Artikel von unseren Mitgliedern

Behördenfunk in Deutschland: Anspruch und Wirklichkeit

Das Digitalfunknetz der Behörden und Organisationen mit Sicherheitsaufgaben (BOS) stellt deren Einsatzkräften und Leitstellen eine verschlüsselte und gegen Ausfall besonders gesicherte Infrastruktur zur Verfügung. Die Hauptaufgabe des sogenannten BOS-Digitalfunk ist es, eine sichere und reibungslose Kommunikation für Sprechfunk und Kurznachrichten im „Alltagsgeschäft“ und auch im Katastrophenfall zu gewährleisten.
Nutzende sind in Deutschland neben den BOS (polizeiliche und nicht-polizeiliche Gefahrenabwehr wie Rettungsdienst, Feuerwehr, THW) auch die Bundeswehr.
In letzter Zeit sind auch weitere Organisationen wie z.B. einzelne kommunale Ordnungsbehörden hinzugekommen. Diese neuen Nutzer müssen dafür vorab ein Anerkennungsverfahren durchlaufen [1].

Technisch gesehen handelt es sich beim digitalen Behördenfunk um ein digitales Bündelfunknetz nach dem Terrestrial Trunked Radio (TETRA)-Standard [2]. Im Unterschied zu den Mobilfunknetzen kommerzieller Anbieter findet der Großteil der Kommunikation als „Gruppenruf“ statt.
D.h. ein Teilnehmender spricht und die restlichen Endgeräte der Gruppe geben diese Nachricht wieder.

Organisatorisch teilen sich Bund und Länder die Verantwortung für den Betrieb des BOS-Digitalfunknetzes. Jedes Bundesland trägt die Verantwortung für das Zugangsnetz auf seinem Gebiet. Dies beinhaltet die Errichtung und den Betrieb der Basisstationen, inklusive der Maßnahmen zur Steigerung der Resilienz. Dazu zählen mobile und stationäre Netzersatzanlagen für den Fall eines Stromausfalls. Oder auch kabel- bzw. satelliten-angebundene mobile Basisstationen für kurzfristig notwendige Kapazitätserweiterungen, beispielsweise für Großveranstaltungen oder großflächigen Naturkatastrophen. Die Anschaffung der mobilen Endgeräte liegt für die kommunalen Nutzenden (insbesondere Feuerwehr und Rettungsdienst) bei den Kommunen selber.

Demgegenüber ist der Bund mit seiner Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS) in der Verantwortung für die Errichtung und den Betrieb des BOS-Digitalfunk-Kernnetzes. Dieses dient zur überregionalen Vernetzung der Basisstationen über Vermittlungsstellen und Transit-Vermittlungsstellen und der Anbindung der Polizei- und Rettungsleitstellen über Draht.

Laut BDBOS hat das BOS-Digitalfunknetz über 5000 Basisstationen und deckt 99.2 % der Fläche Deutschlands ab [3].

Altlasten

In der öffentlichen Wahrnehmung entsteht so der Eindruck, dass alle deutschen BOS das BOS-Digitalfunknetz als verschlüsseltes und hochverfügbares Kommunikationnetz nutzen. Tatsächlich existieren jedoch folgende Einschränkungen:

  • In mehreren Bundesländern wird das alte, analoge Sprechfunknetz aus den 1970er Jahren noch zur Alarmierung von Feuerwehr- und Rettungsdienst genutzt [4] [5].
  • In weiten Teilen Baden-Württembergs wird der gesamte Sprechfunk von Feuerwehr und Rettungsdienst immer noch über Analogfunk abgewickelt [6].
  • In der Vergangenheit kam es zu immer wieder zu Fällen, in denen unverschlüsselter Sprechfunk oder Alarmierungen von Einsatzkräften über Internet verbreitet worden sind [7].

Das größte Sicherheitsproblem des alten, analogen BOS-Funks ist die fehlende Verschlüsselungsmöglichkeit und damit die mangelnde Abhörsicherheit. Bis vor 30 Jahren war dieses Problem vergleichsweise lokal begrenzt. Rein physikalisch ist das Abhören nur im Zuständigkeitsbereich einer Polizei- oder Rettungsleitstelle möglich, wo das BOS-Funknetz auch technisch ausgebaut ist. Mit dem Aufkommen des Internets und Mobilfunks bekam dieses Problem eine größer werdende Dimension. Das Übertragen von Sprechfunk-Audiostreams über das Internet stellt für eine technisch interessierte Person heutzutage kein Problem mehr da.

In den vergangenen drei Jahren konnten Mitglieder der AG KRITIS im Internet die Sprechfunk-Audiostreams von 16 Rettungsleitstellen ausfindig machen. Über diese wurde die analoge Alarmierungen und der analoge Sprechfunk der Einsatzkräfte von Feuerwehr und Rettungsdienst in Echtzeit ins Internet übertragen.

Diese Audiostreams waren frei zugänglich, ohne Passwortschutz oder andere Zugriffsbeschränkungen und konnten einfach mittels Suchmaschinen aufgefunden werden. Das Anhören der Audiostreams im MP3-Format war ganz einfach über PC, Smartphone oder Tablet ohne weiteres möglich. Vergleichbar mit dem Audiostream des Lieblings-Radiosenders, nur eben unter Verwendung einer anderen IP-Adresse.

Insbesondere für Hilfesuchende und Patienten stellte dies ein massives Datenschutz-Problem dar. Name, Anschrift, Alter, Art der Notlage, Gesundheitsdaten und sogar private Telefonnummern für Rückrufe durch Einsatzkräfte wurden hier vom abgehörten Sprechfunk ins Internet übertragen. Einige Server stellten dabei den Sprechfunk von mehreren Rettungsleitstellen zeitgleich ins Internet, angeboten über parallele Streams. Ein Schwerpunkt lag hier im süddeutschen Raum.

Die Audiostreams enthielten massenhaft personenbezogene Daten und Gesundheitsdaten. Mitglieder der AG KRITIS dokumentierten jeweils die IP-Adresse des Audiostreams und die übertragenen Inhalte. Durch die genannten Ortsnamen konnte auch die betroffene Rettungsleitstelle ausfindig gemacht werden.

Die Meldungen wurden dann an das jeweilige Landes-CERT (Computer Emergency Response Team der Landesverwaltung) verschickt. Diese reagierten meistens zeitnah und nach der Kontaktaufnahme mit der betroffenen Rettungsleitstelle konnte die weitere Aussendung von personenbezogenen Daten und Gesundheitsdaten über den unverschlüsselten Sprechfunk oft unterbunden werden.

Den Verantwortlichen in den betroffenen Rettungsleitstellen war die mangelnde Abhörsicherheit beim Analogfunk generell und seit langem bekannt. Die Tatsache, dass der Sprechfunk eines geographisch kleinen Leitstellen-Bereichs jedoch „einfach so“ weltweit im öffentlichen Netz mitzuhören war, führte letztendlich zu einer geänderte Risikoeinschätzung. Insbesondere in Rheinland-Pfalz und Bayern wurde so sehr kurzfristig reagiert.

Nachdem in Bayern insgesamt vier Rettungsleitstellen von Audiostreams im Internet betroffen waren, reagierte auch das zuständige Innenministerium. Es verfasste schliesslich ein Rundschreiben an alle Rettungsleitstellen im Freistaat. Die unverschlüsselte Übertragung von personenbezogenen Daten und Gesundheitsdaten in der Einsatzkräfte-Alarmierung wurde so schliesslich im April 2022 landesweit untersagt [8].

Parallel zu den Landes-CERTs informierten die Mitglieder der AG KRITIS auch die Ansprechstelle Cybercrime beim LKA der jeweiligen Bundesländer. Denn nur so war es möglich, die Betreibenden der Audiostreams ausfindig zu machen.

Daraus entwickelte sich allerdings ein „Zuständigkeit-Problem“, für den Fall, dass gleichzeitig mehrere Bundesländer betroffen waren:

  • Befindet sich die abgehörte Rettungsleitstelle in Bundesland A, wird das Landes-CERT in Bundesland A informiert, hier war die regionale Zuständigkeit eindeutig.
  • Befindet sich die abgehörte Rettungsleitstelle in Bundesland A, der Sprechfunk-Audiostream wird, laut IP-Adresse des Betreibenden, in Bundesland B lokalisiert, so war in diesem Fall das LKA Cybercrime in Bundesland A zunächst „nicht zuständig“, sondern das LKA Cybercrime in Bundesland B.
  • Befindet sich die abgehörte Rettungsleitstelle in Bundesland A, der Sprechfunk-Audiostream wird Bundesland B zugeordnet und die betroffene Rettungsleitstelle hat bereits Strafanzeige erstattet, so war dann doch wieder das LKA Cybercrime in Bundesland A „zuständig“.

Rechtlicher Rahmen

Die aufgefundenen Audiostreams sind mittlerweile abgeschaltet bzw. nicht mehr frei zugänglich.

Nach Rückmeldung der Rettungsleitstellen waren die Betreibenden zum Teil Hobbyfunker ohne offensichtlichen Bezug zu Feuerwehr oder Rettungsdienst. In anderen Fällen wurden die Audiostreams von Feuerwehr-Angehörigen betrieben. Den Betreibenden war entweder nicht bewusst, dass der Audiostream „einfach so“ über das Internet von jedermann mitgehört werden konnte. Oder es war ihnen schlichtweg egal.

In einem Fall warben die Beitreiber sogar auf Ihrer Homepage damit: „Für Partner, Funkfreunde und Sponsoren => bitte den Link anfragen“. Allerdings war der Port des Audiostreams auch einfach über Suchmaschinen auffindbar, unter der selben IP-Adresse wie die Webseite der Betreiber.

In § 5 des „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG) ist das „Abhörverbot“ geregelt.
So heißt es in Absatz 1:
„Mit einer Funkanlage dürfen nur solche Nachrichten abgehört oder in vergleichbarer Weise zur Kenntnis genommen werden, die für den Betreiber der Funkanlage, für Funkamateure […], für die Allgemeinheit oder für einen unbestimmten Personenkreis bestimmt sind.“
Und in Absatz 2:
„Der Inhalt anderer als in Absatz 1 genannter Nachrichten sowie die Tatsache ihres Empfangs dürfen, auch wenn der Empfang unbeabsichtigt geschieht, […], anderen nicht mitgeteilt werden.[..]“

Gemäß § 27 TTDSG droht hier eine Freiheitsstrafe bis zu 2 Jahren.

Wir müssen deshalb deutlich davor warnen, den analogen Behördenfunk abzuhören oder gar über Internet weiter zu verbreiten.

Fazit

Angesichts der hier beschriebenen Sicherheitslücken im analogen, unverschlüsselten Behördenfunk stellt die AG KRITIS die folgenden Forderungen an die Verantwortlichen in den Ländern und den Kommunen:

  • Es obliegt den kommunalen Trägern der jeweiligen Rettungsleitstellen (Stadt- und Landkreise sowie den Leistungsträgern im Rettungsdienst als Leitstellenträger), den analogen Behördenfunk auf dem Stand der 1970er Jahre weiter zu benutzen. Ein Umstieg auf den digitalen, abhörsicheren Behördenfunk ist aktuell nicht obligatorisch.
    Hier fordert die AG KRITIS schon länger die verbindliche Teilnahme ausnahmslos aller BOS der Bundesländer am BOS-Digitalfunk. Sollte die kommunale Finanzierung dies nicht ermöglichen, dann muss zwingend das Bundesland in Vorleistung treten. Der größte Handlungsbedarf besteht hier augenscheinlich in Baden-Württemberg.
  • Der analoge Behördenfunk könnte aus Sicht der AG KRITIS allenfalls als Notlösung für den BOS-Digitalfunk erhalten bleiben. Das von der Flut im Juli 2021 besonders betroffene Rheinland-Pfalz hat nach dem massiven Ausfall des BOS-Digitalfunks mittlerweile entsprechende Maßnahmen getroffen. Mit den Konzepten „4 m Redundanz“ und „DMO-Funkkette“ [9] hat man dort wichtige Schritte unternommen für mehr Resilienz in der Kommunikations-Infrastruktur der Einsatzkräfte. Der Analogfunk soll in Rheinland-Pfalz die offizielle Rückfallebene für den BOS-Digitalfunk darstellen. Doch die Beschaffung und Ersatzteil-Versorgung dieser zum Teil über 40 Jahre alten Funkgeräte stellt die kommunalen Verantwortlichen vor große Probleme.
    Die AG KRITIS fordert deshalb die Anschaffung von satelliten-angebunden mobilen Digitalfunk-Basisstationen (sat-mBs) für jedes Bundesland in ausreichender Stückzahl, d.h. mindestens drei Einheiten je Bundesland.
    Zur Erinnerung: Aktuell sind bundesweit nur 10 Stück dieser sat-mBS verfügbar. Im Juli 2021 waren im Flutgebiet ca. 60 Digitalfunk-Basisstationen über längere Zeit ausgefallen. Der digitale Behördenfunk war damit im Katastrophengebiet über Tage und Wochen flächendeckend praktisch nicht nutzbar.
  • Mit der letzten Überarbeitung der „Anerkennungsrichtlinie Digitalfunk BOS“ können auch kommunale Ordnungsbehörden auf Antrag am BOS-Digitalfunk teilnehmen. Insbesondere im Katastrophenfall wäre so eine definierte, hochverfügbare Schnittstelle zwischen BOS und kommunaler Verwaltung sichergestellt.
    Die AG KRITIS fordert deshalb mittelfristig die Teilnahme aller kommunalen Ordnungsbehörden am BOS-Digitalfunk.
  • In einigen Bundesländern ist das Landes-CERT nicht zuständig für kommunale Einrichtungen, sondern nur für landeseigene Betriebe. Ein zentraler technischer Ansprechpartner für alle kommunalen Einrichtungen des Bundeslands existiert hier schlichtweg nicht.
    Die AG KRITIS fordert deshalb die Errichtung eines Kommunal-CERT in jedem Landes-CERT in allen Bundesländern. Dieses sollte für alle Einrichtungen auf kommunaler Ebene zum Einsatz kommen, wie z.B. Rathäuser, Kreisverwaltungen und Rettungsleitstellen. Nur so kann das Gemeinwesen der Bundesländer auf allen Ebenen resilienter gestaltet werden, insbesondere gegen Bedrohungen aus dem Cyber-Raum und großflächige Ausfälle landesweiter IT-Infrastruktur. An dieser Stelle verweisen wir auf unsere „Stellungnahme 17/4072 für die Anhörung des Landtags Nordrhein-Westfalen – Kommunale IT-Sicherheit sicherstellen – Aufbau eines zentralen Kommunal-CERT“ [10].

Quellen:

[1] https://www.swr.de/swraktuell/baden-wuerttemberg/tuebingen/stadt-tuebingen-wird-pilotkommune-fuer-bos-digitalfunk-einheitliches-behoerdennetz-100.html
[2] https://de.wikipedia.org/wiki/Terrestrial_Trunked_Radio
[3] https://www.bdbos.bund.de/DE/Home/home_node.html
[4] https://fragdenstaat.de/a/268366
[5] https://fragdenstaat.de/a/254853
[6] https://www.bundesrechnungshof.de/SharedDocs/Downloads/DE/Berichte/2020/objektfunkversorgung-im-digitalfunk-volltext.pdf
[7] https://www.tvo.de/mediathek/video/hof-funksprueche-der-integrierten-leitstelle-hochfranken-landen-im-netz/
[8] https://fragdenstaat.de/a/251834
[9] https://fragdenstaat.de/a/266732
[10] https://www.landtag.nrw.de/portal/WWW/dokumentenarchiv/Dokument/MMST17-4072.pdf

Quelle Beitragsbild: https://commons.wikimedia.org/wiki/File:Feuerwehr_Altenstadt_(Iller)_Interims-B%C3%BCro.jpg

Solarparks mit der Handfunke steuern?

Digitale Kommunikation ist in der kritischen Infrastruktur schon an vielen Stellen schon Stand der Technik. Leider lassen auch digitale Standards Möglichkeiten für eine unverschlüsselte Kommunikation offen.

Ende 2022 wurde bekannt, dass Hacker*innen in deutschen Städten Verkehrsampeln mittels Funktechnik auf grün schalten können[1]. Selbstredend kann dies zu erheblichen Einschränkungen oder gar Chaos im Straßenverkehr führen. Dies betont die Notwendigkeit stärkerer Sicherheitsmaßnahmen zum Schutz kritischer Infrastruktur im Sektor Transport und Verkehr.
Daneben haben die Datenabflüsse bei Alarmierungen von Feuerwehr und Rettungsdienst [2] gezeigt, dass bei Funktechnik in puncto Verschlüsselung auch in anderen Sektoren der kritischen Infrastruktur noch große Defizite bestehen.

Nicht nur Ampeln haben eine ungeschützte Funk-Schnittstelle

Die AG KRITIS wurde von Hobby-Funkern kontaktiert, die auf ein ähnlich gelagertes Problem bei Energie-Erzeugungsanlagen hingewiesen haben. Wir haben Einblick bekommen in Mitschnitte aus TETRA-Digitalfunknetzen von zwei Energieversorgungsunternehmen (EVU) aus dem Süden und Südwesten Deutschlands, die zeigen, wie die EVUs ihre Erzeugungsanlagen über ihre Digitalfunknetze steuern.
Dabei kamen gleich mehrere gravierende Schwachstellen zutage:

  • Die TETRA-Digitalfunknetze der beiden EVUs nutzten keine Verschlüsselung
  • Das verwendete Fernwirkungs-Protokoll zur Steuerung der Energie-Erzeugungsanlagen ist ein gängiger Industrie-Standard und frei zugänglich
  • Die technischen Details zur konkreten Umsetzung (wie Anschlussbelegung von Schalt-Elementen und deren Zuordnung im Steuerungs-Protokoll) waren auf den Internet-Seiten der EVUs gut dokumentiert

Was ist TETRA-Digitalfunk-Technik ?

Ab Mitte der 1990er Jahre entwickelte sich der Terrestrial Trunked Radio (TETRA) Standard zu einer modernen Alternative zum analogen Bündelfunk. Firmen und Behörden können bei der Bundesnetzagentur (BNetzA) die Nutzung eines TETRA-Digitalfunknetzes beantragen. Die Liste der Zuteilungen wird von der Bundesnetzagentur öffentlich gepflegt [3]. Darin aufgeführt sind zahlreiche Infrastruktur-Betreiber, sowohl unter- als auch überhalb der KRITIS-Schwelle, sowie auch zahlreiche namhafte Firmen. Die Antragstellenden erhalten bei Zuteilung eine eigene Funknetz-Kennung sowie eine Frequenzbereichszuweisung. Diese liegt gemäß den „Verwaltungsvorschriften für Frequenzzuteilungen im schmalbandigen Bündelfunk (VVBüfu)“ im Bereich von 410–420 MHz (Uplink, also Mobilgerät zur Basisstation) und 420–430 MHz (Downlink, also Basisstation zu Mobilgerät) [4].

Technisch besteht die Möglichkeit, die Luftschnittstelle (also die Verbindung zwischen Mobilgerät und Basisstation):

  • gar nicht zu verschlüsseln („class 1“)
  • mit einem statischen Schlüssel zu kryptieren („class 2“)
  • mittels dynamischen Schlüssel zu verschlüsseln („class 3“)

Eine obligatorische Verschlüsselung im TETRA-Digitalfunk-Standard gibt es somit nicht [5].

Unabhängig von der Verschlüsselung der Luftschnittstelle hat der Funknetz-Betreiber ferner die Möglichkeit, eine Ende-zu-Ende-Verschlüsselung zu verwenden. Diese ist technisch unabhängig vom TETRA-Standard, denn die so verschlüsselten Daten werden transparent durchgereicht. Die Ende-zu-Ende-Verschlüsselung ist vom Funknetz-Betreiber somit separat zu implementieren.

Im Netz des digitalen Behördenfunks („BOSNet“) kommen sowohl die dynamische Verschlüsselung der Luftschnittstelle, als auch die zusätzliche Ende-zu-Ende-Verschlüsselung zum Einsatz. Mit diesen Maßnahmen kann der digitale Behördenfunk als ausreichend abhörsicher eingeschätzt werden. Selbst wenn Angreifende Zugriff direkt auf die Basisstationen oder die Vernetzung der Basisstationen untereinander hätten, wäre die Kommunikation noch gegen Mitlesen gesichert.

Beispiel: Fernwirktechnik der EVUs

Nach Aussage der Hinweisgeber waren die TETRA-Digitalfunknetze der beiden EVUs in deren Versorgungsgebiet und auch „zig Kilometer“ darüber hinaus mit „einem halben Meter Draht auf der Fensterbank als Antenne“ zu empfangen und mitzulesen. Auf eine Verschlüsselung wurde in beiden Fällen betreiberseitig komplett verzichtet.

Laut Website der betroffenen EVUs kommt TETRA-Digitalfunk zur Fernsteuerung für Photovoltaik-Anlagen bis 100 kW zum Einsatz. Verwendet wird hier das Kommunikationsprotokoll IEC 60870-5-101 [6]. Das Protokoll wird als allgemeines Übertragungsprotokoll zwischen (Netz-)Leitsystemen und Fernbedienungs-Terminals eingesetzt.

Wie von den Hobby-Funkern gezeigt, reichen ein Funkempfänger für unter 30 Euro [7], freie Software [8] und ein betagtes Laptop mit Linux-Betriebssystem aus, um im unverschlüsselten TETRA-Digitalfunk den Sprechfunk und die Kurznachrichten (Short Data Service, SDS) mitzuschneiden.
Die mitgeschnittenen Textnachrichten der beiden Funknetze zeigten tatsächlich in Klartext die typische Rahmen-Struktur des IEC 60870-5-101-Protokolls. Mittels frei verfügbarer Software wie Wireshark [9] und passender Erweiterungen [10] war es so leicht möglich, die Steuerungsprotokolle zu analysieren und grafisch aufzubereiten.

Die beiden EVUs stellten auf Ihrer Website auch sogenannte „Musterdatenmodelle“ bereit.
Aus diesen ging die exakte Zuordnung der Fernwirk-Telegramme auf die jeweilige Funktion hervor, wie z.B.:

  • Schalten von Lasttrennschaltern
  • Freigabesignale zur Drosselung der Wirkleistungseinspeisung auf die definierten Sollwerte wie 0 % bzw. 30 % / 60 % / 100 %
  • Rückmeldung der Freigabesignale

Zudem war die eingesetzte Hardware, also die konkret verwendeten digitalen TETRA-Modems und die genaue Verdrahtung der Schaltausgänge/Sensoreingänge mit den Steuereingängen/Schaltausgängen der Wechselrichter der Energieerzeugungs-Anlagen, gut dokumentiert.

In der Gesamtheit war also im Detail beschrieben, mit welchen TETRA-Kurznachrichten die Steuereingänge und Lasttrennschalter der Energieerzeugungs-Anlagen angesteuert werden können. Auch die Status-Rückmeldung der Energieerzeugungs-Anlagen an das Netz-Leitsystem war exakt dokumentiert.

Nur Mithören tut doch keinem weh ?

Potentiellen Angreifenden lagen also frei zugänglich im Internet und durch passives Mitschneiden der unverschlüsselten TETRA-Kurznachrichten alle für den Fernwirkbetrieb relevanten Informationen vor. Dazu zählen vor allem die Steuerbefehle aus dem Netzleitsystem zur Erzeugungsanlage, aber auch die Status-Rückmeldungen in Gegenrichtung.

Mit einem finanziellen Aufwand unter 200 Euro [11] wäre es leicht möglich gewesen, in die Steuerung der Energieerzeugungs-Anlagen aktiv einzugreifen. Die Sende- und Empfangsanlagen dafür sind frei verkäuflich.

So hätten beispielsweise falsche Steuerbefehle an die Energieerzeugungs-Anlagen oder falsche Status-Rückmeldungen an die Netz-Leitstelle gesendet werden können. Vorausgesetzt, Angreifende hätte sich innerhalb der Reichweite des TETRA-Digitalfunknetzes des jeweiligen EVUs aufhalten können.

Im schlimmsten Fall hätten falsche Steuerbefehle an die Energieerzeugungs-Anlagen (beispielsweise eine abrupte Abregelung vieler Anlage bei Volleinspeisung) zu negativen Rückwirkungen auf das Stromnetz in der Region geführt.
Falsche Status-Rückmeldungen an das Leitsystem hätten ggf. zu falschen Regeleingriffen im Stromnetz geführt. Eines der EVU gibt an, dass über 7.000 Energieerzeugungs-Anlagen und Lastschalter über sein TETRA-Netz angesteuert werden.

Doch so weit gingen die Hobby-Funker nicht. Der Sachverhalt wurde ausreichend dokumentiert und an das CERT-Bund (Computer Emergency Response Team des Bundes) im Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet. Dafür steht beim BSI ein geeignetes Meldeformular zu Verfügung [12].

Eine direkte Rückmeldung der betroffenen EVUs an die Hinweisgeber erfolgte nicht. Jedoch zeigte die Analyse der beiden TETRA-Digitalfunknetze nach einigen Wochen, dass die optionale Verschlüsselung der Luftschnittstelle aktiviert worden war. Es können seitdem nur noch verschlüsselte Textnachrichten mittels Funkempfänger mitgeschnitten werden. Offensichtlich wurde diese Schwachstelle von den EVUs geschlossen.

Was bleibt ?

Die Liste „Zuteilungen TETRA-Netzkennungen (ITSI-Blocks)“ der BNetzA [3] zeigt über 300 Zuweisungen von TETRA-Digitalfunknetzen an Unternehmen, Einrichtungen und Behörden. Vertreten sind Nutzer aus verschiedenen KRITIS-Sektoren und privatwirtschaftliche Nutzer wie:

  • Energieversorgungsunternehmen und Stadtwerke
  • Betreiber kerntechnischer Anlagen
  • ÖPNV-Anbieter
  • Kliniken
  • Flughäfen
  • Justizvollzugsanstalten und Justizbehörden
  • Zentralbanken
  • Forschungseinrichtungen
  • große Industriebetriebe

Bislang liegt es im Ermessen der Betreibenden kritischer Infrastrukturen selbst (speziell derer unterhalb der BSI-KritisV Schwellenwerte), wie ihre Anlagen kontrolliert und physisch geschützt werden. Durch individuelle Fehleinschätzungen der privaten Betreibenden entstehen so Sicherheitslücken, wie das Beispiel oben zeigt, oder auch der Fall des Digitalfunk-Ausfalls der Deutschen Bahn.

Über die Sicherheit der TETRA-Digitalfunknetze ist aktuell nur wenig bekannt. Ob es sich bei den betrachteten EVUs um Einzelfälle handelte, kann aus Sicht der AG KRITIS nicht abschließend bewertet werden. Es ist jedoch davon auszugehen, dass schlicht auf Grund der Möglichkeit und Legitimität TETRA unverschlüsselt zu betreiben, dies auch noch in weiteren Funknetzen so praktiziert wird.

Ein pikantes Detail aus den Beobachtungen der Hobby-Funker:
In einem der beobachteten Funknetze war der über Funk ausgesendete Status der Luftschnittstellen-Verschlüsselung zwar auf „aktiv“ gesetzt. Tatsächlich erfolgte die Übertragung jedoch unverschlüsselt. In der Dokumentation der verwendeten TETRA-Dekodier-Software heißt es dazu:

„Question: tetra-rx reports Air Encryption:1, does this mean that all is encrypted?
Answer: No, this means that someone has paid money for the encryption license for their TETRA
infrastructure. To use encryption each radio needs to have encryption enabled too, which also costs. So probably there will still be some radios (which are not used for secret communications), without encryption.“

Rechtlicher Rahmen

In § 5 des „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG) ist das Abhörverbot geregelt. So heißt es in Absatz 1:
„Mit einer Funkanlage dürfen nur solche Nachrichten abgehört oder in vergleichbarer Weise zur Kenntnis genommen werden, die für den Betreiber der Funkanlage, für Funkamateure […], für die Allgemeinheit oder für einen unbestimmten Personenkreis bestimmt sind.“
Gemäß § 27 TTDSG droht hier eine Freiheitsstrafe bis zu 2 Jahren.

Für das Betreiben einer Funkanlage auf Frequenzen ohne Genehmigung und Zuteilung der Frequenz durch die Bundesnetzagentur drohen Bußgelder gemäß § 228 des Telekommunikationsgesetz (TKG) in Höhe von bis zu 500.000 €. Außerdem sanktioniert § 316b des Strafgesetzbuch (StGB) die Störung von Energieerzeugungs-Anlagen mit Freiheitsstrafe bis zu fünf Jahren oder mit einer Geldstrafe.

Es drohen also sowohl beim passiven Abhören und erst recht beim aktiven Eingriff in fremde Funknetze empfindliche strafrechtliche Konsequenzen.

Auch im europäischen Ausland gibt es ähnliche gesetzliche Regelungen. Als Beispiel sei hier der Fall Dejan Ornig aus Slovenien [13] angeführt. Herr Ornig hatte die fehlende Verschlüsselung beim TETRA-Digitalfunknetz der Sicherheitsbehörden seines Landes aufgedeckt und wurde mittlerweile rechtskräftig verurteilt.

Aufgrund der eindeutigen strafrechtlichen Situation müssen wir eindringlich davor warnen, TETRA-Digitalfunknetze selber abzuhören.

Als AG KRITIS fordern wir :

  • Alle öffentlich zugänglichen digitalen Schnittstellen im Bereich der kritischen Infrastruktur – insbesondere Digitalfunknetze – müssen Verschlüsselung nutzen.
  • Bundesweit geltende Sicherheits-Standards und gesetzliche Vorgaben gibt es bislang nicht. Die Sicherheitsanforderungen an kritische Infrastrukturen müssen endlich bundesweit einheitlich geregelt werden, beispielsweise in einem KRITIS-Dachgesetz.
  • Verbindliche Sicherheitsaudits für ausnahmslos alle Betreibenden technischer Infrastruktur, auch jene, welche die Schwellenwerte der „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-Kritisverordnung – BSI-KritisV [14]) unterschreiten.

Responsible Disclosure:

Bevor dieser Artikel veröffentlicht wurde, haben wir diesen dem BSI am 12. Februar 2023 zur Verfügung gestellt und eine Stillhaltefrist vom 90 Tagen vereinbart. So konnte das BSI alle Betreiber informieren und zur Behebung dieser Schwachstelle auffordern. Wir hoffen, dass zum jetzigen Zeitpunkt alle betroffenen Betreiber vom BSI informiert worden sind und diese Sicherheitslücke bereits geschlossen ist.

Quellen:

[1]: https://www.ndr.de/fernsehen/sendungen/panorama3/Kritische-Infrastruktur-Wie-leicht-Ampeln-manipuliert-werden-koennen,ampeln120.html

[2]: https://ag.kritis.info/2022/05/20/datenabfluss-bei-feuerwehr-und-rettungsdienst/

[3]: https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Nummerierung/TechnischeNummern/ITSI/ITSI_zuget_Rufnr.pdf

[4]: https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Frequenzen/Verwaltungsvorschriften/VVBuefu.pdf

[5]: https://de.wikipedia.org/wiki/Terrestrial_Trunked_Radio

[6]: https://de.wikipedia.org/wiki/IEC_60870#IEC_60870-5-101

[7]: https://en.wikipedia.org/wiki/Software-defined_radio#RTL-SDR

[8]: https://github.com/sq5bpf/telive

[9]: https://de.wikipedia.org/wiki/Wireshark

[10]: https://github.com/michaelxzhang/iec101-103-selcmd_dissectors

[11]: https://en.wikipedia.org/wiki/List_of_software-defined_radios

[12]: https://www.bsi.bund.de/DE/IT-Sicherheitsvorfall/IT-Schwachstellen/Schwachstellenmeldungen/Schwachstellenmeldungen_node.html

[13]: https://securityaffairs.co/47579/hacking/hacking-tetra-protocol.html

[14]: https://www.gesetze-im-internet.de/bsi-kritisv/

Der Artikel wurde von unseren Mitgliedern Yves Ferrand und Slow Pete verfasst.

Quelle Beitragsbild: https://commons.wikimedia.org/wiki/File:Solarpark_Koenigsbrueck_2.JPG

Schriftliche Stellungnahme für den Landtag Nordrhein-Westfalen

Die FDP-Fraktion des Landtags NRW hat uns eingeladen, eine schriftliche Stellungnahme zu einem Antrag abzugeben. Dieser Antrag trägt den Titel: „Kommunikation und IT-Sicherheit im Falle eines Katastrophenfalles durch einheitliche Planbarkeit sicherstellen“. Die schriftliche Anhörung wird vom Innenausschuss durchgeführt. Der Antrag auf Drucksache 18/2564 fordert die Ausrüstung der Behörden in NRW mit Satelliteninternet, die Schaffung von Katastrophenschutzleuchttürmen sowie die Schaffung eines Cyberhilfswerks. Wir haben diesen Antrag bewertet und in unserer Stellungnahme weitere, aus unserer Sicht sinnvolle, Maßnahmen vorgeschlagen.

Wir unterbreiten den Mitgliedern der Innenausschusses, neben einer Bewertung des Antrags,
auch darüber hinausgehende, konkrete Handlungsempfehlungen und Verbesserungsvorschläge.
Unserer Ansicht nach sind diese erforderlich, um das nordrhein-westfälische Gemeinwesen im
Hinblick auf künftige Krisen besser vorzubereiten und handlungsfähiger zu machen.

[…]

Die AG KRITIS begrüßt die vorgeschlagenen Maßnahmen in der Beschlussfassung und erachtet
die Umsetzung dieser als sinnvoll, notwendig und verhältnismäßig

Download der Stellungnahme als PDF

Image: Olaf Kosinsky (kosinsky.eu)
Licence: CC BY-SA 3.0-de

Schriftliche Stellungnahme zur Anhörung „Cybersicherheit – Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland“

Für die öffentliche Anhörung des Ausschusses für Digitales im Deutschen Bundestag am 25.01.2023 wurde unser Mitglied, Gründer und Sprecher Manuel ‚HonkHase‘ Atug als Sachverständiger  und Vertreter der AG KRITIS geladen. Der Titel der öffentlichen Anhörung ist „Cybersicherheit – Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland“. Die Stellungnahme wurde fristgerecht am 18.01.23 dem Deutschen Bundestag zur Verfügung gestellt.

Die Frage sollte aus Sicht der AG KRITIS nicht lauten “welche Stufen der aktiven Cyberabwehr existieren?”, sondern “wo liegt die Grenze zwischen offensiver und defensiver Cyberabwehr?”

Die Stellungnahme wurde am 19.01. 2023 vom Deutschen Bundestag hier veröffentlicht

Die Stellungnahme bieten wir auch als PDF zum Download an:

Wir möchten uns herzlich bei unseren Mitgliedern bedanken, die aktiv an dieser Stellungnahme in Ihrer Freizeit mitgewirkt haben.

schriftliche Stellungnahme für die Enquetekommission „Krisenfeste Gesellschaft“ des Landtags von Baden-Württemberg

Der Landtag in Baden-Württemberg hat sich entschieden, eine Enquetekomission zum Thema „Krisenfeste Gesellschaft“ einzuberufen. Die Enquetekomission hat uns gebeten, eine Stellungnahme zu den Fragestellungen der Enquetekomission anzufertigen. Diese Stellungnahme haben wir gestern dem Landtag zur Verfügung gestellt. In der Stellungnahme empfehlen wir dem Landtag verschiedenste Maßnahmen um die Krisenresilienz aber auch die Krisenbewältigungskapazitäten auszubauen und zu verbessern.

Machen ist besser als Wollen: Besser jedes Jahr einen mittelgroßen Schritt machen, als jahrelang einen Plan machen, der dann doch nicht umgesetzt wird.

Prävention ist der Schlüssel zum Erfolg, aber leider nicht sexy. Auch das ist eine wesentliche Erkenntnis der vergangenen Jahre.

Vielen Dank an unsere Mitglieder Thomas Blinn, Martin und Vicky Sorge für die Mitwirkung an dieser Stellungnahme

Bild von pjt56 über Wikimedia, CC-BY-SA 3.0 Lizenz

Warntag 2022: Cell Broadcast Umsetzung ist nur halb fertig

Der zweite bundesweite Warntag steht an. Wie schon im September 2020 wird erneut ein bundesweiter Warntag durchgeführt. Am 8. Dezember 2022 ab 11 Uhr werden dabei alle Warnmittel getestet.

Zum Warntag am 8. Dezember soll zum ersten mal „Cell Broadcast“ als neuer Warnkanal zum Einsatz kommen
(siehe auch unser Artikel: „Historie von Cell Broadcast in Deutschland“). Mittels Cell Broadcast werden Warnungen breit als Textnachrichten an alle Mobiltelefone gestreut. Die deutsche Umsetzung von Cell Broadcast heißt „DE-Alert“. Die Technische Umsetzung dazu wurde durch die Bundesnetzagentur (BNetzA) am 23.02.2022 in Version 1.0 der Technischen Richtlinie DE-Alert (TR DE-Alert) spezifiziert.

Während der Umsetzung hat sich jedoch an einzelnen Stellen gezeigt, dass Anforderungen ergänzt oder in Einzelheiten näher beschrieben werden sollten.

Nach einem weiteren Anhörungsverfahren hat die BNetzA nun kurzfristig die betreffende TR DE-Alert aktualisiert.
Am 23.11.2022 ist diese Version 1.1 in Kraft getreten.
Sie verpflichtete die Mobilfunk-Netzbetreiber, auch die Neuerungen bis zum bereits bekannten Termin am 23.02.2023 umzusetzen.

Die wesentliche Anpassung der Richtlinie aus Sicht der Mobilfunknutzer ist die Unterstützung von Warnnachrichten der höchsten Warnstufe für ältere Mobiltelefone:

In der initialen Version 1.0 der TR DE-Alert wurden nur Warnnachrichten mit 4-stelliger Message ID definiert.
Diese sind von älteren Mobiltelefonen nicht empfangbar, da früher in der Praxis nur dreistellige Message-IDs zur Anwendung kamen. Erst neuere Mobilfunkgeräte unterstützten vierstellige Message IDs.

In einer öffentlichen Stellungnahme gegenüber der Bundesnetzagentur (BNetzA) und in Gesprächen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) haben wir auf die Problematik hingewiesen.
Die nun in Kraft getretene Version 1.1 der TR DE-Alert gibt nun vor, Warnnachrichten des höchsten Warnniveaus parallel auch mit der dreistelligen Message ID 919 für ältere Geräte bereitzustellen.
Aus unserer Sicht ist dies ein kleiner, aber sehr positiver Erfolg zivilgesellschaftlicher Beteiligung.

Leider kommt diese Änderung in der aktualisierten Richtlinie zu kurzfristig. Zwei Wochen Vorlauf zum Warntag sind zu wenig für eine aktualisierte, verifizierte Implementierung durch die Mobilfunk-Netzbetreiber.

Denn am Warntag 2022 wird ausdrücklich die höchste Warnstufe 1 verwendet, das heißt auch mit Verwendung dreistelliger Message IDs für ältere Mobiltelefone.

Wir haben die drei großen Mobilfunk-Netzbetreiber angefragt:

  • T-Mobile hat uns auf Anfrage mitgeteilt, dass eine Umsetzung der parallelen Warnung für die älteren Mobiltelefone durchgeführt wird, sofern die geänderte TR bis zum 23.11. in Kraft getreten ist. Da die geänderte TR rechtzeitig in Kraft getreten ist, gehen wir davon aus, dass die Anpassungen rechtzeitig erfolgen werden.
  • Vodafone teilte jedoch mit, dass zum Warntag am 8.12. keine Aussendung von Warnungen für ältere Mobiltelefone vorgesehen ist.
  • Telefónica hat unsere Anfrage leider nicht beantwortet.

Nutzer älterer Mobiltelefone werden also am kommenden Warntag nur dann Warnungen erhalten können, wenn das Mobiltelefon entweder schon 4-stellige Message IDs unterstützt, oder aber im Netz von T-Mobile eingebucht ist.

Auch Nutzer neuerer Smartphones mit Android- und iOS-Betriebssystem empfangen die Warnnachrichten nicht unbedingt automatisch. Sie sollten deshalb unbedingt prüfen, ob das eigene Handy dafür korrekt eingestellt ist.
Eine guten Überblick dafür liefert z.B. die Verbraucherzentrale NRW e.V.

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) ist ausdrücklich an Rückmeldungen zu der Empfangbarkeit der Cell Broadcast-Nachrichten interessiert:
„Die Möglichkeit zum Feedback wird es zur genannten Zeit auf der Website warnung-der-bevölkerung.de, in der Warn-App NINA, auf der Unterseite zum bundesweiten Warntag auf bbk.bund.de und auf den Social Media-Kanälen des BBK geben.“

Wer die Warnungen am Warntag also korrekt empfangen hat oder eben nicht, sollte von der Rückmeldung unbedingt Gebrauch machen.

Unser Sprecher Thomas Blinn hat kürzlich mit TheMorpheusTuts über Warnsysteme und Cell Broadcast gesprochen.
Der vollständige @TheMorpheusTuts Podcast „Über Warnsysteme und Cell Broadcast“ ist verfügbar auf Spotify und Anchor.fm 

 

Beitragsbild im Header ist CC-BY-SA lizensiert. Es wurde von Fabian Horst erstellt. 

Update des Cyberhilfswerk Konzept

Wir veröffentlichen hier eine aktualisierte Fassung des CHW-Konzepts, das die Schaffung einer neuen Freiwilligengruppe beschreibt, welche die Bewältigungskapazitäten für Großschadenslagen, die aus Cyber-Vorfällen resultieren, ausbauen soll.

Die aktualisierte Fassung enthält neue Ausarbeitungen zu Einsatzszenarien und Einsatzrollen des Cyberhilfswerks. Außerdem enthält sie einen neuen Abschnitt über die Gewinnung von Freiwilligen Helfern und zur Frage der europäischen Dimension eines Cyberhilfswerks. Darüberhinaus wurde der Abschnitt „Rechtsform eines CHW“ umfassend neu gestaltet und mit vielen neuen Erkenntnissen ergänzt.

Die vorherige Version des CHW-Konzept wurde erstmals im Februar 2020 veröffentlicht und nun erstmals aktualisiert.

Ziel des CHW-Konzepts ist es, dem Staat eine Konzeption an die Hand zu geben, die sowohl das vorhandene Helfer-Potential in der Bevölkerung sinnvoll aktiviert als auch ein Fundament zu schaffen, auf dem eine vertrauensvolle Kooperation im Krisenfall stehen kann.

Die aktualisierte Version des CHW-Konzepts enthält mehrere neue Abschnitte, darunter:

– Die Schaffung sogenannter mobiler Interneterstversorgungsstationen (MIEVS)

– Eine deutliche Vertiefung der Diskussion über die Anbindung an das technische Hilfswerk

– weitere Szenarien im Bereich der Krankenhaus-IT, der Kommunalverwaltung und Ergänzungen zu vorhandenen Szenarien im Bereich der Stromversorgung

Das vollständige Konzept kann hier heruntergeladen werden:

Cell Broadcast DE-Alert- aber richtig

Erst in Folge der Flutkatastrophe im Westen Deutschlands im Juli 2021 wurde von der Bundesregierung entschieden, auch hierzulande Cell Broadcast als Mobilfunk-basiertes Mittel zur Warnung der Bevölkerung einzusetzen.

Dies war eigentlich schon damals längst überfällig, denn der Rat der Europäischen Union verabschiedete bereits 2018 die neue Richtlinie zum europäischen Kodex für elektronische Kommunikation (European Electronic Communications Code, EECC).

Entsprechend dieser Richtlinie mussten alle EU-Mitgliedsstaaten bis zum 21. Juni 2022 ein solches Mobilfunk-basiertes Warnsystem für den Zivilschutz einrichten, das sogenannten “EU-Alert”-System.

Die grundlegende technische Spezifikation des Europäischen Instituts für Telekommunikationsnormen (ETSI) liegt in Form des Dokuments TS 102 900 V1.3.1 seit Februar 2019 vor.

Erst im Februar 2022 veröffentlichte die Bundesnetzagentur in der “Technischen Richtlinie DE-Alert (TR DE-Alert)” die für Deutschland relevante Umsetzung des sogenannten “DE-Alert”-Systems.
Gemäß Telekommunikationsgesetz (TKG) §164a muss der Wirkbetrieb des “DE-Alert”-Systems innerhalb eines Jahres nach Veröffentlichung der TR DE-Alert erfolgen, also spätestens bis zum 24.02.23.

Ein erster Probealarm mittels “DE-Alert” war zum nächsten Warntag am 8. September 2022 geplant. Mittlerweile hat der Arbeitskreis V der Innenministerkonferenz jedoch als neues Datum für den Warntag den 8. Dezember 2022 vorgeschlagen.

Vor dem Hintergrund der besonders späten deutschen Umsetzung möchten wir auch noch einmal darauf hinweisen, dass die Technologie dafür seit mindestens 2001 im Bundesinnenministerium bekannt ist.
Auch ohne europäische Vorgabe hätte sie spätestens 2012 umgesetzt werden können. Zur Historie von Cell Broadcast in Deutschland haben wir bereits einen Artikel veröffentlicht.

Die Technischen Richtlinie DE-Alert spezifiziert im Detail die technischen Maßnahmen, die auf Seiten der Mobilfunk-Netzbetreiber – also Telekom, Vodafone, Telefónica und 1&1 – durchgeführt werden müssen

Jedoch auf Endgeräte-Seite – also bei den Smartphones und Mobiltelefonen – zeichnet sich ein gravierendes Problem in der Umsetzung ab:

Die Technischen Richtlinie DE-Alert definiert verschiedene vierstellige Message Identifier (ID). Damit werden 16 Nachrichten-Typen festgelegt, die sich je nach Alarmart, -reichweite und -sprache unterscheiden.
Ferner gibt es verschiedene Stufen für die Wichtigkeit und Dringlichkeit der Warnung.

Vierstellige Message Identifier sind jedoch in den allermeisten älteren Mobiltelefone gar nicht vorgesehen.
Smartphones mit älteren Betriebssystemen bis Android 10 bieten zudem keine einfache Einstellmöglichkeit für Cell Broadcast-Warnungen und müssen umständlich manuell konfiguriert werden.

Apple-Endgeräte unterstützen das DE-Alert-System generell erst ab iOS 16 ab Herbst 2022, vermutlich ab iPhones der achten Generation.

Es ist also zu erwarten:

“DE-Alert” wird zukünftig nur zuverlässig funktionieren bei Smartphones
– mit Google-Android ab Version 11
– mit Apple-Endgeräten ab iOS 16.

“DE-Alert” könnte von erfahrenen Nutzenden manuell eingestellt und aktiviert werden bei Smartphones
– mit älteren Versionen von Google-Android
– anderen Android-Versionen (freie Custom-ROMS oder Versionen anderer Hersteller).
Im Detail hängt dies jedoch konkret von Smartphone-Modell und Software-Stand ab.

“DE-Alert” funktioniert definitiv nicht bei älteren Mobiltelefonen, die nur dreistellige Message Identifier unterstützen, wie ältere Nokia, Ericsson.

Fazit:

Stand heute werden nur weniger als die Hälfte aller Smartphones und Mobiltelefonen in Deutschland technisch in der Lage sein, Warnungen des DE-Alert-Systems zu empfangen.

In anderen Ländern (z.B. Niederlande, Litauen, Taiwan) hat man hingegen konkrete Maßnahmen getroffen, damit auch ältere Mobiltelefone Warnungen über Cell Broadcast empfangen können.
Denn dort werden auch dreistellige Message Identifier für Warnmeldungen benutzt.

Es sind daher Anpassungen erforderlich, damit die Warnungen des DE-Alert-Systems mehr Mobiltelefone technisch erreichen können.


U
nsere Forderungen in diesem Kontext lauten daher:

– Erweiterung der Technischen Richtlinie DE-Alert um einen Nachrichten-Typ mit dreistelligem Message Identifier für die Abwärtskompatibilität mit älteren Mobiltelefonen, wie bei der Umsetzung des EU-Alert-Systems in den Niederlanden und in Litauen.

– Beteiligung der technisch interessierten Zivilgesellschaft an einer Cell Broadcast Testumgebung unter dem Dach des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK).
Mittels freier software und günstiger, allgemein verfügbarer Hardware wird eine kostengünstige Testumgebung aufgebaut, um den Empfang von DE-Alert-Warnungen auf unterschiedlichen Smartphones und Mobiltelefonen zu validieren.

– Aufbau einer Datenbank mit freier Zugriffsmöglichkeit über den Internetauftritt des BBK.
Mit den Ergebnissen aus der genannten Cell Broadcast Testumgebung bekommen Nutzende eine konkrete Anleitung, wie bei älteren Smartphones und Mobiltelefonen der Empfang von DE-Alert-Warnungen aktiviert werden kann.

– Durchführung einer Werbekampagne für DE-Alert im Internet, in Rundfunk und Fernsehen, auf Werbetafeln und in Zeitungen. Als Vorbild für diese Kampagne kann die Werbekampagne des niederländischen “Rijksoverheid” genutzt werden. [Google-übersetzter Bericht über die Kampagne] [Beispielvideo 1] [Beispielvideo 2]
Zweck der Kampagne muss sein, allen Menschen in Deutschland eine konkrete Hilfestellung zugeben, wie der Empfang von DE-Alert-Warnungen auf ihrem mobilen Endgerät eingestellt und aktiviert werden kann.

Der Artikel wurde von unseren Mitgliedern Yves Ferrand und Johannes Rundfeldt verfasst. Vielen Dank!

Das Bild des Artikels wurde von Tony Webster aus Minneapolis, Minnesota, United States aufgenommen, es steht unter einer CC-BY-SA Lizenz

Cybersicherheitsagenda ist alter Wein in neuen Schläuchen: BMI Strukturen von neuer Regierung unbeeindruckt.

Bundesinnenministerin Nancy Faeser hat am 12.07.2022 im Rahmen einer Pressekonferenz die Cybersicherheitsagenda vorgestellt. Faeser beschwört dabei die Zeitenwende und die daraus resultierende strategische Neuausrichtung der deutschen Cybersicherheit.

Offensichtlich hat Ministerin Faeser nicht verstanden, dass es zwischen strukturinhärenten Interessenskonflikten keinen Kompromiss geben kann. Viele alte Themen sind nun neu bezeichnet worden. Dabei sind die Bezeichnungen so vage und allgemein gefasst, dass die Zivilgesellschaft misstrauisch werden muss. Die „neue“ Cybersicherheitsagenda versucht den wohlbekannten Wunschzettel der Sicherheitsbehörden neu zu verpacken, scheitert aber daran.

Ministerin Faeser beruft sich in ihrer Pressekonferenz auf Experten, jedoch scheint es so als ob diese Berater primär die Interessen der Sicherheitsbehörden vertreten. Die Forderungen und Vorhaben der vermeintlich neuen Cybersicherheitsagenda gleichen den Vorhaben des BMI unter der Vorgängerregierung mit CSU-Innenminister Horst Seehofer.

Wir empfehlen allen Beteiligten im BMI dringend die Zivilgesellschaft stärker einzubinden, darüber hinaus empfehlen wir dringend die Lektüre des Koalitionsvertrags. Wäre dies geschehen, dann wäre aufgefallen, dass eine neue Regierung gewählt wurde, die in Sachen Cybersicherheit und Digitalisierung, Grundrechtsschutz und Bürgerrechte andere Ziele verfolgte als einst Minister Seehofer.

Aktive Cyberabwehr

Auf der Pressekonferenz zur Veröffentlichung der Agenda sagte Frau Faeser:

„Ein Hackback ist ein angressiver Gegenschlag, das heisst wir würden mit staatlichen Mitteln einen anderen Server – einen möglicherweise ausländischen [Server] aktiv bekämpfen und gegenschlagen, das will niemand. Das was der Staatssekretär Richter angesprochen hat ist, dass ein Angriff so stark sein kann, dass wir irgendwann gezwungen sind auf den Server zuzugreifen und es abzustellen, aber abstellen ist was anderes als aggressiv dagegen zuschlagen und selbst Angriffe vorzunehmen, das möchte niemand.“

Der verbale Tenor ist „wir machen keine Gegenschläge“, dennoch befinden sich erhebliche Widersprüche in der Cybersicherheitsagenda, die eine klare Positionierung vermissen lassen. Ebenso wird weder aus der Pressekonferenz noch aus der Agenda selbst ersichtlich, welche Grenzen zwischen einem „Abschalten“ und einen „aggressiven Gegenschlag“ liegen. Was bleibt ist der fahle Beigeschmack einer begrifflichen Umdeutung oder wie es LOAD e.V. treffend formuliert „Eine bewusste Irreführung der Öffentlichkeit“.

Letztlich wird damit leider deutlich, dass der digitale Gegenschlag politisch noch lange nicht vom Tisch ist. Im Gegenteil – im Rahmen der in der Agenda ebenfalls adressierten Forschungsförderung wird die „Cyberverteidigung“ ausdrücklich adressiert. Generell ist das operieren im Cyberraum aus Sicht der kritischen Infrastrukturen, auch als Abwehrmaßnahme, höchst problematisch wie unser Mitglied Manuel Atug bereits hier umfangreich erklärt hat.

1. Cybersicherheitsarchitektur modernisieren und harmonisieren

Im ersten Kapitel wird weitgehend das Zuständigkeitschaos und der sogenannte Ausbau des BSI zu einer Zentralstelle im Bund-Länder-Verhältnis adressiert. Insbesondere soll die Zuständigkeitsverteilung im Bereich der Gefahrenabwehr angepasst werden. Außerdem soll das BSI unabhängiger werden. Das begrüßen wir ausdrücklich.
Von wem es allerdings unabhängiger werden (darf) bleibt die Agenda schuldig. Zwar haben immer wieder Expert:innen die Abhängigkeit des BSI vom Innenministerium als Dienstherr im Kontext des Interessenskonflikts der Sicherheitsbehörden in der Gefahrenabwehr angemahnt, ob die Innenministerin diesen Schritt tatsächlich geht bleibt fraglich.

2. Cyberfähigkeiten und digitale Souveränität der Sicherheitsbehörden stärken

In Kapitel zwei wird wieder ein Schwachstellenmanagement versprochen. Wir bleiben weiterhin davon überzeugt, dass Schwachstellen nicht „gemanaged“ werden müssen. Wir sind uns relativ sicher, dass das BMI mit einem Schwachstellenmanagement einen Managementprozess, angelehnt an den amerikanischen Vulnerabilities Equities Process, anstrebt, welcher zum Ziel hat, intransparent auszuwählen, welche bekannt gewordenen Sicherheitslücken gemeldet werden sollen und welche geheim bleiben sollen, damit die Sicherheitsbehörden diese ausnutzen können. Dies ist inakzeptabel. Der einzig richtige Weg, der die Cybersicherheit der Bürger:innen, der Behörden und der kritischen Infrastruktur nicht gefährdet, ist Sicherheitslücken unverzüglich und ausnahmslos zu schließen.

Der Abschnitt spricht weiterhin von

„Ermittlungsfähigkeiten und -instrumente des Bundes (…) im Bereich Verschlüsselung“ für das Bundeskriminalamt.

Wir können uns unter dieser Formulierung nur vorstellen, dass die Bundesregierung weiter versucht, Verschlüsselungssysteme unsicher zu machen um diese Unsicherheiten für Ermittlungen auszunutzen.

3. Cybercrime und strafbare Inhalte im Internet bekämpfen

Zu den Problemstellungen die die Agendapunkte in Kapitel drei darstellen, möchten wir hier auf die [Stellungnahme des LOAD e.V.]() verweisen.

4. Cybersicherheit der Behörden des Bundes stärken

Die „Etablierung des Grundsatzes ’security by design and by default‘ in der Bundesverwaltung“ begrüßen wir grundsätzlich. Die Cybersicherheitsagenda ist hier aber inhaltlich zweideutig. So werden nach wie vor an verschiedenen Stellen explizit Türen offen gelassen, um die Cybersicherheit durch Sicherheitsbehörden schwächen zu können. Solange „security by design and by default“ nicht zur rechtsverbindlichen Verpflichtung werden, besteht die Gefahr, dass dieses an sich begrüßenswerte Ziel zu einem bloßen Buzzword verkommt. Die Bundesregierung ist daher aufgerufen, als Follow-up der Agenda konkrete Maßnahmen vorzustellen, wie „security by design“ umgesetzt werden soll. Auch die letzten zwei Bundesregierungen haben diese Formulierung bereits verwendet, ohne dass es zu konkreten Umsetzungsbestrebungen gekommen wäre. Das BMI muss deshalb weiterhin aktiv an dieser Zielsetzung festhalten.

5. Cyber-Resilienz Kritischer Infrastrukturen stärken

Abschnitt 5 wollen wir uns im Detail widmen, betrifft dieser doch den Kernbereich der Aktivitäten der AG KRITIS. Zu den anderen Abschnitten verweisen wir neben der Stellungnahme des LOAD e.V. auch auf die [Stellungnahme unseres Mitglieds Prof. Dr. Dennis-Kenji Kipker bei beck.de].

Prüfung der Etablierung sektorspezifscher CERTs für KRITIS-Betreiber

Wir halten sektorspezifische CERTS nicht für sinnvoll. Wir halten es in diesem Kontext für zielführender, die Länder-CERTS zu stärken und auszubauen, das MIRT sowie das CERT-Bund auszubauen sowie ein Cyberhilfswerk zu schaffen. Gerne beraten wir die prüfende Stelle im Ehrenamt.

Wir sind bestürzt, dass wir die Schaffung eines Cyberhilfswerks leider nicht in dieser Agenda wiederfinden konnten. Wir hoffen weiterhin, dass das BMI die Schaffung eines Cyberhilfswerks auf die Agenda nimmt.

6. Schutz ziviler Strukturen vor Cyberangriffen

Der Schutz ziviler Infrastruktur kommt viel zu wenig Gewicht in der Cybersicherheitsagenda zu. Lediglich zwei kryptische Vorhaben werden aufgeführt um die zivile Infrastruktur besser gegen Cyberbedrohungen abzusichern. Ein wohlklingendes „BSI Information Sharing Portal (BISP) soll aufgebaut und später zu einem zivilen Cyberabwehrsystem (ZCAS) ausgebaut werden.

Das BISP kann unserer vorläufigen Einschätzung nach auch eine gute Idee sein, sofern der Zugang offen gestaltet wird. Die angestrebte Weiterentwicklung zu einem System, das „aktiv und automatisiert auf Cyberangriffe“ reagieren soll klingt jedoch nach einer besonders schlechten Idee. Nicht nur ist die technische Machbarkeit aus unserer Sicht höchst fragwürdig, sondern würde in dieser Formulierung auch automatisierte Hackbacks gleichgestellt sein.

Selbst ein manueller Hackback ist aus Sicht der kritischen Infrastrukturen, der Zivilgesellschaft wie auch aus völkerrechtlichen Betrachtung strikt abzulehnen. Solche Fähigkeiten vollständig oder auch nur teilweise zu automatisieren, ist im besten Falle nicht nur höchst gefährlich, sondern auch verantwortungslos und leichtsinnig und wird daher von uns strikt abgelehnt.

7. Digitale Souveränität in der Cybersicherheit stärken

Nach über dreißig Jahren Internet, werden auch langsam die Bedrohungen im Cyberraum erkannt. Zwar wird von einem „ganzheitliche[n] Ansatz“ gesprochen, dieser aber im weiteren Kontext nicht näher definiert.

Es wird im Kontext jedoch klar, dass es um die Vertrauenswürdigkeit von Technologien geht. Der hier gezeigte Ansatz der Förderung von Produkten und Dienstleistungen mit Schwerpunkt Cybersicherheit ist jedoch nicht gänzlich sinnvoll, da es hier bereits ausreichend Produkte gibt. Eigentlich geht es um die Vertrauenswürdigkeit von Produkten und deren Herstellern und diese lässt sich am einfachsten über die Förderung oder auch Vorgaben von Open Source für Hard- und Software umsetzen. Forschungsgelder sind aber in jedem Fall sinnvoll.

Außerdem soll das BSI Prüfungmöglichkeiten bekommen um „kritische Komponenten“ und die Vertrauenswürdigkeit der Herrsteller zu prüfen. Dass „kritische Komponenten“ ein gänzlich falscher Begriff ist, haben wir bereits in unser Stellungnahme zum IT-Sicherheitsgesetz 2.0 erklärt (Seite 12).
Außerdem suggiert eine solche Prüfung der „kritischen Komponenten“ eine trügerische Sicherheit, denn um kritische Systeme sicher zu betreiben, müssen diese im Ganzen betrachtet werden und nicht komponentenweise. Das Zusammenspiel aller relevanten Komponenten in der Architektur ist wesentlich für die Versorgung.

8. Krisenfeste Kommunikationsfähigkeit schaffen und Sicherheit der Netze ausbauen

Die Digitalisierung der öffentlichen Verwaltung benötigt noch vor einer Kommunikationsplattform den Willen und die Akzeptanz, dass sich Digitalisierung nicht über das Copy & Paste analoger Verfahren in die digitale Welt lösen lässt.

Für die Nutzung und den Ausbau digitaler Angebote der öffentlichen Verwaltung wäre vor allem ein flächendeckender Netzausbau von Vorteil, in dessen Rahmen am Besten auch eine resiliente Fallback-Infrastruktur für Katastrophenfälle etabliert werden sollte. Diese Infrastruktur scheint diesem Kapitel nach noch nicht zu existieren, obwohl sie das sogar nach Vorgabe auf Europäischer Ebene sollte.

Vom flächendeckenden Netzausbau würden neben der Verwaltung auch die Nutzer:innen und nicht-KRITIS Institutionen wie z.B. Schulen profitieren.

Es besteht der dringende Bedarf, den Digitalfunk BOS erst einmal bundesweit einzusetzen.
Denn heute noch nutzen Rettungsdienst und Feuerwehr in weiten Teilen einiger Bundesländern immer noch den nicht abhörsicheren Analogfunk auf dem technischen Stand der 1970er Jahre.
Hier ist eine bundesweite Migrationpflicht aller BOS ins Digitalfunknetz unabdingbar.

Die Sicherheit und Hochverfügbarkeit des Digitalfunks BOS liegt aktuell im Verantwortungsbereich der Bundesländer.
Diese entscheiden selber, wie resilient das Digitalfunknetz in ihrem Bundesland hinsichtlich Stromausfällen und Ausfällen von Übertragungsleitungen (angemietete Erdkabel, eigener Richtfunk) implementiert wird oder eben nicht.
Ein bundesweit einheitlicher Resilienzstandard für den Digitalfunk BOS muss zwingend definiert und konsequent umgesetzt werden.

Unser Fazit

Das abschließende Fazit zur „neuen“ Cybersicherheitsagenda der SPD-Innenministerin Faeser fällt bestenfalls ernüchternd und schlechtestensfalls grob fahrlässig aus. Wieder einmal werden große Vorhaben (Zentralstelle BSI, BISP oder ZCAS) formuliert, die aber an der inhaltlichen, fachlichen und rechtlichen Substanz scheitern. Anstatt auf vorhandene Konzepte zu setzen und Versäumnisse der Vorgängerregierung abzustellen, legte uns die Ministerin Faeser und ihr Haus eine Agenda vor mit der eine Zeitenwende in der deutschen Cybersicherheitspolitik nicht gelingen kann.

 

Bundesregierung finanziert Forschung zur Schaffung des Cyberhilfswerk im THW

Aus Regierungskreisen erfuhren wir am Freitag, dass die Ampelkoalition dem Technischen Hilfswerk (THW) den Forschungsetat verdoppelt hat. Die Ampelkoalition möchte mit weiteren 500.000 € die Erforschung der Kompetenzerweiterung des Technischen Hilfswerks im Bereich der Cyberhilfe finanzieren.

Zur Konzepterstellung für die Kompetenzerweiterung "Cyberhilfe" bei der Bundesanstalt Technisches Hilfswerk werden 500.000€ zur Verfügung gestellt

„Zur Konzepterstellung für die Kompetenzerweiterung „Cyberhilfe“ bei der Bundesanstalt Technisches Hilfswerk werden 500.000€ zur Verfügung gestellt“

Nachdem die letzte Bereinigungssitzung des Haushaltsausschusses des Deutschen Bundestages am Samstag Abend, den 21.05.2022 ohne besondere Vorkommnisse abgeschlossen wurde, gehen wir nun davon aus, dass die Bundesregierung diesen Haushalt so in der kommenden Woche verabschieden wird. Mit dieser Entscheidung geht die Bundesregierung aus unserer Sicht den ersten Schritt zu einem staatlichen Cyberhilfswerk.

Damit wird der dritte große Meilenstein auf dem Weg zu einem Cyberhilfswerk erreicht – nachdem sich schon in der letzten Legislatur zwei Fraktionen der Forderung nach einem Cyberhilfswerk angeschlossen haben und es die Forderung nach einem Cyberhilfswerk dann in den Koalitionsvertrag geschafft hat, wird nun im dritten Schritt die konkrete Forschung zur Umsetzung finanziert.

Wir begrüßen diesen Schritt der Bundesregierung ausdrücklich. Aus unserer Sicht wird damit unsere Forderung nach der Schaffung eines Cyberhilfswerks ernst genommen und konkret angegangen. Wir sind froh und dankbar, in einer Demokratie leben zu dürfen, in der Bürgerinitiativen wie die AG KRITIS Wertschätzung erleben und ernst genommen werden.

Im Hintergrund wird die Arbeit an der Konzeption eines Cyberhilfswerks auf unserer Seite fortgeführt – wir aktualisieren derzeit das Konzept, um weitere Erkenntnisse zu integrieren, die im Austausch mit Behörden, KRITIS-Betreiberinnen und Katastrophenschützerinnen gewonnen wurden.

Für das anstehende Forschungsprojekt empfehlen wir dem THW, insbesondere ehrenamtliche Beratungsleistungen in Anspruch zu nehmen. So kann nicht nur das Budget effektiv genutzt werden, sondern auch der Erfahrungsschatz von ehrenamtlich aktiven und fachkundigen Bürgerinnen von Anfang an mit einbezogen werden.

Die AG KRITIS steht mit ihrem Netzwerk weiterhin gerne bereit, ehrenamtlich zu beraten und zu unterstützen.

Hier findet ihr das Konzept zur Steigerung der Bewältigungskapazitäten in Cyber-Großschadenslagen der AG KRITIS.