Wie man ein öffentliches Warnsystem (nicht) aufbauen sollte
Wie kann man Menschen am besten vor Katastrophen warnen? Deutschland setzt auf proprietäre Apps, wodurch der jüngste "Warntag" zu einem offiziellen Misserfolg wurde. Wir haben die Situation analysiert und robustere Lösungen gefunden, die Nutzerrechte respektieren.
Die Grundidee des Testens von Notfallsystemen besteht darin, potenzielle oder tatsächliche Probleme zu finden. Es ist jedoch bemerkenswert, wie viel beim offiziellen deutschen Warntag im September schief gelaufen ist. Insbesondere die Unzuverlässigkeit der offiziell beworbenen, unfreien und nicht standardisierten Apps zwang das zuständige Bundesinnenministerium (BMI), welches dem zuständigen Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) übergeordnet ist, den Testtag als gescheitert zu kennzeichnen.
Die FSFE analysierte die Ergebnisse zusammen mit Experten aus Katastrophenschutz und mobilen Netzwerken, um herauszufinden, warum die Apps fehlschlugen und wie ein belastbareres und offeneres System aussehen kann.
Digitale Warnsysteme in Deutschland
Es gibt drei prominente, öffentlich finanzierte Apps, die offizielle Notfallwarnungen an ihre Benutzer weiterleiten können: Katwarn, Nina und Biwapp. Alle drei sind proprietär, also unfreie Software, die es ihren Benutzern nicht erlaubt, die Software zu benutzen, zu studieren, zu teilen und zu verbessern. Darüber hinaus basieren sie darauf, Notfallwarnungen vom zentralen MoWaS ("modulares Warnsystem") abzurufen und diese über die WLAN- oder mobile Internetverbindung an die Mobiltelefone der App-Nutzer weiterzuleiten.
Eine Überlastung dieses zentralen Systems war der Hauptgrund dafür, dass viele Alarme die Nutzer der App nicht oder nicht rechtzeitig erreichten. Das kam jedoch nicht überraschend. In einem Szenario, in dem Millionen von Geräten gleichzeitig von einer zentralen Instanz mit Eins-zu-eins-Verbindungen (unicast) erreicht werden müssen, sind solche Engpässe fast unvermeidlich.
Die zugrunde liegenden Probleme sind jedoch unnötige Komplexität und Mehrfachstrukturen. Anstatt große Mengen öffentlicher Gelder in zentralisierte Systeme und drei proprietäre Anwendungen zu investieren, betreiben andere Staaten eine widerstandsfähigere und gut getestete Infrastruktur für die Verteilung von Notfallnachrichten: SMSCB, häufiger auch Cell Broadcast genannt, also Eins-zu-viele-Nachrichten.
Cell Broadcasts
Um 1990 standardisiert, sind Cell Broadcasts eine etablierte Methode, um Nachrichten an alle Benutzer von Mobilfunknetzen zu senden, entweder in einem ganzen Land oder begrenzt auf bestimmte Gebiete – und zwar in weniger als ein paar Sekunden. Die Telefone müssen nicht einmal in einem bestimmten Netz registriert sein, um diese Nachrichten zu empfangen, und Alarme mit der höchsten Priorität lösen sogar einen Alarm aus, wenn das Telefon stumm geschaltet ist. Außerdem haben solche Broadcasts im Gegensatz zu SMS und mobilem Internet einen reservierten Kanal, der auch dann funktioniert, wenn die Telefonzellen mit vielen eingewählten Geräten und Nachrichten überlastet sind.
Darüber hinaus können Cell Broadcasts von jedem Telefon empfangen werden, unabhängig davon, ob Notfall-Apps, ein aktuelles Betriebssystem oder proprietäre Google/Apple-Dienste installiert sind. Da es sich um eine Eins-zu-viele-Kommunikation handelt, gibt es auch keine Datenschutzbedenken. Diese klaren Vorteile veranlassten die Europäische Union zu der Entscheidung, das zukünftige EU-Alert-System Cell Broadcats basieren zu lassen. Als Richtlinie muss dies von allen EU-Mitgliedsstaaten bis Juni 2022 umgesetzt werden, es sei denn, ein Staat kann einen Dienst mit einer ähnlich zuverlässigen Leistung anbieten - was eine sehr hohe Schwelle ist.
Ungeachtet dieser Vorteile hat sich Deutschland im Gegensatz zu anderen Ländern wie den Niederlanden, Griechenland, Rumänien, Italien oder den USA dafür entschieden, sein Notfallwarnsystem nicht auf dem SMSBC-Standard aufzubauen. Da es keine offizielle Verpflichtung dazu gibt, haben die meisten Mobilfunknetzbetreiber diese Funktion aus Kostengründen deaktiviert. Stattdessen fallen für den Steuerzahler wesentlich höhere Kosten an, um ein isoliertes System und dazugehörige proprietäre Anwendungen zu finanzieren.
Warn-Apps
Trotz der klaren Vorteile von Cell Broadcasts haben separate Warn-Apps ihre Berechtigung. Benutzer können verschiedene Informationen über andere Regionen und vergangene Geschehnisse einsehen. Einen großen Teil der Notfallkommunikation auf diese Apps zu stützen, hat sich jedoch als zu anfällig dafür erwiesen, beim Ausfall einer Komponente komplett zu versagen.
Darüber hinaus müssen sie aufgrund ihrer kritischen Rolle für die Öffentlichkeit Freie Software sein und auf Offenen Standards aufbauen. Nur mit den Freiheiten, Software frei benutzen, studieren, teilen und verbessern zu können, können sie von Bürgern und unabhängigen Sicherheitsforscherinnen analysiert werden. Das wiederum erhöht das Vertrauen und die Bereitschaft, eine ergänzende Warn-App zu installieren, wie die praktischen Erfahrungen mit den Corona-Tracing-Apps zeigen.
Fazit
Unsere Analyse schließt mit drei zentralen Ergebnissen, die nicht nur die verantwortlichen Verwaltungen, sondern auch andere Akteure im Auge behalten sollten.
- Die Grundlage der Notfallkommunikation von Behörden zu Bürgern sollte ein standardisiertes, belastbares System bilden, das in der Lage ist, Millionen von Nachrichten an möglichst viele Geräte zu senden. Das muss dabei unabhängig von deren Betriebssystem oder installierter Software sein. Gegenwärtig scheinen SMSBC, also Cell Broadcasts, die bestmögliche Umsetzung zu sein, die in zahlreichen Staaten gut funktioniert. Daher begrüßen wir, dass die EU sich dafür entschieden hat, EU-Alert auf Cell Broadcasts basieren zu lassen.
- Warn-Apps können eine nützliche Ergänzung sein. Besonders für öffentlich finanzierte Anwendungen ist es entscheidend, die Software unter einer Freie-Software-Lizenz zu entwickeln und zu veröffentlichen, getreu dem Prinzip Public Money? Public Code!.
- Das Testen von Warnsystemen ist wichtig, und die geplanten regelmäßigen Warntage sollten auch in Zukunft beibehalten werden. Es ist normal, dass bei diesen Tests Fehler auftreten, aber sie dürfen nicht beschönigt werden, sondern erfordern eine gründliche Analyse und Verbesserung.
In diesem Sinne haben die zuständigen Verwaltungen, BBK und BMI, viel Arbeit vor sich. Aber es ist machbar, sowohl aus praktischer als auch aus finanzieller Sicht.