Behördenfunk in Gefahr: Neue Sicherheitslücken erschüttern das Vertrauen in Tetra-Verschlüsselung

Die digitale Kommunikation unserer Sicherheitskräfte steht erneut auf dem Prüfstand. Niederländische IT-Sicherheitsexperten der Firma Midnight Blue haben gravierende Schwachstellen im europäischen Funkstandard Tetra aufgedeckt, der das Rückgrat des Behördenfunks in Deutschland und weltweit bildet. Was als sicheres Kommunikationssystem für Polizei, Rettungskräfte und andere Blaulichtorganisationen konzipiert wurde, entpuppt sich zunehmend als löchriges Sieb.

Verschlüsselung mit Hintertür: Ein Déjà-vu der besonderen Art

Bereits vor zwei Jahren hatte dasselbe Forscherteam schwerwiegende Probleme mit den Tetra-Verschlüsselungsalgorithmen aufgedeckt. Nun zeigt sich: Auch die als besonders sicher geltende Ende-zu-Ende-Verschlüsselung, die eigentlich Lauschangriffe verhindern sollte, erweist sich als erschreckend einfach zu umgehen. Diese zusätzliche Sicherheitsebene, die speziell für Geheimdienste und Spezialeinheiten entwickelt wurde, versagt in ihrer grundlegenden Aufgabe.

Die Ironie der Geschichte: Während unsere Regierung Milliarden in die digitale Transformation pumpt und von Bürgern höchste Datenschutzstandards fordert, kommunizieren unsere Sicherheitskräfte über ein System, dessen Verschlüsselung bewusst geschwächt wurde. Die untersuchte Lösung für Funkgeräte des Herstellers Sepura nutzt zwar grundsätzlich eine 128-Bit-AES-Verschlüsselung – doch die effektive Sicherheit wurde auf magere 56 Bit reduziert. Ein Sicherheitsniveau, das bereits in den 1990er Jahren als unzureichend galt.

Geheimhaltung statt Transparenz: Ein gefährliches Spiel

Besonders brisant: Das Design der Tetra-Ende-zu-Ende-Verschlüsselung ist proprietär und durch Geheimhaltungsvereinbarungen vor öffentlicher Kontrolle geschützt. Die Forscher mussten sich ihre Erkenntnisse durch aufwendiges Reverse Engineering erarbeiten. Diese Intransparenz verhindert nicht nur eine unabhängige Sicherheitsprüfung, sondern lässt auch die Frage aufkommen, wer von diesen Schwachstellen bereits Kenntnis hatte – und sie möglicherweise ausnutzt.

Die Reduzierung der Verschlüsselungsstärke erfolgte offenbar aus Gründen der Exportkontrolle. Doch wurde diese kritische Information den Endkunden – also den Regierungen, die Millionen in diese Systeme investieren – verschwiegen? Die Forschungsergebnisse deuten darauf hin, dass viele Nutzer sich der tatsächlichen Sicherheitsstufe nicht bewusst sind.

Manipulation und Chaos: Die praktischen Konsequenzen

Die Schwachstellen ermöglichen nicht nur das Abhören von Gesprächen durch Brute-Force-Attacken. Noch besorgniserregender ist die Möglichkeit, gefälschte Sprach- oder Datenpakete in den Funkverkehr einzuschleusen oder alte Nachrichten erneut abzuspielen. Man stelle sich vor: Während eines kritischen Polizeieinsatzes könnten Kriminelle falsche Befehle einstreuen oder verwirrende Informationen senden. Die Einsatzkräfte, die auf die Integrität ihrer Kommunikation angewiesen sind, würden buchstäblich im Dunkeln tappen.

Selbst ein von ETSI entwickelter Sicherheitspatch erwies sich als "ineffektiv" – ein vernichtendes Urteil für ein System, das seit 1995 im Einsatz ist und seither offenbar nie einer gründlichen, unabhängigen Sicherheitsprüfung unterzogen wurde.

Verantwortung? Fehlanzeige!

Die Reaktionen der Verantwortlichen sind bezeichnend für den Zustand unserer digitalen Infrastruktur. Brian Murgatroyd, ehemaliger Vorsitzender des für Tetra zuständigen technischen Gremiums bei ETSI, wäscht seine Hände in Unschuld: Die Ende-zu-Ende-Verschlüsselung sei nicht Teil der Norm, die Wahl des Algorithmus liege bei Lieferant und Kunde, und man müsse sich eben an Exportkontrollbestimmungen halten.

Diese Haltung offenbart ein grundlegendes Problem: Während unsere Sicherheitskräfte ihr Leben riskieren, schieben die Verantwortlichen die Verantwortung hin und her wie eine heiße Kartoffel. Niemand fühlt sich zuständig für die Sicherheit eines Systems, von dem im Ernstfall Menschenleben abhängen können.

Zeit für einen Neuanfang

Die Enthüllungen von Midnight Blue sollten ein Weckruf sein. Es reicht nicht, Millionen in digitale Systeme zu investieren, wenn deren Sicherheit auf tönernen Füßen steht. Deutschland braucht eine transparente, unabhängig geprüfte Kommunikationsinfrastruktur für seine Sicherheitskräfte – keine Geheimniskrämerei und versteckte Hintertüren.

In einer Zeit, in der die Kriminalität in Deutschland auf Rekordniveau ist und unsere Sicherheitskräfte mehr denn je gefordert sind, können wir es uns nicht leisten, dass ihre Kommunikation kompromittiert wird. Die neue Bundesregierung unter Friedrich Merz hat versprochen, die Sicherheit der Bürger wieder in den Mittelpunkt zu stellen. Ein erster Schritt wäre, endlich für eine sichere Kommunikation unserer Einsatzkräfte zu sorgen – ohne Wenn und Aber, ohne versteckte Schwachstellen und ohne falsche Kompromisse.

Die Alternative? Ein Kommunikationschaos, das Kriminellen in die Hände spielt und das Leben unserer Einsatzkräfte gefährdet. Das können und dürfen wir nicht zulassen.