Sprechfunk von Thüringer Rettungsleitstellen im Internet mitzuhören

Am 07.09.23 war unser AG KRITIS-Mitglied Thomas Blinn zu Gast in der Sendung MDR aktuell. Mitglieder der AG KRITIS hatten festgestellt, dass der Sprechfunk von 7 der 14 Rettungsleitstellen in Thüringen einfach so über Internet mitgehört werden konnte. Diese Feststellung wurde von der Sendung MDR aktuell thematisiert.

Der Beitrag ist verfügbar im MDR-Podcast „Das Beste am Morgen“.

Auch in anderen Bundesländern konnte die AG KRITIS solchen Sprechfunk live im Internet mithören. Bereits im Juli 2023 berichteten wir.

Foto von Ernstl auf Wikimedia Commons

AG KRITIS zu Gast beim Terra X-Podcast mit Harald Lesch

Am 02.05.22 war unser AG KRITIS-Mitglied @HonkHase zu Gast bei Harald Lesch und dem Team des ZDF Terra X-Podcast „Maschinenraum Deutschland“. In der Folge „Sind wir gewappnet für den Krieg im Netz?“ geht es um Cybercrime, Ransomware, Information Warfare, unser Konzept zum Cyberhilfswerk und um die Bildungspolitik. Die einstündige Episode gibt es ab heute in der ZDF-Mediathek, über den RSS-Feed des Terra X-Podcast und bei allen weiteren Streaming-Anbietern.

Strategielose Cybersicherheit für Deutschland

Matthias Schulze geht in seinem äußerst gelungen Perceptic0n Podcast Folge 28 [Deutschlands Cybersicherheitsstrategie 2021, Kommentar zum Entwurf] Schritt für Schritt den Entwurf der Cybersicherheitsstrategie 2021 durch und weist fundiert und mit vielen Hintergrundinformationen auf die Probleme dieser und weiterer Strategien in der deutschen Digitalpolitik hin. Die Inhalte aus dieser Folge greifen wir hier auf und ergänzen sie.

Das Bundesministerium für Inneres, Bau und Heimat (BMI) hat vor Ende der Legislaturperiode einen Entwurf für die dritte Cybersicherheitsstrategie in Deutschland vorgelegt. Die erste Version stammt aus dem Jahr 2011. Operatives Abwehren von Angriffen war damals noch nicht enthalten. Im Jahr 2016 erschien die zweite Version, die die Wende von einer defensiven hin zu einer offensiven Cybersicherheitsstrategie markierte und unter anderem eine Liste von Kompetenzwünschen der Behörden enthielt. Der Entwurf von 2021 setzt dieses Vorgehen weiter fort.

In der deutschen Digitalpolitik gibt es z.B. auch eine KI-Strategie und eine Blockchain-Strategie – der Strategie-Begriff wird inflationär und falsch verwendet.

Der Strategie Begriff

Laut Richard Rummelts Buch „Good Strategy. Bad Strategy“ ist eine Strategie im Wesentlichen eine kohärente Reaktion auf ein wichtiges Problem.

Eine gute Strategie besteht laut Rummels dabei aus drei Dingen

  1. Einer umfassenden Diagnose des Problems welches es zu lösen gilt
  2. Einer „Guiding Policy“ welche die grobe Marschrichtung zur Lösung des Problems vorgibt und die am besten nur aus einem Schlagwort besteht, das man sich gut merken kann
  3. Eine Reihe von kohärenten Maßnahmen und „Ressource Commitments“ um die Guiding Policy zu befolgen

Es geht um Maßnahmen, das Bereitstellen von Mitteln (Geld) und um eine Priorisierung der Maßnahmen.

Wichtig ist, dass diese Dinge logisch aufeinander aufbauen und sich nicht widersprechen. Zielkonflikte sind immer ein Zeichen für eine schlechte Strategie. Ein weiterer klassischer Fehler, der in Strategien häufig zu finden ist, ist eine Strategie mit dem Definieren von Zielen zu verwechseln. Eine schlechte Strategie hat viele Ziele aber wenig handfeste definierte Aktionen und Handlungen die nötig sind, um diese Ziele zu erreichen. Eine gute Strategie hingegen hat klar erreichbare Ziele und definiert auch unter welchen Bedingungen die Ziele erreicht sind. Man spricht hier auch von „Smarten Zielen“, wenn klar definiert ist welches die Indikatoren sind, um die Erreichbarkeit der Ziele zu messen.

Die Cybersicherheitsstrategie 2021

Die Diagnose des Problems sollte in Kapitel 5 des Entwurfs der Cybersicherheitsstrategie 2021 zu finden sein. Hier stand aber nur „Noch in Bearbeitung“. Da man doch vom Problem kommen sollte, wenn man es lösen will, ist das kein gutes Zeichen, auch wenn es sich nur um den Entwurf handelt. Im Rückblick auf das Vorgehen bei der Erstellung der letzten Cybersicherheitsstrategie 2016 und bei der bisherigen falschen Verwendung des Strategiebegriffs sowie den Inhalten dieses Entwurfs ist davon auszugehen, das dieses Kapitel 5 in der finalen Version mit Inhalten gefüllt wurde, die zu den bestehenden Zielen und Lösungen passen. Es werden also Probleme zu einer Lösung gesucht oder konstruiert.

Die Strategie hat nicht eine Guiding Policy, sondern vier. Und zwar:

  1. Cybersicherheit als eine gemeinsame Aufgabe von Staat, Wirtschaft, Wissenschaft und Gesellschaft etablieren
  2. Digitale Souveränität von Staat, Wirtschaft, Wissenschaft und Gesellschaft stärken
  3. Digitalisierung sicher gestalten
  4. Ziele messbar und transparent ausgestalten

Eine klare Marschrichtung ist hier nur bedingt erkennbar, es handelt sich bei diesen Leitlinien eher um offensichtliche Ziele und Erläuterungen. Schön ist, dass auf Kritik aus der Vergangenheit eingegangen wird und man versucht, die Cybersicherheitsstrategie messbar zu gestalten. Dennoch liegt hier eine Verwechselung vor, denn diese Leitlinien sind eben keine Guiding Policy zum Cybersicherheits-Problem.

Abgeleitete Maßnahmen

Die aus diesen Leitlinien abgeleiteten Maßnahmen sind in vier Handlungsfelder unterteilt:

  1. Sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung
  2. Gemeinsamer Auftrag von Staat und Wirtschaft
  3. Leistungsfähige und nachhaltige gesamtstaatliche Cybersicherheitsarchitektur und
  4. Aktive Positionierung Deutschlands in der europäischen und internationalen Cybersicherheitspolitik

Handlungsfeld 1 – Sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung

Ein Beispiel aus dem ersten Handlungsfeld ist „Die digitale Kompetenz bei allen Anwenderinnen und Anwendern fördern.“ Hierbei wird digitale Kompetenz jedoch nicht definiert. Daher wird nicht klar, was gemeint ist und wie die digitale Kompetenz erreicht werden soll. Es steht dort zwar, dass die Maßnahme Forschungsförderung ist. Aber auch wenn das natürlich sinnvoll klingt, handelt es sich eben nicht um eine Maßnahme die auf Anwender:innen fokussiert. Ein Fach „Digitale Bildung“ an Schulen wäre hier sinnvoller weil zielgerichteter. Fachkräftemangel als Teil der Problemdiagnose wird nicht genannt – da die ja auch noch in Bearbeitung ist.

In diesem Zusammenhang ist selbst ohne Problemdiagnose unverständlich, warum das in der Cybersicherheitsstrategie 2016 enthaltene Ziel „Personal gewinnen und entwickeln“ gestrichen wurde. Stattdessen wurde in den Entwurf 2021 nur ein Ziel zur Personal-Kapazität des BSI aufgenommen. Der für resiliente Infrastruktur erforderliche Personalbedarf der Länder und Kommunen wird ignoriert. Ebensowenig wird die Frage berücksichtigt, wie sich ausreichend qualifizierte Cybersecurity-Experten für Behörden-Tätigkeiten gewinnen und halten lassen können.

Die Maßnahmen „Verantwortungsvoller Umgang mit Schwachstellen – Coordinated Vulnerability Disclosure fördern“ und „Verschlüsselung als Voraussetzung eines souveränen und selbstbestimmten Handelns flächendeckend einsetzen“ sind grundsätzlich sinnvoll.

Handlungsfeld 2 – Gemeinsamer Auftrag von Staat und Wirtschaft

Im zweiten Handlungsfeld „Gemeinsamer Auftrag von Staat und Wirtschaft“ sind besonders viele Buzzwords enthalten, es fehlen konkrete Ziele und Maßnahmen.

Handlungsfeld 3 – Leistungsfähige und nachhaltige gesamtstaatliche Cybersicherheitsarchitektur

Und im dritten Handlungsfeld „Leistungsfähige und nachhaltige gesamtstaatliche Cybersicherheitsarchitektur“ wird es besonders spannend: Hier wird systematisch IT-Sicherheit mit Nationaler Sicherheit verwechselt. Nachrichtendienste und nationale Sicherheitsbehörden haben hier offensichtlich ihre Wunschlisten nach neuen Fähigkeiten platziert. Und das steht zum Teil im Wiederspruch zu den vorherigen Maßnahmen. Es ist nicht klar, inwiefern die hier geforderten Maßnahmen der IT-Sicherheit dienlich sind.

Die erste Maßnahme aus dem dritten Handlungsfeld „Die Möglichkeiten des Bundes zur Gefahrenabwehr bei Cyberangriffen verbessern“ beinhaltet eine Grundgesetz-Änderung. Gefahrenabwehr ist das aktive Reagieren auf Cyberangriffe, damit der Bund bei besonders schweren Cyberangriffen zurückschlagen darf. Nicht nur Cyberangriffe sondern auch deren Rückschläge benötigen offene Schwachstellen, womit die vorherige Maßnahme „Verantwortungsvoller Umgang mit Schwachstellen – Coordinated Vulnerability Disclosure fördern“ konterkariert wird. Hier ist auch in Frage zu stellen, warum die Cybersicherheits-Strategie in vielen Aspekten sehr vage bleibt, während Maßnahmen wie eine Grundgesetz-Änderung sehr detailliert formuliert werden.

Dann folgen einer Reihe grundsätzlich guter Maßnahmen bevor es mit „Strafverfolgung im Cyberraum intensivieren“ wieder zu einem Griff in den Giftschrank kommt. Hier geht es um die Erweiterung der Befugnisse für Sicherheitsbehörden und die Kriminalisierung von Hackern. Bei „Den verantwortungsvollen Umgang mit 0-day-Schwachstellen und Exploits fördern“ wollen Nachrichtendienste IT-Sicherheitslücken ausnutzen um fremde Systeme zu hacken. Hierfür möchte die Regierung einen Abwägungsprozess etablieren, der das Vertrauen in das Bundesamt für Sicherheit in der Informationstechnik (BSI) schwächen könnte.

Eine weitere Maßnahme aus dem dritten Handlungsfeld ist „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung gewährleisten“. Es ist Konsens bei Kryptographie-Experten, dass diese Maßnahme in direktem Konflikt zur Maßnahme „Verschlüsselung als Voraussetzung eines souveränen und selbstbestimmten Handelns flächendeckend einsetzen“ steht.

Die Exploit entwickelnde Hackerbehörde Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) soll weiter ausgebaut werden, was alleine schon aufgrund der unklaren Rechtsgrundlage der Behörde zu kritisieren ist. Unklar ist darüber hinaus, woran bzw. wie die Exploits der ZITiS getestet werden. Auch der Bundesnachrichtendienst (BND) soll gestärkt werden, ohne das hierzu genaue Angaben gemacht werden.

Bei der Maßnahme „Das Telekommunikations- und Telemedienrecht und die Fachgesetze an den technologischen Fortschritt anpassen“ soll der Bundestrojaner und die Rechtsgrundlagen für dieses Instrument erweitern werden.

Handlungsfeld 4 – Aktive Positionierung Deutschlands in der europäischen und internationalen Cybersicherheitspolitik

Das vierte und letzte Handlungsfeld beinhaltet die Ziele für eine aktive europäische und internationale Cybersicherheitspolitik und bleibt dabei sehr vage. Was hier fehlt, ist die kohärente Cybersicherheits-Innen- und Außen-Politik. Wie die Cybersicherheitsstrategie evaluiert werden soll, steht ebenso wenig im Entwurf wie die umfassende Diagnose des Problems.

Fazit

Eine gute Strategie zu erstellen ist sehr schwer, daher kommt es vielfach zu eben diesen Listen von Zielen. In diesem Entwurf ist sehr deutlich zu erkennen, dass die verschiedenen Ministerien Texte hinzugeliefert und im Wesentlichen aufgeschrieben haben, was sie gerne haben wollen. Da wo das Bundesamt für Sicherheit in der Informationstechnik (BSI) verantwortlich war, geht es am ehesten um IT-Sicherheit und da wo die Sicherheitsbehörden Inhalte geliefert haben, geht es fast nur um neue Befugnisse. Die Problemdiagnose fehlt, die Guiding Policy ist nicht griffig und es gibt widersprüchliche Ziele.

Nicht in der Strategie enthaltene, aber erwartete Ziele, sind zum Beispiel das Beheben von Schwachstellen an der Quelle, also „Herstellerhaftung für Software“ sowie „Einheitliches Vorgehen gegen Ransomware-Angriffe“ und die „Verfolgung von Finanzströmen“. Wie gewährleisten wir die Funktion von Wirtschaft und der Regierung bei einem Angriff, der die Energieversorgung terminiert? Wo ist die OpenSource-Policy die uns helfen könnte Digital Souverän zu werden?

Die auf dieser Basis veröffentlichte Cybersicherheitsstrategie für Deutschland 2021 lässt erahnen, welche Digitalkompetenzen bei der Erstellung vorhanden waren, worum es den Erstellern ging und welche Prioritäten dabei an den Tag gelegt wurden.

The Morpheus Tutorials Podcast: Kritische Infrastruktur ist kritisch – auch in der IT-Sicherheit!

„Wir möchten auch morgen noch kraftvoll in ein Glas Wasser schlürfen können.“ Darüber und über vieles mehr spricht unser Mitglied @HonkHase mit @TheMorpheusTuts in seinem Podcast Speak 1337. Es geht um die AG Kritis, aktuelle politische (Fehl)Entscheidungen und das Cyberhilfswerk.

Was wäre das schlimmste, was ein Hacker hacken könnte? Wasserwerke und alle vergiften? Stromkraftwerke und Blackout? All das sind Szenarien, die kritische Infrastruktur betreffen. Was dagegen getan wird, erfahrt ihr heute 🙂

Den vollständigen @TheMorpheusTuts Podcast „Kritische Infrastruktur ist kritisch“ mit @HonkHase findet ihr hier:

https://open.spotify.com/show/0xlIih789FcMbZaASyhuAm

https://podcasts.apple.com/de/podcast/speak-1337/id1577956101

https://podcasts.google.com/feed/aHR0cHM6Ly9hbmNob3IuZm0vcy9jODIxYjEwL3BvZGNhc3QvcnNz

Chaosradio Folge #263 – AG KRITIS

Am letzten Donnerstag des Monats sendet das Chaosradio des CCC seine monatliche Sendung. Wir wurden eingeladen, in dieser Sendung über KRITIS und das CHW zu reden. Zusammen mit dem Moderator Marcus Richter diskutieren Honkhase und Ijon die Fragen: Was sind die Ziele der AG KRITIS? Wie kann ein IT-Krisenfall aussehen? Was ist ein Cyber-Hilfswerk?

Die Katschützer: AG Kritis

@diekatschuetzer haben in ihrem Podcast mit unserem Mitglied @HonkHase über die AG KRITIS und das Cyber-Hilfswerk gesprochen.

In dieser Folge unterhalten wir uns mit Manuel Atug über seine Arbeit in der AG Kritis, über die Arbeit die in das Konzept zum Cyberhilfswerk geflossen ist, was man mitbringen muss um in der AG Kritis mitarbeiten zu können und vieles mehr.

Den vollständigen @diekatschuetzer Podcast „AG Kritis“ mit @HonkHase findet ihr hier:

Hier findet Ihr unser CHW-Konzept:

Logbuch Netzpolitik 331: Kritische Infrastruktur – LNP-Spezial zu Kritischer Infrastruktur, die AG KRITIS und das Cyber-Hilfswerk

@timpritlove hat im Podcast @me_netzpolitik mit unseren beiden Mitgliedern @HonkHase und @ijonberlin Kritischer Infrastruktur, die AG KRITIS und das Cyber-Hilfswerk besprochen.

„Im Nachgang zur DefensiveCon (Aufzeichnungen aller Vorträge), einer auf die Probleme der Sicherung von Kritischer Infrastruktur im digitalen Zeitalter fokussierten Konferenz der @AG_KRITIS, spricht @timpritlove heute mit den Leitern des Projekts, @ijonberlin und @HonkHase über ihre Themen. Dabei definieren wir zunächst den Begriff KRITIS und diskutieren, welche realen Bedrohungen kritische Infrastruktur heutzutage und künftig ausgesetzt ist und sein wird. Abschließend stellen die beiden ihre Idee eines Cyber-Hilfswerks vor, das inspiriert vom Gedanken des Technischen Hilfswerks (THW) eine zivile Organisation zur Abmilderung digitaler Katastrophenfälle postuliert.“

Den vollständigen @me_netzpolitik Podcast „LNP331 Kritische Infrastruktur“ mit @HonkHase und @ijonberlin findet ihr hier:

Deutschlandfunk Kultur Breitband: Überleben im digitalen Winter

@neuspreeland von @dlfkultur hat in ihrem Podcast @breitband den „digitalen Winter“ vom Australier Paul Gardner-Stephen auf dem 36c3 des CCC thematisiert und vor Ort auch unsere Expertise zu Kritischen Infrastrukturen und ganzheitlichen Lösungsansätzen besprochen und diese im Podcast mit eingebracht.

„…Eigentlich brauche es so etwas wie eine freiwillige Feuerwehr, ein „digitales THW”, sagt
@HonkHase von der @AG_KRITIS…“

Den vollständigen @breitband Podcast „Überleben im digitalen Winter“ mit unserem Mitglied @HonkHase findet ihr hier:

Logbuch Netzpolitik 327: Dienste der Informationsgesellschaft – Citrix Vulnerability

@Linuzifer und @timpritlove haben in ihrem Podcast unseren Beitrag und die zugehörigen Analysen zur Citrix Schwachstelle #Shitrix wegen der Relevanz bezogen auf die Kritischen Infrastrukturen referenziert und besprochen.

Hier ein paar Auszüge aus dem Podcast:

„Ab in die Securtiy Hölle… von Citrix gibt es eine wunderschöne Schwachstelle.“

„Aber wo Citrix sehr viel Anwendung findet, ist in der Fernwartung von Systemen.“

„Problem: Gibt da ne Schwachstelle und diese Schwachstelle ermöglicht im Prinzip auf den Servern eine Remote Code Execution vor der Authentifizierung.“

„Jetzt gibt es gerade Disko im Internet, weil natürlich keiner weiß, ob seine Citrix Büchsen nicht schon längst aufgemacht wurden. Wie das so ist bei solchen Schwachstellen weißt Du nicht, in wessen Händen die vorher schon waren. Und gerade im Bereich der Kritischen Infrastrukturen kommt das gerne zum Einsatz.“

„Dazu gibt es auch eine entsprechende Veröffentlichung der AG KRITIS. Die kümmern sich um Sicherheitsfragen in Kritischen Infrastrukturen. Das meint eben sowas wie Stadtwerke, Krankenhäuser, Polizei und Feuerwehr für unsere Allgemeinheit. Auch sowas wie Energiesektor etc. Wichtige kritische Infrastruktur und die haben da auch mal nachgeschaut und festgestellt: hmmm, von denen, die offensichtlich hier Betroffene sein könnten gibt es zahlreiche, also tausende alleine in Deutschland, die hier noch nicht für entsprechende Anpassung der Konfiguration bzw. Softwareupdate, was es offensichtlich noch nicht gibt, gesorgt haben.“

Hier noch die referenzierte und in teilen zitierte Veröffentlichung von uns:

ag.kritis.info: KRITIS Betreiber von schwerwiegender Citrix-Schwachstelle betroffen

Den vollständigen @me_netzpolitik Podcast „LNP327 Dienste der Informationsgesellschaft“ mit @AG_KRITIS findet ihr hier:

SWR Netzagent: Wie gefährlich ist die Citrix Sicherheitslücke? | Gespräch mit IT-Experten

Wir waren beim SWR Netzagent Podcast zu Gast und haben dort über die Citrix #Shitrix Schwachstelle im Zusammenhang mit Kritischen Infrastrukturen diskutiert.

Die Citrix Sicherheitslücke zeigt, wie schwerfällig und langsam in Deutschland auf IT Sicherheitslücken reagiert wird. Auch nach einem Monat haben längst nicht alle Unternehmen ihre Systeme geschützt. Dabei sind die ersten Firmen bereits gehackt worden. In Deutschland nutzen nicht nur Wirtschaftsunternehmen sondern auch Betreiber kritischer Infrastrukturen wie Krankenhäuser, Energieversorger oder Leitstellen die Citrix Software. Durch diese Sicherheitslücke sind also auch ganz empfindliche Bereiche und Daten betroffen. Die @AG KRITIS ist eine Arbeitsgemeinschaft von IT Experten, die versucht die IT Sicherheit für kritische Infrastrukturen zu erhöhen. Meine Gesprächspartner im Netzagenten sind die IT Experten Jan Hoff und Manuel Atug beide von der @AG KRITIS. Im Netzagenten sprechen wir über die Gefahren und Auswirkungen der IT Sicherheitslecks und wie wir uns in Deutschland schützen können.

Den vollständigen SWR Netzagent Podcast mit @mehgrmlhmpf und @HonkHase findet ihr hier: