Die Sicherheit der kritischen Infrastruktur in Deutschland steht vor einer neuen technologischen Herausforderung, die weniger im Bereich digitaler Hackerangriffe als vielmehr in einer veralteten oder unzureichend konfigurierten Kommunikationstechnik begründet liegt. Wie aktuelle Recherchen und Berichte von Fachgremien verdeutlichen, kommunizieren zahlreiche sensible Einrichtungen wie Flughäfen, Justizvollzugsanstalten und Energieversorger über unverschlüsselte Funknetze.
Während Behörden und Organisationen mit Sicherheitsaufgaben bereits vor Jahren auf hochgradig verschlüsselte Systeme umgestellt haben, nutzen private und halbstaatliche Betreiber oft den sogenannten Tetra-Standard in einer ungesicherten Variante. Experten warnen eindringlich vor den Folgen: Mit minimalem finanziellen und technischen Aufwand lassen sich vertrauliche Gespräche abhören, was im Ernstfall nicht nur operative Abläufe stören, sondern auch eine Gefahr für die Versorgungssicherheit und den Schutz von Personen darstellen kann. Als Hauptgrund für den Verzicht auf kryptografische Absicherungen werden immer wieder wirtschaftliche Erwägungen und Einsparungen bei der Hardware-Anschaffung angeführt.
Der Tetra-Standard und seine unterschiedlichen Sicherheitsstufen
Der Standard Terrestrial Trunked Radio, kurz Tetra, bildet das Rückgrat der mobilen Kommunikation für professionelle Anwender weltweit. Ursprünglich für die Anforderungen von Sicherheitsbehörden, Rettungsdiensten und Industriebetrieben entwickelt, bietet das System Vorteile wie eine schnelle Rufaufbauzeit, Gruppenrufe und eine hohe Sprachqualität. In Deutschland ist Tetra vor allem durch den Digitalfunk der Polizei und Feuerwehr bekannt. Dieser Bereich nutzt jedoch die höchste Ausbaustufe der Verschlüsselung, die mehrschichtige Sicherheitsmechanismen umfasst und als nahezu abhörsicher gilt.
Im Gegensatz dazu steht die zivile Nutzung von Tetra in vielen Industrie- und Infrastrukturbetrieben. Hier wird oft auf die sogenannte Luftschnittstellenverschlüsselung verzichtet. Wenn diese Verschlüsselung deaktiviert ist, werden die Sprachdaten im Klartext über die Funkwellen übertragen. Für Dritte bedeutet dies, dass kein Zugang zum physischen Netzwerk oder zu internen Datenbanken erforderlich ist, um Informationen abzugreifen. Es genügt der Empfang der Funksignale innerhalb der Reichweite der Basisstationen.
Technische Hürden für Angreifer auf niedrigem Niveau
Das Gefährdungspotenzial wird durch die Tatsache verschärft, dass die für das Abhören benötigte Technik mittlerweile für jedermann zugänglich ist. Während früher teure Spezialempfänger notwendig waren, reicht heute oft ein handelsüblicher Laptop in Kombination mit einem günstigen Software Defined Radio (SDR) Stick aus, der bereits für geringe zweistellige Eurobeträge im Online-Handel erhältlich ist. Mit frei verfügbarer Open-Source-Software lassen sich die digitalen Signale dekodieren und wieder in hörbare Sprache umwandeln.
Die Arbeitsgruppe Kritis, ein Zusammenschluss unabhängiger Experten für den Schutz kritischer Infrastrukturen, bezeichnet den Zustand als sicherheitspolitisches Armutszeugnis. Sprecher Thomas Blinn wies darauf hin, dass durch diese Lücken sensible Informationen über Betriebsabläufe, Personalbewegungen oder technische Störungen nach außen dringen können. An Flughäfen betrifft dies beispielsweise die Koordination des Bodenpersonals, Sicherheitsanweisungen des Wachschutzes oder logistische Details der Flugzeugabfertigung. In Justizvollzugsanstalten könnten durch das Abhören von Wärterfunk gezielte Ausbruchsversuche oder Angriffe auf das Personal vorbereitet werden.
Wirtschaftliche Aspekte und die Kosten der Sicherheit
Der Verzicht auf eine Verschlüsselung hat in den meisten Fällen finanzielle Gründe. Die Implementierung kryptografischer Verfahren in einem Tetra-Netzwerk erfordert nicht nur kompatible Endgeräte, sondern oft auch zusätzliche Lizenzen der Systemhersteller. Zudem ist das Schlüsselmanagement ein administrativer Aufwand, der kontinuierliche personelle Ressourcen bindet. In vielen Betrieben wurde die Entscheidung für unverschlüsselte Netze zu einem Zeitpunkt getroffen, als die technologische Hürde für das Abhören digitaler Signale noch als deutlich höher eingeschätzt wurde.
Viele Flughäfen und Energieversorger stehen unter hohem Kostendruck. Investitionen in die Kommunikationstechnik werden oft über Zeiträume von zehn bis fünfzehn Jahren geplant. Ein nachträgliches Upgrade bestehender Netze kann je nach Anlagengröße sechs- bis siebenstellige Summen verschlingen. Dennoch argumentieren Experten, dass diese Kosten in keinem Verhältnis zu den potenziellen Schäden stehen, die durch Sabotage oder gezielte Informationsabschöpfung entstehen könnten. Die Versorgungssicherheit, insbesondere im Bereich der Energie- und Wasserwirtschaft, hängt maßgeblich von einer geschützten internen Steuerung ab.
Regulatorische Anforderungen und Versäumnisse
Die gesetzlichen Vorgaben für Betreiber kritischer Infrastrukturen sind in den letzten Jahren durch das IT-Sicherheitsgesetz verschärft worden. Dennoch konzentrieren sich diese Regelungen oft primär auf die Absicherung von IT-Netzwerken und Rechenzentren gegen Cyberangriffe aus dem Internet. Der Bereich des betrieblichen Funks wird häufig als isoliertes System betrachtet, das nicht unmittelbar mit dem Internet verbunden ist und daher fälschlicherweise als weniger verwundbar eingestuft wird.
Kritiker bemängeln, dass die Aufsichtsbehörden nicht streng genug auf die Verschlüsselung der Luftschnittstellen dringen. Während für Finanztransaktionen oder die Speicherung von Patientendaten strengste Kryptostandards gelten, bleibt die operative Kommunikation von Kraftwerken oder Verkehrsflughäfen teilweise auf dem Niveau der 1990er Jahre stehen. Die AG Kritis fordert daher eine verbindliche Nachbesserung und klare Standards für alle Einrichtungen, deren Ausfall oder Störung erhebliche Auswirkungen auf das öffentliche Leben hätte.
Risiken für Leib und Leben sowie die Versorgungsstabilität
Die Folgen eines Informationsabflusses sind vielfältig. Neben dem unmittelbaren Abhören von Personen- oder Frachtdetails können Angreifer durch die Analyse der Funkprotokolle Bewegungsmuster erstellen oder Schwachstellen in der Sicherheitskette identifizieren. Bei einem koordinierten Angriff auf einen Flughafen könnte das Wissen über die Positionierung der Sicherheitskräfte entscheidend sein. Im Bereich der Energieversorgung könnten Informationen über Schalthandlungen oder Wartungsarbeiten dazu genutzt werden, physische Angriffe auf Anlagen zu einem Zeitpunkt durchzuführen, an dem die Abwehrfähigkeit geschwächt ist.
Zudem besteht bei unverschlüsselten Netzen ein höheres Risiko für das sogenannte Replay-Attacking oder das Einschleusen falscher Befehle. Auch wenn hierfür etwas mehr technisches Verständnis als für das bloße Abhören nötig ist, bleibt die fehlende Authentifizierung der Teilnehmer ein strukturelles Defizit. Wenn ein System nicht sicherstellt, dass ein Funkspruch tatsächlich von einer autorisierten Quelle stammt, wird das Vertrauensverhältnis innerhalb der operativen Einheiten untergraben.
Zusammenfassung und notwendige Schritte
Die aktuelle Situation in Deutschland zeigt eine Diskrepanz zwischen dem Anspruch, eine hochmoderne Industrienation zu sein, und der realen Absicherung grundlegender Kommunikationswege. Die Erkenntnisse über unverschlüsselte Tetra-Netze an Flughäfen und in Kraftwerken rücken die physische Funksicherheit wieder in den Fokus. Sicherheitsexperten sind sich einig, dass eine reine Kosten-Nutzen-Rechnung bei kritischen Infrastrukturen nicht zu Lasten der Verschlüsselung ausfallen darf.
Die notwendigen Schritte umfassen eine flächendeckende Evaluierung der genutzten Funkfrequenzen und Standards bei allen Betreibern der kritischen Infrastruktur. Wo technische Upgrades möglich sind, müssen diese kurzfristig umgesetzt werden. Langfristig führt kein Weg an einer obligatorischen Verschlüsselung aller geschäftskritischen Funkverkehre vorbei. Die technologische Entwicklung auf der Angreiferseite bleibt nicht stehen, und die Verfügbarkeit von leistungsfähiger Hardware zum Signalempfang wird weiter zunehmen. Nur durch eine konsequente Absicherung der Übertragungswege kann die Integrität und Sicherheit der deutschen Infrastruktur langfristig gewährleistet werden.
and 