Beiträge

Cybersicherheitsagenda ist alter Wein in neuen Schläuchen: BMI Strukturen von neuer Regierung unbeeindruckt.

Bundesinnenministerin Nancy Faeser hat am 12.07.2022 im Rahmen einer Pressekonferenz die Cybersicherheitsagenda vorgestellt. Faeser beschwört dabei die Zeitenwende und die daraus resultierende strategische Neuausrichtung der deutschen Cybersicherheit.

Offensichtlich hat Ministerin Faeser nicht verstanden, dass es zwischen strukturinhärenten Interessenskonflikten keinen Kompromiss geben kann. Viele alte Themen sind nun neu bezeichnet worden. Dabei sind die Bezeichnungen so vage und allgemein gefasst, dass die Zivilgesellschaft misstrauisch werden muss. Die „neue“ Cybersicherheitsagenda versucht den wohlbekannten Wunschzettel der Sicherheitsbehörden neu zu verpacken, scheitert aber daran.

Ministerin Faeser beruft sich in ihrer Pressekonferenz auf Experten, jedoch scheint es so als ob diese Berater primär die Interessen der Sicherheitsbehörden vertreten. Die Forderungen und Vorhaben der vermeintlich neuen Cybersicherheitsagenda gleichen den Vorhaben des BMI unter der Vorgängerregierung mit CSU-Innenminister Horst Seehofer.

Wir empfehlen allen Beteiligten im BMI dringend die Zivilgesellschaft stärker einzubinden, darüber hinaus empfehlen wir dringend die Lektüre des Koalitionsvertrags. Wäre dies geschehen, dann wäre aufgefallen, dass eine neue Regierung gewählt wurde, die in Sachen Cybersicherheit und Digitalisierung, Grundrechtsschutz und Bürgerrechte andere Ziele verfolgte als einst Minister Seehofer.

Aktive Cyberabwehr

Auf der Pressekonferenz zur Veröffentlichung der Agenda sagte Frau Faeser:

„Ein Hackback ist ein angressiver Gegenschlag, das heisst wir würden mit staatlichen Mitteln einen anderen Server – einen möglicherweise ausländischen [Server] aktiv bekämpfen und gegenschlagen, das will niemand. Das was der Staatssekretär Richter angesprochen hat ist, dass ein Angriff so stark sein kann, dass wir irgendwann gezwungen sind auf den Server zuzugreifen und es abzustellen, aber abstellen ist was anderes als aggressiv dagegen zuschlagen und selbst Angriffe vorzunehmen, das möchte niemand.“

Der verbale Tenor ist „wir machen keine Gegenschläge“, dennoch befinden sich erhebliche Widersprüche in der Cybersicherheitsagenda, die eine klare Positionierung vermissen lassen. Ebenso wird weder aus der Pressekonferenz noch aus der Agenda selbst ersichtlich, welche Grenzen zwischen einem „Abschalten“ und einen „aggressiven Gegenschlag“ liegen. Was bleibt ist der fahle Beigeschmack einer begrifflichen Umdeutung oder wie es LOAD e.V. treffend formuliert „Eine bewusste Irreführung der Öffentlichkeit“.

Letztlich wird damit leider deutlich, dass der digitale Gegenschlag politisch noch lange nicht vom Tisch ist. Im Gegenteil – im Rahmen der in der Agenda ebenfalls adressierten Forschungsförderung wird die „Cyberverteidigung“ ausdrücklich adressiert. Generell ist das operieren im Cyberraum aus Sicht der kritischen Infrastrukturen, auch als Abwehrmaßnahme, höchst problematisch wie unser Mitglied Manuel Atug bereits hier umfangreich erklärt hat.

1. Cybersicherheitsarchitektur modernisieren und harmonisieren

Im ersten Kapitel wird weitgehend das Zuständigkeitschaos und der sogenannte Ausbau des BSI zu einer Zentralstelle im Bund-Länder-Verhältnis adressiert. Insbesondere soll die Zuständigkeitsverteilung im Bereich der Gefahrenabwehr angepasst werden. Außerdem soll das BSI unabhängiger werden. Das begrüßen wir ausdrücklich.
Von wem es allerdings unabhängiger werden (darf) bleibt die Agenda schuldig. Zwar haben immer wieder Expert:innen die Abhängigkeit des BSI vom Innenministerium als Dienstherr im Kontext des Interessenskonflikts der Sicherheitsbehörden in der Gefahrenabwehr angemahnt, ob die Innenministerin diesen Schritt tatsächlich geht bleibt fraglich.

2. Cyberfähigkeiten und digitale Souveränität der Sicherheitsbehörden stärken

In Kapitel zwei wird wieder ein Schwachstellenmanagement versprochen. Wir bleiben weiterhin davon überzeugt, dass Schwachstellen nicht „gemanaged“ werden müssen. Wir sind uns relativ sicher, dass das BMI mit einem Schwachstellenmanagement einen Managementprozess, angelehnt an den amerikanischen Vulnerabilities Equities Process, anstrebt, welcher zum Ziel hat, intransparent auszuwählen, welche bekannt gewordenen Sicherheitslücken gemeldet werden sollen und welche geheim bleiben sollen, damit die Sicherheitsbehörden diese ausnutzen können. Dies ist inakzeptabel. Der einzig richtige Weg, der die Cybersicherheit der Bürger:innen, der Behörden und der kritischen Infrastruktur nicht gefährdet, ist Sicherheitslücken unverzüglich und ausnahmslos zu schließen.

Der Abschnitt spricht weiterhin von

„Ermittlungsfähigkeiten und -instrumente des Bundes (…) im Bereich Verschlüsselung“ für das Bundeskriminalamt.

Wir können uns unter dieser Formulierung nur vorstellen, dass die Bundesregierung weiter versucht, Verschlüsselungssysteme unsicher zu machen um diese Unsicherheiten für Ermittlungen auszunutzen.

3. Cybercrime und strafbare Inhalte im Internet bekämpfen

Zu den Problemstellungen die die Agendapunkte in Kapitel drei darstellen, möchten wir hier auf die [Stellungnahme des LOAD e.V.]() verweisen.

4. Cybersicherheit der Behörden des Bundes stärken

Die „Etablierung des Grundsatzes ’security by design and by default‘ in der Bundesverwaltung“ begrüßen wir grundsätzlich. Die Cybersicherheitsagenda ist hier aber inhaltlich zweideutig. So werden nach wie vor an verschiedenen Stellen explizit Türen offen gelassen, um die Cybersicherheit durch Sicherheitsbehörden schwächen zu können. Solange „security by design and by default“ nicht zur rechtsverbindlichen Verpflichtung werden, besteht die Gefahr, dass dieses an sich begrüßenswerte Ziel zu einem bloßen Buzzword verkommt. Die Bundesregierung ist daher aufgerufen, als Follow-up der Agenda konkrete Maßnahmen vorzustellen, wie „security by design“ umgesetzt werden soll. Auch die letzten zwei Bundesregierungen haben diese Formulierung bereits verwendet, ohne dass es zu konkreten Umsetzungsbestrebungen gekommen wäre. Das BMI muss deshalb weiterhin aktiv an dieser Zielsetzung festhalten.

5. Cyber-Resilienz Kritischer Infrastrukturen stärken

Abschnitt 5 wollen wir uns im Detail widmen, betrifft dieser doch den Kernbereich der Aktivitäten der AG KRITIS. Zu den anderen Abschnitten verweisen wir neben der Stellungnahme des LOAD e.V. auch auf die [Stellungnahme unseres Mitglieds Prof. Dr. Dennis-Kenji Kipker bei beck.de].

Prüfung der Etablierung sektorspezifscher CERTs für KRITIS-Betreiber

Wir halten sektorspezifische CERTS nicht für sinnvoll. Wir halten es in diesem Kontext für zielführender, die Länder-CERTS zu stärken und auszubauen, das MIRT sowie das CERT-Bund auszubauen sowie ein Cyberhilfswerk zu schaffen. Gerne beraten wir die prüfende Stelle im Ehrenamt.

Wir sind bestürzt, dass wir die Schaffung eines Cyberhilfswerks leider nicht in dieser Agenda wiederfinden konnten. Wir hoffen weiterhin, dass das BMI die Schaffung eines Cyberhilfswerks auf die Agenda nimmt.

6. Schutz ziviler Strukturen vor Cyberangriffen

Der Schutz ziviler Infrastruktur kommt viel zu wenig Gewicht in der Cybersicherheitsagenda zu. Lediglich zwei kryptische Vorhaben werden aufgeführt um die zivile Infrastruktur besser gegen Cyberbedrohungen abzusichern. Ein wohlklingendes „BSI Information Sharing Portal (BISP) soll aufgebaut und später zu einem zivilen Cyberabwehrsystem (ZCAS) ausgebaut werden.

Das BISP kann unserer vorläufigen Einschätzung nach auch eine gute Idee sein, sofern der Zugang offen gestaltet wird. Die angestrebte Weiterentwicklung zu einem System, das „aktiv und automatisiert auf Cyberangriffe“ reagieren soll klingt jedoch nach einer besonders schlechten Idee. Nicht nur ist die technische Machbarkeit aus unserer Sicht höchst fragwürdig, sondern würde in dieser Formulierung auch automatisierte Hackbacks gleichgestellt sein.

Selbst ein manueller Hackback ist aus Sicht der kritischen Infrastrukturen, der Zivilgesellschaft wie auch aus völkerrechtlichen Betrachtung strikt abzulehnen. Solche Fähigkeiten vollständig oder auch nur teilweise zu automatisieren, ist im besten Falle nicht nur höchst gefährlich, sondern auch verantwortungslos und leichtsinnig und wird daher von uns strikt abgelehnt.

7. Digitale Souveränität in der Cybersicherheit stärken

Nach über dreißig Jahren Internet, werden auch langsam die Bedrohungen im Cyberraum erkannt. Zwar wird von einem „ganzheitliche[n] Ansatz“ gesprochen, dieser aber im weiteren Kontext nicht näher definiert.

Es wird im Kontext jedoch klar, dass es um die Vertrauenswürdigkeit von Technologien geht. Der hier gezeigte Ansatz der Förderung von Produkten und Dienstleistungen mit Schwerpunkt Cybersicherheit ist jedoch nicht gänzlich sinnvoll, da es hier bereits ausreichend Produkte gibt. Eigentlich geht es um die Vertrauenswürdigkeit von Produkten und deren Herstellern und diese lässt sich am einfachsten über die Förderung oder auch Vorgaben von Open Source für Hard- und Software umsetzen. Forschungsgelder sind aber in jedem Fall sinnvoll.

Außerdem soll das BSI Prüfungmöglichkeiten bekommen um „kritische Komponenten“ und die Vertrauenswürdigkeit der Herrsteller zu prüfen. Dass „kritische Komponenten“ ein gänzlich falscher Begriff ist, haben wir bereits in unser Stellungnahme zum IT-Sicherheitsgesetz 2.0 erklärt (Seite 12).
Außerdem suggiert eine solche Prüfung der „kritischen Komponenten“ eine trügerische Sicherheit, denn um kritische Systeme sicher zu betreiben, müssen diese im Ganzen betrachtet werden und nicht komponentenweise. Das Zusammenspiel aller relevanten Komponenten in der Architektur ist wesentlich für die Versorgung.

8. Krisenfeste Kommunikationsfähigkeit schaffen und Sicherheit der Netze ausbauen

Die Digitalisierung der öffentlichen Verwaltung benötigt noch vor einer Kommunikationsplattform den Willen und die Akzeptanz, dass sich Digitalisierung nicht über das Copy & Paste analoger Verfahren in die digitale Welt lösen lässt.

Für die Nutzung und den Ausbau digitaler Angebote der öffentlichen Verwaltung wäre vor allem ein flächendeckender Netzausbau von Vorteil, in dessen Rahmen am Besten auch eine resiliente Fallback-Infrastruktur für Katastrophenfälle etabliert werden sollte. Diese Infrastruktur scheint diesem Kapitel nach noch nicht zu existieren, obwohl sie das sogar nach Vorgabe auf Europäischer Ebene sollte.

Vom flächendeckenden Netzausbau würden neben der Verwaltung auch die Nutzer:innen und nicht-KRITIS Institutionen wie z.B. Schulen profitieren.

Es besteht der dringende Bedarf, den Digitalfunk BOS erst einmal bundesweit einzusetzen.
Denn heute noch nutzen Rettungsdienst und Feuerwehr in weiten Teilen einiger Bundesländern immer noch den nicht abhörsicheren Analogfunk auf dem technischen Stand der 1970er Jahre.
Hier ist eine bundesweite Migrationpflicht aller BOS ins Digitalfunknetz unabdingbar.

Die Sicherheit und Hochverfügbarkeit des Digitalfunks BOS liegt aktuell im Verantwortungsbereich der Bundesländer.
Diese entscheiden selber, wie resilient das Digitalfunknetz in ihrem Bundesland hinsichtlich Stromausfällen und Ausfällen von Übertragungsleitungen (angemietete Erdkabel, eigener Richtfunk) implementiert wird oder eben nicht.
Ein bundesweit einheitlicher Resilienzstandard für den Digitalfunk BOS muss zwingend definiert und konsequent umgesetzt werden.

Unser Fazit

Das abschließende Fazit zur „neuen“ Cybersicherheitsagenda der SPD-Innenministerin Faeser fällt bestenfalls ernüchternd und schlechtestensfalls grob fahrlässig aus. Wieder einmal werden große Vorhaben (Zentralstelle BSI, BISP oder ZCAS) formuliert, die aber an der inhaltlichen, fachlichen und rechtlichen Substanz scheitern. Anstatt auf vorhandene Konzepte zu setzen und Versäumnisse der Vorgängerregierung abzustellen, legte uns die Ministerin Faeser und ihr Haus eine Agenda vor mit der eine Zeitenwende in der deutschen Cybersicherheitspolitik nicht gelingen kann.

 

Und wenn der digitale Behördenfunk doch ausfällt ?

Dies ist unser zweiter Artikel zum digitalen Behördenfunk – der erste ist hier zu finden.

Ein zeitweiser großflächiger Ausfall des Digitalfunknetzes der Behörden und Organisationen mit Sicherheitsaufgaben (BOSnet) ist kein theoretisches Szenario. Seit der Flutkatastrophe im Juli 2021 im Westen Deutschlands ist klar:
Dieser Fall kann eintreten.
Die technischen Gründe für den Ausfall des BOSnet waren hier:

  • Ausfall der Stromversorgung
  • physikalische Beschädigung und Zerstörung der Übertragungs-Leitungen, welche die Basisstationen an das BOSnet-Kernnetz anbinden.

Die unterbrechungsfreie Stromversorgung der Basistationen mit 4 bis 6 Stunden Batterie-Kapazität war erschöpft, die in Rheinland-Pfalz dezentral gelagerten Netz-Ersatzanlagen erreichten sie zu spät. Angemietete, im Boden verlegte Übertragungsleitungen wurden vom Hochwasser weggerissen. Wo noch Strom vorhanden war, konnte die Basisstation ihr Einzugsgebiet von etlichen Quadratkilometern nur noch sehr eingeschränkt lokal versorgen, jedoch ohne Anbindung an die entfernter gelegenen Rettungsleitstellen. Rettungskräfte mussten zum Teil mit Zettel und Stift ausrücken. Die Informationen mussten auf Papier gebracht und zu den lokalen Einsatzzentralen und Krisenstäben transportiert werden. Für eine Katastrophensituation ist dies ein nicht hinnehmbarer Zustand.

Es stellen sich deshalb die folgenden Fragen:
Welche technischen Alternativen können in solch einem Katastrophenszenario noch genutzt werden?
Welche Alternativen bieten eine Rückfallebene mit gleichwertiger Funktionalität?
Gibt es Alternativen, welche als Notlösungen mit eingeschränkter Funktionalität nutzbar sind?

Die folgenden zwölf Notfall- und Rückfallebenenen werden hier eingeordnet, erklärt und bewertet:

  • Nutzung alternativer Betriebsarten und Konfigurationen des BOSnet
  • Erhalt des analogen BOS-Funksystems für Notfallbetrieb
  • Mobile Basisstationen (mBS) mit Anbindung über Leitung oder LTE
  • Satellitengesteuerte mobile Basisstationen (Sat-mBS)
  • Eine Notfalllösung über Satellitenkommunikationstechnik der Bundespolizei
  • Kommerzielle Satellitentelefonie
  • Kurzwellenfunkgeräte des THW
  • Kommunikation durch Funkamateure
  • Das zukünftige landesweite BOS-Breitbandnetz
  • Zellulare Netze Verlegefähig (ZNV) der Bundeswehr
  • Bundesländerspezifische Sonderwege für Breitbandinternetanbindung über Satellit
  • Eine Erweiterung des digitalen Alarmierungsnetzes in Rheinland-Pfalz

Nutzung alternativer Betriebsarten und Konfigurationen des BOSnet:

Das BOSnet verfügt aktuell über zwei Betriebsarten:

In der Betriebsart Trunked Mode Operation (TMO) wird eine Funkverbindung zwischen zwei oder mehreren Endgeräten unter Nutzung der Netzinfrastruktur über die Basisstationen aufgebaut. Das ist die Standardbetriebsart des BOSnet-Digitalfunks. Beim großflächigen Ausfall der Basisstationen ist TMO-Betrieb nur noch unter Nutzern der selben Basisstation möglich („Fallback-Modus“).


Direct Mode Operation (DMO) ist der Direktbetrieb zwischen den Endgeräten ohne Nutzung der Netzinfrastruktur. Er ermöglicht die Kommunikation ohne Verwendung von Basisstationen, ähnlich dem Funkbetrieb mit „Walkie-Talkies“. Durch die geringe Sendeleistung der Handfunkgeräte sind hier nur relativ kleine Reichweiten zu erzielen.

Weitere Möglichkeiten in der Betriebsart DMO bilden DMO-Repeater: Ein Fahrzeug-Funkgerät (Mobile Radio Terminal, MRT) kann als Repeater genutzt werden. Der Repeater arbeitet ähnlich einer Relaisstelle im Analogfunk. Es kann jedoch nur ein Repeater pro zuvor konfigurierter Nutzergruppe (DMO-Rufgruppe) verwendet werden.

Mesh“-Betrieb (ein vermaschtes Netz, in dem jeder Netzwerkknoten mit einem oder mehreren anderen verbunden ist) ist nicht möglich. 
DMO-Rufgruppen werden üblicherweise über die Taktisch Technische Betriebsstelle (TTB) vorab konfiguriert.


Möglich ist auch ein sogenannter TMO-DMO-Gateway:
Hier fungiert ein Fahrzeug-Funkgerät (MRT) als Brücke zwischen einzelnen DMO-Nutzern und einer BOSnet-Basisstation. Zum Betrieb von Repeatern und Gateways gibt es unterschiedliche Regelungen in den Bundesländern. In Baden-Württemberg beispielsweise ist bei den Feuerwehren und beim Katastrophenschutz die Nutzung von DMO-Repeatern und TMO-DMO-Gateways derzeit nicht angedacht, da eine Nutzung der Betriebsart DMO dort grundsätzlich nicht vorgesehen ist, bei Polizei und Rettungsdienst jedoch schon. Ferner können die Repeater-Funktion und die Gateway-Funktion unter Umständen nicht bei jedem MRT eingestellt werden.
Die Verfügbarkeit ist abhängig von der jeweiligen Programmierung und installierten Lizenz.

Der Direktmodus (DMO) sowie die Repeater- und Gateway-Funktion sind ausdrücklich nur in Abstimmung mit der einsatzführenden Stelle zu verwenden, um Störungen von geographisch benachbarten BOSnet-Nutzern auf der gleichen Frequenz zu vermeiden.

Unsere Einschätzung:

  • DMO und seine Repeater- und Gateway-Erweiterungen stellen eine gute lokale Betriebsmöglichkeit dar, insbesondere bei Überlast oder Ausfall einer einzelnen Basisstation.
    Dabei ist aber nur von einer Notlösung mit sehr eingeschränkter Funktionalität zu sprechen.
  • Beim gleichzeitigen Ausfall von mehreren Basisstationen in einem größeren geographischen Gebiet können DMO-Betrieb und die Gateway- und Repeater-Funktion die lokale Kommunikation von Einsatzgruppen untereinander sicherstellen.
    In einigen Bundesländern sind Gateway- und Repeater-Betrieb jedoch gar nicht vorgesehen, weder organisatorisch, noch technisch mangels entsprechender Konfigurations-Möglichkeit.
  • Ist die Leitstelle vom betroffenen Gebiet aus jedoch nicht über DMO oder Gateway erreichbar, können die Einsatzkräfte nicht mit ihr kommunizieren.

Erhalt des analogen BOS-Funksystems für Notfallbetrieb

Die bisher für analogen Sprechfunk genutzen Frequenz-Zuteilungen der Bundesnetzagentur an die BOS umfassen die Frequenzbänder 8 m ( 34 .. 39 MHz ), 4 m ( 74 .. 87 MHz ), 2 m ( 165 .. 173 MHz ) und 70 cm ( 443 .. 449 MHz ) [14]. Auch mit Einführung des digitalen BOSnet werden diese in etlichen Bundesländern noch aktiv genutzt. So wird beispielweise in Teilen von Baden-Württemberg und Bayern weiterhin analoger Sprechfunk zur Kommunikation zwischen den Rettungsleitstellen und Fahrzeugen des Rettungsdienstes genutzt, ebenso für die analoge Alarmierung von Rettungsdienst und Feuerwehr. Auch in Thüringen wird in mehreren Landkreisen noch analog alarmiert. Mittelfristig ist jedoch auch hier eine vollständige Umstellung auf digitalen Sprechfunk und auf digitale, verschlüsselte Alarmierung zu erwarten [21]. Die dann freiwerdenden Frequenzbänder würden vermutlich mangels Nutzung durch die Regulierungsbehörde an andere Nutzer versteigert werden.

Denkbar wäre jedoch, die Frequenzzuweisungen für analogen Sprechfunk generell als Notlösungen mit eingeschränkter Funktionalität im Falle eines BOSnet-Ausfalls zu erhalten. Vor allem die Bänder 4 m und 2 m haben aufgrund ihrer physikalisch bedingt hohen Reichweite hier eine Schlüsselfunktion. BOS-Einheiten, die in Katastrophenszenarien zum Einsatz kommen können, sollten auf analoge Funktechnik zugreifen können, bevorzugt im 4 m-Band. Die Funktechnik müsste nicht unbedingt in jeder einzelnen Feuerwache bereit gehalten werden, aber mindestens an zwei Stellen auf Landkreis-Ebene. Mobile Leitstellene und Kommunikationstrupps sollten mit verlegefähigen analogen Relais-Stationen ausgestattet werden.

Es werden Notfallpläne erarbeitet, mit denen eine Kommunikationsinfrastruktur im Bedarfsfall aufgebaut werden kann (beispielsweise ein einheitlicher allgemeiner Anrufkanal für BOS, ein einheitlicher Notrufkanal für Nutzung durch Teilnehmer anderer Funkdienste, Festlegung der Zuständigkeiten für ad hoc Kanalzuweisung).

 

Unsere Einschätzung:

  • Die Technik ist sehr robust, erprobt, und hat auch in Fällen längerer und großflächiger Ausfälle von Infrastrukturen eine hohe Resilienz.
  • Die Technik ist den Nutzern gut bekannt, der Schulungsstand ist gut, Ausstattung ist größtenteils noch vorhanden oder wird, wie im Fall THW, auch noch aktuell bei Neuausstattung verbaut.
  • Es besteht Interoperabilität mit einer Vielzahl von Kräften, auch international, in der Industrie oder in der Zivilgesellschaft.
  • Kosten für Neuausstattung sind vergleichsweise gering.

Mobile Basisstationen (mBS) mit Anbindung über Leitung oder LTE:

Es werden im BOSnet „mobile Basisstationen (mBS)“ vorgehalten. Diese werden über Festnetz oder Richtfunk an das BOSnet-Kernnetz angebunden. Rheinland-Pfalz hielt – Stand 2017 – keine eigenen mBS vor. Für eine Großveranstaltung im Juni 2017 wurde eine mBS mit 3 Monaten Vorlauf in Niedersachsen beantragt. Die Deutsche Telekom AG stellte die Anbindung an das BOSnet-Kernnetz über ihr eigenes Übertragungsnetz bereit.

In Bayern wurde im Sommer 2021 erstmals versuchsweise eine mBS über das LTE-Breitbandnetz erfolgreich an das BOSnet-Kernnetz angebunden. Man stellt dort fest „aufgrund der Anbindung über Mobilfunk sind aber immer auch Einschränkungen bei der zeitlichen und örtlichen Verfügbarkeit von LTE am Einsatzort in Kauf zu nehmen“ [21].

 

Unsere Einschätzung:

  • Mobile Basisstationen eignen sich zur Kapazitätserweiterung bei langfristig geplanten Großveranstaltungen.
  • Für plötzlich und großflächig auftretende Störungen im BOSnet-Zugangsnetz sind sie keine kurzfristige Lösung, denn die organisatorischen Vorlaufzeiten sind zu lang.
    Bei leitungsgebundenem Anschluss ist ein solcher erst zu beantragen.

Bei LTE-Anbindung ist die lokale Netzabdeckung zu prüfen. Ggf. müssen bei den kommerziellen Mobilfunkanbietern erst Kapazitätserweiterung des LTE-Netzes beantragt werden.

  • Die Anbindung mobiler Basisstationen an das BOSnet-Kernnetz über leitungsgebundene Übertragungsnetze von Telekommunikations-Anbietern oder das LTE-Netz von Mobilfunk-Anbietern ist daher keine praktikable Lösung im Katastrophenfall.
  • Die Übertragungsleitungen sind, etwa bei Überschwemmungen und den damit einhergehenden Beschädigungen von Straßen und Brücken, als Erste unmittelbar und massiv von einem Ausfall betroffen. Auch die LTE-Netze fallen nachweislich zeitnah aus oder sind überlastet.
  • Ist eine zuverlässige Anbindung über Leitung oder LTE an das BOSnet-Kernnetz vorhanden, stellen mobile Basisstationen eine Rückfallebene mit gleichwertiger Funktionalität dar.

Satellitengesteuerte mobile Basisstation (Sat-mBS):

Ferner werden im BOSnet auch „satellitengesteuerte mobile Basisstation (Sat-mBS)“ vorgehalten. Sie sind über Satellit an das BOSnet-Kernnetz angebunden. Zur Einspeisung des Funkverkehrs vom Satellitenlink in das BOSnet dient ein Vermittlungsstellenstandort mit Satellitenkopfstation in Mecklenburg-Vorpommern, sowie eine redundante Stelle im Saarland.

Rheinland-Pfalz verfügt aktuell über keine eigene Sat-mBS. Anlässlich einer Großveranstaltung wurde dort 2019 erstmals eine Sat-mBs in Hessen mit 6 Monaten Vorlauf angefragt. Beim Aufstellen der Sat-mBS mussten drei Versuche unternommen werden, bis eine Anbindung zum Satelliten hergestellt werden konnte.

Unsere Einschätzung:

  • Satellitengesteuerte mobile Basisstation stellen grundsätzlich ein gutes Mittel dar, ausgefallene BOSnet-Infrastruktur kurzfristig zu ersetzen.
  • Beim Ausfall leitunggebundener Übertragungsleitungen muss freilich die höhere Latenz der Sprachübertragung über Satellit als Qualitäts-Mangel in Kauf genommen werden („besser eine Verbindung mit Latenz als gar keine Verbindung“)
  • Aktuell gibt es in Deutschland insgesamt nur zehn Sat-mBS. Es ist deshalb absolut notwendig, mehr Sat-mBS vorzuhalten als bisher, z. B. zwei bis vier je Bundesland.
  • Zudem sollte deren Betrieb in jedem Bundesland mindestens einmal jährlich geprobt werden.
  • Die Sat-mBS ist ein integraler Bestandteil des BOSnet und unterstützt alle Leistungsmerkmale des Digitalfunknetzes.
    Sie ist eine Rückfallebene mit gleichwertiger Funktionalität.

Satelliten-Kommunikations-Technik der Bundespolizei:
Die Bundespolizei stellte beim Hochwassereinsatz in NRW eigene Very Small Aperture Terminal (VSAT) 
[40] Satelliten-Einheiten zur Verfügung [41].

Damit konnten breitbandige Sprach- und Datendienste bereit gestellt werden.
VSAT-Anlagen nutzen Satelliten-Übertragungswege kommerzieller Anbieter wie Eutelsat, Intelsat und anderer.

Unsere Einschätzung:

  • Eine kurzfristig einsetzbare Technik, allerdings stark abhängig von der Verfügbarkeit durch die kommerziellen Satelliten-Anbieter.
  • Übertragungskapazität für BOSnet steht hier in unmittelbarer Konkurrenz zum Kommunikations-Bedarf von z. B. mobilen Übertragungswagen von Fernseh- und Rundfunkanstalten und anderen privatwirtschaftlichen Nutzern.
  • Ein exklusiver Zugriff durch das BOSnet ist unseres Wissens nach nicht möglich.
  • Die Verfügbarkeit dieser kommerzieller Satelliten-Kommunikations-Technik ist im Krisenfall nicht gewährleistet. Sie kann als Notlösung mit dem Risiko einer eingeschränkter Funktionalität dienen.

 

Kommerzielle Satelliten-Telefonie:
Anbieter wie Iridium oder Inmarsat bieten kommerzielle Dienste zur Satelliten-Telefonie und auch schmalbandige Datendienste an.
Die Katastrophengebiete im Ahrtal und an der Erft liegen teilweise in der Funk-Schutzzone um das Radioteleskop in Bad Münstereifel-Effelsberg.
Aufgrund internationaler Abkommen wird der Betrieb von Satelliten-Telefonen in dieser Zone seitens der Satelliten-Netzbetreibers blockiert.
Dies stellt einen störungsfreien Empfang der Radio-Teleskope sicher, denn Radio-Teleskope empfangen die Aussendungen weit entfernter Galaxien auf Frequenzen, die nahe an den von Satelliten-Telefonen genutzten Frequenzen liegen.
Aus diesem Grund war in der Schutzzone um das Radio-Teleskop tagelang keine Satelliten-Telefonie technisch möglich 
[50].
Nach vier Tagen konnten die Satelliten-Netzbetreiber den Telefoniedienst freischalten, nachdem – auf Antrag der Bundeswehr – die Freigabe durch die Bundesnetzagentur erfolgt war 
[51].

Ein weiterer Aspekt sind die mit Satelliten-Telefonie verbundenen Kosten.
Abgehende Anrufe aus dem Iridium-Netz kosten knapp 2 EUR / Minute.
Anrufe zu Iridium aus dem Festnetz der Deutschen Telekom AG kosten knapp 5 EUR / Minute.

Unsere Einschätzung:

  • Regulatorische Einschränkungen – wie die Funk-Schutzzone – können einen kurzfristigen Einsatz behindern.
  • In Deutschland betrifft das jedoch nur sehr wenige Regionen, dies sind insbesondere die Regionen um das Radioteleskop Effelsberg und um das Geodätische Observatorium Wettzell in Bayern.
  • Sprach- und Datenverbindungen über Satellit sind sehr teuer.
  • Als Notbehelf für kurzzeitige Einsätze ist Satelliten-Telefonie denkbar.
  • Ein mindestens jährlicher Übungsbetrieb ist für potentielle Nutzer erscheint unbedingt erforderlich.
  • Satelliten-Telefonie und -Datendienste sind in Gebieten ohne Stromversorgung oder als Notlösung für ausgefallene Mobilfunk-Infrastruktur verwendbar.
    Die darüber geführten Sprach- und Datenverbindungen sind aber immer als extern zum BOSnet anzusehen und in dessen Funktionalität (wie. z.B. Gruppenrufe) nicht integrierbar, vergleichbar zu Rettungskräften, die nur über öffentlichen Mobilfunk, aber nicht Behördenfunk verfügen.

Kurzwellen-Funkgeräte des THW:
Das THW verfügt über ältere Kurzwellen-Funkgeräte aus ehemaligen Beständen des Deutschen Wetterdienstes.

In einem Feldversuch 2016 des „SonderFunkNetz Bayern“ konnten in Bayern lediglich 3 der 10 landesweit verteilten Einsatzgruppen eine Verbindung nach München aufbauen [60].

Im Rahmen der Unwetterkatastrophe in Rheinland-Pfalz im Juli 2021 kam auf Nachfrage beim THW [61] dort keine Kurzwellen-Kommunikation durch das THW zum Einsatz.

Unsere Einschätzung:

  • Kurzwellen-Kommunikation durch das THW wurde offensichtlich noch nicht großflächig eingesetzt.
  • Der Handhabung ist nicht trivial und es bedarf regelmäßiger Schulungen und Übungen.
  • Es können nur einzelnen Sprechfunk- oder Datenverbindungen mit extrem geringer Bandbreite (< 100 Zeichen/Sekunde) darüber geführt werden.
    Das wäre nur als Notlösung für einzelne Sprechfunkverbindungen zu abgeschnittenen Regionen denkbar.
  • Kurzwellen-Kommunikation durch das THW ist keine praktikable Notlösung bei Ausfall des BOSnet.

 

Kommunikation durch Funkamateure:

Funkamateure verfügen über Möglichkeiten zur autarken Kommunikation, u. a. über Kurzwelle, eigene digitale Funknetze und über Satellit.

Allerdings verfügen Funkamateure aktuell nicht über Möglichkeiten zur automatischen Vermittlung von mehreren parallelen Sprach- oder Datenverbindungen, wie es beim Ausfall von BOSnet-Basisstationen erforderlich wäre.

Nach Auskunft der einsatzleitenden Aufsichts- und Dienstleistungsdirektion in Trier waren im Ahrtal keine konkreten Hilfsangebote zur Kommunikations-Unterstützung durch Funkamateure eingegangen [70].

Unsere Einschätzung:

  • Konkrete Kommunikations-Unterstützung durch Funkamateure als Ersatz für ausgefallene BOSnet Basisstationen war bislang nicht möglich.
  • Funkamateuren müssten vorab in die Kommunikationsabläufe der Hilfsorganisationen eingebunden werden und es bedarf regelmäßiger Schulungen und Übungen.
  • Es könnten nur einzelne Sprechfunk- oder Datenverbindungen mit niedriger Übertragungsrate zu abgeschnittenen Regionen eingerichtet werden.
  • Kommunikation durch Funkamateure ist keine praktikable Notlösung bei Ausfall des BOSnet.

 

Das zukünftige landesweite BOS-Breitbandnetz:

Es gibt konkrete Pläne, das BOSnet bundesweit um eine Breitband-Komponente mittels LTE-Technik zu ergänzen [80].
Das vormals freigewordene 450 MHz-Band ist durch die Bundesnetzagentur jedoch an kommerzielle Nutzer vergeben worden.
Das 450 MHz-Band kann damit von den BOS nicht – wie anfangs erhofft – für exklusive Breitbanddienste genutzt werden.
Es existiert nur noch eine exklusive Frequenzzuweisung für die BOS im Bereich um 700 MHz.

Allerdings sind Stand heute keine LTE-fähigen Endgeräte verfügbar, die dieses exklusive BOS-Frequenzband nutzen können.

Die BOS müssten aktuell daher zwingend die LTE-Zugangsnetze der kommerziellen Mobilfunkanbieter mitbenutzen, zusammen mit allen anderen privaten Nutzern. Sie könnten dort aber priorisiert behandelt werden.

Unsere Einschätzung:

  • Das zukünftige BOS-Breitbandnetz wird aus heutiger Sicht auf die Mitbenutzung der kommerziellen Mobilfunknetze angewiesen sein.
  • Bei deren zeitweisem Ausfall – wie im Ahrtal – wäre das BOS-Breitbandnetz ebenso betroffen und nicht mehr nutzbar.
  • Das in der heutigen Form geplante BOS-Breitbandnetz ist ohne eigenes Zugangsnetz (also ohne eigene Basisstationen) kein Ersatz bei Ausfall des BOSnet.

Zellulare Netze Verlegefähig (ZNV) der Bundeswehr:

Die Bundeswehr plant aktuell die „Zellulare Netze Verlegefähig (ZNV)“.

Das neue System besteht aus Komponenten des TETRA Digitalfunk-Systems (der technischen Architektur des BOSnet), ergänzt um die Vernetzung mittels des Mobilfunkstandards LTE, sowie einer Anbindung zu Satelliten-Kommunikations-Systemen.

Es soll ausdrücklich interoperabel sein mit dem BOSnet.
Einsatzmöglichkeiten bei großflächigen Katastrophenlagen im Inland sind denkbar.

Der Einsatz-Schwerpunkt der ZNV soll jedoch bei Einsätzen der Bundeswehr für die Landes- und Bündnisverteidigung und der Interoperabilität zu NATO/EU liegen.

Die Umsetzung erfolgt als Containerlösung, die mittels LKW oder Hubschrauber transportiert werden kann.
Das System soll bis 2024 voll funktionsfähig sein. 
[100]

Unsere Einschätzung:

  • Die Bundeswehr hat bei der Flutkatastrophe im Ahrtal bewiesen, dass sie in kurzer Zeit schweres Gerät in die betroffenen Gebiete verbringen kann.
    Die ZNV könnten auf diese logistische Infrastruktur wie Hubschrauber und LKW zurückgreifen.
  • Die volle Interoperabilität der ZNV zum BOSnet muss frühzeitig verifiziert werden, ohne später erforderliche Nachrüstungen.
  • Legt man die Termintreue anderer Großprojekte der Bundeswehr zugrunde, dann ist die geplante vollständige Verfügbarkeit der ZNV ab 2024 ein ehrgeiziges Ziel.

Länderspezifische Sonderwege für Breitband-Internetanbindung über Satellit:

Einzelne Bundesländer erproben eigene Breitbandnetze, z. B. Niedersachsen mit seiner Studie BOS@Satcom [90].

Zielsetzung ist dort die breitbandige Anbindung mobiler Wachen und Einsatzleitwagen.

Diese Breitband-Netze sind für autarke Breitband-Kommunikation innerhalb der BOS gedacht, wenn bei großen Schadenslagen die kommerziellen Mobilfunknetze überlastet sind.

Das Breitband-Netz in der Studie Niedersachsens ist ausdrücklich als Breitband-Dienst angedacht, zusätzlich zum „hochverfügbaren und mehrfach redundanten“ BOSnet.
Ein Demonstrator konnte zum Projektende im August 2021 präsentiert werden
[21].
Die gewonnenen Erkenntnisse sollen im Projekt „Katastrophenschutz Notfallnetz Niedersachsen“ (KaNN) weiter verfolgt werden.

Einen technisch ähnlichen Ansatz verfolgt Rheinland-Pfalz im Ahrtal mit der Nutzung des Starlink-Satellitensystems innerhalb seiner BOS.
Es dient dort neben den kommerziellen Mobilfunknetzen zur redundanten Anbindung der BOS-Einsatzkräfte an das Internet.
Starlink bildet auch dort ausdrücklich keinen Ersatz für einsatztaktische Funksysteme 
[91].

Unsere Einschätzung:

  • In den öffentlich zugänglichen Informationen sehen die Planer keine Echtzeit-Anwendungen wie Sprechfunk über die Satelliten-Verbindung vor.
  • Aufgrund hoher Latenzen ist VoIP-Sprachübertragung über Satelliten nur bedingt geeignet und kein Ersatz für taktische Sprechfunk-Kommunikation.
  • Breitband-Internet über Satellit kann hier lediglich als ergänzende Zugangsmöglichkeit für andere Arten internet-basierter Kommunikation dienen.
    Z.B. für die Nutzung von Messenger-Diensten und Email, die sonst über die kommerziellen Mobilfunknetze stattfinden würden.
  • Breitbandanbindung über Satellit ist als Rückfallebene für Nicht-Echtzeit-Anwendungen denkbar, die sonst die Internet-Verbindung über die öffentlich kommerziellen Mobilfunknetze nutzen würden.
  • Für das BOSnet mit seiner hauptsächlich taktischen Sprechfunk-Kommunikation sind sie keine gleichwertige Rückfall-Ebene.

 

Erweiterung des digitalen Alarmierungsnetzes in Rheinland-Pfalz:

Spezifisch für Rheinland-Pfalz ist eine weitere Lösung denkbar:

Das BOSnet in Rheinland-Pfalz bietet aktuell nur eine flächendeckende Grundversorgung für leistungsstarke Fahrzeug-Funkgeräte.

Eine Funkversorgung für Hand-Funkgeräte außerhalb oder gar innerhalb von Gebäuden ist nicht implementiert und auch nicht geplant (Definierte Funkversorgungsqualität = GAN-Kategorie 0) [110].

Daher baut Rheinland-Pfalz gerade ein autarkes, flächendeckendes, digitales Alarmierungsnetz auf mit eigenen Sendern an eigenen, möglichst kommunalen Standorten [111].

System-bedingt funktioniert das digitale Alarmierungs-Netz nur in einer Richtung, also nur von der Leitstelle zu ausgewählten Funkmeldeempfängern.
Es besteht kein Rückkanal zurück zur Leitstelle.

Das aktuell noch im Rettungsdienst genutzte analoge Sprechfunk- und Alarmierungsnetz wird nach der Umstellung auf den digitalen Wirkbetrieb vermutlich abgebaut.

Denkbar wäre jedoch:

Die neuen Sender-Standorte der digitalen Alarmierung werden um die bisher genutzten analogen Funkanlagen ergänzt.

Diese analogen Funkanlagen werden zur offiziellen Sprechfunk-Rückfall-Ebene bei Kapazitäts-Engpässen bzw. Ausfällen des BOSnet definiert und weiter gepflegt.

Die analogen Funkanlagen können auf die erhöhte Ausfallsicherheit der Stromversorgung und die redundante Netzanbindung der Digital-Alarmierung-Standorte an die Leitstelle zurückgreifen.

Die Verbandsgemeinden (in Rheinland-Pfalz die Untergliederung der Landkreise) halten sowieso eine regionale Feuerwehr-Einsatz-Zentrale (FEZ) vor, die bei Großschadenslagen die Rolle einer dezentralen kleinen Leitstelle übernimmt.

Die FEZ könnten die analoge Funktechnik für den eventuellen Ausfall des BOSnet vorhalten.

Möglich wäre z.B. der Einbau der analogen Funktechnik in ein Transport-Gehäuse, inkl. Versorgungskabel für Zigaretten-Anzünder und einer Fensterklemm-Antenne.

Zwar ist die bestehende analoge Funktechnik im Original mit BOS-Zulassung (damalige Hersteller Telefunken, SEL und andere) nicht mehr Stand der Technik.

Aber beim Rettungsdienst in Rheinland-Pfalz ist diese Technik aktuell nach wie vor im Einsatz.

Technisch vergleichbare Betriebsfunk-Technik ohne BOS-Zulassung ist jedoch weiterhin kommerziell verfügbar.

Unsere Einschätzung:

  • Eine analoge Rückfall-Ebene, implementiert an den Standorten des digitalen Alarmierungsnetzes, wäre eine besonders auf Rheinland-Pfalz zugeschnittene autarke und dezentrale Rückfall-Lösung beim Ausfall des BOSnet-Zugangsnetzes.
  • Die Standorte des digitalen Alarmierungsnetz verfügen im finalen Ausbau über eine Notstromversorgung, die für die analoge Rückfallebene mitbenutzt werden könnte, was Kosten spart
  • Die Mitbenutzung der Alarmierungsnetz-Antennenstandorte würde die baulichen- und immissionschutz-rechtlichen Genehmigungsprozesse stark beschleunigen.
  • Der Ausbau der analogen Funktechnik an den neuen Standorten des digitalen Alarmierungsnetzes wäre eine für Rheinland-Pfalz spezifische Rückfallebene für die Sprachkommunikation im BOSnet.

 

Fazit:

Die Flutkatastrophe im Juli 2021 im Westen Deutschlands hat gezeigt, dass gleichwertige Rückfallebenen für den Behördenfunk im Katastrophenfall keine Selbstverständlichkeit sind. Die aktuellen, meist exponiert stehenden BOSnet-Funkmasten, und Ihre Netz-Anbindung sind immer von einem technischen Ausfall in Folge von Extremwetterereignisse gefährdet. Das aktuelle, vor allem für Sprechfunk genutzte, BOSnet-Zugangsnetz benötigt eine gleichwertige Rückfallebene, die auf einer unabhängigen technischen Infrastruktur aufbaut. Bund und Länder müssen hier, notfalls auch regional wirkende, abgestimmte Backup-Konzepte parat haben, die schnell und zuverlässig im Ernstfall gezogen werden können.

 

Als Rückfall-Lösungen mit vergleichbarer Funktionalität im Katastrophenfall erscheinen uns:

  • Satellitengesteuerte mobile Basisstation (Sat-mBS), sofern diese in ausreichender Stückzahl beschafft und vorgehalten werden, aus unserer Sicht mindestens 2 bis 4 je Bundesland
  • Die zukünftigen „Zellularen Netze Verlegefähig (ZNV)“ der Bundeswehr.
    Deren zeitnahe Verfügbarkeit (vor 2024) und volle Interoperabilität zum BOSnet muss dazu sichergestellt werden.
  • Speziell für Rheinland-Pfalz gäbe es die zusätzliche Möglichkeit, die Standorte des neuen, autarken, digitalen Alarmierungsnetzes um die bereits vorhandenen analogen Funksysteme als offizielle Sprechfunk-Rückfall-Ebene zu erweitern.
    Dies erhöht die Redundanz bei teilweisen Ausfällen des BOSnet-Zugangnetzes und überbrückt die Zeit, bis ausreichend neue BOSnet-Basisstationen in Form von Sat-mBS oder ZNV zur Verfügung stehen.

Bei den weiteren betrachteten Alternativen überwiegen die Einschränkungen oder Nachteile, weshalb auf eine Empfehlung verzichtet wird.

 

 

Quellen-Verzeichnis:

[1] https://de.wikipedia.org/wiki/DigitalfunkderBeh%C3%B6rdenundOrganisationenmitSicherheitsaufgaben

[2] https://www.wiwo.de/technologie/digitale-welt/digitaler-polizeifunk-warum-das-milliarden-netz-ausgerechnet-in-der-katastrophe-versagt-hat/27454406.html

[10] https://www.bdbos.bund.de/SharedDocs/Downloads/DE/Publikationen/faqdownload.pdf?_blob=publicationFile&v=12

[11] https://www.idf.nrw.de/service/downloads/pdf/digitalfunk/2020-09-11taschenkartefunkv21.pdf

[12] https://www.alb-donau-kreis.de/site/LRA-ADK-Internet/get/documentsE-1125804795/lra-adk/LRAADKInternetDatenquellen/Dienstleistungen%20A-Z/brand_katastrophenschutz/Digitalfunk/Funkbetrieb%20und%20Taktik.pdf

[13] https://www.kfv-rsk.de/wp-content/uploads/2020/12/Nutzerhandbuch-Dienstanweisung-RSK-Sprechfunk-2.8-1.pdf

[20] https://digitalfunk.rlp.de/de/archiv/detail/news/News/detail/nutzung-einer-mobilen-basisstation-beim-einsatz-rock-am-ring/

[30] https://www.polizeipraxis.de/ausgaben/2015/detailansicht-2015/artikel/satellitenangebundene-basisstationen-im-bos-digitalfunknetz.html

[31] https://fragdenstaat.de/a/227705

[32] https://digitalfunk.rlp.de/de/archiv/detail/news/News/detail/erster-einsatz-der-neuen-sat-mbs-in-rheinland-pfalz/

[40] https://de.wikipedia.org/wiki/VerySmallAperture_Terminal

[41] https://fragdenstaat.de/a/226819

[50] https://www.wiwo.de/my/technologie/umwelt/katastrophenhilfe-weltraumforschung-behindert-helfer-in-den-ueberflutungsgebieten/27446060.html

[51] https://fragdenstaat.de/a/226795

[60] https://fragdenstaat.de/a/183577

[70] https://fragdenstaat.de/a/226313

[80] https://www.bdbos.bund.de/DE/DigitalfunkBOS/Wellenreiter/Inhalt/2020-1wellenreiter.html

[90] https://www.digitalfunk.niedersachsen.de/images/Dokumente/Aktuelles/Jourfixe/20201126JFDigitalfunkNIPDF.pdf

[91] https://fragdenstaat.de/a/230467

[100] https://www.bmvg.de/de/aktuelles/bundeswehr-investiert-digitalisierung-5016388

[110] https://fragdenstaat.de/a/225960

[111] https://fragdenstaat.de/a/226312

[200] https://commons.m.wikimedia.org/wiki/User:Einspender

[201] https://creativecommons.org/licenses/by/4.0/deed.en

Text-Fußnote:

Der Artikel wurde von unseren Mitgliedern Yves Ferrand und Peter Merk verfasst. Vielen Dank! 
Das Bild des Artikels wurde von Einspender [200] aufgenommen, es steht unter einer CC-BY-Lizenz [201].

 

BMI rettet die fristgemäße Umsetzung des OZG durch schwächstmögliche Verordnung zur IT-Sicherheit

Das BMI hat nun endlich die Verordnung zur Gewährleistung der IT-Sicherheit der im Portalverbund und zur Anbindung an den Portalverbund genutzten IT-Komponenten (ITSiV-PV) erlassen. Diese Verordnung ist die Verordnung, die in §5 des Onlinezugangsgesetz versprochen wurde.

Am 20. September 2020 schrieben wir dazu noch:

Das Onlinezugangsgesetz (OZG) trat am 18. August 2017 in Kraft. Es regelt, dass bis zum 31.12.2022 die Umsetzung abgeschlossen sein muss. Der Gesetzgeber hat den Ländern also 1961 Tage oder auch 5,37 Jahre gegeben, die 578 Verwaltungsdienstleistungen, geteilt in 14 sog. „Lebensbereiche“ digital abzubilden.
Nun sind von den 1961 Tagen Projektdauer bereits 1115 Tage (Stand 06.09.2020) verstrichen. Das sind 56,8% der gesamten Projektdauer, ohne das festgelegt wurde, welche IT-Sicherheits-Standards beachtet werden sollen. Selbstverständlich haben die Länder und die Kommunen bereits angefangen, Software zu entwickeln.
Es ist zu befürchten, das ein Großteil dieser bisher geleisteten Arbeit der Länder und Kommunen „für die Tonne“ ist – denn wie sollen sich Softwareentwickler an Standards halten, wenn nicht feststeht, welche Standards das sind? (Quelle)

Die Verordnung trat am 20.01.2022 in Kraft. Zu diesem Zeitpunkt waren 83% der Projektdauer bereits verstrichen und nur noch 345 Tage Zeit, bis die Umsetzung abgeschlossen sein muss.

Unsere früheren Befürchtungen, dass bereits entwickelte Software grundsätzlich geändert werden muss, sind nun nicht eingetreten – weil IT-Sicherheit so wenig und so schwach berücksichtigt wird, dass die halbherzige Umsetzung einiger weniger IT-Sicherheitsmaßnahmen nun effektiv auf Anfang 2024 verschoben wurde. Weiterlesen

Stellungnahme zur Entwurfsversion der Bundesnetzagentur zur TR DE-Alert

Im Rahmen der Anhörung zur Technischen Richtlinie DE-Alert (TR DE-Alert) haben auch wir uns mit der vorliegenden Entwurfsversion der Technischen Richtline (TR) DE-Alert beschäftigt und eine Stellungnahme mit konkreten Verbesserungs- und Optimierungsvorschlägen verfasst.

Diese Stellungnahme ist hier verlinkt und wurde von uns fristgemäß bei der Bundesnetzagentur eingereicht.

Wir bedanken uns herzlich bei unserem Mitglied Yves Ferrand für die umfangreiche Recherche- und Vorbereitung und bei diversen Mitgliedern für das Verfassen der Stellungnahme.

Strategielose Cybersicherheit für Deutschland

Matthias Schulze geht in seinem äußerst gelungen Perceptic0n Podcast Folge 28 [Deutschlands Cybersicherheitsstrategie 2021, Kommentar zum Entwurf] Schritt für Schritt den Entwurf der Cybersicherheitsstrategie 2021 durch und weist fundiert und mit vielen Hintergrundinformationen auf die Probleme dieser und weiterer Strategien in der deutschen Digitalpolitik hin. Die Inhalte aus dieser Folge greifen wir hier auf und ergänzen sie.

Das Bundesministerium für Inneres, Bau und Heimat (BMI) hat vor Ende der Legislaturperiode einen Entwurf für die dritte Cybersicherheitsstrategie in Deutschland vorgelegt. Die erste Version stammt aus dem Jahr 2011. Operatives Abwehren von Angriffen war damals noch nicht enthalten. Im Jahr 2016 erschien die zweite Version, die die Wende von einer defensiven hin zu einer offensiven Cybersicherheitsstrategie markierte und unter anderem eine Liste von Kompetenzwünschen der Behörden enthielt. Der Entwurf von 2021 setzt dieses Vorgehen weiter fort.

In der deutschen Digitalpolitik gibt es z.B. auch eine KI-Strategie und eine Blockchain-Strategie – der Strategie-Begriff wird inflationär und falsch verwendet.

Der Strategie Begriff

Laut Richard Rummelts Buch „Good Strategy. Bad Strategy“ ist eine Strategie im Wesentlichen eine kohärente Reaktion auf ein wichtiges Problem.

Eine gute Strategie besteht laut Rummels dabei aus drei Dingen

  1. Einer umfassenden Diagnose des Problems welches es zu lösen gilt
  2. Einer „Guiding Policy“ welche die grobe Marschrichtung zur Lösung des Problems vorgibt und die am besten nur aus einem Schlagwort besteht, das man sich gut merken kann
  3. Eine Reihe von kohärenten Maßnahmen und „Ressource Commitments“ um die Guiding Policy zu befolgen

Es geht um Maßnahmen, das Bereitstellen von Mitteln (Geld) und um eine Priorisierung der Maßnahmen.

Wichtig ist, dass diese Dinge logisch aufeinander aufbauen und sich nicht widersprechen. Zielkonflikte sind immer ein Zeichen für eine schlechte Strategie. Ein weiterer klassischer Fehler, der in Strategien häufig zu finden ist, ist eine Strategie mit dem Definieren von Zielen zu verwechseln. Eine schlechte Strategie hat viele Ziele aber wenig handfeste definierte Aktionen und Handlungen die nötig sind, um diese Ziele zu erreichen. Eine gute Strategie hingegen hat klar erreichbare Ziele und definiert auch unter welchen Bedingungen die Ziele erreicht sind. Man spricht hier auch von „Smarten Zielen“, wenn klar definiert ist welches die Indikatoren sind, um die Erreichbarkeit der Ziele zu messen.

Die Cybersicherheitsstrategie 2021

Die Diagnose des Problems sollte in Kapitel 5 des Entwurfs der Cybersicherheitsstrategie 2021 zu finden sein. Hier stand aber nur „Noch in Bearbeitung“. Da man doch vom Problem kommen sollte, wenn man es lösen will, ist das kein gutes Zeichen, auch wenn es sich nur um den Entwurf handelt. Im Rückblick auf das Vorgehen bei der Erstellung der letzten Cybersicherheitsstrategie 2016 und bei der bisherigen falschen Verwendung des Strategiebegriffs sowie den Inhalten dieses Entwurfs ist davon auszugehen, das dieses Kapitel 5 in der finalen Version mit Inhalten gefüllt wurde, die zu den bestehenden Zielen und Lösungen passen. Es werden also Probleme zu einer Lösung gesucht oder konstruiert.

Die Strategie hat nicht eine Guiding Policy, sondern vier. Und zwar:

  1. Cybersicherheit als eine gemeinsame Aufgabe von Staat, Wirtschaft, Wissenschaft und Gesellschaft etablieren
  2. Digitale Souveränität von Staat, Wirtschaft, Wissenschaft und Gesellschaft stärken
  3. Digitalisierung sicher gestalten
  4. Ziele messbar und transparent ausgestalten

Eine klare Marschrichtung ist hier nur bedingt erkennbar, es handelt sich bei diesen Leitlinien eher um offensichtliche Ziele und Erläuterungen. Schön ist, dass auf Kritik aus der Vergangenheit eingegangen wird und man versucht, die Cybersicherheitsstrategie messbar zu gestalten. Dennoch liegt hier eine Verwechselung vor, denn diese Leitlinien sind eben keine Guiding Policy zum Cybersicherheits-Problem.

Abgeleitete Maßnahmen

Die aus diesen Leitlinien abgeleiteten Maßnahmen sind in vier Handlungsfelder unterteilt:

  1. Sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung
  2. Gemeinsamer Auftrag von Staat und Wirtschaft
  3. Leistungsfähige und nachhaltige gesamtstaatliche Cybersicherheitsarchitektur und
  4. Aktive Positionierung Deutschlands in der europäischen und internationalen Cybersicherheitspolitik

Handlungsfeld 1 – Sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung

Ein Beispiel aus dem ersten Handlungsfeld ist „Die digitale Kompetenz bei allen Anwenderinnen und Anwendern fördern.“ Hierbei wird digitale Kompetenz jedoch nicht definiert. Daher wird nicht klar, was gemeint ist und wie die digitale Kompetenz erreicht werden soll. Es steht dort zwar, dass die Maßnahme Forschungsförderung ist. Aber auch wenn das natürlich sinnvoll klingt, handelt es sich eben nicht um eine Maßnahme die auf Anwender:innen fokussiert. Ein Fach „Digitale Bildung“ an Schulen wäre hier sinnvoller weil zielgerichteter. Fachkräftemangel als Teil der Problemdiagnose wird nicht genannt – da die ja auch noch in Bearbeitung ist.

In diesem Zusammenhang ist selbst ohne Problemdiagnose unverständlich, warum das in der Cybersicherheitsstrategie 2016 enthaltene Ziel „Personal gewinnen und entwickeln“ gestrichen wurde. Stattdessen wurde in den Entwurf 2021 nur ein Ziel zur Personal-Kapazität des BSI aufgenommen. Der für resiliente Infrastruktur erforderliche Personalbedarf der Länder und Kommunen wird ignoriert. Ebensowenig wird die Frage berücksichtigt, wie sich ausreichend qualifizierte Cybersecurity-Experten für Behörden-Tätigkeiten gewinnen und halten lassen können.

Die Maßnahmen „Verantwortungsvoller Umgang mit Schwachstellen – Coordinated Vulnerability Disclosure fördern“ und „Verschlüsselung als Voraussetzung eines souveränen und selbstbestimmten Handelns flächendeckend einsetzen“ sind grundsätzlich sinnvoll.

Handlungsfeld 2 – Gemeinsamer Auftrag von Staat und Wirtschaft

Im zweiten Handlungsfeld „Gemeinsamer Auftrag von Staat und Wirtschaft“ sind besonders viele Buzzwords enthalten, es fehlen konkrete Ziele und Maßnahmen.

Handlungsfeld 3 – Leistungsfähige und nachhaltige gesamtstaatliche Cybersicherheitsarchitektur

Und im dritten Handlungsfeld „Leistungsfähige und nachhaltige gesamtstaatliche Cybersicherheitsarchitektur“ wird es besonders spannend: Hier wird systematisch IT-Sicherheit mit Nationaler Sicherheit verwechselt. Nachrichtendienste und nationale Sicherheitsbehörden haben hier offensichtlich ihre Wunschlisten nach neuen Fähigkeiten platziert. Und das steht zum Teil im Wiederspruch zu den vorherigen Maßnahmen. Es ist nicht klar, inwiefern die hier geforderten Maßnahmen der IT-Sicherheit dienlich sind.

Die erste Maßnahme aus dem dritten Handlungsfeld „Die Möglichkeiten des Bundes zur Gefahrenabwehr bei Cyberangriffen verbessern“ beinhaltet eine Grundgesetz-Änderung. Gefahrenabwehr ist das aktive Reagieren auf Cyberangriffe, damit der Bund bei besonders schweren Cyberangriffen zurückschlagen darf. Nicht nur Cyberangriffe sondern auch deren Rückschläge benötigen offene Schwachstellen, womit die vorherige Maßnahme „Verantwortungsvoller Umgang mit Schwachstellen – Coordinated Vulnerability Disclosure fördern“ konterkariert wird. Hier ist auch in Frage zu stellen, warum die Cybersicherheits-Strategie in vielen Aspekten sehr vage bleibt, während Maßnahmen wie eine Grundgesetz-Änderung sehr detailliert formuliert werden.

Dann folgen einer Reihe grundsätzlich guter Maßnahmen bevor es mit „Strafverfolgung im Cyberraum intensivieren“ wieder zu einem Griff in den Giftschrank kommt. Hier geht es um die Erweiterung der Befugnisse für Sicherheitsbehörden und die Kriminalisierung von Hackern. Bei „Den verantwortungsvollen Umgang mit 0-day-Schwachstellen und Exploits fördern“ wollen Nachrichtendienste IT-Sicherheitslücken ausnutzen um fremde Systeme zu hacken. Hierfür möchte die Regierung einen Abwägungsprozess etablieren, der das Vertrauen in das Bundesamt für Sicherheit in der Informationstechnik (BSI) schwächen könnte.

Eine weitere Maßnahme aus dem dritten Handlungsfeld ist „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung gewährleisten“. Es ist Konsens bei Kryptographie-Experten, dass diese Maßnahme in direktem Konflikt zur Maßnahme „Verschlüsselung als Voraussetzung eines souveränen und selbstbestimmten Handelns flächendeckend einsetzen“ steht.

Die Exploit entwickelnde Hackerbehörde Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) soll weiter ausgebaut werden, was alleine schon aufgrund der unklaren Rechtsgrundlage der Behörde zu kritisieren ist. Unklar ist darüber hinaus, woran bzw. wie die Exploits der ZITiS getestet werden. Auch der Bundesnachrichtendienst (BND) soll gestärkt werden, ohne das hierzu genaue Angaben gemacht werden.

Bei der Maßnahme „Das Telekommunikations- und Telemedienrecht und die Fachgesetze an den technologischen Fortschritt anpassen“ soll der Bundestrojaner und die Rechtsgrundlagen für dieses Instrument erweitern werden.

Handlungsfeld 4 – Aktive Positionierung Deutschlands in der europäischen und internationalen Cybersicherheitspolitik

Das vierte und letzte Handlungsfeld beinhaltet die Ziele für eine aktive europäische und internationale Cybersicherheitspolitik und bleibt dabei sehr vage. Was hier fehlt, ist die kohärente Cybersicherheits-Innen- und Außen-Politik. Wie die Cybersicherheitsstrategie evaluiert werden soll, steht ebenso wenig im Entwurf wie die umfassende Diagnose des Problems.

Fazit

Eine gute Strategie zu erstellen ist sehr schwer, daher kommt es vielfach zu eben diesen Listen von Zielen. In diesem Entwurf ist sehr deutlich zu erkennen, dass die verschiedenen Ministerien Texte hinzugeliefert und im Wesentlichen aufgeschrieben haben, was sie gerne haben wollen. Da wo das Bundesamt für Sicherheit in der Informationstechnik (BSI) verantwortlich war, geht es am ehesten um IT-Sicherheit und da wo die Sicherheitsbehörden Inhalte geliefert haben, geht es fast nur um neue Befugnisse. Die Problemdiagnose fehlt, die Guiding Policy ist nicht griffig und es gibt widersprüchliche Ziele.

Nicht in der Strategie enthaltene, aber erwartete Ziele, sind zum Beispiel das Beheben von Schwachstellen an der Quelle, also „Herstellerhaftung für Software“ sowie „Einheitliches Vorgehen gegen Ransomware-Angriffe“ und die „Verfolgung von Finanzströmen“. Wie gewährleisten wir die Funktion von Wirtschaft und der Regierung bei einem Angriff, der die Energieversorgung terminiert? Wo ist die OpenSource-Policy die uns helfen könnte Digital Souverän zu werden?

Die auf dieser Basis veröffentlichte Cybersicherheitsstrategie für Deutschland 2021 lässt erahnen, welche Digitalkompetenzen bei der Erstellung vorhanden waren, worum es den Erstellern ging und welche Prioritäten dabei an den Tag gelegt wurden.

Der gar nicht ausfallsichere und auch nicht hochverfügbare digitale Behördenfunk

Das Digitalfunknetz der Behörden und Organisationen mit Sicherheitsaufgaben (BOSnet) soll eine verschlüsselte und gegen Ausfall besonders gesicherte Infrastruktur bereitstellen, die gerade im Katastrophenfall die Kommunikation der Einsatz- und Rettungskräfte untereinander sicherstellt. In der Unwetterkatastrophe in Rheinland-Pfalz und Nordrhein-Westfalen hat das nicht funktioniert. Warum?

Das BOSnet ist technisch ähnlich aufgebaut wie ein Mobilfunknetz der 1990er Jahre. Es ermöglicht seinen registrierten Teilnehmern Sprachkommunikation und den Austausch von kurzen Textnachrichten. In der Fläche ist es ausreichend gut ausgebaut, in Gebäuden ist unter Umständen keine Kommunikation möglich. Das Netz besteht aus Basisstationen, die wiederum an eigenen Vermittlungsstellen angeschlossen sind. Die Vermittlungsstellen sind über das Kernnetz untereinander verbunden.

Die Basisstationen empfangen die Funksignale der Endgeräte und leiten diese weiter. Dafür benötigen sie zwei Dinge: Erstens eine Verbindung zu einer BOSnet-Vermittlungsstelle (zur Weiterleitung an das BOSnet-Kernnetz) in Form eines Kabels oder einer Richtfunkstrecke. Zweitens: Strom.
Verantwortlich für den Betrieb des Systems ist die Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS), die dem Bundesministerium des Inneren unterstellt ist. Der Betrieb des BOSnet ist allerdings eine gemeinsame Aufgabe von Bund und Ländern. Sowohl die Auswahl der Standorte für Basisstationen als auch die für eine Basisstation zu installierende Notstromversorgung und die Art, wie und wohin ein Verbindung zur BOSnet-Vermittlungsstelle erfolgt, unterliegen der Hoheit der Bundesländer.

Laut der Vorgaben für das BOSnet muss jede Basisstation über eine unterbrechungsfreie Stromversorgung (USV) verfügen, die einen Stromausfall für einige wenige Stunden überbrücken kann. In der Praxis sind das an vielen Stellen USVs in Form von wiederaufladbaren Batterien, die das System bis zu vier oder sechs Stunden mit Strom versorgen können. Aber irgendwann ist die Batterie trotzdem leer.

Jedes Bundesland legt für seinen Verantwortungsbereich fest, auf welche Art die Versorgung der Basisstationen bei langanhaltenden Stromausfällen sichergestellt wird und realisiert die Lösung im Rahmen seiner Verantwortlichkeit. In Rheinland-Pfalz wird z.B. auf sogenannte mobile Netzersatzanlagen (mNEA) zurückgegriffen, von denen 14 beschafft und dezentral den lokalen Feuerwehren übergeben wurden, um sie bei Bedarf zum Standort einer betroffenen BOSnet-Basisstation zu bringen.

In einer kurzfristig auftretenden und großflächigen Katastrophenlage, wie sie durch die Unwetterkatastrophe in Rheinland-Pfalz und Nordrhein-Westfalen entstanden ist, kann es jedoch dazu kommen, dass die Verbringung der vorhandenen Notstromaggregate nicht schnell genug erfolgen kann. Straßen sind unpassierbar, Brücken weggespült, der Zugang zu betroffenen BOSnet-Basisstationen unmöglich. Zudem erfolgt die Kommunikations-Anbindung vieler Basisstationen über konventionelle Kabelverbindungen, z. B. Glasfaserkabel oder angemietete Übertragungsleitungen, die aus Kostengründen oft auf denselben Strecken verlegt werden, wie andere Strom- oder Kommunikationskabel. Vielfach wurden diese Kabelverbindungen durch das Hochwasser unterbrochen. Somit waren auch etliche BOSnet-Basisstationen ohne Verbindung zur BOSnet-Vermittlungsstelle und zum BOSnet-Kernnetz.

Selbst in dem Fall, dass eine solche Basisstation dann noch mit Strom versorgt ist, kann sie bestenfalls als Knotenpunkt für diejenigen Teilnehmer dienen, die an dieser Basisstation lokal angemeldet sind („Fallback-Modus“). Untereinander können die so verbundenen Teilnehmer dann noch kommunizieren. Eine Kommunikation zur Leitstelle oder jeder anderen Einheit, die keine Verbindung zur lokalen Basisstation hat, ist hingegen nicht mehr möglich. Auch neu zugewiesene Nutzer (z. B. zur Verstärkung nachrückende Katastrophenschutz-Einheiten anderer Landkreise bzw. Bundesländer) können nicht über die verbliebene Basisstation kommunizieren. Denn das notwendige Update der Nutzergruppen-Verwaltung durch die BOSnet-Vermittlungsstelle kann die betroffene Basisstation nicht mehr erreichen.

Bei der Einrichtung des BOSnet und der länderspezifischen Ausgestaltung sowohl der BOSnet-Kernnetz-Anbindungen, als auch der Notstrom-Versorgung wurde durch die Verantwortlichen eine Risikoabschätzung getroffen. Ein dermaßen großflächiger Schaden an der Infrastruktur, der so viele Verbindungen kappt und zu Stromausfällen über mehrere Tage oder Wochen führt, wurde dabei nicht berücksichtigt. Das Risiko wurde wohl als vernachlässigbar gering eingeschätzt. Aus der Sicht von vor einigen Jahren war das vermutlich eine vertretbare Einschätzung, auch wenn die Auswirkungen des August-Hochwassers in Sachsen im Jahr 2002 schon eine Warnung hätten sein können.

Nun sollten aus dieser Katastrophe und dem technischen Versagen des BOSnet Lehren gezogen werden. Dazu gehören:

  • Es muss mehr Basisstationen geben, die Gebiete redundant abdecken
  • Die Anbindung der Basisstationen zur Vermittlungsstelle muss zwingend redundant erfolgen, und zwar auf unterschiedlichen physischen Wegen (z.B. Richtfunk und Kabel, Richtfunk über unterschiedliche Zubringer, Anbindung über räumlich getrennte Kabelstrecken)
  • Alle Basisstationen müssen vor Ort über eine eigene Notstromversorgung (z.B. durch Brennstoffzellen oder Dieselaggregate) verfügen, die Ausfälle über mindestens 72 Stunden überbrücken kann.

Der Artikel wurde von unseren Mitgliedern Yves Ferrand und Mark Neis verfasst. Vielen Dank! Das Bild des Artikels wurde von Fabian Horst aufgenommen, es steht unter einer CC-BY-Lizenz.

Ab wann ist etwas grob fahrlässig? – Historie von Cell Broadcast in Deutschland

Cell Broadcast, ein technisches System zur Aussendung von Katastropheninformationen über Mobilfunknetze, ist seit dem Hochwasser im Juli 2021 in aller Munde. Dieses System sorgt dafür, dass alle in einer Mobilfunkzelle eingebuchten Geräte eine Information erhalten. Die Information wird dabei nicht einzeln für jedes Gerät ausgesendet, sondern nur einmal – während alle Geräte diese empfangen. Dies sorgt dafür, dass ohne jegliche Kenntnis, wer die Nachricht bekommen hat (datenschutzfreundlich), die Handys in einer bestimmten Region über eine Notlage oder Katastrophe informiert werden, ohne dass das Mobilfunknetz dadurch überlastet wird.

Leider wurde dieses System in Deutschland nie für Kriseninformationen oder den Katastrophenschutz genutzt, obwohl alle Mobilfunknetze seit Anfang der 2000er Jahre technisch zu solchen Aussendungen in der Lage gewesen wären und mehrere Mobilfunknetzbetreiber sogar bis 2010 Experimente durchgeführt haben, bei denen über Cell Broadcast z.B. Verkehrs- oder Wetterinformationen ausgesendet wurden.

Eine erste technische Demonstration des Systems gab es 1997 in Paris. Seit 1999 wird die Technologie laut der Wikipedia in asiatischen, amerikanischen und europäischen Mobilfunknetzen eingesetzt, allerdings in den ersten Jahren für andere Zwecke, als Krisen- und Katastropheninformationen.

Die USA begannen 2006 mit dem Aufbau eines Systems zur Krisen- und Katastropheninformation – unter dem Titel „Wireless Emergency Alerts“ (WEA) – welches auch Cell Broadcast verwendete, um die Menschen zu informieren.

Spätestens seit 2001 ist Cell Broadcast als Möglichkeit zur Katastrophen- und Kriseninformation bekannt. Auf Seite 63 und Seite 64 des Zweiten Gefahrenbericht der Schutzkommission beim Bundesminister des Innern, herausgegeben im Oktober 2001 (https://repository.publisso.de/resource/frl:1997671-1/data), heißt es zur damaligen Situation:

„Das gegenwärtige System zur Warnung der Bevölkerung in Deutschland im Verteidigungsfall sowie bei Katastrophen und größeren Schadensereignissen besteht aus Warnmeldungen und Informationen durch den Rundfunk (Hörfunk, Fernsehen) sowie aus örtlich begrenzten Alarmierungen mit Sirenen. Seine Struktur und sein Ausbau ist für eine rasche, gleichzeitige und umfassende Warnung bei großflächigen Gefahren nicht ausgelegt“

Als mögliche Lösung wird im darauffolgenden Absatz 3.2.2 vorgeschlagen:

„Die Untersuchung von [für ein technisches Warnsystem] geeigneten Technologien und Systemen hat gezeigt, dass unter den genannten Gesichtspunkten im Wesentlichen drei Systeme mit Alarmfunktion für die Mitbenutzung in einem zukünftigen Warnsystem in Frage kommen: Mobilfunk nach GSM- oder UMTS-Standard mit Cell Broadcast-Funktion, Langwellen-Zeitfunk DCF 77 mit zusätzlicher Alarmfunktion und das Radio-Daten-System (RDS) des terrestrischen UKW-Hörfunks.“

Die Bundesnetzagentur hat sich laut Tätigkeitsbericht in den Jahren 2006/2007 sowie 2007/2008 im Rahmen der Mitwirkung an der europäischen Arbeitsgruppe „ETSI EMTEL“ mit Cell Broadcast beschäftigt. Diese Arbeitsgruppe, oder die BNetzA selbst, das wird aus dem Tätigkeitsbericht nicht deutlich, hat eine „Analyse der Anwendbarkeit von SMS und Cell Broadcast Service im Katastrophenfall“ durchgeführt.

Auch in den Bundestagsdrucksachen finden sich Spuren von Cell Broadcast – unserer Kenntnis nach erstmalig im Jahr 2008 auf Drucksache 16/9907. Dort schreibt das BMI: „Nach einem erfolgreichen Test in den Niederlanden wird dieses System im internationalen Rahmen unter Beteiligung des BBK ab 2009 untersucht.“

Die Forschungsergebnisse dieser Untersuchungen des BBK waren bisher nicht auffindbar, weswegen wir dazu eine IFG-Anfrage gestellt haben (https://fragdenstaat.de/anfrage/untersuchung-von-cell-broadcast-seit-2009/)

Seit 2012 ist Cell Broadcast als Komponente des niederländischen Warnsystems „NL-Alert“ im Einsatz und wurde bei Krisensituationen mehrfach mit großem Erfolg genutzt. Die Niederländer berichten, dass Sie mit Cell Broadcast regelmäßig mehr als 90% der Bevölkerung erreichen können.

Seit 2018 gibt es europäische Vorgaben in Artikel 110 der EU-Richtlinie 2018/1972 zur Umsetzung von Cell Broadcast im Rahmen des geplanten Systems „EU-Alert“ – das verbindlich im Juni 2022 fertiggestellt worden sein soll.

Absatz 1 beschreibt unserer Ansicht nach eindeutig Cell Broadcast im Kontext des europäischen Systems „EU-Alert“. Absatz 2 legt dann Ausnahmen dafür fest. Der Wortlaut des Absatzes lautet:

„(2) Ungeachtet des Absatzes 1 können die Mitgliedstaaten festlegen, dass öffentliche Warnungen über öffentlich zugängliche elektronische Kommunikationsdienste, bei denen es sich weder um die in Absatz 1 genannten Dienste noch um Rundfunkdienste handelt, oder über eine über einen Internetzugangsdienst verfügbare mobile Anwendung übertragen werden, sofern die Effektivität des öffentlichen Warnsystems in Bezug auf Abdeckung und Kapazität zur Erreichbarkeit der Endnutzer, auch derjenigen, die sich nur zeitweilig in dem betreffenden Gebiet aufhalten, gleichwertig ist; dabei tragen sie den GEREK-Leitlinien weitest möglich Rechnung. Öffentliche Warnungen müssen von den Endnutzern leicht empfangen werden können.“

Aus unserer Sicht lässt sich in diesem Absatz 2 der Versuch herauslesen, Apps wie NINA oder KATWARN den gleichen Status wie Cell Broadcast zu geben, aber die Formulierung lässt auch Interpretationsspielraum zu. Wir sind der Meinung, dass Apps wie NINA oder KATWARN eben nicht der „Effektivität des öffentlichen Warnsystems in Bezug auf Abdeckung und Kapazität zur Erreichbarkeit der Endnutzer, (…), gleichwertig“ sind.

Nichtsdestotrotz wird sich ein Beamter in der zuständigen Behörde sicherlich darauf berufen, dass der „GEREK-Leitlinien“ im Zweifel „weitestmöglich Rechnung“ getragen wurde und damit die Richtlinie zu EU-Alert als erfüllt gilt.

Als offene Fragen verbleiben zum jetzigen Zeitpunkt:

  • Was ist aus dem BBK-Forschungsprojekt von 2009 zu Cell Broadcast geworden?
  • Welches Ministerium hat sich 2017 und 2018 für diese schwammigen Ausnahmen in EU-Alert eingesetzt?
  • Wer trägt dafür die politische Verantwortung?

Klar ist: Seit 20 Jahren ist die Notwendigkeit von Cell Broadcast im Katastrophenschutz im BMI bekannt, wie der oben zitierte Absatz aus dem „Zweiten Gefahrenbericht der Schutzkommission beim Bundesminister des Innern“ beweist. An welcher Stelle die Umsetzung von Cell Broadcast im BMI seit 2001 gescheitert ist, ist unklar.

Vor dem Hintergrund dieser eindeutigen öffentlichen Informationen, scheint es angebracht, die Frage der groben Fahrlässigkeit des zuständigen Ministeriums und seiner nachgeordneten Behörden öffentlich zu stellen. Wenn bekannt war, dass die Alarmierung durch u.A. die Reduktion der Sirenen nicht mehr die gesamte Bevölkerung erreichen kann, warum wurde dann nicht bereits vor 10 oder 15 Jahren, als dies technisch möglich war, Cell Broadcast auch umgesetzt?

Sicherlich kann man den Schuldigen nicht alleine auf dem Stuhl des Bundesinnenministers suchen. Als der zweite Gefahrenbericht 2001 veröffentlicht wurde, saß auf diesem noch Otto Schily. Und nach Schily hatten wir fünf weitere Bundesminister des Inneren. Viel wahrscheinlicher liegt die tatsächliche Verantwortung hier wahrscheinlich bei einem Staatsekretär im Bundesministerium des Inneren – oder sogar mehreren, die diesem Thema in der Vergangenheit, bis heute in fahrlässiger Weise nicht die notwendige Aufmerksamkeit haben zukommen lassen. Ein Land, das sich gerne Hochtechnologieland nennt, sollte es auch auf staatlicher Ebene schaffen, der Technologie nicht hinterher zu rennen, sondern Vorbild und Vorreiter zu sein.

Bereits im Nachgang des Bundeswarntags im September 2020 haben wir einen Artikel veröffentlicht, in dem wir die notwendigen Learnings aus dem Bundeswarntag zusammenfassen.

Offener Brief zur Cybersicherheitsstrategie für Deutschland 2021 – Update vom 30.06.2021

Update vom 30.06.2021: Mit weiteren UnterzeichnerInnen geht der offene Brief in eine zweite Runde.

Die AG KRITIS hat den offenen Brief zur Cybersicherheitsstrategie für Deutschland 2021 mitunterzeichnet, um ein Zeichen für die Zivilgesellschaft und die kritischen Infrastrukturen zu setzen.

Hier findet ihr darüber hinaus die politischen Forderungen der AG KRITIS.

Fristverlängerung für die Bewertung der Cybersicherheitsstrategie 2021

Das Bundesministerium für Inneres, Bau und Heimat (BMI) lässt zur Bewertung der Cybersicherheitsstrategie 2021 lediglich eine Woche Zeit. Die Frist für die Abgabe der Kommentierungen wurde vom BMI auf den 16.06.2021 festgelegt, die Veröffentlichung der Strategie erfolgte am 09.06.2021  Aus nicht öffentlichen Quellen wurde uns zugetragen, dass eine Ressortabstimmung entweder nicht geplant oder noch nicht durchgeführt wurde.

Im Regelfall erfolgt die Beteiligung der Zivilgesellschaft erst nach der Ressortabstimmung – wir sind daher über diese frühe Einbindung der Zivilgesellschaft erstaunt, würden uns aber wünschen, dass insbesondere das BMJV im Rahmen der Ressortabstimmung die bürgerrechtsfeindlichsten Abschnitte entfernt hätte, um der Zivilgesellschaft etwas davon abzunehmen.

Vor dem Hintergrund der deutlichsten Kritik aller Wirtschaftsverbände und zivilgesellschaftlichen Initiativen an den extrem kurzen Fristen rund um das IT-Sicherheitsgesetz 2.0 und den vergleichbar kurzen Fristen bei anderen Vorhaben des BMI im Jahr 2020 und 2021 kann leider nicht von einem lernfähigen BMI gesprochen werden.

Eine bisher äußerst flüchtige Bewertung der CSS 2021 kommt zum gleichen Ergebnis – relevante wissenschaftliche Erkenntnisse zur IT-Sicherheit und Cyberstrategie verschiedener staatlicher Stellen wurden nicht berücksichtigt – auch hier drängt sich uns die Vermutung auf, dass das BMI weder wissenschaftlich-fundiert arbeitet, noch lernfähig oder lernwillig ist.

Wir werden eine detaillierte Stellungnahme bis 07. Juli 2021 einreichen – Dies entspricht vier Wochen Kommentierungsfrist. Wir halten diese vier Wochen für angemessen, da das BMI auf kleine Anfragen regelmäßig die gleiche Frist zur Beantwortung erbittet.

Mit dem Wissen, dass die Beamten im BMI für ihre Tätigkeit bezahlt werden, wir unsere Bewertungen allerdings im Ehrenamt durchführen, halten wir es für angemessen, uns für die Bewertung dieses umfassenden Dokumentes die selbe Frist zu beanspruchen, die das BMI für die Beantwortung parlamentarischer Fragen beansprucht.

Hierzu hat die AG KRITIS auch einen offenen Brief der Gesellschaft für Informatik mit unterzeichnet, der „Angemessene Fristen statt Scheinbeteiligung“ fordert.

IT-Sicherheitsgesetz 2.0 – alle verfügbaren Versionen

Hier stellt die AG KRITIS zur Übersicht alle Versionen des IT-Sicherheitsgesetz 2.0 bereit, die irgendwo öffentlich geworden sind, so dass es eine Chance gibt, den Überblick zu halten. Das BMI hat leider versäumt, eine solche Transparenz im Sinne der Gesetzgebung eigenständig vorzunehmen – ebenso gibt es leider weiterhin keine vom BMI bereitgestellten Synopsen, anderweitige Differenzversionen oder Versionen mit Änderungsmarkierungen jeglicher Art.

Timeline der IT-SIG 2.0 Versionen:

18.05.2021 IT-Sicherheitsgesetz 2.0 (Vollständiges IT-SiG 2.0) (Vollständige HTML Version via Buzer.de)

18.05.2021 IT-Sicherheitsgesetz 2.0 (Beschlossene Fassung aus dem  Bundesgesetzblatt) (17 Seiten)

20.04.2021 IT-Sicherheitsgesetz 2.0 (Antrag Entschließung CDU/CSU und SPD) (5 Seiten)

20.04.2021 IT-Sicherheitsgesetz 2.0 (Änderungsantrag CDU/CSU und SPD) (20 Seiten)

25.01.2021 IT-Sicherheitsgesetz 2.0 (Bundestagsfassung) (110 Seiten)

01.01.2021 IT-Sicherheitsgesetz 2.0 (Bundestagsfassung) (130 Seiten)

16.12.2020 IT-Sicherheitsgesetz 2.0 (Kabinettsfassung) (118 Seiten)

11.12.2020 IT-Sicherheitsgesetz 2.0 (119 Seiten)

09.12.2020 IT-Sicherheitsgesetz 2.0 (Anschreiben Verbände) (10 Seiten)

09.12.2020 IT-Sicherheitsgesetz 2.0 (Verbändefassung) (108 Seiten)

01.12.2020 IT-Sicherheitsgesetz 2.0 (92 Seiten)

19.11.2020 IT-Sicherheitsgesetz 2.0 (92 Seiten)

07.05.2020 IT-Sicherheitsgesetz 2.0 (73 Seiten)

27.03.2019 IT-Sicherheitsgesetz 2.0 (90 Seiten)

To be continued…

Vorherige Stellungnahme der AG KRITIS

Bei weiteren sachdienlichen Hinweisen wenden Sie sich bitte an Ihre nächste Kontaktperson der AG KRITIS.

Für Risiken und Nebenwirkungen kontaktieren Sie Ihre Abgeordneten.