreiber sich beim BSI registrieren. Unsere Befürchtungen, dass eine doppelte Registratur notwendig wird, haben sich nicht bewahrheitet – Es wird eine gemeinsame Registrierung der KRITIS Betreiber bei BBK und BSI geben, statt einer separaten neue Registrierung beim BBK. Auch die Ersatzvornahme der Registrierung bei Verweigerung selbiger ist durch die gemeinsame Registrierung elegant gelöst. Die neue Regelung ist daher vergleichbar der BSI Ersatzvornahme B3S in BSI-Gesetz § 8b Abs 3. Die dringende Empfehlung der AG KRITIS, keine doppelten und parallelen Strukturen aufzubauen wurden hier offenbar erhört. § 8 Abs 1,2

Erreichbare Kontaktstelle – § 8 Abs 3,4

Wir begrüßen ausdrücklich, dass die KRITIS Betreiber nun dem BBK eine jederzeit erreichbare Kontaktstelle benennen müssen. Hoffentlich wird das BBK stichprobenartige Kontrollen durchführen, um festzustellen, ob diese Kontaktstelle auch rund um die Uhr besetzt ist. § 8 Abs 3,4

Betreiberliste im BBK – § 8 Abs 5

Zur Pflicht, die sich aus Absatz 5 ergibt, alle 4 Jahre eine Liste der KRITIS Betreiber im BBK zu erstellen fragen wir uns, wieso das nicht aus dem gemeinsamen Registrierungsportal von BSI und BBK extrahiert werden kann. Dies dürfte Arbeit sparen. § 8 Abs 5

Sektorübergreifende Risikoanalysen und –bewertungen BBK – § 9 Abs 2

Das BBK wertet die durch die verantwortlichen Bundesministerien durchzuführenden Risikoanalysen und –bewertungen sektorübergreifend aus. Es wird also ein sektorübergreifendes Lagebild erstellt. Dies sollte öffentlich verfügbar gemacht werden. Wenn es wieder mal ein Dokument ist, das in den zuständigen Behörden vergilbt und nur in Auszügen den Betreibern zur Verfügung gestellt wird, nützt das weder KRITIS Betreibern, noch der Versorgungssicherheit der Bevölkerung. § 9 Abs 2

Sektorübergreifende Risikoanalysen und –bewertungen der Betreiber § 10 Abs 1

KRITIS Betreiber führen auf Basis der durchgeführten staatlichen Risikoanalysen und -bewertungen nach § 9 und anderer Informationsquellen initial 9 Monate nach Registrierung und dann spätestens alle 4 Jahre Risikoanalysen und -bewertungen durch. Inkl. „Wirtschafsstabilität beeinträchtigenden, naturbedingten, klimatischen und vom Menschen verursachten Risiken berücksichtigen, darunter solche sektorübergreifender oder grenzüberschreitender Art, Unfälle, Naturkatastrophen, gesundheitliche Notlagen, sowie hybride Bedrohungen oder andere feindliche Bedrohungen, einschließlich terroristischer Straftaten“ sowie „Wirtschafsstabilität beeinträchtigenden, Risiken berücksichtigen, die sich aus dem Ausmaß der Abhängigkeiten anderer Sektoren von der kritischen Dienstleistung, die von der kritischen Anlage – auch in benachbarten Mitgliedstaaten und Drittstaaten – erbracht wird“. Das alles findet leider sehr spät und selten statt, aber immerhin soll was passieren. § 10 Abs 1

Begrüßenswert ist, dass endlich auch eine Analyse der Abhängigkeiten zwischen den verschiedenen Sektoren selbst, sowohl durch die zuständigen Bundesministerien als auch durch die Betreiber durchgeführt werden muss. Wir halten zwar den Turnus von 4 Jahren für zu lang, begrüßen aber den grundsätzlichen Ansatz. Insbesondere möchten wir hier anmerken, dass der Vorschlag die Abhängigkeiten der Sektoren untereinander und mögliche Szenarien, bei denen kaskadierende Ausfälle verschiedene Sektoren gleichzeitig betreffen, von uns bereits 2019 im Rahmen des IT-SiG2 gemacht wurden. Damit diese Risiken nicht nur bei der physischen Sicherheit betrachtet werden, halten wir es für notwendig, dieselben Auflagen und Analysen auch in der NIS2-Umsetzung vorzugeben.

Ausnahmen von den Risikoanalysen und -bewertungen – § 10 Abs 3

Ausgenommen von den verpflichtenden Risikoanalysen und -bewertungen sind KRITIS Betreiber aus den Sektoren „Finanz- und Versicherungswesen“ und „Informationstechnik und Telekommunikation“. Vier wesentliche Branchen werden vollständig ausgeklammert, was weder sinnvoll noch nachvollziehbar ist. Ein Dachgesetz, das nur für sechs von elf Sektoren anwendbar ist, kann vieles sein, aber kein Dachgesetz. § 10 Abs 3

Stand der Technik – soll oder muss? § 11 Abs 1,2

KRITIS Betreiber müssen innerhalb von 10 Monaten nach Registrierung (§ 11 Abs 13) „geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz“ treffen. „Dabei soll der Stand der Technik eingehalten werden“ (nicht muss?!?). „Technische, sicherheitsbezogene und organisatorische Maßnahmen sind verhältnismäßig, wenn der Aufwand zur Verhinderung oder Begrenzung eines Ausfalls oder einer Beeinträchtigung der kritischen Dienstleistung zu den Folgen ihres Ausfalls oder ihrer Beeinträchtigung angemessen erscheint“. Dazu gibt es auch einen Anhang 1 mit mehr Details. Warum der Stand der Technik nur eingehalten werden soll, statt das verpflichtend vorzugeben erschließt sich uns nicht. Hier halten wir es für notwendig, den Stand der Technik als „Muss“-Vorschrift zu formulieren § 11 Abs 1,2

Welche Maßnahmen zählen dazu? Solche, die erforderlich sind, um:

  1. das Auftreten von Vorfällen zu verhindern,
  2. einen angemessenen physischen Schutz der Räumlichkeiten der kritischen Anlagen zu gewährleisten,
  3. auf Vorfälle zu reagieren, sie abzuwehren und die Folgen solcher Vorfälle zu begrenzen,
  4. nach Vorfällen die Wiederherstellung zu gewährleisten,
  5. ein angemessenes Sicherheitsmanagement hinsichtlich der Mitarbeiter zu gewährleisten, einschließlich des Personals externer Dienstleister und
  6. das entsprechende Personal für die unter den Nummern 1 bis 5 genannten Maßnahmen durch Informationsmaterialien, Schulungen und Übungen zu sensibilisieren. § 11 Abs 3

Resilienzplan § 11 Abs 6

KRITIS Betreiber müssen die durchzuführenden Maßnahmen in einem Resilienzplan darstellen. Der ist dem BBK spätestens zu einem vom BBK (mit BSI abgestimmt) bei Registrierung festgelegten Zeitpunkt und anschließend alle 2 Jahre nachzuweisen. § 11 Abs 6

KRITIS Betreiber müssen dem BBK Dokumente zur Stärkung der Resilienz zum festgelegten Zeitpunkt bereitstellen. Das BBK bestimmt dann, ob diese Maßnahmen dann vollständig oder teilweise den Verpflichtungen entsprechend gelten. Legt der KRITIS Betreiber Bescheide, Genehmigungen, Zertifizierungen oder ähnliche Nachweise zur Resilienzsteigerung von anderer zuständiger Behörde vor, gelten die darin beschriebenen Maßnahmen ohne weitere Überprüfung als erfüllt. § 11 Abs 7

BBK und zuständige Aufsichtsbehörde des Bundes können bei Verstößen gegen die Anforderungen KRITIS Betreiber anweisen, erforderliche und verhältnismäßige Maßnahmen zu ergreifen, um festgestellte Verstöße innerhalb einer angemessenen Frist zu beheben. Nach unserer Lesart des Gesetzes können hier auch Bußgelder nach § 19 verhängt werden. § 11 Abs 10

Ausgenommen davon sind KRITIS Betreiber aus den Sektoren „Finanz- und Versicherungswesen“ und „Informationstechnik und Telekommunikation“. Vier wesentliche Branchen werden hier erneut vollständig ausgeklammert, was nicht sinnvoll ist. § 11 Abs 14

Meldepflicht für Vorfälle § 12 Abs 1,3

KRITIS Betreiber sind spätestens 10 Monate nach Registrierung verpflichtet, Vorfälle, die die Erbringung ihrer kritischen Dienstleistungen erheblich stören könnten, unverzüglich über ihre Kontaktstelle an eine gemeinsame BBK und BSI Meldestelle zu melden. Für tatdächlich stattgefundene Vorfälle muss eine erste Meldung bis spätestens 24 Stunden nach Kenntnisnahme des Vorfalls übermittelt werden, es sei denn, dies ist in operativer Hinsicht nicht möglich. Spätestens einen Monat danach muss ein ausführlicher Bericht übermittelt werden. § 12 Abs 1,3

Ausgenommen davon sind wieder KRITIS Betreiber aus den Sektoren „Finanz- und Versicherungswesen“ und „Informationstechnik und Telekommunikation“. Abermals werden hier vier wesentliche Branchen vollständig ausgeklammert. § 12 Abs 9

Verordnungsermächtigung für kritische Komponenten – § 13

Einsatz kritischer Komponenten: Die Verordnungsermächtigung wäre ein spannender Teil, der wird aber offenbar noch diskutiert. Der Paragraph ist daher noch komplett ohne Inhalt, weil derzeit noch unabgestimmt zwischen den Ressorts. § 13

In der hierzu kommenden – aber noch nicht existierenden – Rechtsverordnung können „Stichtage festgelegt und Teile der Bundesverwaltung als kritische Infrastruktur bestimmt“ werden. Dass hier wieder nur Teile der Bundesverwaltung KRITIS werden könnten und Kommunen und Bundesländerebene schon wieder nicht vorkommen zeigt, wie unvollständig das ganze durch all die vielen Ausnahmen und Abgrenzungen sein wird. § 15

Befreiung von den KRITIS-Pflichten – § 16 Abs 1

Das BMI kann auf Vorschlag von Bundeskanzleramt, BMVG oder auf eigenes Betreiben KRITIS Betreiber von Verpflichtungen nach diesem Gesetz teilweise (einfacher Ausnahmebescheid) oder insgesamt (erweiterter Ausnahmebescheid) befreien, wenn der KRITIS Betreiber gleichwertige Vorgaben einhält. Warum sollte sowas möglich sein? Und wieso können nicht alle KRITIS Betreiber den Nachweis durch Einhaltung des Stand der Technik bringen – der wirkungsvolle Alternativen ja bereits zulässt? Diese vielen unsinnigen Ausnahmeregelungen und alternativen Vorgehensweisen verkomplizieren die Umsetzung und Einhaltung enorm. Das BMI will anscheinend ein DACH mit Löchern und einem integrierten Wimmelbild der Verantwortungsdiffusion bauen. § 16 Abs 1

KRITIS Betreiber, die

  1. in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Ermittlung, Aufdeckung und Verfolgung von Straftaten (relevante Bereiche) tätig sind oder Dienste erbringen, oder
  2. ausschließlich für Behörden, die Aufgaben in relevanten Bereichen nach Nummer 1 erfüllen, tätig sind oder Dienste erbringen,

können für diese Tätigkeiten oder Dienste von den Maßnahmen nach § 10 und § 11 und Meldepflichten nach § 12 befreit werden. Die Resilienz dieser Betreiber kritischer Anlagen muss in diesen Fällen anderweitig gewährleistet sein und beaufsichtigt werden. Es werden wieder große Teile kritischer Infrastruktur aus dem Sektor „Staat und Verwaltung“ ausgeklammert, was aufgrund dieser vielen Ausnahmeregelungen keinem ganzheitlichen Resilienzansatz entspricht. Ebenso ist völlig offen, wie eine solche Beaufsichtigung umgesetzt werden soll. § 16 Abs 2

Evaluation – § 18

Das BMI wird das Gesetz regelmäßig, spätestens nach Ablauf von fünf Jahren nach Inkrafttreten des Gesetzes auf wissenschaftlich fundierter Grundlage evaluieren. Hier macht es sich das BMI wieder einfach, denn schon die Evaluierung des IT-SiG 2.0 war nicht wissenschaftlich und eher minderqualitativ. Dort wurden primär subjektive Einschätzung zur Maßnahmengüte, Effektivität und Komplexität der Umsetzung abgefragt, jedoch keine wissenschaftliche Evaluierung der Gesamtsituation vorgenommen. Eine seltene, erst in fünf Jahren stattfindende Evaluierung wird keinen effektiven Verbesserungsprozess gewährleisten. Stattdessen sollten die Kritierien für eine fortlaufende Evaluation schon mit der Verabschiedung des Gesetzes festgelegt werden. § 18

Bußgelder – § 19

Bußgeldvorschriften sind definiert, aber die Höhe der Bußgelder für die Ordnungswidrigkeiten ist noch nicht formuliert worden. Die Abstimmung mit dem BMJV läuft wohl noch und wird mit Spannung erwartet. § 19

Das Gesetz tritt am Tag der Verkündung in Kraft. Soweit sogut, wann auch immer das sein wird. Laut EU muss das spätestens im Oktober 2024 erfolgen, aber Frau Faeser hat ja angekündigt, dass das noch dieses Jahr kommen soll, weil es eilt. Wir sind gespannt.

Inkrafttreten

Alle Maßnahmen und Vorgaben sollen voraussichtlich am 01.01.2026 in Kraft treten. Diese ungewöhnlich lange Frist wird also weitere Jahre der Verzögerungen bei der Umsetzung verursachen.

Die Bußgeldvorschriften hingegen sollen erst am 01.01.2027 in Kraft treten. Hier wird es also noch ein Jahr oben drauf als Schonfrist gegeben, weil wir offenbar wirklich viel Zeit haben, diese wichtigen Maßnahmen zu ergreifen?

Anhang 1

Anhang 1 (insbesondere zu berücksichtigende Maßnahmen nach § 11 Absatz 1):

Zu den bei einer Abwägung durch den Betreiber kritischer Anlagen zu berücksichtigenden Maßnahmen können insbesondere zählen:

  1. a) um das Auftreten von Vorfällen zu verhindern:

– Maßnahmen der Notfallvorsorge

– Maßnahmen zur Anpassung an den Klimawandel

  1. b) um einen angemessenen physischen Schutz ihrer Räumlichkeiten und Kritischen Infrastrukturen zu gewährleisten:

– Maßnahmen des Objektschutzes, u.a. das Aufstellen von Zäunen und Sperren

– Instrumente und Verfahren für die Überwachung der Umgebung

– Detektionsgeräte

– Zugangskontrollen

  1. c) um auf Vorfälle zu reagieren, sie abzuwehren und die Folgen solcher Vorfälle zu begrenzen:

– Risiko- und Krisenmanagementverfahren und –protokolle

– vorgegebene Abläufe im Alarmfall

  1. d) um nach Vorfällen die Wiederherstellung zu gewährleisten:

– Maßnahmen zur Aufrechterhaltung des Betriebs (z.B. Notstromversorgung)

– Ermittlung alternativer Lieferketten, um die Erbringung des wesentlichen Dienstes wiederaufzunehmen

  1. e) um ein angemessenes Sicherheitsmanagement hinsichtlich der Mitarbeiter zu gewährleisten:

– Festlegung von Kategorien von Personal, das kritische Funktionen wahrnimmt,

– Festlegung von Zugangsrechten zu Räumlichkeiten, kritischen Infrastrukturen und zu sensiblen Informationen

– Berücksichtigung von Verfahren für Zuverlässigkeitsüberprüfungen und Benennung von Kategorien von Personal, die solche Zuverlässigkeitsüberprüfungen durchlaufen müssen; dabei bleiben die Vorschriften der Fachgesetze hinsichtlich der Zuverlässigkeitsüberprüfungen unberührt

– Festlegung angemessener Schulungsanforderungen und Qualifikationen

  1. f) um das entsprechende Personal für die unter den Buchstaben a bis e genannten Maßnahmen zu sensibilisieren:

– Schulungen

– Informationsmaterial

– Übungen

Zur Unterstützung der KRITIS Betreiber stellt das BBK Vorlagen und Muster zur Verfügung. Die Maßnahmen sind eine Liste von Ideen, wir befürchten nur, dass sich genau an diesen ausgerichtet wird und alles andere kaum Berücksichtigung finden wird, schade. Wir bezweifeln nicht, dass diese Vorlagen und Muster letztlich hilfreich sein werden (wie auch beim BSI), jedoch wird die Entwicklung viel Zeit beanspruchen und Zeit haben wir in Fragen KRITIS einfach nicht mehr.

Und hier findet Ihr noch den von der AG KRITIS veröffentlichten Entwurfs des KRITIS-DG von Juni 2023.

Foto von Sam LaRussa auf Unsplash

Diese Stellungnahme wurde auch als PDF erstellt und steht hier zum Download bereit.

Beitrag zur EU-Konsultation zum Katastrophenschutzverfahren der Union

Die europäische Union hat 2013 mit der Verordnung 1313/2013/EU einen Mechanismus geschaffen, mit dem die Mitgliedsstaaten sich gegenseitig bei Katastrophenschutzthemen, sowohl vor als auch während und nach einer Katastrophe unterstützen können. Das Ziel der Maßnahmen ist ein konkreter Rechtsrahmen für grenzüberschreitende Kooperation und Zusammenarbeit im Katastrophenschutz.

Da viele Länder inzwischen die Maßnahmen umgesetzt haben, hat sich die EU Komission entschieden, eine öffentliche Konsultation durchzuführen, um den aktuellen Zwischenstand der bewirkten Effekte zu erfassen.

Wir haben die Gelegenheit der Konsultation genutzt, um auf die pan-europäische Notwendigkeit von ausreichenden Kapazitäten zur Bewältigung von Großschadenslagen hervogerufen durch Cybervorfälle hinzuweisen. Für Deutschland haben wir dafür das Konzept eines Cyberhilfswerks erarbeitet – in anderen europäischen Mitgliedsstaaten könnten solche Strukturen allerdings anders aussehen. Daher erklären wir in unserem Konsultationsbeitragt die notwendigen Prüfschritte und Forschungsfragen, um CHW-ähnliche Strukturen in anderen Ländern schaffen zu können und erklären, wie sich diese in das sogenannte Unionsverfahren eingliedern ließen.

Neben dem Fragebogen, den es auszufüllen gab, wurde auch die Möglichkeit geschaffen ein Positionspapier hochzuladen. Dieses Positionspapier veröffentlichen wir für euch hier:

Bild von Wikimedia Commons, Stephane Mignon CC-BY 2.0

Referentenentwurf des BMI: KRITIS-Dachgesetz – KRITIS-DachG

Hier stellt die AG KRITIS zur Transparenz allen Interessierten den aktuellen Referentenentwurf des „Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz – KRITIS-DachG)“ mit „Bearbeitungsstand: 17.07.2023 09:33“ bereit.

Das BMI hat in der Vergangenheit leider öfter mal versäumt, eine solche Transparenz im Sinne der Gesetzgebung eigenständig vorzunehmen, daher muss die Zivilgesellschaft diesen Bug fixen.

Sollten zukünftig neue Versionen in Umlauf kommen, werden wir diese hier sammeln und veröffentlichen.

Du hast eine Version, die hier noch nicht gelistet ist? Gerne bei uns melden und bereitstellen. Danke im Voraus.

Die aktuelle Version vom 21.12.203 wurde vom BMI mit eier Vergleichsversion als auch einer Übersicht der wesentlichen Änderungen öffentlich bereitgestellt, was wir sehr begrüßen.

Timeline der KRITIS-DachG Versionen:

21.12.2023 KRITIS-Dachgesetz (74 Seiten)

21.12.2023 Vergleichsversion – KRITIS-Dachgesetz (100 Seiten)

21.12.2023 Übersicht wesentliche Änderungen – KRITIS-Dachgesetz (9 Seiten)

17.07.2023 KRITIS-Dachgesetz (48 Seiten)

To be continued…

 

Bei weiteren sachdienlichen Hinweisen wenden Sie sich bitte an Ihre nächste Kontaktperson der AG KRITIS.

Für Risiken und Nebenwirkungen kontaktieren Sie Ihre Abgeordneten.

 

Alle Veröffentlichungen zu NIS2 Referentenentwürfen findet ihr hier:

Alle Veröffentlichungen zu IT-SiG 2.0 Referentenentwürfen findet ihr hier:

 

Behördenfunk in Deutschland: Anspruch und Wirklichkeit

Das Digitalfunknetz der Behörden und Organisationen mit Sicherheitsaufgaben (BOS) stellt deren Einsatzkräften und Leitstellen eine verschlüsselte und gegen Ausfall besonders gesicherte Infrastruktur zur Verfügung. Die Hauptaufgabe des sogenannten BOS-Digitalfunk ist es, eine sichere und reibungslose Kommunikation für Sprechfunk und Kurznachrichten im „Alltagsgeschäft“ und auch im Katastrophenfall zu gewährleisten.
Nutzende sind in Deutschland neben den BOS (polizeiliche und nicht-polizeiliche Gefahrenabwehr wie Rettungsdienst, Feuerwehr, THW) auch die Bundeswehr.
In letzter Zeit sind auch weitere Organisationen wie z.B. einzelne kommunale Ordnungsbehörden hinzugekommen. Diese neuen Nutzer müssen dafür vorab ein Anerkennungsverfahren durchlaufen [1].

Technisch gesehen handelt es sich beim digitalen Behördenfunk um ein digitales Bündelfunknetz nach dem Terrestrial Trunked Radio (TETRA)-Standard [2]. Im Unterschied zu den Mobilfunknetzen kommerzieller Anbieter findet der Großteil der Kommunikation als „Gruppenruf“ statt.
D.h. ein Teilnehmender spricht und die restlichen Endgeräte der Gruppe geben diese Nachricht wieder.

Organisatorisch teilen sich Bund und Länder die Verantwortung für den Betrieb des BOS-Digitalfunknetzes. Jedes Bundesland trägt die Verantwortung für das Zugangsnetz auf seinem Gebiet. Dies beinhaltet die Errichtung und den Betrieb der Basisstationen, inklusive der Maßnahmen zur Steigerung der Resilienz. Dazu zählen mobile und stationäre Netzersatzanlagen für den Fall eines Stromausfalls. Oder auch kabel- bzw. satelliten-angebundene mobile Basisstationen für kurzfristig notwendige Kapazitätserweiterungen, beispielsweise für Großveranstaltungen oder großflächigen Naturkatastrophen. Die Anschaffung der mobilen Endgeräte liegt für die kommunalen Nutzenden (insbesondere Feuerwehr und Rettungsdienst) bei den Kommunen selber.

Demgegenüber ist der Bund mit seiner Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS) in der Verantwortung für die Errichtung und den Betrieb des BOS-Digitalfunk-Kernnetzes. Dieses dient zur überregionalen Vernetzung der Basisstationen über Vermittlungsstellen und Transit-Vermittlungsstellen und der Anbindung der Polizei- und Rettungsleitstellen über Draht.

Laut BDBOS hat das BOS-Digitalfunknetz über 5000 Basisstationen und deckt 99.2 % der Fläche Deutschlands ab [3].

Altlasten

In der öffentlichen Wahrnehmung entsteht so der Eindruck, dass alle deutschen BOS das BOS-Digitalfunknetz als verschlüsseltes und hochverfügbares Kommunikationnetz nutzen. Tatsächlich existieren jedoch folgende Einschränkungen:

  • In mehreren Bundesländern wird das alte, analoge Sprechfunknetz aus den 1970er Jahren noch zur Alarmierung von Feuerwehr- und Rettungsdienst genutzt [4] [5].
  • In weiten Teilen Baden-Württembergs wird der gesamte Sprechfunk von Feuerwehr und Rettungsdienst immer noch über Analogfunk abgewickelt [6].
  • In der Vergangenheit kam es zu immer wieder zu Fällen, in denen unverschlüsselter Sprechfunk oder Alarmierungen von Einsatzkräften über Internet verbreitet worden sind [7].

Das größte Sicherheitsproblem des alten, analogen BOS-Funks ist die fehlende Verschlüsselungsmöglichkeit und damit die mangelnde Abhörsicherheit. Bis vor 30 Jahren war dieses Problem vergleichsweise lokal begrenzt. Rein physikalisch ist das Abhören nur im Zuständigkeitsbereich einer Polizei- oder Rettungsleitstelle möglich, wo das BOS-Funknetz auch technisch ausgebaut ist. Mit dem Aufkommen des Internets und Mobilfunks bekam dieses Problem eine größer werdende Dimension. Das Übertragen von Sprechfunk-Audiostreams über das Internet stellt für eine technisch interessierte Person heutzutage kein Problem mehr da.

In den vergangenen drei Jahren konnten Mitglieder der AG KRITIS im Internet die Sprechfunk-Audiostreams von 16 Rettungsleitstellen ausfindig machen. Über diese wurde die analoge Alarmierungen und der analoge Sprechfunk der Einsatzkräfte von Feuerwehr und Rettungsdienst in Echtzeit ins Internet übertragen.

Diese Audiostreams waren frei zugänglich, ohne Passwortschutz oder andere Zugriffsbeschränkungen und konnten einfach mittels Suchmaschinen aufgefunden werden. Das Anhören der Audiostreams im MP3-Format war ganz einfach über PC, Smartphone oder Tablet ohne weiteres möglich. Vergleichbar mit dem Audiostream des Lieblings-Radiosenders, nur eben unter Verwendung einer anderen IP-Adresse.

Insbesondere für Hilfesuchende und Patienten stellte dies ein massives Datenschutz-Problem dar. Name, Anschrift, Alter, Art der Notlage, Gesundheitsdaten und sogar private Telefonnummern für Rückrufe durch Einsatzkräfte wurden hier vom abgehörten Sprechfunk ins Internet übertragen. Einige Server stellten dabei den Sprechfunk von mehreren Rettungsleitstellen zeitgleich ins Internet, angeboten über parallele Streams. Ein Schwerpunkt lag hier im süddeutschen Raum.

Die Audiostreams enthielten massenhaft personenbezogene Daten und Gesundheitsdaten. Mitglieder der AG KRITIS dokumentierten jeweils die IP-Adresse des Audiostreams und die übertragenen Inhalte. Durch die genannten Ortsnamen konnte auch die betroffene Rettungsleitstelle ausfindig gemacht werden.

Die Meldungen wurden dann an das jeweilige Landes-CERT (Computer Emergency Response Team der Landesverwaltung) verschickt. Diese reagierten meistens zeitnah und nach der Kontaktaufnahme mit der betroffenen Rettungsleitstelle konnte die weitere Aussendung von personenbezogenen Daten und Gesundheitsdaten über den unverschlüsselten Sprechfunk oft unterbunden werden.

Den Verantwortlichen in den betroffenen Rettungsleitstellen war die mangelnde Abhörsicherheit beim Analogfunk generell und seit langem bekannt. Die Tatsache, dass der Sprechfunk eines geographisch kleinen Leitstellen-Bereichs jedoch „einfach so“ weltweit im öffentlichen Netz mitzuhören war, führte letztendlich zu einer geänderte Risikoeinschätzung. Insbesondere in Rheinland-Pfalz und Bayern wurde so sehr kurzfristig reagiert.

Nachdem in Bayern insgesamt vier Rettungsleitstellen von Audiostreams im Internet betroffen waren, reagierte auch das zuständige Innenministerium. Es verfasste schliesslich ein Rundschreiben an alle Rettungsleitstellen im Freistaat. Die unverschlüsselte Übertragung von personenbezogenen Daten und Gesundheitsdaten in der Einsatzkräfte-Alarmierung wurde so schliesslich im April 2022 landesweit untersagt [8].

Parallel zu den Landes-CERTs informierten die Mitglieder der AG KRITIS auch die Ansprechstelle Cybercrime beim LKA der jeweiligen Bundesländer. Denn nur so war es möglich, die Betreibenden der Audiostreams ausfindig zu machen.

Daraus entwickelte sich allerdings ein „Zuständigkeit-Problem“, für den Fall, dass gleichzeitig mehrere Bundesländer betroffen waren:

  • Befindet sich die abgehörte Rettungsleitstelle in Bundesland A, wird das Landes-CERT in Bundesland A informiert, hier war die regionale Zuständigkeit eindeutig.
  • Befindet sich die abgehörte Rettungsleitstelle in Bundesland A, der Sprechfunk-Audiostream wird, laut IP-Adresse des Betreibenden, in Bundesland B lokalisiert, so war in diesem Fall das LKA Cybercrime in Bundesland A zunächst „nicht zuständig“, sondern das LKA Cybercrime in Bundesland B.
  • Befindet sich die abgehörte Rettungsleitstelle in Bundesland A, der Sprechfunk-Audiostream wird Bundesland B zugeordnet und die betroffene Rettungsleitstelle hat bereits Strafanzeige erstattet, so war dann doch wieder das LKA Cybercrime in Bundesland A „zuständig“.

Rechtlicher Rahmen

Die aufgefundenen Audiostreams sind mittlerweile abgeschaltet bzw. nicht mehr frei zugänglich.

Nach Rückmeldung der Rettungsleitstellen waren die Betreibenden zum Teil Hobbyfunker ohne offensichtlichen Bezug zu Feuerwehr oder Rettungsdienst. In anderen Fällen wurden die Audiostreams von Feuerwehr-Angehörigen betrieben. Den Betreibenden war entweder nicht bewusst, dass der Audiostream „einfach so“ über das Internet von jedermann mitgehört werden konnte. Oder es war ihnen schlichtweg egal.

In einem Fall warben die Beitreiber sogar auf Ihrer Homepage damit: „Für Partner, Funkfreunde und Sponsoren => bitte den Link anfragen“. Allerdings war der Port des Audiostreams auch einfach über Suchmaschinen auffindbar, unter der selben IP-Adresse wie die Webseite der Betreiber.

In § 5 des „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG) ist das „Abhörverbot“ geregelt.
So heißt es in Absatz 1:
„Mit einer Funkanlage dürfen nur solche Nachrichten abgehört oder in vergleichbarer Weise zur Kenntnis genommen werden, die für den Betreiber der Funkanlage, für Funkamateure […], für die Allgemeinheit oder für einen unbestimmten Personenkreis bestimmt sind.“
Und in Absatz 2:
„Der Inhalt anderer als in Absatz 1 genannter Nachrichten sowie die Tatsache ihres Empfangs dürfen, auch wenn der Empfang unbeabsichtigt geschieht, […], anderen nicht mitgeteilt werden.[..]“

Gemäß § 27 TTDSG droht hier eine Freiheitsstrafe bis zu 2 Jahren.

Wir müssen deshalb deutlich davor warnen, den analogen Behördenfunk abzuhören oder gar über Internet weiter zu verbreiten.

Fazit

Angesichts der hier beschriebenen Sicherheitslücken im analogen, unverschlüsselten Behördenfunk stellt die AG KRITIS die folgenden Forderungen an die Verantwortlichen in den Ländern und den Kommunen:

  • Es obliegt den kommunalen Trägern der jeweiligen Rettungsleitstellen (Stadt- und Landkreise sowie den Leistungsträgern im Rettungsdienst als Leitstellenträger), den analogen Behördenfunk auf dem Stand der 1970er Jahre weiter zu benutzen. Ein Umstieg auf den digitalen, abhörsicheren Behördenfunk ist aktuell nicht obligatorisch.
    Hier fordert die AG KRITIS schon länger die verbindliche Teilnahme ausnahmslos aller BOS der Bundesländer am BOS-Digitalfunk. Sollte die kommunale Finanzierung dies nicht ermöglichen, dann muss zwingend das Bundesland in Vorleistung treten. Der größte Handlungsbedarf besteht hier augenscheinlich in Baden-Württemberg.
  • Der analoge Behördenfunk könnte aus Sicht der AG KRITIS allenfalls als Notlösung für den BOS-Digitalfunk erhalten bleiben. Das von der Flut im Juli 2021 besonders betroffene Rheinland-Pfalz hat nach dem massiven Ausfall des BOS-Digitalfunks mittlerweile entsprechende Maßnahmen getroffen. Mit den Konzepten „4 m Redundanz“ und „DMO-Funkkette“ [9] hat man dort wichtige Schritte unternommen für mehr Resilienz in der Kommunikations-Infrastruktur der Einsatzkräfte. Der Analogfunk soll in Rheinland-Pfalz die offizielle Rückfallebene für den BOS-Digitalfunk darstellen. Doch die Beschaffung und Ersatzteil-Versorgung dieser zum Teil über 40 Jahre alten Funkgeräte stellt die kommunalen Verantwortlichen vor große Probleme.
    Die AG KRITIS fordert deshalb die Anschaffung von satelliten-angebunden mobilen Digitalfunk-Basisstationen (sat-mBs) für jedes Bundesland in ausreichender Stückzahl, d.h. mindestens drei Einheiten je Bundesland.
    Zur Erinnerung: Aktuell sind bundesweit nur 10 Stück dieser sat-mBS verfügbar. Im Juli 2021 waren im Flutgebiet ca. 60 Digitalfunk-Basisstationen über längere Zeit ausgefallen. Der digitale Behördenfunk war damit im Katastrophengebiet über Tage und Wochen flächendeckend praktisch nicht nutzbar.
  • Mit der letzten Überarbeitung der „Anerkennungsrichtlinie Digitalfunk BOS“ können auch kommunale Ordnungsbehörden auf Antrag am BOS-Digitalfunk teilnehmen. Insbesondere im Katastrophenfall wäre so eine definierte, hochverfügbare Schnittstelle zwischen BOS und kommunaler Verwaltung sichergestellt.
    Die AG KRITIS fordert deshalb mittelfristig die Teilnahme aller kommunalen Ordnungsbehörden am BOS-Digitalfunk.
  • In einigen Bundesländern ist das Landes-CERT nicht zuständig für kommunale Einrichtungen, sondern nur für landeseigene Betriebe. Ein zentraler technischer Ansprechpartner für alle kommunalen Einrichtungen des Bundeslands existiert hier schlichtweg nicht.
    Die AG KRITIS fordert deshalb die Errichtung eines Kommunal-CERT in jedem Landes-CERT in allen Bundesländern. Dieses sollte für alle Einrichtungen auf kommunaler Ebene zum Einsatz kommen, wie z.B. Rathäuser, Kreisverwaltungen und Rettungsleitstellen. Nur so kann das Gemeinwesen der Bundesländer auf allen Ebenen resilienter gestaltet werden, insbesondere gegen Bedrohungen aus dem Cyber-Raum und großflächige Ausfälle landesweiter IT-Infrastruktur. An dieser Stelle verweisen wir auf unsere „Stellungnahme 17/4072 für die Anhörung des Landtags Nordrhein-Westfalen – Kommunale IT-Sicherheit sicherstellen – Aufbau eines zentralen Kommunal-CERT“ [10].

Quellen:

[1] https://www.swr.de/swraktuell/baden-wuerttemberg/tuebingen/stadt-tuebingen-wird-pilotkommune-fuer-bos-digitalfunk-einheitliches-behoerdennetz-100.html
[2] https://de.wikipedia.org/wiki/Terrestrial_Trunked_Radio
[3] https://www.bdbos.bund.de/DE/Home/home_node.html
[4] https://fragdenstaat.de/a/268366
[5] https://fragdenstaat.de/a/254853
[6] https://www.bundesrechnungshof.de/SharedDocs/Downloads/DE/Berichte/2020/objektfunkversorgung-im-digitalfunk-volltext.pdf
[7] https://www.tvo.de/mediathek/video/hof-funksprueche-der-integrierten-leitstelle-hochfranken-landen-im-netz/
[8] https://fragdenstaat.de/a/251834
[9] https://fragdenstaat.de/a/266732
[10] https://www.landtag.nrw.de/portal/WWW/dokumentenarchiv/Dokument/MMST17-4072.pdf

Quelle Beitragsbild: https://commons.wikimedia.org/wiki/File:Feuerwehr_Altenstadt_(Iller)_Interims-B%C3%BCro.jpg

Solarparks mit der Handfunke steuern?

Digitale Kommunikation ist in der kritischen Infrastruktur schon an vielen Stellen schon Stand der Technik. Leider lassen auch digitale Standards Möglichkeiten für eine unverschlüsselte Kommunikation offen.

Ende 2022 wurde bekannt, dass Hacker*innen in deutschen Städten Verkehrsampeln mittels Funktechnik auf grün schalten können[1]. Selbstredend kann dies zu erheblichen Einschränkungen oder gar Chaos im Straßenverkehr führen. Dies betont die Notwendigkeit stärkerer Sicherheitsmaßnahmen zum Schutz kritischer Infrastruktur im Sektor Transport und Verkehr.
Daneben haben die Datenabflüsse bei Alarmierungen von Feuerwehr und Rettungsdienst [2] gezeigt, dass bei Funktechnik in puncto Verschlüsselung auch in anderen Sektoren der kritischen Infrastruktur noch große Defizite bestehen.

Nicht nur Ampeln haben eine ungeschützte Funk-Schnittstelle

Die AG KRITIS wurde von Hobby-Funkern kontaktiert, die auf ein ähnlich gelagertes Problem bei Energie-Erzeugungsanlagen hingewiesen haben. Wir haben Einblick bekommen in Mitschnitte aus TETRA-Digitalfunknetzen von zwei Energieversorgungsunternehmen (EVU) aus dem Süden und Südwesten Deutschlands, die zeigen, wie die EVUs ihre Erzeugungsanlagen über ihre Digitalfunknetze steuern.
Dabei kamen gleich mehrere gravierende Schwachstellen zutage:

  • Die TETRA-Digitalfunknetze der beiden EVUs nutzten keine Verschlüsselung
  • Das verwendete Fernwirkungs-Protokoll zur Steuerung der Energie-Erzeugungsanlagen ist ein gängiger Industrie-Standard und frei zugänglich
  • Die technischen Details zur konkreten Umsetzung (wie Anschlussbelegung von Schalt-Elementen und deren Zuordnung im Steuerungs-Protokoll) waren auf den Internet-Seiten der EVUs gut dokumentiert

Was ist TETRA-Digitalfunk-Technik ?

Ab Mitte der 1990er Jahre entwickelte sich der Terrestrial Trunked Radio (TETRA) Standard zu einer modernen Alternative zum analogen Bündelfunk. Firmen und Behörden können bei der Bundesnetzagentur (BNetzA) die Nutzung eines TETRA-Digitalfunknetzes beantragen. Die Liste der Zuteilungen wird von der Bundesnetzagentur öffentlich gepflegt [3]. Darin aufgeführt sind zahlreiche Infrastruktur-Betreiber, sowohl unter- als auch überhalb der KRITIS-Schwelle, sowie auch zahlreiche namhafte Firmen. Die Antragstellenden erhalten bei Zuteilung eine eigene Funknetz-Kennung sowie eine Frequenzbereichszuweisung. Diese liegt gemäß den „Verwaltungsvorschriften für Frequenzzuteilungen im schmalbandigen Bündelfunk (VVBüfu)“ im Bereich von 410–420 MHz (Uplink, also Mobilgerät zur Basisstation) und 420–430 MHz (Downlink, also Basisstation zu Mobilgerät) [4].

Technisch besteht die Möglichkeit, die Luftschnittstelle (also die Verbindung zwischen Mobilgerät und Basisstation):

  • gar nicht zu verschlüsseln („class 1“)
  • mit einem statischen Schlüssel zu kryptieren („class 2“)
  • mittels dynamischen Schlüssel zu verschlüsseln („class 3“)

Eine obligatorische Verschlüsselung im TETRA-Digitalfunk-Standard gibt es somit nicht [5].

Unabhängig von der Verschlüsselung der Luftschnittstelle hat der Funknetz-Betreiber ferner die Möglichkeit, eine Ende-zu-Ende-Verschlüsselung zu verwenden. Diese ist technisch unabhängig vom TETRA-Standard, denn die so verschlüsselten Daten werden transparent durchgereicht. Die Ende-zu-Ende-Verschlüsselung ist vom Funknetz-Betreiber somit separat zu implementieren.

Im Netz des digitalen Behördenfunks („BOSNet“) kommen sowohl die dynamische Verschlüsselung der Luftschnittstelle, als auch die zusätzliche Ende-zu-Ende-Verschlüsselung zum Einsatz. Mit diesen Maßnahmen kann der digitale Behördenfunk als ausreichend abhörsicher eingeschätzt werden. Selbst wenn Angreifende Zugriff direkt auf die Basisstationen oder die Vernetzung der Basisstationen untereinander hätten, wäre die Kommunikation noch gegen Mitlesen gesichert.

Beispiel: Fernwirktechnik der EVUs

Nach Aussage der Hinweisgeber waren die TETRA-Digitalfunknetze der beiden EVUs in deren Versorgungsgebiet und auch „zig Kilometer“ darüber hinaus mit „einem halben Meter Draht auf der Fensterbank als Antenne“ zu empfangen und mitzulesen. Auf eine Verschlüsselung wurde in beiden Fällen betreiberseitig komplett verzichtet.

Laut Website der betroffenen EVUs kommt TETRA-Digitalfunk zur Fernsteuerung für Photovoltaik-Anlagen bis 100 kW zum Einsatz. Verwendet wird hier das Kommunikationsprotokoll IEC 60870-5-101 [6]. Das Protokoll wird als allgemeines Übertragungsprotokoll zwischen (Netz-)Leitsystemen und Fernbedienungs-Terminals eingesetzt.

Wie von den Hobby-Funkern gezeigt, reichen ein Funkempfänger für unter 30 Euro [7], freie Software [8] und ein betagtes Laptop mit Linux-Betriebssystem aus, um im unverschlüsselten TETRA-Digitalfunk den Sprechfunk und die Kurznachrichten (Short Data Service, SDS) mitzuschneiden.
Die mitgeschnittenen Textnachrichten der beiden Funknetze zeigten tatsächlich in Klartext die typische Rahmen-Struktur des IEC 60870-5-101-Protokolls. Mittels frei verfügbarer Software wie Wireshark [9] und passender Erweiterungen [10] war es so leicht möglich, die Steuerungsprotokolle zu analysieren und grafisch aufzubereiten.

Die beiden EVUs stellten auf Ihrer Website auch sogenannte „Musterdatenmodelle“ bereit.
Aus diesen ging die exakte Zuordnung der Fernwirk-Telegramme auf die jeweilige Funktion hervor, wie z.B.:

  • Schalten von Lasttrennschaltern
  • Freigabesignale zur Drosselung der Wirkleistungseinspeisung auf die definierten Sollwerte wie 0 % bzw. 30 % / 60 % / 100 %
  • Rückmeldung der Freigabesignale

Zudem war die eingesetzte Hardware, also die konkret verwendeten digitalen TETRA-Modems und die genaue Verdrahtung der Schaltausgänge/Sensoreingänge mit den Steuereingängen/Schaltausgängen der Wechselrichter der Energieerzeugungs-Anlagen, gut dokumentiert.

In der Gesamtheit war also im Detail beschrieben, mit welchen TETRA-Kurznachrichten die Steuereingänge und Lasttrennschalter der Energieerzeugungs-Anlagen angesteuert werden können. Auch die Status-Rückmeldung der Energieerzeugungs-Anlagen an das Netz-Leitsystem war exakt dokumentiert.

Nur Mithören tut doch keinem weh ?

Potentiellen Angreifenden lagen also frei zugänglich im Internet und durch passives Mitschneiden der unverschlüsselten TETRA-Kurznachrichten alle für den Fernwirkbetrieb relevanten Informationen vor. Dazu zählen vor allem die Steuerbefehle aus dem Netzleitsystem zur Erzeugungsanlage, aber auch die Status-Rückmeldungen in Gegenrichtung.

Mit einem finanziellen Aufwand unter 200 Euro [11] wäre es leicht möglich gewesen, in die Steuerung der Energieerzeugungs-Anlagen aktiv einzugreifen. Die Sende- und Empfangsanlagen dafür sind frei verkäuflich.

So hätten beispielsweise falsche Steuerbefehle an die Energieerzeugungs-Anlagen oder falsche Status-Rückmeldungen an die Netz-Leitstelle gesendet werden können. Vorausgesetzt, Angreifende hätte sich innerhalb der Reichweite des TETRA-Digitalfunknetzes des jeweiligen EVUs aufhalten können.

Im schlimmsten Fall hätten falsche Steuerbefehle an die Energieerzeugungs-Anlagen (beispielsweise eine abrupte Abregelung vieler Anlage bei Volleinspeisung) zu negativen Rückwirkungen auf das Stromnetz in der Region geführt.
Falsche Status-Rückmeldungen an das Leitsystem hätten ggf. zu falschen Regeleingriffen im Stromnetz geführt. Eines der EVU gibt an, dass über 7.000 Energieerzeugungs-Anlagen und Lastschalter über sein TETRA-Netz angesteuert werden.

Doch so weit gingen die Hobby-Funker nicht. Der Sachverhalt wurde ausreichend dokumentiert und an das CERT-Bund (Computer Emergency Response Team des Bundes) im Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet. Dafür steht beim BSI ein geeignetes Meldeformular zu Verfügung [12].

Eine direkte Rückmeldung der betroffenen EVUs an die Hinweisgeber erfolgte nicht. Jedoch zeigte die Analyse der beiden TETRA-Digitalfunknetze nach einigen Wochen, dass die optionale Verschlüsselung der Luftschnittstelle aktiviert worden war. Es können seitdem nur noch verschlüsselte Textnachrichten mittels Funkempfänger mitgeschnitten werden. Offensichtlich wurde diese Schwachstelle von den EVUs geschlossen.

Was bleibt ?

Die Liste „Zuteilungen TETRA-Netzkennungen (ITSI-Blocks)“ der BNetzA [3] zeigt über 300 Zuweisungen von TETRA-Digitalfunknetzen an Unternehmen, Einrichtungen und Behörden. Vertreten sind Nutzer aus verschiedenen KRITIS-Sektoren und privatwirtschaftliche Nutzer wie:

  • Energieversorgungsunternehmen und Stadtwerke
  • Betreiber kerntechnischer Anlagen
  • ÖPNV-Anbieter
  • Kliniken
  • Flughäfen
  • Justizvollzugsanstalten und Justizbehörden
  • Zentralbanken
  • Forschungseinrichtungen
  • große Industriebetriebe

Bislang liegt es im Ermessen der Betreibenden kritischer Infrastrukturen selbst (speziell derer unterhalb der BSI-KritisV Schwellenwerte), wie ihre Anlagen kontrolliert und physisch geschützt werden. Durch individuelle Fehleinschätzungen der privaten Betreibenden entstehen so Sicherheitslücken, wie das Beispiel oben zeigt, oder auch der Fall des Digitalfunk-Ausfalls der Deutschen Bahn.

Über die Sicherheit der TETRA-Digitalfunknetze ist aktuell nur wenig bekannt. Ob es sich bei den betrachteten EVUs um Einzelfälle handelte, kann aus Sicht der AG KRITIS nicht abschließend bewertet werden. Es ist jedoch davon auszugehen, dass schlicht auf Grund der Möglichkeit und Legitimität TETRA unverschlüsselt zu betreiben, dies auch noch in weiteren Funknetzen so praktiziert wird.

Ein pikantes Detail aus den Beobachtungen der Hobby-Funker:
In einem der beobachteten Funknetze war der über Funk ausgesendete Status der Luftschnittstellen-Verschlüsselung zwar auf „aktiv“ gesetzt. Tatsächlich erfolgte die Übertragung jedoch unverschlüsselt. In der Dokumentation der verwendeten TETRA-Dekodier-Software heißt es dazu:

„Question: tetra-rx reports Air Encryption:1, does this mean that all is encrypted?
Answer: No, this means that someone has paid money for the encryption license for their TETRA
infrastructure. To use encryption each radio needs to have encryption enabled too, which also costs. So probably there will still be some radios (which are not used for secret communications), without encryption.“

Rechtlicher Rahmen

In § 5 des „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG) ist das Abhörverbot geregelt. So heißt es in Absatz 1:
„Mit einer Funkanlage dürfen nur solche Nachrichten abgehört oder in vergleichbarer Weise zur Kenntnis genommen werden, die für den Betreiber der Funkanlage, für Funkamateure […], für die Allgemeinheit oder für einen unbestimmten Personenkreis bestimmt sind.“
Gemäß § 27 TTDSG droht hier eine Freiheitsstrafe bis zu 2 Jahren.

Für das Betreiben einer Funkanlage auf Frequenzen ohne Genehmigung und Zuteilung der Frequenz durch die Bundesnetzagentur drohen Bußgelder gemäß § 228 des Telekommunikationsgesetz (TKG) in Höhe von bis zu 500.000 €. Außerdem sanktioniert § 316b des Strafgesetzbuch (StGB) die Störung von Energieerzeugungs-Anlagen mit Freiheitsstrafe bis zu fünf Jahren oder mit einer Geldstrafe.

Es drohen also sowohl beim passiven Abhören und erst recht beim aktiven Eingriff in fremde Funknetze empfindliche strafrechtliche Konsequenzen.

Auch im europäischen Ausland gibt es ähnliche gesetzliche Regelungen. Als Beispiel sei hier der Fall Dejan Ornig aus Slovenien [13] angeführt. Herr Ornig hatte die fehlende Verschlüsselung beim TETRA-Digitalfunknetz der Sicherheitsbehörden seines Landes aufgedeckt und wurde mittlerweile rechtskräftig verurteilt.

Aufgrund der eindeutigen strafrechtlichen Situation müssen wir eindringlich davor warnen, TETRA-Digitalfunknetze selber abzuhören.

Als AG KRITIS fordern wir :

  • Alle öffentlich zugänglichen digitalen Schnittstellen im Bereich der kritischen Infrastruktur – insbesondere Digitalfunknetze – müssen Verschlüsselung nutzen.
  • Bundesweit geltende Sicherheits-Standards und gesetzliche Vorgaben gibt es bislang nicht. Die Sicherheitsanforderungen an kritische Infrastrukturen müssen endlich bundesweit einheitlich geregelt werden, beispielsweise in einem KRITIS-Dachgesetz.
  • Verbindliche Sicherheitsaudits für ausnahmslos alle Betreibenden technischer Infrastruktur, auch jene, welche die Schwellenwerte der „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-Kritisverordnung – BSI-KritisV [14]) unterschreiten.

Responsible Disclosure:

Bevor dieser Artikel veröffentlicht wurde, haben wir diesen dem BSI am 12. Februar 2023 zur Verfügung gestellt und eine Stillhaltefrist vom 90 Tagen vereinbart. So konnte das BSI alle Betreiber informieren und zur Behebung dieser Schwachstelle auffordern. Wir hoffen, dass zum jetzigen Zeitpunkt alle betroffenen Betreiber vom BSI informiert worden sind und diese Sicherheitslücke bereits geschlossen ist.

Quellen:

[1]: https://www.ndr.de/fernsehen/sendungen/panorama3/Kritische-Infrastruktur-Wie-leicht-Ampeln-manipuliert-werden-koennen,ampeln120.html

[2]: https://ag.kritis.info/2022/05/20/datenabfluss-bei-feuerwehr-und-rettungsdienst/

[3]: https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Nummerierung/TechnischeNummern/ITSI/ITSI_zuget_Rufnr.pdf

[4]: https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Frequenzen/Verwaltungsvorschriften/VVBuefu.pdf

[5]: https://de.wikipedia.org/wiki/Terrestrial_Trunked_Radio

[6]: https://de.wikipedia.org/wiki/IEC_60870#IEC_60870-5-101

[7]: https://en.wikipedia.org/wiki/Software-defined_radio#RTL-SDR

[8]: https://github.com/sq5bpf/telive

[9]: https://de.wikipedia.org/wiki/Wireshark

[10]: https://github.com/michaelxzhang/iec101-103-selcmd_dissectors

[11]: https://en.wikipedia.org/wiki/List_of_software-defined_radios

[12]: https://www.bsi.bund.de/DE/IT-Sicherheitsvorfall/IT-Schwachstellen/Schwachstellenmeldungen/Schwachstellenmeldungen_node.html

[13]: https://securityaffairs.co/47579/hacking/hacking-tetra-protocol.html

[14]: https://www.gesetze-im-internet.de/bsi-kritisv/

Der Artikel wurde von unseren Mitgliedern Yves Ferrand und Slow Pete verfasst.

Quelle Beitragsbild: https://commons.wikimedia.org/wiki/File:Solarpark_Koenigsbrueck_2.JPG

Schriftliche Stellungnahme für den Landtag Nordrhein-Westfalen

Die FDP-Fraktion des Landtags NRW hat uns eingeladen, eine schriftliche Stellungnahme zu einem Antrag abzugeben. Dieser Antrag trägt den Titel: „Kommunikation und IT-Sicherheit im Falle eines Katastrophenfalles durch einheitliche Planbarkeit sicherstellen“. Die schriftliche Anhörung wird vom Innenausschuss durchgeführt. Der Antrag auf Drucksache 18/2564 fordert die Ausrüstung der Behörden in NRW mit Satelliteninternet, die Schaffung von Katastrophenschutzleuchttürmen sowie die Schaffung eines Cyberhilfswerks. Wir haben diesen Antrag bewertet und in unserer Stellungnahme weitere, aus unserer Sicht sinnvolle, Maßnahmen vorgeschlagen.

Wir unterbreiten den Mitgliedern der Innenausschusses, neben einer Bewertung des Antrags,
auch darüber hinausgehende, konkrete Handlungsempfehlungen und Verbesserungsvorschläge.
Unserer Ansicht nach sind diese erforderlich, um das nordrhein-westfälische Gemeinwesen im
Hinblick auf künftige Krisen besser vorzubereiten und handlungsfähiger zu machen.

[…]

Die AG KRITIS begrüßt die vorgeschlagenen Maßnahmen in der Beschlussfassung und erachtet
die Umsetzung dieser als sinnvoll, notwendig und verhältnismäßig

Download der Stellungnahme als PDF

Image: Olaf Kosinsky (kosinsky.eu)
Licence: CC BY-SA 3.0-de