Beiträge

weggeWARNttag – Der Warntag2020

Ein gemeinsamer Gastbeitrag von Herbert Saurugg, Andreas Kling, Björn Vetter, Jens von den Berken und unserem AG KRITIS Mitglied Manuel Atug

Der Warntag 2020 und die Abberufung Ungers als Vergrößerungsglas für die seit langem bestehenden Defizite im Bevölkerungsschutz.

Eine unvorbereitete Bevölkerung, Ladehemmungen in der Warnapp NINA und abgebaute Sirenen. Die Konsequenz: der Präsident des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) Christoph Unger wird abberufen. Die Politik sendet mit der Abberufung Ungers das schlechtmöglichste Signal:

Unger hat seit der Neugründung des Bundesamtes 2004 immer wieder, zuletzt vor dem Bundestagsausschuss im Januar 2020, für die Verbesserung der strukturellen Defizite im Zivil- und Katastrophenschutz geworben. Erhört wurden er und das BBK nicht. Die Politik ignorierte die umfangreichen Ausarbeitungen sowie die Erkenntnisse aus der Forschung oder Übungen, wie der Länderübergreifenden Übung (LÜKEX). Daher stellt der nunmehrige Schritt wohl mehr ein Ablenken von den eigenen Versäumnissen dar, als die Bereitschaft, dieses wichtige Thema endlich anzugehen.

Der Warntag scheiterte, weil man sich zu viel vorgenommen hat. Vor allem, da man anscheinend seitens der Politik die Jubelmeldung erwartete: „Alles hat funktioniert, die jahrzehntelange Ignoranz hat sich nicht ausgewirkt.“

Zu erwarten, dass ein System beim ersten Test reibungslos funktioniert, das seit Jahrzehnten nicht angemessen betreut und koordiniert eingesetzt wurde, ist naiv. Daher war genau dieser Test dringend erforderlich, um zu sehen, was funktioniert und wo es noch einen Nachbesserungsbedarf gibt. Mit dem politischen Aktionismus, den Überbringer der schlechten Botschaft zu bestrafen, wird genau das Gegenteil erreicht! Man wird wohl in Zukunft solche Tests und Übungen tunlichst vermeiden, denn es könnte ja den eigenen Kopf kosten. Daher wird man zukünftig lieber schweigen oder schönreden. Ein fatales Signal für die Katastrophenhilfe. Die Folgen wird wiederum die Bevölkerung zu tragen haben.

Der Warntag hat auch einmal mehr den Reibungsverlust durch das Neben- und Gegeneinander von Bund, Ländern und Kommunen sichtbar gemacht. Das BBK ist nach wie vor eine Bundesbehörde mit einer nicht mehr zeitgemäßen Zuständigkeit: ausschließlich für den Spannungs- und Verteidigungsfall. Eine Richtlinien- oder Weisungskompetenz gibt es nicht. Für den Katastrophenschutz sind die Bundesländer und nicht das BBK zuständig, was 16 teils erheblich unterschiedliche Landeskatastrophenschutz-/Brandschutz- und Rettungsdienstgesetze zur Folge hat.

Wobei es hier nicht um ein entweder-oder, sondern um ein sowohl-als-auch gehen soll. Es ist durchaus zweckmäßig, dass es regionale Bestimmungen und Risikobeurteilungen gibt. Aber in einer zunehmend stärker vernetzten und damit wechselseitig abhängigen Welt braucht es auch eine gemeinsame Sicht und Leitlinien, die national abgestimmt und vorgegeben werden.

Ländergrenzenüberschreitende Ereignisse wie Hochwasserlagen, Cyber-Angriffe, Pandemien oder großflächige Strom- und Infrastrukturausfälle erfordern eine übergeordnete Führungsebene. Das ist in sämtlichen Dienstvorschriften in den entsprechenden Behörden und Organisationen mit Sicherheitsaufgaben Standard, endet aber faktisch auf der Landesebene als höchste Instanz.

Die Bundesländer stellen Katastrophenschutzkonzepte auf, die der Bund mit Ausrüstung ergänzt. Den Kommunen obliegt die allgemeine Gefahrenabwehr, also das Tagesgeschäft der Feuerwehren und Rettungsdienste. Oftmals fehlen übergreifende Gesamtkonzepte und Standards, was im Anlassfall auch eine überregionale Zusammenarbeit oder Hilfe erheblich aufwendiger oder sogar unmöglich macht.

So bestimmt beispielsweise in den meisten Ländern im Rahmen der kommunalen Selbstverwaltung jede Gemeinde oder Stadt selbst, welche Fahrzeugtypen, Bekleidung oder Technik die Feuerwehren beschaffen. Vorgaben gibt es hier oftmals nur durch einschlägige DIN-Vorschriften oder durch das Vergaberecht.

Diese Problematik ist seit langem bekannt. Bereits 1967 war im Spiegel zu lesen: „Ämterwirrwarr und mangelhafte Koordination, Fehlbeschaffungen oder Fehlkonstruktionen, parkinsonsche Bürokratie wie technische Typenvielfalt stellen den Erfolg des Bonner Zivilschutzes von vornherein in Frage.“ Es gibt, so tadelte die SPD-Bundestagsabgeordnete Annemarie Renger, „viele Überschneidungen, Doppelarbeit und dadurch unnötige Kosten und leider kein Ergebnis.“ Und der Hamburger Innensenator Heinz Ruhnau spottet, es gebe „für jede Katastrophe einen besonderen Verein“.

Seither gab es offenbar keine wesentliche Verbesserung. Und das, obwohl den Beteiligten und der Politik auch heute diese Themen durchaus bekannt sind. Ein aktueller Antrag der FDP-Fraktion beschreibt vergleichbare Ursachen in knappen Sätzen:

Eine weitere Schwierigkeit liegt in der Vielzahl der beteiligten Akteure im Rahmen des Bevölkerungsschutzes. So sind neben Bund, Ländern und Kommunen auch zahlreiche Akteure aus Zivilgesellschaft und Privatwirtschaft beteiligt. Diese Vielzahl verschiedener Akteure, deren Konstellation und Aufgabenbereiche sich mit den jeweiligen Krisenszenarien verändern, führt zu Intransparenz und Abgrenzungsproblemen im Rahmen der Aufgabenbereiche.

Horst Seehofer (CSU) und sein Ministerium für Inneres, Bau und Heimat, das die Fachaufsicht für das BBK innehat, sind ihrer Verantwortung nicht in ausreichendem Maß nachgekommen. Eine Verknüpfung der Themen Bevölkerungsschutz, Ehrenamt und Heimat? Ohne nennenswerte Resultate.

Die bestehenden Ressourcen und Kompetenzen des BBK spielten in der Corona-Pandemie bisher keine relevante Rolle. Der Spiegel titelte dazu gar „das vergessene Amt“.

Die Pandemie hat gezeigt, dass es einer Verbesserung und Anpassung der Zuständigkeiten bedarf. Würden wir diese Defizite aufgreifen und das BBK mit einer besseren gesetzlichen Grundlage ausstatten, könnten wir durchaus am Warntag reifen. Es kam aber alles anders.

Ein gesamtstaatliches oder gesamtgesellschaftliches Herangehen ist noch nicht erkennbar. […] Es fehlt an verpflichtenden Regeln und Befugnissen, insofern fordere ich an dieser Stelle, dass der Bund, konkret wir das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eine Zentralstellenfunktion erhalten. [ich möchte Ihnen…] den Wunsch nahelegen, den Bevölkerungsschutz in Deutschland auch durch eine formale Stärkung der Bundeskompetenz langfristig und nachhaltig zukunftsfähig zu machen.“ Christoph Unger, 13.01.2020, Bundestagsausschuss.

Das Warnsignal, das Seehofer mit der öffentlichkeitswirksamen Demission Ungers hier in den gesamten Bevölkerungsschutz sendet, könnte nicht fataler sein. Es lautet: „Wir vernachlässigen den Bevölkerungsschutz, ja. Und wenn ihr Probleme aufzeigt, hören wir auch nicht zu. Wenn ihr dann aber an allseits bekannten Defiziten scheitert, betreffen die Konsequenzen alleine euch und nicht die Politik. Eine Fehlerkultur ist unerwünscht.“

Das im Bevölkerungsschutz zart aufgekommene Pflänzchen namens „Fehlerkultur“ könnte nicht brutaler zertreten werden. Diese können wir für die nächsten Jahre getrost vergessen, denn in Übungen scheitern wird keine Option mehr sein. Als Folge dessen wird sich jeder Verantwortliche sehr genau überlegen, ob und in welcher Form er Übungen überhaupt noch durchführen lassen muss. Auch bei desaströsen Ergebnissen werden wir „Die Übung war ein voller Erfolg“ als Resümee lesen, gepaart von gegenseitigem Schulterklopfen. Ob die Ergebnisse der LÜKEX 2007 „Pandemie“ bei dieser Kultur zustande gekommen wären? Das darf deutlich bezweifelt werden.

Im konkreten Fall des Warntags passierte – basierend auf öffentlich verfügbaren Informationen, denn ein Abschlussbericht liegt noch nicht vor – folgendes: Zeitgleich versuchte eine größere Anzahl von Anwendern wie das BBK, Bezirksregierungen oder Leitstellen, jeweils Warnmeldungen an die Bevölkerung einzuspeisen. Die Einspeisung von vielen berechtigten Benutzern an eine überlappende Anzahl von Warnempfängern überforderte das System. Rechenbeispiel: wenn der Bund alle Nutzer der Warn-App NINA warnen (5 Mio Nutzer, Stand 6/2019, siehe Meldung des BBK), jeweils ein Bundesland alle Nutzer in der Fläche des Bundeslandes warnen und zusätzlich noch diverse Gebietskörperschaften jeweils die Nutzer in der Gebietskörperschaft warnen wollen, dann ergibt dies eine Warnanzahl, die signifikant höher ist als die Gesamtnutzerzahl der App, für die das System ausgelegt ist. Es scheint auch so – und jetzt begeben wir uns auf eine Spekulation – dass es in dem System keine Hierarchie gibt, wonach Warnungen des Bundes priorisiert vor Warnungen der Länder und nachgelagert dann die Gebietskörperschaften behandelt werden. Es war ein selbstgemachter DDoS, basierend auf der Zuständigkeitsverteilung. Dies erklärt zumindest schlüssig, warum unterschiedliche Nutzer der NINA Warn-App zu unterschiedlichen Zeitpunkten gewarnt wurden.

Eine Warninformation darf keine Pull-Information sein, die ein Benutzer aktiv einholen muss. Eine Warninformation muss das Push-Prinzip mit Weckfunktion abdecken. Eine Warn-App, die bei einem Handy im Vibrationsmodus oder im Nachtmodus stumm bleibt, verliert erheblich an Wirkung der Schutzfunktionalität. Die Lücke im System ist der aktive Part des Benutzers, der die Warn-App NINA aktiv herunterladen muss. Der Erreichungsgrad ist noch zu schlecht. Andere Länder nutzen dazu Cell Broadcast, bei dem eine SMS an alle Geräte in einer Netzzelle gesendet wird. Christoph Unger wurde unlängst im Spiegel zitiert, dass man von dieser Möglichkeit der Warnung Abstand genommen habe, da die „Mobilfunknetze – wie man etwa an Silvester sieht – im Fall der Fälle nicht ausreichen“. Darüber hinaus gäbe es Datenschutzprobleme, da auch Bewegungsdaten erfasst würden. Zwischenzeitlich wurde im Spiegel-Artikel diese Aussage richtigerweise durch das BBK nachträglich korrigiert, Stichwort offene Fehlerkultur. Es heißt nun „Cell-Broadcasting wird derzeit aber von keinem deutschen Mobilfunkanbieter angeboten und steht daher zu Zwecken der Bevölkerungswarnung aktuell nicht zur Verfügung.“

Es gibt argumentativ keine Grundlage gegen Cell Broadcast. Es funktioniert technisch in vielen anderen Ländern der Welt einwandfrei, die EU hat entsprechende Weichen mit einer Verordnung gestellt. Gerade dann, wenn die Mobilfunknetze völlig überlastet sind und Daten an Apps wie NINA nicht mehr durchkommen, funktionieren Cell Broadcasts aufgrund der sehr geringen Datenlast noch am wahrscheinlichsten. Die Funktion wird von so ziemlich allen Mobiltelefonen unterstützt, da Cell Broadcasts im amerikanischen, asiatischen und auch im europäischen Absatzmarkt der Gerätehersteller genutzt werden. Der datenschutzrechtliche Einwand, dass Bewegungsdaten erfasst würden, ist nicht haltbar. Im Gegenteil: Bei Cell Broadcasts gibt es keinen Rückkanal – es kann nicht nachvollzogen werden, welches Gerät die Nachricht empfangen hat. Die Telekommunikationsanbieter in Deutschland warten vermutlich nur noch auf eine entsprechende gesetzliche Grundlage. Hier wäre das BMI gefordert, sich aktiv in die Gesetzgebung und die Umsetzung einzubringen. Aber Prävention ist nicht sexy und damit erlangt man offenbar nicht genügend Wählerstimmen.

Das BBK ist aber an der ganzen Sache nicht ganz aus der Verantwortung zu nehmen, denn die Fokussierung auf den Zivilschutz war in den friedlichen Jahren bequem. Die Konzepte des Bundes – als Vorplanung auf den Zivilschutz – gestalten sich oft schwerfällig und wenig detailliert. So sind über Deutschland flächendeckend Fahrzeuge verteilt (Betreuungskombis des Bundes mit Lautsprechereinheiten und Durchsagemodul). Diese wurden aber für den Warntag nicht eingeplant. Es gibt für diese Lautsprecherfahrzeuge auch kein bundesweites Konzept. Man ging im BBK stillschweigend davon aus, dass diese von den Kommunen eingebunden werden. Die Kommunen kennen diese Ressource und die Fähigkeit dieser aber oft nicht – und setzen diese daher auch nicht ein.

Auch gefiel man sich in der Rolle eines forschenden Amtes, dessen eigentlicher Zweck zu unwahrscheinlich erschien. Das BBK betreibt immense Forschungsanstrengungen, hat aber ein Nachhaltigkeitsproblem (Siehe Forschungsvorhaben 5 und 6/ 2020). Die Erkenntnisse aus den vielfältigen Forschungsprojekten und den LÜKEX Übungen kommen in der Fläche nicht an. Der Bevölkerungsschutz in dieser Form ist oftmals ein System ohne Anpassung. Fahrzeuge sind 10-15 Jahre alt und noch im Originalbeladungszustand. Änderungen am Fahrzeug sind nur mittels einem langwierigen und bürokratischen Formänderungsantrag möglich. Es fehlt ein transparenter und kontinuierlicher Verbesserungsprozess, der Erkenntnisse aus Übungen und Einsätzen in die Ausrüstung und Fahrzeuge oder Konzeptionen einfließen lässt. Maximal fließen diese Erkenntnisse in die Neukonzeption der nächsten Fahrzeuggeneration ein.

Die Aufteilung der Kompetenzen sorgt immer wieder für Verzögerungen. So wird seit 2007 an der Konzeption einer Spezialeinheit namens „Medizinische Task Force“ für die medizinische Versorgung bei großflächiger Zerstörung von Infrastruktur gearbeitet. Trotz des englisch klingenden Fachbegriffes ist diese für den internationalen Einsatz nicht vorgesehen und erfüllt keine internationalen Standards wie z.B. der Emergency-Medical-Team (EMT)-Zertifizierung der WHO. Von der MTF sollen in Deutschland 61 Stück aufgestellt werden. Vollständig mit Fahrzeugen ausgerüstet sind 13 Jahre nach Start: Null. Die Abstimmung mit den Bundesländern gestaltete sich schwierig, Nordrhein-Westfalen verglich die Medizinische Task Force mit seinen eigenen Bundeslandkonzepten und sagte „Danke, aber nein Danke“ und entschied sich für eine Sonderlösung.

Ein Wechsel an der Spitze des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe wird die strukturellen Defizite nicht beheben, wenn diese nicht durch umfangreiche Reformen und der dazu erforderlichen Ressourcenbereitstellung begleitet werden. Nicht zuletzt die fehlende nationale Koordinierungsrolle des BBK muss angegangen werden. Es liegt an der Bundesregierung, insbesondere an Horst Seehofer und dem BMI, hier tätig zu werden. Ohne das Scheitern des Warntags 2020 würde es die Möglichkeit der Verbesserung für einen Warntag 2021 nicht geben – falls dieser nicht durch den designierten Nachfolger von Unger, den CDU-Bundestagsabgeordneten Armin Schuster, still eingestellt wird, um die Karriere nicht zu gefährden. Denn seit 2020 gilt: Wer Übungen macht, riskiert seinen Job. Lerneffekte und Fehlerkultur unerwünscht.

Bundesweiter #Warntag2020

Gut, dass die bundesweite Warnung der Bevölkerung nach ca. 30 Jahren wieder getestet worden ist. Es wäre fatal, wenn erst im Ernstfall feststellt wird, dass dies nicht wie vorgesehen funktioniert.

Viele Mitglieder der AG KRITIS zeichnen sich auch dadurch aus, dass sie aus eigenem Engagement in Hinblick auf den Bevölkerungsschutz sehr interessiert an frühzeitigen Warn- und Katastrophenmeldungen sind. Um 11:00 Uhr war es heute deshalb etwas ernüchternd, statt Warnmeldungen das Scheitern des Modularen Warnsystems (MoWas) zu erleben.

Ein kurze, nicht-repräsentative Umfrage in der Runde hat ein eher ruhiges Bild gezeichnet. In Bundesländern wie Bremen und Städten wie München und Berlin, in denen die Sirenen vor Jahren schon abgebaut wurden, blieb es erwartungsgemäß ruhig. Aber auch die Warn-App Nina des BBK hat sich nicht bemerkbar gemacht. Immerhin hat sich KatWarn mindestens an einer Stelle gemeldet. Auch in Bundesländern und Städten mit Sirenen, deren sonntäglicher Test regelmäßig erfahrbar ist, hat sich heute um 11 nicht immer ein Warnton eingestellt.

Eine Warnung direkt über Nachrichten im Mobilfunknetz, mittels Cell Broadcast wurde im deutschen Mobilfunknetz überhaupt nicht erst eingerichtet, hätte also auch nicht der Teil des bundesweiten Tests sein können, der großflächig funktioniert. Wir möchten da durchaus den Hinweisen aus dieser Diskussion auf Twitter zustimmen. Katastrophenwarnungen gehören nicht in einen großen Softwarestapel in einer App verbuddelt.

Ein bisschen Überraschung gab es dann vereinzelt noch über die Entwarnung, die Nina dann an vielen Stellen erfolgreich verteilt hat. Auch, wenn die Entwarnung dann auf eine „unvorbereitete Bevölkerung“ (Zitat Christoph Unger, Präsident des BBK) traf. Leider hat der bundesweite Test der Warninfrastruktur aber auch eine unvorbereitete Warninfrastruktur erwischt.

Sehen wir das ganze mal konstruktiv: wir freuen uns, dass der Test Defizite aufgezeigt hat, die jetzt behoben werden können, um für den Ernstfall gewappnet zu sein. Dafür sind Krisenübungen und Tests von Anlagen und Systemen ja auch da. Wer nicht übt, bemerkt auch keine Defizite. Insofern ist dies ein gutes Resultat, wenn das After Action Review und die Lessons Learned konsequent angegangen und die Defizite strukturiert eliminiert werden.

Daher warten wir dann jetzt mit Spannung auf den offiziellen Fehlerbericht.

Kommentar zum neuen Referentenentwurf des IT-Sicherheitsgesetz 2.0 (IT-SiG2)

Die beiden Leiter der AG KRITIS, Manuel Atug und Johannes Rundfeldt zum von netzpolitik.org veröffentlichten neuen Entwurf des IT-SiG2 von Mai 2020:

Das neue IT-Sicherheitsgesetz 2.0 (IT-SiG2) ist definitiv eine Verbesserung zum vorherigen Entwurf von März 2019. Aber nicht alle Details sind gut, einzelne Punkte sind leider auch ein Rückschritt und werfen neue Gefahren und Risiken auf.

Die AG KRITIS begrüßt die Tatsache, dass die hochkritischen Änderungen an der Strafprozessordnung und am Strafgesetzbuch, die noch im ersten veröffentlichten Entwurf von März 2019 aufgeführt wurden, nun nicht mehr enthalten sind. Auch begrüßen wir die Tatsache, dass die Entsorgung – also Teil der Abfallwirtschaft – nun auch als kritische Infrastruktur betrachtet wird. Dies ist überfällig und sinnvoll, schließlich entstehen sehr schnell katastrophale Gesundheitsrisiken für die Bevölkerung wegen der drohenden Seuchengefahr und Gefährdungen in der Umwelt bedingt durch gefährliche Stoffe, wenn die Abfallentsorgung nicht mehr funktionieren würde.

Leider hat sich damit jedoch nicht alles zum Guten verbessert. Es gibt insbesondere auch einige Neuerungen, die in dieser Weise unsere kritischen Infrastrukturen direkt gefährden können.

Unser größter Kritikpunkt ist die hochgefährliche Datensammlung, die sich hinter der unscheinbaren Formulierung in § 9b Absatz 1 BSIG verbirgt. Dort geht es um IT (oder OT) -Komponenten in kritischen Infrastrukturen.

„Der Einsatz einer kritischen Komponente (§ 2 Absatz 13), (…), ist durch den Betreiber einer Kritischen Infrastruktur dem Bundesministerium des Innern, für Bau und Heimat vor Einbau anzuzeigen. In der Anzeige ist die kritische Komponente und die Art ihres Einsatzes anzugeben.“

Bisher müssen Hersteller solcher Komponenten mit dem BSI zusammen arbeiten, um eine Zertifizierung von Komponenten zu erreichen. Dabei kann das BMI diese Zertifizierung aus Gründen der öffentlichen Sicherheit ablehnen, auch wenn das BSI zum Schluss kommt, dass die zu zertifizierende Komponente den Kriterien entspricht.

Der neue IT-SiG2-Entwurf schafft hier allerdings eine neue Anzeigepflicht. Nicht mehr nur der Hersteller der Komponente muss mit den Behörden in Kontakt treten, sondern der Betreiber der Komponente muss deren Einsatz beim BMI melden. Auf diese Weise plant das BMI eine Liste aufzubauen, welcher KRITIS-Betreiber welche Komponenten im Einsatz hat. So eine Liste ist jedoch höchst kritisch zu bewerten, da jeder Geheimdienst und jede ausländische Macht, die Zugriff auf diese hochsensible Liste erlangt, unsere kritische Infrastruktur gefährden kann. Getreu dem Motto „Wo ein Trog ist, da sammeln sich auch Schweine“ halten wir es für überflüssig und gefährlich, so eine hochsensible Datensammlung überhaupt anzulegen. Wenn man aus sicherheitstechnischen Erwägungen trotzdem zum Schluss kommt, so eine Liste zu benötigen, so muss diese besonders vor dem Zugriff von in- und ausländischen Ermittlungsbehörden und Nachrichtendiensten geschützt werden. Nur ein unabhängiges BSI, das nicht mehr unter der Aufsicht des BMI steht, könnte so eine Liste geeignet verwalten.

Leider wurde diese essentielle fachliche Unabhängigkeit des BSI nicht im § 1 des BSIG vorgesehen. Hier wünschen wir uns eine Nachbesserung, denn ein fachlich unabhängiges BSI ist notwendig und überfällig. Obwohl es verschiedene Ansätze gibt, wie dies juristisch erreicht werden könnte, halten wir die Anpassung des § 1 BSIG für den naheliegendsten Ansatz, wenn man sowieso gerade plant, das BSIG zu ändern. Dabei kann man sich in der Ausgestaltung der fachlichen Unabhängigkeit hervorragend am statistischen Bundesamt orientieren.

Der zweite nicht weniger relevante Kritikpunkt ist die offensichtliche Umgehung des frisch geschaffenen Nationalen Cyberabwehrzentrum (NCAZ) bei erfolgreichen Cyberangriffen auf IT-Systeme. Im zu ändernden § 109a TKG findet sich die Formulierung:

„(1a) Im Falle einer unrechtmäßigen Übermittlung an oder unrechtmäßigen Kenntniserlangung von Daten durch Dritte unterrichtet der Diensteanbieter unverzüglich das Bundeskriminalamt über diesen Sachverhalt, wenn bestimmte Tatsachen die Annahme rechtfertigen, dass 1. jemand Telekommunikations- oder Datenverarbeitungssysteme ohne Erlaubnis oder Billigung des Diensteanbieters verändert, auf diese eingewirkt oder Zugangseinrichtungen zu diesen überwunden hat und 2. dies nicht fahrlässig erfolgt ist.“

Im Fall der vorsätzlichen und erfolgreichen Umgehung von Zugangseinrichtungen, der Veränderung von Daten oder der Einwirkung von Dritten auf diese ist es wohl angebracht, dies als Cyberangriff zu bezeichnen. Je nachdem, wer der Täter ist, ändert sich die Zuständigkeit für die Vorfallsbehandlung und Ermittlung.

Handelt es sich um einen Angriff eines deutschen Bürgers auf eine technische Einrichtung der Bundeswehr, wäre der MAD zuständig. Wären wir im Krieg und hätte die Bundeswehr ein Mandat, wäre in diesem Fall das KdoCIR zuständig. Wenn ein System angegriffen wird, welches nicht zur Bundeswehr gehört, sondern z.B. zu einem Telekommunikationsanbieter, dann wäre das BKA nur dann zuständig, wenn der Angriff von einem deutschen Bürger ausgeht. Geht der Angriff von einem ausländischen Bürger aus, wäre der BND zuständig. Ginge der Angriff von einer ausländischen staatlichen Macht aus, wäre der BND und unter Umständen auch das Auswärtige Amt zuständig. In manchen Sonderfällen fiele auch eine Teil-Zuständigkeit an das BfV.

Zum Zeitpunkt der initialen Detektion eines Angriffs ist der Täter und dessen Nationalität aber unbekannt. Daher kann nicht von vornherein klar sein, wer wirklich zuständig ist. Aus genau diesem Grund wurde das NCAZ geschaffen, welches die Vorfallsbehandlung zwischen den möglicherweise zuständigen Bundesbehörden koordinieren soll. Im NCAZ sitzen deswegen Vertreter aller möglicherweise zuständigen Behörden, wie z.B. dem BKA, der BPol, dem BfV, dem BND, dem MAD und dem KdoCIR.

Wir sind daher zu der Meinung gekommen, dass an dieser Stelle die Meldung an das NCAZ erfolgen soll und eben nicht an das BKA. Das NCAZ kann dann koordinieren, welche Bundesbehörde auf Basis der vorliegenden Indizien wahrscheinlich zuständig ist. Nichtsdestotrotz sind, egal welche Behörde für die Ermittlungen zuständig ist, immer auch andere Bundesbehörden einzubinden, wie z.B. das BSI, welches nötigenfalls Warnungen und Meldungen über das CERT-Bund herausgeben müsste.

„Man muss Gesetze kompliziert machen, dann fällt es nicht so auf“, sagte Bundesinnenminister Horst Seehofer im Juni 2019. An dieses Mantra hält man im BMI auch beim IT-SiG2 konsequent fest. Im alten Entwurf fand sich noch die Formulierung, dass die Rüstungsindustrie zur sog. „Infrastruktur in besonderem öffentlichen Interesse“ (ISBÖFI) gehören soll. Die „ISBÖFI“ ist quasi eine Art „KRITIS light“. Nicht alle KRITIS Pflichten werden auferlegt, aber manche. Im neuen IT-SiG2-Entwurf findet sich das Wort „Rüstung“ nun nicht mehr, trotzdem gehört Rüstung weiterhin zu ISBÖFI. Dies wird nun durch die verschleiernde Erwähnung des „§ 60 AWV Absatz 1 Satz 1-5“ festgelegt und auch in den Begründungen zum Gesetz weder erläutert noch aufgeklärt.

Die AG KRITIS ist der Meinung, dass Rüstung weder KRITIS ist, noch zu einer Art „KRITIS light“ gehören kann – denn die Rüstungsindustrie gehört eben nicht zu solchen Diensten, „die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind und deren Störung oder Zerstörung erhebliche Auswirkungen hätte“ (KRITIS-Definition).

Selbst wenn man argumentieren würde, dass die hergestellten Rüstungsgüter nach Bestellung, Produktion und Lieferung der Bundeswehr zu Gute kommen würden und damit bei der Aufgabenerfüllung der Bundeswehr (Verteidigungsarmee) helfen sollen – selbst dann wäre die Rüstungsindustrie noch nicht KRITIS, da die Bundeswehr diese Aufgaben mit Ihren Beständen erfüllen muss und die Beschaffung neuer Waffen so lange dauert, das diese neuen Waffen wohl kaum zur Bewältigung der dann aktuellen Lage eingesetzt werden können. Eine Mitverantwortung für die öffentliche Sicherheit kann daher bei der Rüstungsindustrie nicht behauptet werden. Entsprechend gehört die Rüstungsindustrie auch nicht zu den kritischen Infrastrukturen und darf daher auch nicht der neu geschaffenen Vorstufe „ISBÖFI“ zugeordnet werden.

Unser dritter Kritikpunkt ist, dass im IT-SiG von 2015 festgelegt wurde, dass eine Evaluierung der Gesetzesänderungen spätestens vier Jahre nach Inkrafttreten vorgenommen werden soll. Unserer Kenntnis nach ist diese Evaluierung aber bisher nicht erfolgt. Konsequenterweise sieht das BMI auch keine Evaluierung des neuen IT-SiG2 vor, sondern stellt in Aussicht, die aktuell gesetzeswidrig(!) überfällige Evaluierung des IT-SiG von 2015 doch noch vorzunehmen. Dies reicht dem BMI als Begründung, warum eine Evaluierung der zweiten Version des IT-SiG nicht notwendig wäre, weil man ja Erkenntnisse aus dem Gesetzesentwurf des IT-SiG2 in die Evaluierung des IT-SiG von 2015 einfließen lassen könne.

Selbstverständlich ist das nicht ausreichend – das BMI soll, wie aus gutem Grund im Gesetz vorgesehen, erst das vorhandene IT-SiG von 2015 evaluieren und dann diese Erkenntnisse, genau wie geplant, in das IT-SiG2 einfließen lassen – aber nicht andersherum, wie es aktuell im IT-SiG2 angegeben wird.

Weiterhin findet sich im IT-Sig2 auch noch eine Passage, die uns als AG KRITIS mit Freude erfüllt. Uns zeigen diese Änderungen, dass man auch ehrenamtlich erfolgreichen und sinnvollen Lobbyismus betreiben kann.

Es scheint so, als wurden bestehende Forderungen der AG KRITIS im IT-SiG2 berücksichtigt. So soll das unserer Ansicht nach zu schwach besetzte MIRT deutlich anwachsen. Dies vergrößert die staatlichen Krisenbewältigungskapazitäten signifikant. Auch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) bekommt wichtige Aufgaben und weitere Personalstellen zugeteilt, um erstmalig in die Lage versetzt zu werden, auch für IT-Katastrophen Krisenreaktionspläne auszuarbeiten. Auch lesen wir den neu geschaffenen § 5c BSIG fast schon wie die initiale rechtliche Grundlage für den Einsatz eines zu schaffenden Cyberhilfswerks – wie von uns im Februar 2020 vorgestellt – und verortet die Kompetenzen und Verantwortlichkeiten an den richtigen Stellen, nämlich dem BSI gemeinsam mit dem Partner BBK.

Hier findet Ihr unser CHW-Konzept:

Ergebnisprotokoll des ersten Behördenworkshops zum Cyber-Hilfswerk (CHW)

Am 02.10.2019 haben wir uns mit Vertretern des Bundesamt für Sicherheit in der Informationstechnik (BSI) und mit Vertretern des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) getroffen und unsere Ideen gemeinsam diskutiert.

Besprochen wurde in dem Fachgespräch auf Arbeitsebene das Thema der Bewältigung von Großschadenslagen, die durch Cyber-Vorfälle entstehen können. Unsere Idee eines „Cyber-Hilfswerk“ (CHW – aktueller Arbeitstitel) wurde gemeinsam diskutiert und ins Rollen gebracht.

Zu Beginn der Veranstaltung haben wir zwei Impulsvorträge gehalten – „Vorstellung der Arbeitsgruppe Kritische Infrastrukturen“ von @ijonberlin und „Was könnte ein CHW leisten?“ von @Jedi_meister, der Rest der Veranstaltung wurde nicht gefilmt, aber protokolliert.

Das detaillierte Ergebnisprotokoll der Veranstaltung wurde von uns erstellt und an die Teilnehmer versandt. Auch für euch stellen wir es hier zur Einsicht bereit.

AG KRITIS Ergebnisprotokoll Behördenworkshop 20191002

 

Die Aufzeichnungen zu den beiden Impulsvorträgen findet ihr hier: