Beiträge

Schriftliche Stellungnahme für Anhörung im Thüringer Landtag zur Änderung des Thüringer Brand- und Katastrophenschutzgesetzes

Der Innen- und Kommunalausschuss des Thüringer Landtags hat in seiner 53. Sitzung am 30. November 2023 beschlossen, ein schriftliches Anhörungsverfahren durchzuführen zum beratenen Gesetz zur Änderung des Thüringer Brand- und Katastrophenschutzgesetzes.

Der zur Diskussion stehende Gesetzentwurf wurde auf Drucksache 7/8909 von den drei Regierungsfraktionen DIE LINKE, SPD und BÜNDNIS90/DIE GRÜNEN eingebracht .

Teil der Anhörung ist auch ein Entwurf der FDP. Dieser Entwurf regelt ausschließlich die Altersversorgung von Feuerwehrangehörigen. Da die AG KRITIS diese Fragestellungen bisher nicht diskutiert hat, sehen wir von einer Stellungnahme zur entsprechenden Drucksache 7/8910 ab.

Der Regierungsentwurf will die alten analogen und unverschlüsselten Alarmierungsnetze der 14 Rettungsleitstellen durch moderne Technologie ersetzen. In unserer Stellungnahme geben wir Empfehlungen für daraus folgende technische Entscheidungen.

Unsere Stellungnahme findet sich hier zum Download.

Titelbild wurde von Alupus angefertigt und via Wikimedia Commons veröffentlicht. Das Bild steht unter CC BY-SA 3.0 Lizenz.

 

Behördenfunk in Deutschland: Anspruch und Wirklichkeit

Das Digitalfunknetz der Behörden und Organisationen mit Sicherheitsaufgaben (BOS) stellt deren Einsatzkräften und Leitstellen eine verschlüsselte und gegen Ausfall besonders gesicherte Infrastruktur zur Verfügung. Die Hauptaufgabe des sogenannten BOS-Digitalfunk ist es, eine sichere und reibungslose Kommunikation für Sprechfunk und Kurznachrichten im „Alltagsgeschäft“ und auch im Katastrophenfall zu gewährleisten.
Nutzende sind in Deutschland neben den BOS (polizeiliche und nicht-polizeiliche Gefahrenabwehr wie Rettungsdienst, Feuerwehr, THW) auch die Bundeswehr.
In letzter Zeit sind auch weitere Organisationen wie z.B. einzelne kommunale Ordnungsbehörden hinzugekommen. Diese neuen Nutzer müssen dafür vorab ein Anerkennungsverfahren durchlaufen [1].

Technisch gesehen handelt es sich beim digitalen Behördenfunk um ein digitales Bündelfunknetz nach dem Terrestrial Trunked Radio (TETRA)-Standard [2]. Im Unterschied zu den Mobilfunknetzen kommerzieller Anbieter findet der Großteil der Kommunikation als „Gruppenruf“ statt.
D.h. ein Teilnehmender spricht und die restlichen Endgeräte der Gruppe geben diese Nachricht wieder.

Organisatorisch teilen sich Bund und Länder die Verantwortung für den Betrieb des BOS-Digitalfunknetzes. Jedes Bundesland trägt die Verantwortung für das Zugangsnetz auf seinem Gebiet. Dies beinhaltet die Errichtung und den Betrieb der Basisstationen, inklusive der Maßnahmen zur Steigerung der Resilienz. Dazu zählen mobile und stationäre Netzersatzanlagen für den Fall eines Stromausfalls. Oder auch kabel- bzw. satelliten-angebundene mobile Basisstationen für kurzfristig notwendige Kapazitätserweiterungen, beispielsweise für Großveranstaltungen oder großflächigen Naturkatastrophen. Die Anschaffung der mobilen Endgeräte liegt für die kommunalen Nutzenden (insbesondere Feuerwehr und Rettungsdienst) bei den Kommunen selber.

Demgegenüber ist der Bund mit seiner Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS) in der Verantwortung für die Errichtung und den Betrieb des BOS-Digitalfunk-Kernnetzes. Dieses dient zur überregionalen Vernetzung der Basisstationen über Vermittlungsstellen und Transit-Vermittlungsstellen und der Anbindung der Polizei- und Rettungsleitstellen über Draht.

Laut BDBOS hat das BOS-Digitalfunknetz über 5000 Basisstationen und deckt 99.2 % der Fläche Deutschlands ab [3].

Altlasten

In der öffentlichen Wahrnehmung entsteht so der Eindruck, dass alle deutschen BOS das BOS-Digitalfunknetz als verschlüsseltes und hochverfügbares Kommunikationnetz nutzen. Tatsächlich existieren jedoch folgende Einschränkungen:

  • In mehreren Bundesländern wird das alte, analoge Sprechfunknetz aus den 1970er Jahren noch zur Alarmierung von Feuerwehr- und Rettungsdienst genutzt [4] [5].
  • In weiten Teilen Baden-Württembergs wird der gesamte Sprechfunk von Feuerwehr und Rettungsdienst immer noch über Analogfunk abgewickelt [6].
  • In der Vergangenheit kam es zu immer wieder zu Fällen, in denen unverschlüsselter Sprechfunk oder Alarmierungen von Einsatzkräften über Internet verbreitet worden sind [7].

Das größte Sicherheitsproblem des alten, analogen BOS-Funks ist die fehlende Verschlüsselungsmöglichkeit und damit die mangelnde Abhörsicherheit. Bis vor 30 Jahren war dieses Problem vergleichsweise lokal begrenzt. Rein physikalisch ist das Abhören nur im Zuständigkeitsbereich einer Polizei- oder Rettungsleitstelle möglich, wo das BOS-Funknetz auch technisch ausgebaut ist. Mit dem Aufkommen des Internets und Mobilfunks bekam dieses Problem eine größer werdende Dimension. Das Übertragen von Sprechfunk-Audiostreams über das Internet stellt für eine technisch interessierte Person heutzutage kein Problem mehr da.

In den vergangenen drei Jahren konnten Mitglieder der AG KRITIS im Internet die Sprechfunk-Audiostreams von 16 Rettungsleitstellen ausfindig machen. Über diese wurde die analoge Alarmierungen und der analoge Sprechfunk der Einsatzkräfte von Feuerwehr und Rettungsdienst in Echtzeit ins Internet übertragen.

Diese Audiostreams waren frei zugänglich, ohne Passwortschutz oder andere Zugriffsbeschränkungen und konnten einfach mittels Suchmaschinen aufgefunden werden. Das Anhören der Audiostreams im MP3-Format war ganz einfach über PC, Smartphone oder Tablet ohne weiteres möglich. Vergleichbar mit dem Audiostream des Lieblings-Radiosenders, nur eben unter Verwendung einer anderen IP-Adresse.

Insbesondere für Hilfesuchende und Patienten stellte dies ein massives Datenschutz-Problem dar. Name, Anschrift, Alter, Art der Notlage, Gesundheitsdaten und sogar private Telefonnummern für Rückrufe durch Einsatzkräfte wurden hier vom abgehörten Sprechfunk ins Internet übertragen. Einige Server stellten dabei den Sprechfunk von mehreren Rettungsleitstellen zeitgleich ins Internet, angeboten über parallele Streams. Ein Schwerpunkt lag hier im süddeutschen Raum.

Die Audiostreams enthielten massenhaft personenbezogene Daten und Gesundheitsdaten. Mitglieder der AG KRITIS dokumentierten jeweils die IP-Adresse des Audiostreams und die übertragenen Inhalte. Durch die genannten Ortsnamen konnte auch die betroffene Rettungsleitstelle ausfindig gemacht werden.

Die Meldungen wurden dann an das jeweilige Landes-CERT (Computer Emergency Response Team der Landesverwaltung) verschickt. Diese reagierten meistens zeitnah und nach der Kontaktaufnahme mit der betroffenen Rettungsleitstelle konnte die weitere Aussendung von personenbezogenen Daten und Gesundheitsdaten über den unverschlüsselten Sprechfunk oft unterbunden werden.

Den Verantwortlichen in den betroffenen Rettungsleitstellen war die mangelnde Abhörsicherheit beim Analogfunk generell und seit langem bekannt. Die Tatsache, dass der Sprechfunk eines geographisch kleinen Leitstellen-Bereichs jedoch „einfach so“ weltweit im öffentlichen Netz mitzuhören war, führte letztendlich zu einer geänderte Risikoeinschätzung. Insbesondere in Rheinland-Pfalz und Bayern wurde so sehr kurzfristig reagiert.

Nachdem in Bayern insgesamt vier Rettungsleitstellen von Audiostreams im Internet betroffen waren, reagierte auch das zuständige Innenministerium. Es verfasste schliesslich ein Rundschreiben an alle Rettungsleitstellen im Freistaat. Die unverschlüsselte Übertragung von personenbezogenen Daten und Gesundheitsdaten in der Einsatzkräfte-Alarmierung wurde so schliesslich im April 2022 landesweit untersagt [8].

Parallel zu den Landes-CERTs informierten die Mitglieder der AG KRITIS auch die Ansprechstelle Cybercrime beim LKA der jeweiligen Bundesländer. Denn nur so war es möglich, die Betreibenden der Audiostreams ausfindig zu machen.

Daraus entwickelte sich allerdings ein „Zuständigkeit-Problem“, für den Fall, dass gleichzeitig mehrere Bundesländer betroffen waren:

  • Befindet sich die abgehörte Rettungsleitstelle in Bundesland A, wird das Landes-CERT in Bundesland A informiert, hier war die regionale Zuständigkeit eindeutig.
  • Befindet sich die abgehörte Rettungsleitstelle in Bundesland A, der Sprechfunk-Audiostream wird, laut IP-Adresse des Betreibenden, in Bundesland B lokalisiert, so war in diesem Fall das LKA Cybercrime in Bundesland A zunächst „nicht zuständig“, sondern das LKA Cybercrime in Bundesland B.
  • Befindet sich die abgehörte Rettungsleitstelle in Bundesland A, der Sprechfunk-Audiostream wird Bundesland B zugeordnet und die betroffene Rettungsleitstelle hat bereits Strafanzeige erstattet, so war dann doch wieder das LKA Cybercrime in Bundesland A „zuständig“.

Rechtlicher Rahmen

Die aufgefundenen Audiostreams sind mittlerweile abgeschaltet bzw. nicht mehr frei zugänglich.

Nach Rückmeldung der Rettungsleitstellen waren die Betreibenden zum Teil Hobbyfunker ohne offensichtlichen Bezug zu Feuerwehr oder Rettungsdienst. In anderen Fällen wurden die Audiostreams von Feuerwehr-Angehörigen betrieben. Den Betreibenden war entweder nicht bewusst, dass der Audiostream „einfach so“ über das Internet von jedermann mitgehört werden konnte. Oder es war ihnen schlichtweg egal.

In einem Fall warben die Beitreiber sogar auf Ihrer Homepage damit: „Für Partner, Funkfreunde und Sponsoren => bitte den Link anfragen“. Allerdings war der Port des Audiostreams auch einfach über Suchmaschinen auffindbar, unter der selben IP-Adresse wie die Webseite der Betreiber.

In § 5 des „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG) ist das „Abhörverbot“ geregelt.
So heißt es in Absatz 1:
„Mit einer Funkanlage dürfen nur solche Nachrichten abgehört oder in vergleichbarer Weise zur Kenntnis genommen werden, die für den Betreiber der Funkanlage, für Funkamateure […], für die Allgemeinheit oder für einen unbestimmten Personenkreis bestimmt sind.“
Und in Absatz 2:
„Der Inhalt anderer als in Absatz 1 genannter Nachrichten sowie die Tatsache ihres Empfangs dürfen, auch wenn der Empfang unbeabsichtigt geschieht, […], anderen nicht mitgeteilt werden.[..]“

Gemäß § 27 TTDSG droht hier eine Freiheitsstrafe bis zu 2 Jahren.

Wir müssen deshalb deutlich davor warnen, den analogen Behördenfunk abzuhören oder gar über Internet weiter zu verbreiten.

Fazit

Angesichts der hier beschriebenen Sicherheitslücken im analogen, unverschlüsselten Behördenfunk stellt die AG KRITIS die folgenden Forderungen an die Verantwortlichen in den Ländern und den Kommunen:

  • Es obliegt den kommunalen Trägern der jeweiligen Rettungsleitstellen (Stadt- und Landkreise sowie den Leistungsträgern im Rettungsdienst als Leitstellenträger), den analogen Behördenfunk auf dem Stand der 1970er Jahre weiter zu benutzen. Ein Umstieg auf den digitalen, abhörsicheren Behördenfunk ist aktuell nicht obligatorisch.
    Hier fordert die AG KRITIS schon länger die verbindliche Teilnahme ausnahmslos aller BOS der Bundesländer am BOS-Digitalfunk. Sollte die kommunale Finanzierung dies nicht ermöglichen, dann muss zwingend das Bundesland in Vorleistung treten. Der größte Handlungsbedarf besteht hier augenscheinlich in Baden-Württemberg.
  • Der analoge Behördenfunk könnte aus Sicht der AG KRITIS allenfalls als Notlösung für den BOS-Digitalfunk erhalten bleiben. Das von der Flut im Juli 2021 besonders betroffene Rheinland-Pfalz hat nach dem massiven Ausfall des BOS-Digitalfunks mittlerweile entsprechende Maßnahmen getroffen. Mit den Konzepten „4 m Redundanz“ und „DMO-Funkkette“ [9] hat man dort wichtige Schritte unternommen für mehr Resilienz in der Kommunikations-Infrastruktur der Einsatzkräfte. Der Analogfunk soll in Rheinland-Pfalz die offizielle Rückfallebene für den BOS-Digitalfunk darstellen. Doch die Beschaffung und Ersatzteil-Versorgung dieser zum Teil über 40 Jahre alten Funkgeräte stellt die kommunalen Verantwortlichen vor große Probleme.
    Die AG KRITIS fordert deshalb die Anschaffung von satelliten-angebunden mobilen Digitalfunk-Basisstationen (sat-mBs) für jedes Bundesland in ausreichender Stückzahl, d.h. mindestens drei Einheiten je Bundesland.
    Zur Erinnerung: Aktuell sind bundesweit nur 10 Stück dieser sat-mBS verfügbar. Im Juli 2021 waren im Flutgebiet ca. 60 Digitalfunk-Basisstationen über längere Zeit ausgefallen. Der digitale Behördenfunk war damit im Katastrophengebiet über Tage und Wochen flächendeckend praktisch nicht nutzbar.
  • Mit der letzten Überarbeitung der „Anerkennungsrichtlinie Digitalfunk BOS“ können auch kommunale Ordnungsbehörden auf Antrag am BOS-Digitalfunk teilnehmen. Insbesondere im Katastrophenfall wäre so eine definierte, hochverfügbare Schnittstelle zwischen BOS und kommunaler Verwaltung sichergestellt.
    Die AG KRITIS fordert deshalb mittelfristig die Teilnahme aller kommunalen Ordnungsbehörden am BOS-Digitalfunk.
  • In einigen Bundesländern ist das Landes-CERT nicht zuständig für kommunale Einrichtungen, sondern nur für landeseigene Betriebe. Ein zentraler technischer Ansprechpartner für alle kommunalen Einrichtungen des Bundeslands existiert hier schlichtweg nicht.
    Die AG KRITIS fordert deshalb die Errichtung eines Kommunal-CERT in jedem Landes-CERT in allen Bundesländern. Dieses sollte für alle Einrichtungen auf kommunaler Ebene zum Einsatz kommen, wie z.B. Rathäuser, Kreisverwaltungen und Rettungsleitstellen. Nur so kann das Gemeinwesen der Bundesländer auf allen Ebenen resilienter gestaltet werden, insbesondere gegen Bedrohungen aus dem Cyber-Raum und großflächige Ausfälle landesweiter IT-Infrastruktur. An dieser Stelle verweisen wir auf unsere „Stellungnahme 17/4072 für die Anhörung des Landtags Nordrhein-Westfalen – Kommunale IT-Sicherheit sicherstellen – Aufbau eines zentralen Kommunal-CERT“ [10].

Quellen:

[1] https://www.swr.de/swraktuell/baden-wuerttemberg/tuebingen/stadt-tuebingen-wird-pilotkommune-fuer-bos-digitalfunk-einheitliches-behoerdennetz-100.html
[2] https://de.wikipedia.org/wiki/Terrestrial_Trunked_Radio
[3] https://www.bdbos.bund.de/DE/Home/home_node.html
[4] https://fragdenstaat.de/a/268366
[5] https://fragdenstaat.de/a/254853
[6] https://www.bundesrechnungshof.de/SharedDocs/Downloads/DE/Berichte/2020/objektfunkversorgung-im-digitalfunk-volltext.pdf
[7] https://www.tvo.de/mediathek/video/hof-funksprueche-der-integrierten-leitstelle-hochfranken-landen-im-netz/
[8] https://fragdenstaat.de/a/251834
[9] https://fragdenstaat.de/a/266732
[10] https://www.landtag.nrw.de/portal/WWW/dokumentenarchiv/Dokument/MMST17-4072.pdf

Quelle Beitragsbild: https://commons.wikimedia.org/wiki/File:Feuerwehr_Altenstadt_(Iller)_Interims-B%C3%BCro.jpg

Solarparks mit der Handfunke steuern?

Digitale Kommunikation ist in der kritischen Infrastruktur schon an vielen Stellen schon Stand der Technik. Leider lassen auch digitale Standards Möglichkeiten für eine unverschlüsselte Kommunikation offen.

Ende 2022 wurde bekannt, dass Hacker*innen in deutschen Städten Verkehrsampeln mittels Funktechnik auf grün schalten können[1]. Selbstredend kann dies zu erheblichen Einschränkungen oder gar Chaos im Straßenverkehr führen. Dies betont die Notwendigkeit stärkerer Sicherheitsmaßnahmen zum Schutz kritischer Infrastruktur im Sektor Transport und Verkehr.
Daneben haben die Datenabflüsse bei Alarmierungen von Feuerwehr und Rettungsdienst [2] gezeigt, dass bei Funktechnik in puncto Verschlüsselung auch in anderen Sektoren der kritischen Infrastruktur noch große Defizite bestehen.

Nicht nur Ampeln haben eine ungeschützte Funk-Schnittstelle

Die AG KRITIS wurde von Hobby-Funkern kontaktiert, die auf ein ähnlich gelagertes Problem bei Energie-Erzeugungsanlagen hingewiesen haben. Wir haben Einblick bekommen in Mitschnitte aus TETRA-Digitalfunknetzen von zwei Energieversorgungsunternehmen (EVU) aus dem Süden und Südwesten Deutschlands, die zeigen, wie die EVUs ihre Erzeugungsanlagen über ihre Digitalfunknetze steuern.
Dabei kamen gleich mehrere gravierende Schwachstellen zutage:

  • Die TETRA-Digitalfunknetze der beiden EVUs nutzten keine Verschlüsselung
  • Das verwendete Fernwirkungs-Protokoll zur Steuerung der Energie-Erzeugungsanlagen ist ein gängiger Industrie-Standard und frei zugänglich
  • Die technischen Details zur konkreten Umsetzung (wie Anschlussbelegung von Schalt-Elementen und deren Zuordnung im Steuerungs-Protokoll) waren auf den Internet-Seiten der EVUs gut dokumentiert

Was ist TETRA-Digitalfunk-Technik ?

Ab Mitte der 1990er Jahre entwickelte sich der Terrestrial Trunked Radio (TETRA) Standard zu einer modernen Alternative zum analogen Bündelfunk. Firmen und Behörden können bei der Bundesnetzagentur (BNetzA) die Nutzung eines TETRA-Digitalfunknetzes beantragen. Die Liste der Zuteilungen wird von der Bundesnetzagentur öffentlich gepflegt [3]. Darin aufgeführt sind zahlreiche Infrastruktur-Betreiber, sowohl unter- als auch überhalb der KRITIS-Schwelle, sowie auch zahlreiche namhafte Firmen. Die Antragstellenden erhalten bei Zuteilung eine eigene Funknetz-Kennung sowie eine Frequenzbereichszuweisung. Diese liegt gemäß den „Verwaltungsvorschriften für Frequenzzuteilungen im schmalbandigen Bündelfunk (VVBüfu)“ im Bereich von 410–420 MHz (Uplink, also Mobilgerät zur Basisstation) und 420–430 MHz (Downlink, also Basisstation zu Mobilgerät) [4].

Technisch besteht die Möglichkeit, die Luftschnittstelle (also die Verbindung zwischen Mobilgerät und Basisstation):

  • gar nicht zu verschlüsseln („class 1“)
  • mit einem statischen Schlüssel zu kryptieren („class 2“)
  • mittels dynamischen Schlüssel zu verschlüsseln („class 3“)

Eine obligatorische Verschlüsselung im TETRA-Digitalfunk-Standard gibt es somit nicht [5].

Unabhängig von der Verschlüsselung der Luftschnittstelle hat der Funknetz-Betreiber ferner die Möglichkeit, eine Ende-zu-Ende-Verschlüsselung zu verwenden. Diese ist technisch unabhängig vom TETRA-Standard, denn die so verschlüsselten Daten werden transparent durchgereicht. Die Ende-zu-Ende-Verschlüsselung ist vom Funknetz-Betreiber somit separat zu implementieren.

Im Netz des digitalen Behördenfunks („BOSNet“) kommen sowohl die dynamische Verschlüsselung der Luftschnittstelle, als auch die zusätzliche Ende-zu-Ende-Verschlüsselung zum Einsatz. Mit diesen Maßnahmen kann der digitale Behördenfunk als ausreichend abhörsicher eingeschätzt werden. Selbst wenn Angreifende Zugriff direkt auf die Basisstationen oder die Vernetzung der Basisstationen untereinander hätten, wäre die Kommunikation noch gegen Mitlesen gesichert.

Beispiel: Fernwirktechnik der EVUs

Nach Aussage der Hinweisgeber waren die TETRA-Digitalfunknetze der beiden EVUs in deren Versorgungsgebiet und auch „zig Kilometer“ darüber hinaus mit „einem halben Meter Draht auf der Fensterbank als Antenne“ zu empfangen und mitzulesen. Auf eine Verschlüsselung wurde in beiden Fällen betreiberseitig komplett verzichtet.

Laut Website der betroffenen EVUs kommt TETRA-Digitalfunk zur Fernsteuerung für Photovoltaik-Anlagen bis 100 kW zum Einsatz. Verwendet wird hier das Kommunikationsprotokoll IEC 60870-5-101 [6]. Das Protokoll wird als allgemeines Übertragungsprotokoll zwischen (Netz-)Leitsystemen und Fernbedienungs-Terminals eingesetzt.

Wie von den Hobby-Funkern gezeigt, reichen ein Funkempfänger für unter 30 Euro [7], freie Software [8] und ein betagtes Laptop mit Linux-Betriebssystem aus, um im unverschlüsselten TETRA-Digitalfunk den Sprechfunk und die Kurznachrichten (Short Data Service, SDS) mitzuschneiden.
Die mitgeschnittenen Textnachrichten der beiden Funknetze zeigten tatsächlich in Klartext die typische Rahmen-Struktur des IEC 60870-5-101-Protokolls. Mittels frei verfügbarer Software wie Wireshark [9] und passender Erweiterungen [10] war es so leicht möglich, die Steuerungsprotokolle zu analysieren und grafisch aufzubereiten.

Die beiden EVUs stellten auf Ihrer Website auch sogenannte „Musterdatenmodelle“ bereit.
Aus diesen ging die exakte Zuordnung der Fernwirk-Telegramme auf die jeweilige Funktion hervor, wie z.B.:

  • Schalten von Lasttrennschaltern
  • Freigabesignale zur Drosselung der Wirkleistungseinspeisung auf die definierten Sollwerte wie 0 % bzw. 30 % / 60 % / 100 %
  • Rückmeldung der Freigabesignale

Zudem war die eingesetzte Hardware, also die konkret verwendeten digitalen TETRA-Modems und die genaue Verdrahtung der Schaltausgänge/Sensoreingänge mit den Steuereingängen/Schaltausgängen der Wechselrichter der Energieerzeugungs-Anlagen, gut dokumentiert.

In der Gesamtheit war also im Detail beschrieben, mit welchen TETRA-Kurznachrichten die Steuereingänge und Lasttrennschalter der Energieerzeugungs-Anlagen angesteuert werden können. Auch die Status-Rückmeldung der Energieerzeugungs-Anlagen an das Netz-Leitsystem war exakt dokumentiert.

Nur Mithören tut doch keinem weh ?

Potentiellen Angreifenden lagen also frei zugänglich im Internet und durch passives Mitschneiden der unverschlüsselten TETRA-Kurznachrichten alle für den Fernwirkbetrieb relevanten Informationen vor. Dazu zählen vor allem die Steuerbefehle aus dem Netzleitsystem zur Erzeugungsanlage, aber auch die Status-Rückmeldungen in Gegenrichtung.

Mit einem finanziellen Aufwand unter 200 Euro [11] wäre es leicht möglich gewesen, in die Steuerung der Energieerzeugungs-Anlagen aktiv einzugreifen. Die Sende- und Empfangsanlagen dafür sind frei verkäuflich.

So hätten beispielsweise falsche Steuerbefehle an die Energieerzeugungs-Anlagen oder falsche Status-Rückmeldungen an die Netz-Leitstelle gesendet werden können. Vorausgesetzt, Angreifende hätte sich innerhalb der Reichweite des TETRA-Digitalfunknetzes des jeweiligen EVUs aufhalten können.

Im schlimmsten Fall hätten falsche Steuerbefehle an die Energieerzeugungs-Anlagen (beispielsweise eine abrupte Abregelung vieler Anlage bei Volleinspeisung) zu negativen Rückwirkungen auf das Stromnetz in der Region geführt.
Falsche Status-Rückmeldungen an das Leitsystem hätten ggf. zu falschen Regeleingriffen im Stromnetz geführt. Eines der EVU gibt an, dass über 7.000 Energieerzeugungs-Anlagen und Lastschalter über sein TETRA-Netz angesteuert werden.

Doch so weit gingen die Hobby-Funker nicht. Der Sachverhalt wurde ausreichend dokumentiert und an das CERT-Bund (Computer Emergency Response Team des Bundes) im Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet. Dafür steht beim BSI ein geeignetes Meldeformular zu Verfügung [12].

Eine direkte Rückmeldung der betroffenen EVUs an die Hinweisgeber erfolgte nicht. Jedoch zeigte die Analyse der beiden TETRA-Digitalfunknetze nach einigen Wochen, dass die optionale Verschlüsselung der Luftschnittstelle aktiviert worden war. Es können seitdem nur noch verschlüsselte Textnachrichten mittels Funkempfänger mitgeschnitten werden. Offensichtlich wurde diese Schwachstelle von den EVUs geschlossen.

Was bleibt ?

Die Liste „Zuteilungen TETRA-Netzkennungen (ITSI-Blocks)“ der BNetzA [3] zeigt über 300 Zuweisungen von TETRA-Digitalfunknetzen an Unternehmen, Einrichtungen und Behörden. Vertreten sind Nutzer aus verschiedenen KRITIS-Sektoren und privatwirtschaftliche Nutzer wie:

  • Energieversorgungsunternehmen und Stadtwerke
  • Betreiber kerntechnischer Anlagen
  • ÖPNV-Anbieter
  • Kliniken
  • Flughäfen
  • Justizvollzugsanstalten und Justizbehörden
  • Zentralbanken
  • Forschungseinrichtungen
  • große Industriebetriebe

Bislang liegt es im Ermessen der Betreibenden kritischer Infrastrukturen selbst (speziell derer unterhalb der BSI-KritisV Schwellenwerte), wie ihre Anlagen kontrolliert und physisch geschützt werden. Durch individuelle Fehleinschätzungen der privaten Betreibenden entstehen so Sicherheitslücken, wie das Beispiel oben zeigt, oder auch der Fall des Digitalfunk-Ausfalls der Deutschen Bahn.

Über die Sicherheit der TETRA-Digitalfunknetze ist aktuell nur wenig bekannt. Ob es sich bei den betrachteten EVUs um Einzelfälle handelte, kann aus Sicht der AG KRITIS nicht abschließend bewertet werden. Es ist jedoch davon auszugehen, dass schlicht auf Grund der Möglichkeit und Legitimität TETRA unverschlüsselt zu betreiben, dies auch noch in weiteren Funknetzen so praktiziert wird.

Ein pikantes Detail aus den Beobachtungen der Hobby-Funker:
In einem der beobachteten Funknetze war der über Funk ausgesendete Status der Luftschnittstellen-Verschlüsselung zwar auf „aktiv“ gesetzt. Tatsächlich erfolgte die Übertragung jedoch unverschlüsselt. In der Dokumentation der verwendeten TETRA-Dekodier-Software heißt es dazu:

„Question: tetra-rx reports Air Encryption:1, does this mean that all is encrypted?
Answer: No, this means that someone has paid money for the encryption license for their TETRA
infrastructure. To use encryption each radio needs to have encryption enabled too, which also costs. So probably there will still be some radios (which are not used for secret communications), without encryption.“

Rechtlicher Rahmen

In § 5 des „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG) ist das Abhörverbot geregelt. So heißt es in Absatz 1:
„Mit einer Funkanlage dürfen nur solche Nachrichten abgehört oder in vergleichbarer Weise zur Kenntnis genommen werden, die für den Betreiber der Funkanlage, für Funkamateure […], für die Allgemeinheit oder für einen unbestimmten Personenkreis bestimmt sind.“
Gemäß § 27 TTDSG droht hier eine Freiheitsstrafe bis zu 2 Jahren.

Für das Betreiben einer Funkanlage auf Frequenzen ohne Genehmigung und Zuteilung der Frequenz durch die Bundesnetzagentur drohen Bußgelder gemäß § 228 des Telekommunikationsgesetz (TKG) in Höhe von bis zu 500.000 €. Außerdem sanktioniert § 316b des Strafgesetzbuch (StGB) die Störung von Energieerzeugungs-Anlagen mit Freiheitsstrafe bis zu fünf Jahren oder mit einer Geldstrafe.

Es drohen also sowohl beim passiven Abhören und erst recht beim aktiven Eingriff in fremde Funknetze empfindliche strafrechtliche Konsequenzen.

Auch im europäischen Ausland gibt es ähnliche gesetzliche Regelungen. Als Beispiel sei hier der Fall Dejan Ornig aus Slovenien [13] angeführt. Herr Ornig hatte die fehlende Verschlüsselung beim TETRA-Digitalfunknetz der Sicherheitsbehörden seines Landes aufgedeckt und wurde mittlerweile rechtskräftig verurteilt.

Aufgrund der eindeutigen strafrechtlichen Situation müssen wir eindringlich davor warnen, TETRA-Digitalfunknetze selber abzuhören.

Als AG KRITIS fordern wir :

  • Alle öffentlich zugänglichen digitalen Schnittstellen im Bereich der kritischen Infrastruktur – insbesondere Digitalfunknetze – müssen Verschlüsselung nutzen.
  • Bundesweit geltende Sicherheits-Standards und gesetzliche Vorgaben gibt es bislang nicht. Die Sicherheitsanforderungen an kritische Infrastrukturen müssen endlich bundesweit einheitlich geregelt werden, beispielsweise in einem KRITIS-Dachgesetz.
  • Verbindliche Sicherheitsaudits für ausnahmslos alle Betreibenden technischer Infrastruktur, auch jene, welche die Schwellenwerte der „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-Kritisverordnung – BSI-KritisV [14]) unterschreiten.

Responsible Disclosure:

Bevor dieser Artikel veröffentlicht wurde, haben wir diesen dem BSI am 12. Februar 2023 zur Verfügung gestellt und eine Stillhaltefrist vom 90 Tagen vereinbart. So konnte das BSI alle Betreiber informieren und zur Behebung dieser Schwachstelle auffordern. Wir hoffen, dass zum jetzigen Zeitpunkt alle betroffenen Betreiber vom BSI informiert worden sind und diese Sicherheitslücke bereits geschlossen ist.

Quellen:

[1]: https://www.ndr.de/fernsehen/sendungen/panorama3/Kritische-Infrastruktur-Wie-leicht-Ampeln-manipuliert-werden-koennen,ampeln120.html

[2]: https://ag.kritis.info/2022/05/20/datenabfluss-bei-feuerwehr-und-rettungsdienst/

[3]: https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Nummerierung/TechnischeNummern/ITSI/ITSI_zuget_Rufnr.pdf

[4]: https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Frequenzen/Verwaltungsvorschriften/VVBuefu.pdf

[5]: https://de.wikipedia.org/wiki/Terrestrial_Trunked_Radio

[6]: https://de.wikipedia.org/wiki/IEC_60870#IEC_60870-5-101

[7]: https://en.wikipedia.org/wiki/Software-defined_radio#RTL-SDR

[8]: https://github.com/sq5bpf/telive

[9]: https://de.wikipedia.org/wiki/Wireshark

[10]: https://github.com/michaelxzhang/iec101-103-selcmd_dissectors

[11]: https://en.wikipedia.org/wiki/List_of_software-defined_radios

[12]: https://www.bsi.bund.de/DE/IT-Sicherheitsvorfall/IT-Schwachstellen/Schwachstellenmeldungen/Schwachstellenmeldungen_node.html

[13]: https://securityaffairs.co/47579/hacking/hacking-tetra-protocol.html

[14]: https://www.gesetze-im-internet.de/bsi-kritisv/

Der Artikel wurde von unseren Mitgliedern Yves Ferrand und Slow Pete verfasst.

Quelle Beitragsbild: https://commons.wikimedia.org/wiki/File:Solarpark_Koenigsbrueck_2.JPG

Der gar nicht ausfallsichere und auch nicht hochverfügbare digitale Behördenfunk

Das Digitalfunknetz der Behörden und Organisationen mit Sicherheitsaufgaben (BOSnet) soll eine verschlüsselte und gegen Ausfall besonders gesicherte Infrastruktur bereitstellen, die gerade im Katastrophenfall die Kommunikation der Einsatz- und Rettungskräfte untereinander sicherstellt. In der Unwetterkatastrophe in Rheinland-Pfalz und Nordrhein-Westfalen hat das nicht funktioniert. Warum?

Das BOSnet ist technisch ähnlich aufgebaut wie ein Mobilfunknetz der 1990er Jahre. Es ermöglicht seinen registrierten Teilnehmern Sprachkommunikation und den Austausch von kurzen Textnachrichten. In der Fläche ist es ausreichend gut ausgebaut, in Gebäuden ist unter Umständen keine Kommunikation möglich. Das Netz besteht aus Basisstationen, die wiederum an eigenen Vermittlungsstellen angeschlossen sind. Die Vermittlungsstellen sind über das Kernnetz untereinander verbunden.

Die Basisstationen empfangen die Funksignale der Endgeräte und leiten diese weiter. Dafür benötigen sie zwei Dinge: Erstens eine Verbindung zu einer BOSnet-Vermittlungsstelle (zur Weiterleitung an das BOSnet-Kernnetz) in Form eines Kabels oder einer Richtfunkstrecke. Zweitens: Strom.
Verantwortlich für den Betrieb des Systems ist die Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS), die dem Bundesministerium des Inneren unterstellt ist. Der Betrieb des BOSnet ist allerdings eine gemeinsame Aufgabe von Bund und Ländern. Sowohl die Auswahl der Standorte für Basisstationen als auch die für eine Basisstation zu installierende Notstromversorgung und die Art, wie und wohin ein Verbindung zur BOSnet-Vermittlungsstelle erfolgt, unterliegen der Hoheit der Bundesländer.

Laut der Vorgaben für das BOSnet muss jede Basisstation über eine unterbrechungsfreie Stromversorgung (USV) verfügen, die einen Stromausfall für einige wenige Stunden überbrücken kann. In der Praxis sind das an vielen Stellen USVs in Form von wiederaufladbaren Batterien, die das System bis zu vier oder sechs Stunden mit Strom versorgen können. Aber irgendwann ist die Batterie trotzdem leer.

Jedes Bundesland legt für seinen Verantwortungsbereich fest, auf welche Art die Versorgung der Basisstationen bei langanhaltenden Stromausfällen sichergestellt wird und realisiert die Lösung im Rahmen seiner Verantwortlichkeit. In Rheinland-Pfalz wird z.B. auf sogenannte mobile Netzersatzanlagen (mNEA) zurückgegriffen, von denen 14 beschafft und dezentral den lokalen Feuerwehren übergeben wurden, um sie bei Bedarf zum Standort einer betroffenen BOSnet-Basisstation zu bringen.

In einer kurzfristig auftretenden und großflächigen Katastrophenlage, wie sie durch die Unwetterkatastrophe in Rheinland-Pfalz und Nordrhein-Westfalen entstanden ist, kann es jedoch dazu kommen, dass die Verbringung der vorhandenen Notstromaggregate nicht schnell genug erfolgen kann. Straßen sind unpassierbar, Brücken weggespült, der Zugang zu betroffenen BOSnet-Basisstationen unmöglich. Zudem erfolgt die Kommunikations-Anbindung vieler Basisstationen über konventionelle Kabelverbindungen, z. B. Glasfaserkabel oder angemietete Übertragungsleitungen, die aus Kostengründen oft auf denselben Strecken verlegt werden, wie andere Strom- oder Kommunikationskabel. Vielfach wurden diese Kabelverbindungen durch das Hochwasser unterbrochen. Somit waren auch etliche BOSnet-Basisstationen ohne Verbindung zur BOSnet-Vermittlungsstelle und zum BOSnet-Kernnetz.

Selbst in dem Fall, dass eine solche Basisstation dann noch mit Strom versorgt ist, kann sie bestenfalls als Knotenpunkt für diejenigen Teilnehmer dienen, die an dieser Basisstation lokal angemeldet sind („Fallback-Modus“). Untereinander können die so verbundenen Teilnehmer dann noch kommunizieren. Eine Kommunikation zur Leitstelle oder jeder anderen Einheit, die keine Verbindung zur lokalen Basisstation hat, ist hingegen nicht mehr möglich. Auch neu zugewiesene Nutzer (z. B. zur Verstärkung nachrückende Katastrophenschutz-Einheiten anderer Landkreise bzw. Bundesländer) können nicht über die verbliebene Basisstation kommunizieren. Denn das notwendige Update der Nutzergruppen-Verwaltung durch die BOSnet-Vermittlungsstelle kann die betroffene Basisstation nicht mehr erreichen.

Bei der Einrichtung des BOSnet und der länderspezifischen Ausgestaltung sowohl der BOSnet-Kernnetz-Anbindungen, als auch der Notstrom-Versorgung wurde durch die Verantwortlichen eine Risikoabschätzung getroffen. Ein dermaßen großflächiger Schaden an der Infrastruktur, der so viele Verbindungen kappt und zu Stromausfällen über mehrere Tage oder Wochen führt, wurde dabei nicht berücksichtigt. Das Risiko wurde wohl als vernachlässigbar gering eingeschätzt. Aus der Sicht von vor einigen Jahren war das vermutlich eine vertretbare Einschätzung, auch wenn die Auswirkungen des August-Hochwassers in Sachsen im Jahr 2002 schon eine Warnung hätten sein können.

Nun sollten aus dieser Katastrophe und dem technischen Versagen des BOSnet Lehren gezogen werden. Dazu gehören:

  • Es muss mehr Basisstationen geben, die Gebiete redundant abdecken
  • Die Anbindung der Basisstationen zur Vermittlungsstelle muss zwingend redundant erfolgen, und zwar auf unterschiedlichen physischen Wegen (z.B. Richtfunk und Kabel, Richtfunk über unterschiedliche Zubringer, Anbindung über räumlich getrennte Kabelstrecken)
  • Alle Basisstationen müssen vor Ort über eine eigene Notstromversorgung (z.B. durch Brennstoffzellen oder Dieselaggregate) verfügen, die Ausfälle über mindestens 72 Stunden überbrücken kann.

Der Artikel wurde von unseren Mitgliedern Yves Ferrand und Mark Neis verfasst. Vielen Dank! Das Bild des Artikels wurde von Fabian Horst aufgenommen, es steht unter einer CC-BY-Lizenz.