Beiträge

Ab wann ist etwas grob fahrlässig? – Historie von Cell Broadcast in Deutschland

Cell Broadcast, ein technisches System zur Aussendung von Katastropheninformationen über Mobilfunknetze, ist seit dem Hochwasser im Juli 2021 in aller Munde. Dieses System sorgt dafür, dass alle in einer Mobilfunkzelle eingebuchten Geräte eine Information erhalten. Die Information wird dabei nicht einzeln für jedes Gerät ausgesendet, sondern nur einmal – während alle Geräte diese empfangen. Dies sorgt dafür, dass ohne jegliche Kenntnis, wer die Nachricht bekommen hat (datenschutzfreundlich), die Handys in einer bestimmten Region über eine Notlage oder Katastrophe informiert werden, ohne dass das Mobilfunknetz dadurch überlastet wird.

Leider wurde dieses System in Deutschland nie für Kriseninformationen oder den Katastrophenschutz genutzt, obwohl alle Mobilfunknetze seit Anfang der 2000er Jahre technisch zu solchen Aussendungen in der Lage gewesen wären und mehrere Mobilfunknetzbetreiber sogar bis 2010 Experimente durchgeführt haben, bei denen über Cell Broadcast z.B. Verkehrs- oder Wetterinformationen ausgesendet wurden.

Eine erste technische Demonstration des Systems gab es 1997 in Paris. Seit 1999 wird die Technologie laut der Wikipedia in asiatischen, amerikanischen und europäischen Mobilfunknetzen eingesetzt, allerdings in den ersten Jahren für andere Zwecke, als Krisen- und Katastropheninformationen.

Die USA begannen 2006 mit dem Aufbau eines Systems zur Krisen- und Katastropheninformation – unter dem Titel „Wireless Emergency Alerts“ (WEA) – welches auch Cell Broadcast verwendete, um die Menschen zu informieren.

Spätestens seit 2001 ist Cell Broadcast als Möglichkeit zur Katastrophen- und Kriseninformation bekannt. Auf Seite 63 und Seite 64 des Zweiten Gefahrenbericht der Schutzkommission beim Bundesminister des Innern, herausgegeben im Oktober 2001 (https://repository.publisso.de/resource/frl:1997671-1/data), heißt es zur damaligen Situation:

„Das gegenwärtige System zur Warnung der Bevölkerung in Deutschland im Verteidigungsfall sowie bei Katastrophen und größeren Schadensereignissen besteht aus Warnmeldungen und Informationen durch den Rundfunk (Hörfunk, Fernsehen) sowie aus örtlich begrenzten Alarmierungen mit Sirenen. Seine Struktur und sein Ausbau ist für eine rasche, gleichzeitige und umfassende Warnung bei großflächigen Gefahren nicht ausgelegt“

Als mögliche Lösung wird im darauffolgenden Absatz 3.2.2 vorgeschlagen:

„Die Untersuchung von [für ein technisches Warnsystem] geeigneten Technologien und Systemen hat gezeigt, dass unter den genannten Gesichtspunkten im Wesentlichen drei Systeme mit Alarmfunktion für die Mitbenutzung in einem zukünftigen Warnsystem in Frage kommen: Mobilfunk nach GSM- oder UMTS-Standard mit Cell Broadcast-Funktion, Langwellen-Zeitfunk DCF 77 mit zusätzlicher Alarmfunktion und das Radio-Daten-System (RDS) des terrestrischen UKW-Hörfunks.“

Die Bundesnetzagentur hat sich laut Tätigkeitsbericht in den Jahren 2006/2007 sowie 2007/2008 im Rahmen der Mitwirkung an der europäischen Arbeitsgruppe „ETSI EMTEL“ mit Cell Broadcast beschäftigt. Diese Arbeitsgruppe, oder die BNetzA selbst, das wird aus dem Tätigkeitsbericht nicht deutlich, hat eine „Analyse der Anwendbarkeit von SMS und Cell Broadcast Service im Katastrophenfall“ durchgeführt.

Auch in den Bundestagsdrucksachen finden sich Spuren von Cell Broadcast – unserer Kenntnis nach erstmalig im Jahr 2008 auf Drucksache 16/9907. Dort schreibt das BMI: „Nach einem erfolgreichen Test in den Niederlanden wird dieses System im internationalen Rahmen unter Beteiligung des BBK ab 2009 untersucht.“

Die Forschungsergebnisse dieser Untersuchungen des BBK waren bisher nicht auffindbar, weswegen wir dazu eine IFG-Anfrage gestellt haben (https://fragdenstaat.de/anfrage/untersuchung-von-cell-broadcast-seit-2009/)

Seit 2012 ist Cell Broadcast als Komponente des niederländischen Warnsystems „NL-Alert“ im Einsatz und wurde bei Krisensituationen mehrfach mit großem Erfolg genutzt. Die Niederländer berichten, dass Sie mit Cell Broadcast regelmäßig mehr als 90% der Bevölkerung erreichen können.

Seit 2018 gibt es europäische Vorgaben in Artikel 110 der EU-Richtlinie 2018/1972 zur Umsetzung von Cell Broadcast im Rahmen des geplanten Systems „EU-Alert“ – das verbindlich im Juni 2022 fertiggestellt worden sein soll.

Absatz 1 beschreibt unserer Ansicht nach eindeutig Cell Broadcast im Kontext des europäischen Systems „EU-Alert“. Absatz 2 legt dann Ausnahmen dafür fest. Der Wortlaut des Absatzes lautet:

„(2) Ungeachtet des Absatzes 1 können die Mitgliedstaaten festlegen, dass öffentliche Warnungen über öffentlich zugängliche elektronische Kommunikationsdienste, bei denen es sich weder um die in Absatz 1 genannten Dienste noch um Rundfunkdienste handelt, oder über eine über einen Internetzugangsdienst verfügbare mobile Anwendung übertragen werden, sofern die Effektivität des öffentlichen Warnsystems in Bezug auf Abdeckung und Kapazität zur Erreichbarkeit der Endnutzer, auch derjenigen, die sich nur zeitweilig in dem betreffenden Gebiet aufhalten, gleichwertig ist; dabei tragen sie den GEREK-Leitlinien weitest möglich Rechnung. Öffentliche Warnungen müssen von den Endnutzern leicht empfangen werden können.“

Aus unserer Sicht lässt sich in diesem Absatz 2 der Versuch herauslesen, Apps wie NINA oder KATWARN den gleichen Status wie Cell Broadcast zu geben, aber die Formulierung lässt auch Interpretationsspielraum zu. Wir sind der Meinung, dass Apps wie NINA oder KATWARN eben nicht der „Effektivität des öffentlichen Warnsystems in Bezug auf Abdeckung und Kapazität zur Erreichbarkeit der Endnutzer, (…), gleichwertig“ sind.

Nichtsdestotrotz wird sich ein Beamter in der zuständigen Behörde sicherlich darauf berufen, dass der „GEREK-Leitlinien“ im Zweifel „weitestmöglich Rechnung“ getragen wurde und damit die Richtlinie zu EU-Alert als erfüllt gilt.

Als offene Fragen verbleiben zum jetzigen Zeitpunkt:

  • Was ist aus dem BBK-Forschungsprojekt von 2009 zu Cell Broadcast geworden?
  • Welches Ministerium hat sich 2017 und 2018 für diese schwammigen Ausnahmen in EU-Alert eingesetzt?
  • Wer trägt dafür die politische Verantwortung?

Klar ist: Seit 20 Jahren ist die Notwendigkeit von Cell Broadcast im Katastrophenschutz im BMI bekannt, wie der oben zitierte Absatz aus dem „Zweiten Gefahrenbericht der Schutzkommission beim Bundesminister des Innern“ beweist. An welcher Stelle die Umsetzung von Cell Broadcast im BMI seit 2001 gescheitert ist, ist unklar.

Vor dem Hintergrund dieser eindeutigen öffentlichen Informationen, scheint es angebracht, die Frage der groben Fahrlässigkeit des zuständigen Ministeriums und seiner nachgeordneten Behörden öffentlich zu stellen. Wenn bekannt war, dass die Alarmierung durch u.A. die Reduktion der Sirenen nicht mehr die gesamte Bevölkerung erreichen kann, warum wurde dann nicht bereits vor 10 oder 15 Jahren, als dies technisch möglich war, Cell Broadcast auch umgesetzt?

Sicherlich kann man den Schuldigen nicht alleine auf dem Stuhl des Bundesinnenministers suchen. Als der zweite Gefahrenbericht 2001 veröffentlicht wurde, saß auf diesem noch Otto Schily. Und nach Schily hatten wir fünf weitere Bundesminister des Inneren. Viel wahrscheinlicher liegt die tatsächliche Verantwortung hier wahrscheinlich bei einem Staatsekretär im Bundesministerium des Inneren – oder sogar mehreren, die diesem Thema in der Vergangenheit, bis heute in fahrlässiger Weise nicht die notwendige Aufmerksamkeit haben zukommen lassen. Ein Land, das sich gerne Hochtechnologieland nennt, sollte es auch auf staatlicher Ebene schaffen, der Technologie nicht hinterher zu rennen, sondern Vorbild und Vorreiter zu sein.

Bereits im Nachgang des Bundeswarntags im September 2020 haben wir einen Artikel veröffentlicht, in dem wir die notwendigen Learnings aus dem Bundeswarntag zusammenfassen.

Süddeutsche Zeitung – Die Katastrophen-Software

Die Süddeutsche Zeitung berichtet  über die Fehlersuche anlässlich der Pannen am Warntag 2020. Das @AG KRITIS Mitglied @HonkHase bewertet dabei, wie gut das BBK und ihre Software für den Test aufgestellt war:

Diese Kommunikation ist im Fall des Warntags schiefgegangen. Manuel Atug, Gründer und Sprecher der AG Kritis, vermutet, dass dabei auch die Ressourcen-Ausstattung der zuständigen Behörde BBK eine Rolle spielen könnte: „Offenbar handelt es sich bei der Software nicht um einen verlässlichen Weg, der ausreichend getestet wurde und im Sinne des Anspruchs an ein Warnsystem belastbar ist,“ sagt Atug, der zusammen mit anderen Experten für kritische Infrastruktur nach der Entlassung Ungers in einem offenen Brief die mangelnde Fehlerkultur im Innenministerium kritisiert hatte.

Den vollständigen Artikel findet ihr hier:

weggeWARNttag – Der Warntag2020

Ein gemeinsamer Gastbeitrag von Herbert Saurugg, Andreas Kling, Björn Vetter, Jens von den Berken und unserem AG KRITIS Mitglied Manuel AtugPaper der AG KRITIS: weggeWARNttag – Der Warntag2020

Der Warntag 2020 und die Abberufung Ungers als Vergrößerungsglas für die seit langem bestehenden Defizite im Bevölkerungsschutz.

Eine unvorbereitete Bevölkerung, Ladehemmungen in der Warnapp NINA und abgebaute Sirenen. Die Konsequenz: der Präsident des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) Christoph Unger wird abberufen. Die Politik sendet mit der Abberufung Ungers das schlechtmöglichste Signal:

Unger hat seit der Neugründung des Bundesamtes 2004 immer wieder, zuletzt vor dem Bundestagsausschuss im Januar 2020, für die Verbesserung der strukturellen Defizite im Zivil- und Katastrophenschutz geworben. Erhört wurden er und das BBK nicht. Die Politik ignorierte die umfangreichen Ausarbeitungen sowie die Erkenntnisse aus der Forschung oder Übungen, wie der Länderübergreifenden Übung (LÜKEX). Daher stellt der nunmehrige Schritt wohl mehr ein Ablenken von den eigenen Versäumnissen dar, als die Bereitschaft, dieses wichtige Thema endlich anzugehen.

Der Warntag scheiterte, weil man sich zu viel vorgenommen hat. Vor allem, da man anscheinend seitens der Politik die Jubelmeldung erwartete: „Alles hat funktioniert, die jahrzehntelange Ignoranz hat sich nicht ausgewirkt.“

Zu erwarten, dass ein System beim ersten Test reibungslos funktioniert, das seit Jahrzehnten nicht angemessen betreut und koordiniert eingesetzt wurde, ist naiv. Daher war genau dieser Test dringend erforderlich, um zu sehen, was funktioniert und wo es noch einen Nachbesserungsbedarf gibt. Mit dem politischen Aktionismus, den Überbringer der schlechten Botschaft zu bestrafen, wird genau das Gegenteil erreicht! Man wird wohl in Zukunft solche Tests und Übungen tunlichst vermeiden, denn es könnte ja den eigenen Kopf kosten. Daher wird man zukünftig lieber schweigen oder schönreden. Ein fatales Signal für die Katastrophenhilfe. Die Folgen wird wiederum die Bevölkerung zu tragen haben.

Der Warntag hat auch einmal mehr den Reibungsverlust durch das Neben- und Gegeneinander von Bund, Ländern und Kommunen sichtbar gemacht. Das BBK ist nach wie vor eine Bundesbehörde mit einer nicht mehr zeitgemäßen Zuständigkeit: ausschließlich für den Spannungs- und Verteidigungsfall. Eine Richtlinien- oder Weisungskompetenz gibt es nicht. Für den Katastrophenschutz sind die Bundesländer und nicht das BBK zuständig, was 16 teils erheblich unterschiedliche Landeskatastrophenschutz-/Brandschutz- und Rettungsdienstgesetze zur Folge hat.

Wobei es hier nicht um ein entweder-oder, sondern um ein sowohl-als-auch gehen soll. Es ist durchaus zweckmäßig, dass es regionale Bestimmungen und Risikobeurteilungen gibt. Aber in einer zunehmend stärker vernetzten und damit wechselseitig abhängigen Welt braucht es auch eine gemeinsame Sicht und Leitlinien, die national abgestimmt und vorgegeben werden.

Ländergrenzenüberschreitende Ereignisse wie Hochwasserlagen, Cyber-Angriffe, Pandemien oder großflächige Strom- und Infrastrukturausfälle erfordern eine übergeordnete Führungsebene. Das ist in sämtlichen Dienstvorschriften in den entsprechenden Behörden und Organisationen mit Sicherheitsaufgaben Standard, endet aber faktisch auf der Landesebene als höchste Instanz.

Die Bundesländer stellen Katastrophenschutzkonzepte auf, die der Bund mit Ausrüstung ergänzt. Den Kommunen obliegt die allgemeine Gefahrenabwehr, also das Tagesgeschäft der Feuerwehren und Rettungsdienste. Oftmals fehlen übergreifende Gesamtkonzepte und Standards, was im Anlassfall auch eine überregionale Zusammenarbeit oder Hilfe erheblich aufwendiger oder sogar unmöglich macht.

So bestimmt beispielsweise in den meisten Ländern im Rahmen der kommunalen Selbstverwaltung jede Gemeinde oder Stadt selbst, welche Fahrzeugtypen, Bekleidung oder Technik die Feuerwehren beschaffen. Vorgaben gibt es hier oftmals nur durch einschlägige DIN-Vorschriften oder durch das Vergaberecht.

Diese Problematik ist seit langem bekannt. Bereits 1967 war im Spiegel zu lesen: „Ämterwirrwarr und mangelhafte Koordination, Fehlbeschaffungen oder Fehlkonstruktionen, parkinsonsche Bürokratie wie technische Typenvielfalt stellen den Erfolg des Bonner Zivilschutzes von vornherein in Frage.“ Es gibt, so tadelte die SPD-Bundestagsabgeordnete Annemarie Renger, „viele Überschneidungen, Doppelarbeit und dadurch unnötige Kosten und leider kein Ergebnis.“ Und der Hamburger Innensenator Heinz Ruhnau spottet, es gebe „für jede Katastrophe einen besonderen Verein“.

Seither gab es offenbar keine wesentliche Verbesserung. Und das, obwohl den Beteiligten und der Politik auch heute diese Themen durchaus bekannt sind. Ein aktueller Antrag der FDP-Fraktion beschreibt vergleichbare Ursachen in knappen Sätzen:

Eine weitere Schwierigkeit liegt in der Vielzahl der beteiligten Akteure im Rahmen des Bevölkerungsschutzes. So sind neben Bund, Ländern und Kommunen auch zahlreiche Akteure aus Zivilgesellschaft und Privatwirtschaft beteiligt. Diese Vielzahl verschiedener Akteure, deren Konstellation und Aufgabenbereiche sich mit den jeweiligen Krisenszenarien verändern, führt zu Intransparenz und Abgrenzungsproblemen im Rahmen der Aufgabenbereiche.

Horst Seehofer (CSU) und sein Ministerium für Inneres, Bau und Heimat, das die Fachaufsicht für das BBK innehat, sind ihrer Verantwortung nicht in ausreichendem Maß nachgekommen. Eine Verknüpfung der Themen Bevölkerungsschutz, Ehrenamt und Heimat? Ohne nennenswerte Resultate.

Die bestehenden Ressourcen und Kompetenzen des BBK spielten in der Corona-Pandemie bisher keine relevante Rolle. Der Spiegel titelte dazu gar „das vergessene Amt“.

Die Pandemie hat gezeigt, dass es einer Verbesserung und Anpassung der Zuständigkeiten bedarf. Würden wir diese Defizite aufgreifen und das BBK mit einer besseren gesetzlichen Grundlage ausstatten, könnten wir durchaus am Warntag reifen. Es kam aber alles anders.

Ein gesamtstaatliches oder gesamtgesellschaftliches Herangehen ist noch nicht erkennbar. […] Es fehlt an verpflichtenden Regeln und Befugnissen, insofern fordere ich an dieser Stelle, dass der Bund, konkret wir das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eine Zentralstellenfunktion erhalten. [ich möchte Ihnen…] den Wunsch nahelegen, den Bevölkerungsschutz in Deutschland auch durch eine formale Stärkung der Bundeskompetenz langfristig und nachhaltig zukunftsfähig zu machen.“ Christoph Unger, 13.01.2020, Bundestagsausschuss.

Das Warnsignal, das Seehofer mit der öffentlichkeitswirksamen Demission Ungers hier in den gesamten Bevölkerungsschutz sendet, könnte nicht fataler sein. Es lautet: „Wir vernachlässigen den Bevölkerungsschutz, ja. Und wenn ihr Probleme aufzeigt, hören wir auch nicht zu. Wenn ihr dann aber an allseits bekannten Defiziten scheitert, betreffen die Konsequenzen alleine euch und nicht die Politik. Eine Fehlerkultur ist unerwünscht.“

Das im Bevölkerungsschutz zart aufgekommene Pflänzchen namens „Fehlerkultur“ könnte nicht brutaler zertreten werden. Diese können wir für die nächsten Jahre getrost vergessen, denn in Übungen scheitern wird keine Option mehr sein. Als Folge dessen wird sich jeder Verantwortliche sehr genau überlegen, ob und in welcher Form er Übungen überhaupt noch durchführen lassen muss. Auch bei desaströsen Ergebnissen werden wir „Die Übung war ein voller Erfolg“ als Resümee lesen, gepaart von gegenseitigem Schulterklopfen. Ob die Ergebnisse der LÜKEX 2007 „Pandemie“ bei dieser Kultur zustande gekommen wären? Das darf deutlich bezweifelt werden.

Im konkreten Fall des Warntags passierte – basierend auf öffentlich verfügbaren Informationen, denn ein Abschlussbericht liegt noch nicht vor – folgendes: Zeitgleich versuchte eine größere Anzahl von Anwendern wie das BBK, Bezirksregierungen oder Leitstellen, jeweils Warnmeldungen an die Bevölkerung einzuspeisen. Die Einspeisung von vielen berechtigten Benutzern an eine überlappende Anzahl von Warnempfängern überforderte das System. Rechenbeispiel: wenn der Bund alle Nutzer der Warn-App NINA warnen (5 Mio Nutzer, Stand 6/2019, siehe Meldung des BBK), jeweils ein Bundesland alle Nutzer in der Fläche des Bundeslandes warnen und zusätzlich noch diverse Gebietskörperschaften jeweils die Nutzer in der Gebietskörperschaft warnen wollen, dann ergibt dies eine Warnanzahl, die signifikant höher ist als die Gesamtnutzerzahl der App, für die das System ausgelegt ist. Es scheint auch so – und jetzt begeben wir uns auf eine Spekulation – dass es in dem System keine Hierarchie gibt, wonach Warnungen des Bundes priorisiert vor Warnungen der Länder und nachgelagert dann die Gebietskörperschaften behandelt werden. Es war ein selbstgemachter DDoS, basierend auf der Zuständigkeitsverteilung. Dies erklärt zumindest schlüssig, warum unterschiedliche Nutzer der NINA Warn-App zu unterschiedlichen Zeitpunkten gewarnt wurden.

Eine Warninformation darf keine Pull-Information sein, die ein Benutzer aktiv einholen muss. Eine Warninformation muss das Push-Prinzip mit Weckfunktion abdecken. Eine Warn-App, die bei einem Handy im Vibrationsmodus oder im Nachtmodus stumm bleibt, verliert erheblich an Wirkung der Schutzfunktionalität. Die Lücke im System ist der aktive Part des Benutzers, der die Warn-App NINA aktiv herunterladen muss. Der Erreichungsgrad ist noch zu schlecht. Andere Länder nutzen dazu Cell Broadcast, bei dem eine SMS an alle Geräte in einer Netzzelle gesendet wird. Christoph Unger wurde unlängst im Spiegel zitiert, dass man von dieser Möglichkeit der Warnung Abstand genommen habe, da die „Mobilfunknetze – wie man etwa an Silvester sieht – im Fall der Fälle nicht ausreichen“. Darüber hinaus gäbe es Datenschutzprobleme, da auch Bewegungsdaten erfasst würden. Zwischenzeitlich wurde im Spiegel-Artikel diese Aussage richtigerweise durch das BBK nachträglich korrigiert, Stichwort offene Fehlerkultur. Es heißt nun „Cell-Broadcasting wird derzeit aber von keinem deutschen Mobilfunkanbieter angeboten und steht daher zu Zwecken der Bevölkerungswarnung aktuell nicht zur Verfügung.“

Es gibt argumentativ keine Grundlage gegen Cell Broadcast. Es funktioniert technisch in vielen anderen Ländern der Welt einwandfrei, die EU hat entsprechende Weichen mit einer Verordnung gestellt. Gerade dann, wenn die Mobilfunknetze völlig überlastet sind und Daten an Apps wie NINA nicht mehr durchkommen, funktionieren Cell Broadcasts aufgrund der sehr geringen Datenlast noch am wahrscheinlichsten. Die Funktion wird von so ziemlich allen Mobiltelefonen unterstützt, da Cell Broadcasts im amerikanischen, asiatischen und auch im europäischen Absatzmarkt der Gerätehersteller genutzt werden. Der datenschutzrechtliche Einwand, dass Bewegungsdaten erfasst würden, ist nicht haltbar. Im Gegenteil: Bei Cell Broadcasts gibt es keinen Rückkanal – es kann nicht nachvollzogen werden, welches Gerät die Nachricht empfangen hat. Die Telekommunikationsanbieter in Deutschland warten vermutlich nur noch auf eine entsprechende gesetzliche Grundlage. Hier wäre das BMI gefordert, sich aktiv in die Gesetzgebung und die Umsetzung einzubringen. Aber Prävention ist nicht sexy und damit erlangt man offenbar nicht genügend Wählerstimmen.

Das BBK ist aber an der ganzen Sache nicht ganz aus der Verantwortung zu nehmen, denn die Fokussierung auf den Zivilschutz war in den friedlichen Jahren bequem. Die Konzepte des Bundes – als Vorplanung auf den Zivilschutz – gestalten sich oft schwerfällig und wenig detailliert. So sind über Deutschland flächendeckend Fahrzeuge verteilt (Betreuungskombis des Bundes mit Lautsprechereinheiten und Durchsagemodul). Diese wurden aber für den Warntag nicht eingeplant. Es gibt für diese Lautsprecherfahrzeuge auch kein bundesweites Konzept. Man ging im BBK stillschweigend davon aus, dass diese von den Kommunen eingebunden werden. Die Kommunen kennen diese Ressource und die Fähigkeit dieser aber oft nicht – und setzen diese daher auch nicht ein.

Auch gefiel man sich in der Rolle eines forschenden Amtes, dessen eigentlicher Zweck zu unwahrscheinlich erschien. Das BBK betreibt immense Forschungsanstrengungen, hat aber ein Nachhaltigkeitsproblem (Siehe Forschungsvorhaben 5 und 6/ 2020). Die Erkenntnisse aus den vielfältigen Forschungsprojekten und den LÜKEX Übungen kommen in der Fläche nicht an. Der Bevölkerungsschutz in dieser Form ist oftmals ein System ohne Anpassung. Fahrzeuge sind 10-15 Jahre alt und noch im Originalbeladungszustand. Änderungen am Fahrzeug sind nur mittels einem langwierigen und bürokratischen Formänderungsantrag möglich. Es fehlt ein transparenter und kontinuierlicher Verbesserungsprozess, der Erkenntnisse aus Übungen und Einsätzen in die Ausrüstung und Fahrzeuge oder Konzeptionen einfließen lässt. Maximal fließen diese Erkenntnisse in die Neukonzeption der nächsten Fahrzeuggeneration ein.

Die Aufteilung der Kompetenzen sorgt immer wieder für Verzögerungen. So wird seit 2007 an der Konzeption einer Spezialeinheit namens „Medizinische Task Force“ für die medizinische Versorgung bei großflächiger Zerstörung von Infrastruktur gearbeitet. Trotz des englisch klingenden Fachbegriffes ist diese für den internationalen Einsatz nicht vorgesehen und erfüllt keine internationalen Standards wie z.B. der Emergency-Medical-Team (EMT)-Zertifizierung der WHO. Von der MTF sollen in Deutschland 61 Stück aufgestellt werden. Vollständig mit Fahrzeugen ausgerüstet sind 13 Jahre nach Start: Null. Die Abstimmung mit den Bundesländern gestaltete sich schwierig, Nordrhein-Westfalen verglich die Medizinische Task Force mit seinen eigenen Bundeslandkonzepten und sagte „Danke, aber nein Danke“ und entschied sich für eine Sonderlösung.

Ein Wechsel an der Spitze des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe wird die strukturellen Defizite nicht beheben, wenn diese nicht durch umfangreiche Reformen und der dazu erforderlichen Ressourcenbereitstellung begleitet werden. Nicht zuletzt die fehlende nationale Koordinierungsrolle des BBK muss angegangen werden. Es liegt an der Bundesregierung, insbesondere an Horst Seehofer und dem BMI, hier tätig zu werden. Ohne das Scheitern des Warntags 2020 würde es die Möglichkeit der Verbesserung für einen Warntag 2021 nicht geben – falls dieser nicht durch den designierten Nachfolger von Unger, den CDU-Bundestagsabgeordneten Armin Schuster, still eingestellt wird, um die Karriere nicht zu gefährden. Denn seit 2020 gilt: Wer Übungen macht, riskiert seinen Job. Lerneffekte und Fehlerkultur unerwünscht.

Edit: Im August 2021 haben wir das Thema der Warnmeldungen und des Katastrophenschutz erneut aufgegriffen und den Artikel: „Ab wann ist etwas grob fahrlässig? – Historie von Cell Broadcast in Deutschland“ veröffentlicht.

Bundesweiter #Warntag2020

Gut, dass die bundesweite Warnung der Bevölkerung nach ca. 30 Jahren wieder getestet worden ist. Es wäre fatal, wenn erst im Ernstfall feststellt wird, dass dies nicht wie vorgesehen funktioniert.

Viele Mitglieder der AG KRITIS zeichnen sich auch dadurch aus, dass sie aus eigenem Engagement in Hinblick auf den Bevölkerungsschutz sehr interessiert an frühzeitigen Warn- und Katastrophenmeldungen sind. Um 11:00 Uhr war es heute deshalb etwas ernüchternd, statt Warnmeldungen das Scheitern des Modularen Warnsystems (MoWas) zu erleben.

Ein kurze, nicht-repräsentative Umfrage in der Runde hat ein eher ruhiges Bild gezeichnet. In Bundesländern wie Bremen und Städten wie München und Berlin, in denen die Sirenen vor Jahren schon abgebaut wurden, blieb es erwartungsgemäß ruhig. Aber auch die Warn-App Nina des BBK hat sich nicht bemerkbar gemacht. Immerhin hat sich KatWarn mindestens an einer Stelle gemeldet. Auch in Bundesländern und Städten mit Sirenen, deren sonntäglicher Test regelmäßig erfahrbar ist, hat sich heute um 11 nicht immer ein Warnton eingestellt.

Eine Warnung direkt über Nachrichten im Mobilfunknetz, mittels Cell Broadcast wurde im deutschen Mobilfunknetz überhaupt nicht erst eingerichtet, hätte also auch nicht der Teil des bundesweiten Tests sein können, der großflächig funktioniert. Wir möchten da durchaus den Hinweisen aus dieser Diskussion auf Twitter zustimmen. Katastrophenwarnungen gehören nicht in einen großen Softwarestapel in einer App verbuddelt.

Ein bisschen Überraschung gab es dann vereinzelt noch über die Entwarnung, die Nina dann an vielen Stellen erfolgreich verteilt hat. Auch, wenn die Entwarnung dann auf eine „unvorbereitete Bevölkerung“ (Zitat Christoph Unger, Präsident des BBK) traf. Leider hat der bundesweite Test der Warninfrastruktur aber auch eine unvorbereitete Warninfrastruktur erwischt.

Sehen wir das ganze mal konstruktiv: wir freuen uns, dass der Test Defizite aufgezeigt hat, die jetzt behoben werden können, um für den Ernstfall gewappnet zu sein. Dafür sind Krisenübungen und Tests von Anlagen und Systemen ja auch da. Wer nicht übt, bemerkt auch keine Defizite. Insofern ist dies ein gutes Resultat, wenn das After Action Review und die Lessons Learned konsequent angegangen und die Defizite strukturiert eliminiert werden.

Daher warten wir dann jetzt mit Spannung auf den offiziellen Fehlerbericht.

Kommentar zum neuen Referentenentwurf des IT-Sicherheitsgesetz 2.0 (IT-SiG2)

Die beiden Leiter der AG KRITIS, Manuel Atug und Johannes Rundfeldt zum von netzpolitik.org veröffentlichten neuen Entwurf des IT-SiG2 von Mai 2020:

Das neue IT-Sicherheitsgesetz 2.0 (IT-SiG2) ist definitiv eine Verbesserung zum vorherigen Entwurf von März 2019. Aber nicht alle Details sind gut, einzelne Punkte sind leider auch ein Rückschritt und werfen neue Gefahren und Risiken auf.

Die AG KRITIS begrüßt die Tatsache, dass die hochkritischen Änderungen an der Strafprozessordnung und am Strafgesetzbuch, die noch im ersten veröffentlichten Entwurf von März 2019 aufgeführt wurden, nun nicht mehr enthalten sind. Auch begrüßen wir die Tatsache, dass die Entsorgung – also Teil der Abfallwirtschaft – nun auch als kritische Infrastruktur betrachtet wird. Dies ist überfällig und sinnvoll, schließlich entstehen sehr schnell katastrophale Gesundheitsrisiken für die Bevölkerung wegen der drohenden Seuchengefahr und Gefährdungen in der Umwelt bedingt durch gefährliche Stoffe, wenn die Abfallentsorgung nicht mehr funktionieren würde.

Leider hat sich damit jedoch nicht alles zum Guten verbessert. Es gibt insbesondere auch einige Neuerungen, die in dieser Weise unsere kritischen Infrastrukturen direkt gefährden können.

Unser größter Kritikpunkt ist die hochgefährliche Datensammlung, die sich hinter der unscheinbaren Formulierung in § 9b Absatz 1 BSIG verbirgt. Dort geht es um IT (oder OT) -Komponenten in kritischen Infrastrukturen.

„Der Einsatz einer kritischen Komponente (§ 2 Absatz 13), (…), ist durch den Betreiber einer Kritischen Infrastruktur dem Bundesministerium des Innern, für Bau und Heimat vor Einbau anzuzeigen. In der Anzeige ist die kritische Komponente und die Art ihres Einsatzes anzugeben.“

Bisher müssen Hersteller solcher Komponenten mit dem BSI zusammen arbeiten, um eine Zertifizierung von Komponenten zu erreichen. Dabei kann das BMI diese Zertifizierung aus Gründen der öffentlichen Sicherheit ablehnen, auch wenn das BSI zum Schluss kommt, dass die zu zertifizierende Komponente den Kriterien entspricht.

Der neue IT-SiG2-Entwurf schafft hier allerdings eine neue Anzeigepflicht. Nicht mehr nur der Hersteller der Komponente muss mit den Behörden in Kontakt treten, sondern der Betreiber der Komponente muss deren Einsatz beim BMI melden. Auf diese Weise plant das BMI eine Liste aufzubauen, welcher KRITIS-Betreiber welche Komponenten im Einsatz hat. So eine Liste ist jedoch höchst kritisch zu bewerten, da jeder Geheimdienst und jede ausländische Macht, die Zugriff auf diese hochsensible Liste erlangt, unsere kritische Infrastruktur gefährden kann. Getreu dem Motto „Wo ein Trog ist, da sammeln sich auch Schweine“ halten wir es für überflüssig und gefährlich, so eine hochsensible Datensammlung überhaupt anzulegen. Wenn man aus sicherheitstechnischen Erwägungen trotzdem zum Schluss kommt, so eine Liste zu benötigen, so muss diese besonders vor dem Zugriff von in- und ausländischen Ermittlungsbehörden und Nachrichtendiensten geschützt werden. Nur ein unabhängiges BSI, das nicht mehr unter der Aufsicht des BMI steht, könnte so eine Liste geeignet verwalten.

Leider wurde diese essentielle fachliche Unabhängigkeit des BSI nicht im § 1 des BSIG vorgesehen. Hier wünschen wir uns eine Nachbesserung, denn ein fachlich unabhängiges BSI ist notwendig und überfällig. Obwohl es verschiedene Ansätze gibt, wie dies juristisch erreicht werden könnte, halten wir die Anpassung des § 1 BSIG für den naheliegendsten Ansatz, wenn man sowieso gerade plant, das BSIG zu ändern. Dabei kann man sich in der Ausgestaltung der fachlichen Unabhängigkeit hervorragend am statistischen Bundesamt orientieren.

Der zweite nicht weniger relevante Kritikpunkt ist die offensichtliche Umgehung des frisch geschaffenen Nationalen Cyberabwehrzentrum (NCAZ) bei erfolgreichen Cyberangriffen auf IT-Systeme. Im zu ändernden § 109a TKG findet sich die Formulierung:

„(1a) Im Falle einer unrechtmäßigen Übermittlung an oder unrechtmäßigen Kenntniserlangung von Daten durch Dritte unterrichtet der Diensteanbieter unverzüglich das Bundeskriminalamt über diesen Sachverhalt, wenn bestimmte Tatsachen die Annahme rechtfertigen, dass 1. jemand Telekommunikations- oder Datenverarbeitungssysteme ohne Erlaubnis oder Billigung des Diensteanbieters verändert, auf diese eingewirkt oder Zugangseinrichtungen zu diesen überwunden hat und 2. dies nicht fahrlässig erfolgt ist.“

Im Fall der vorsätzlichen und erfolgreichen Umgehung von Zugangseinrichtungen, der Veränderung von Daten oder der Einwirkung von Dritten auf diese ist es wohl angebracht, dies als Cyberangriff zu bezeichnen. Je nachdem, wer der Täter ist, ändert sich die Zuständigkeit für die Vorfallsbehandlung und Ermittlung.

Handelt es sich um einen Angriff eines deutschen Bürgers auf eine technische Einrichtung der Bundeswehr, wäre der MAD zuständig. Wären wir im Krieg und hätte die Bundeswehr ein Mandat, wäre in diesem Fall das KdoCIR zuständig. Wenn ein System angegriffen wird, welches nicht zur Bundeswehr gehört, sondern z.B. zu einem Telekommunikationsanbieter, dann wäre das BKA nur dann zuständig, wenn der Angriff von einem deutschen Bürger ausgeht. Geht der Angriff von einem ausländischen Bürger aus, wäre der BND zuständig. Ginge der Angriff von einer ausländischen staatlichen Macht aus, wäre der BND und unter Umständen auch das Auswärtige Amt zuständig. In manchen Sonderfällen fiele auch eine Teil-Zuständigkeit an das BfV.

Zum Zeitpunkt der initialen Detektion eines Angriffs ist der Täter und dessen Nationalität aber unbekannt. Daher kann nicht von vornherein klar sein, wer wirklich zuständig ist. Aus genau diesem Grund wurde das NCAZ geschaffen, welches die Vorfallsbehandlung zwischen den möglicherweise zuständigen Bundesbehörden koordinieren soll. Im NCAZ sitzen deswegen Vertreter aller möglicherweise zuständigen Behörden, wie z.B. dem BKA, der BPol, dem BfV, dem BND, dem MAD und dem KdoCIR.

Wir sind daher zu der Meinung gekommen, dass an dieser Stelle die Meldung an das NCAZ erfolgen soll und eben nicht an das BKA. Das NCAZ kann dann koordinieren, welche Bundesbehörde auf Basis der vorliegenden Indizien wahrscheinlich zuständig ist. Nichtsdestotrotz sind, egal welche Behörde für die Ermittlungen zuständig ist, immer auch andere Bundesbehörden einzubinden, wie z.B. das BSI, welches nötigenfalls Warnungen und Meldungen über das CERT-Bund herausgeben müsste.

„Man muss Gesetze kompliziert machen, dann fällt es nicht so auf“, sagte Bundesinnenminister Horst Seehofer im Juni 2019. An dieses Mantra hält man im BMI auch beim IT-SiG2 konsequent fest. Im alten Entwurf fand sich noch die Formulierung, dass die Rüstungsindustrie zur sog. „Infrastruktur in besonderem öffentlichen Interesse“ (ISBÖFI) gehören soll. Die „ISBÖFI“ ist quasi eine Art „KRITIS light“. Nicht alle KRITIS Pflichten werden auferlegt, aber manche. Im neuen IT-SiG2-Entwurf findet sich das Wort „Rüstung“ nun nicht mehr, trotzdem gehört Rüstung weiterhin zu ISBÖFI. Dies wird nun durch die verschleiernde Erwähnung des „§ 60 AWV Absatz 1 Satz 1-5“ festgelegt und auch in den Begründungen zum Gesetz weder erläutert noch aufgeklärt.

Die AG KRITIS ist der Meinung, dass Rüstung weder KRITIS ist, noch zu einer Art „KRITIS light“ gehören kann – denn die Rüstungsindustrie gehört eben nicht zu solchen Diensten, „die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind und deren Störung oder Zerstörung erhebliche Auswirkungen hätte“ (KRITIS-Definition).

Selbst wenn man argumentieren würde, dass die hergestellten Rüstungsgüter nach Bestellung, Produktion und Lieferung der Bundeswehr zu Gute kommen würden und damit bei der Aufgabenerfüllung der Bundeswehr (Verteidigungsarmee) helfen sollen – selbst dann wäre die Rüstungsindustrie noch nicht KRITIS, da die Bundeswehr diese Aufgaben mit Ihren Beständen erfüllen muss und die Beschaffung neuer Waffen so lange dauert, das diese neuen Waffen wohl kaum zur Bewältigung der dann aktuellen Lage eingesetzt werden können. Eine Mitverantwortung für die öffentliche Sicherheit kann daher bei der Rüstungsindustrie nicht behauptet werden. Entsprechend gehört die Rüstungsindustrie auch nicht zu den kritischen Infrastrukturen und darf daher auch nicht der neu geschaffenen Vorstufe „ISBÖFI“ zugeordnet werden.

Unser dritter Kritikpunkt ist, dass im IT-SiG von 2015 festgelegt wurde, dass eine Evaluierung der Gesetzesänderungen spätestens vier Jahre nach Inkrafttreten vorgenommen werden soll. Unserer Kenntnis nach ist diese Evaluierung aber bisher nicht erfolgt. Konsequenterweise sieht das BMI auch keine Evaluierung des neuen IT-SiG2 vor, sondern stellt in Aussicht, die aktuell gesetzeswidrig(!) überfällige Evaluierung des IT-SiG von 2015 doch noch vorzunehmen. Dies reicht dem BMI als Begründung, warum eine Evaluierung der zweiten Version des IT-SiG nicht notwendig wäre, weil man ja Erkenntnisse aus dem Gesetzesentwurf des IT-SiG2 in die Evaluierung des IT-SiG von 2015 einfließen lassen könne.

Selbstverständlich ist das nicht ausreichend – das BMI soll, wie aus gutem Grund im Gesetz vorgesehen, erst das vorhandene IT-SiG von 2015 evaluieren und dann diese Erkenntnisse, genau wie geplant, in das IT-SiG2 einfließen lassen – aber nicht andersherum, wie es aktuell im IT-SiG2 angegeben wird.

Weiterhin findet sich im IT-Sig2 auch noch eine Passage, die uns als AG KRITIS mit Freude erfüllt. Uns zeigen diese Änderungen, dass man auch ehrenamtlich erfolgreichen und sinnvollen Lobbyismus betreiben kann.

Es scheint so, als wurden bestehende Forderungen der AG KRITIS im IT-SiG2 berücksichtigt. So soll das unserer Ansicht nach zu schwach besetzte MIRT deutlich anwachsen. Dies vergrößert die staatlichen Krisenbewältigungskapazitäten signifikant. Auch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) bekommt wichtige Aufgaben und weitere Personalstellen zugeteilt, um erstmalig in die Lage versetzt zu werden, auch für IT-Katastrophen Krisenreaktionspläne auszuarbeiten. Auch lesen wir den neu geschaffenen § 5c BSIG fast schon wie die initiale rechtliche Grundlage für den Einsatz eines zu schaffenden Cyberhilfswerks – wie von uns im Februar 2020 vorgestellt – und verortet die Kompetenzen und Verantwortlichkeiten an den richtigen Stellen, nämlich dem BSI gemeinsam mit dem Partner BBK.

Hier findet Ihr unser CHW-Konzept:

Ergebnisprotokoll des ersten Behördenworkshops zum Cyber-Hilfswerk (CHW)

Am 02.10.2019 haben wir uns mit Vertretern des Bundesamt für Sicherheit in der Informationstechnik (BSI) und mit Vertretern des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) getroffen und unsere Ideen gemeinsam diskutiert.

Besprochen wurde in dem Fachgespräch auf Arbeitsebene das Thema der Bewältigung von Großschadenslagen, die durch Cyber-Vorfälle entstehen können. Unsere Idee eines „Cyber-Hilfswerk“ (CHW – aktueller Arbeitstitel) wurde gemeinsam diskutiert und ins Rollen gebracht.

Zu Beginn der Veranstaltung haben wir zwei Impulsvorträge gehalten – „Vorstellung der Arbeitsgruppe Kritische Infrastrukturen“ von @ijonberlin und „Was könnte ein CHW leisten?“ von @Jedi_meister, der Rest der Veranstaltung wurde nicht gefilmt, aber protokolliert.

Das detaillierte Ergebnisprotokoll der Veranstaltung wurde von uns erstellt und an die Teilnehmer versandt. Auch für euch stellen wir es hier zur Einsicht bereit.

AG KRITIS Ergebnisprotokoll Behördenworkshop 20191002

 

Die Aufzeichnungen zu den beiden Impulsvorträgen findet ihr hier: