Sichere Alarmierung über Mobilfunk statt POCSAG und TETRA
Hanno Heeskens
Die sichere Alarmierung von Einsatzkräften ist essenziell für eine schnelle Bekämpfung von Not- und Krisenfällen. Dazu werden benötigte Einsatzkräfte von der Leitstelle alarmiert.
Die Alarmierung muss schnell, zuverlässig und sicher erfolgen. Da der einfache Sirenenalarm keine einsatztaktischen Informationen übermitteln kann, reicht dieser nicht mehr aus. Die notwendige Übermittlung dieser Informationen setzt geeignete Systeme mit entsprechenden Schutzstufen voraus. Lange Zeit galten POCSAG und TETRA deshalb als unangefochtene Favoriten der BOS-Alarmierung. Seit einigen Jahren ist hier jedoch ein Wandel zugunsten von mobilen Datennetzen zu beobachten, obwohl die Argumente für die jeweilige Technik zunächst einleuchtend erscheinen:
Argumente für POCSAG
- Es ist schnell und verschlüsselt.
- Die Technologie hat sich jahrzehntelang in kritischen und sicherheitsgerichteten Anwendungen wie Alarmierung und Informationsübertragung bewährt.
- Viele Leitstellen haben mit POCSAG bereits ein eigenes Funknetz.
- Man kann bei Stromausfall z.B. einen digitalen Alarmumsetzer (DAU) ins Gerätehaus stellen, der für eine unterbrechungsfreie Stromversorgung sorgt und mit dem man Melder in der näheren Umgebung auslösen kann.
- Man betreibt ein eigenes Netz und hat damit die Kontrolle über Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit.
Argumente für TETRA
- Der Versand von Kurznachrichten, englisch Short Data Service (SDS), ist möglich.
- Das Netz ist bidirektional ausgelegt.
- Die Verschlüsselung ist dank spezieller Protokolle noch strenger als bei POCSAG.
- Einzelne Melder können gesperrt werden.
Trotz alledem gibt es Behörden und Organisationen mit Sicherheitsaufgaben (BOS) sowie Unternehmen, die zur Alarmierung ihrer Einsatzkräfte statt POCSAG und TETRA lieber mobile Datennetze verwenden. Dazu gehören unter anderem der gesamte Landkreis Emsland sowie der Flughafen Düsseldorf, die das Alarmierungssystem GroupAlarm der Firma cubos Internet zusammen mit dem Pager F.R.E.D. der Firma HK.Systems bzw. dessen Vorgänger ERIC erfolgreich als primäre Alarmierungslösung verwenden. Auch die Feuerwehr Ratingen nutzt diese Pager-Technik seit sieben Jahren erfolgreich zur Alarmierung.
Um die dahinterliegenden Gründe nachzuvollziehen, müssen wir einen Schritt zurückgehen und zunächst einen Blick auf die Historie der Funkalarmierung vom Analog-Funk bis hin zu TETRA werfen:
Über POCSAG
Nach Ablösung der analogen 5-Ton-Folge im ZVEI-Standard, ist das derzeit meistverwendete digitale Alarmierungsverfahren POCSAG. Dieser Aufbau erfolgte, obwohl man viel Mühe und Kosten in den Aufbau der eigens für die BOS konzipierten Alarmierungstechnik TETRA gesteckt hat, diese aber bis heute nicht flächendeckend eingeführt wurde.
POCSAG bezeichnet umgangssprachlich das unidirektionale Funkrufprotokoll Radio-paging code No. 1, das in den 1970er Jahren von der britischen Post Office Code Standardisation Advisory Group entwickelt wurde - deren Akronym POCSAG ergibt. Bei der BOS wird POCSAG im analogen 2-Meter-Band betrieben und ist somit unabhängig vom analogen Sprechfunkverkehr in BOS-Fahrzeugen, der im 4-m-Band läuft. Für den Empfang des Signals benötigen die Einsatzkräfte digitale Meldeempfänger (DME), die die Signale über das POCSAG-Protokoll empfangen und wichtige Informationen wie Einsatzstichwort (z.B. „Brandalarm“) oder konkrete Textnachrichten (z.B. Einsatzort, Lagemeldung, Koordinaten für Navi-System usw.) bereitstellen. Für eine gute Abdeckung ist es wichtig, genügend Sender (DAU) zu installieren, damit Einsatzkräfte auch in entlegenen Gebieten erreichbar sind. Dies ist insbesondere bei komplexer Topografie eine Herausforderung.
POCSAG überträgt die Alarmierung von einem digitalen Alarmgeber (DAG), der über verschiedene Netzwerke mit einem oder mehreren Master-DAU verbunden ist, an die Endgeräte. Der Transportweg vom DAG zu den Master-DAU kann z.B. per LAN, DSL, Richtfunk, Mobilfunk realisiert werden. Zur Verstärkung können Slave-DAU eingesetzt werden, die ihr Signal vom Master-DAU erhalten und an die Endgeräte weiterleiten. Adressiert werden die Endgeräte über den sogenannten Radio Identification Code (RIC). Dieser ist wie eine Telefonnummer aufgebaut, siebenstellig und mit einer Sub-Adresse in A, B, C ... gegliedert. Um die Einsatzkräfte zu erreichen, muss jedes Endgerät z.B. per Programmierstation konfiguriert werden, damit es weiß, auf welchen RIC es auslösen soll. Meist wird ein RIC auf mehreren Geräten eingerichtet, damit diese als Gruppe erreichbar sind. Kriterien für die Gruppe können z.B. Zugehörigkeiten, Funktionen oder Qualifikationen sein.
POGSAG ist also ein bewährtes Netz und bietet eine ausreichende Geschwindigkeit (512 Bit pro Sekunde) bei voller Verschlüsselung der Nachrichten. Die Trägerfrequenzen im 2-Meter-Funkband haben eine solide Reichweite und gute Durchdringung von Hindernissen. Da die Einsatzkräfte über das Funknetz keine Rückmeldungen geben können, werden die Meldeempfänger oftmals zusätzlich mit GSM ausgestattet.
Nachteile von POSCAG
Neben den genannten Vorteilen hat POCSAG auch einige Nachteile:
- Die POCSAG-Alarmierung erfordert den Aufbau und Betrieb eines eigenen Funknetzes, was im Hinblick auf Härtung, Instandhaltung, Sicherheitsupdates etc. zeit- und kostenintensiv ist.
- Mit POCSAG ist keine bidirektionale Kommunikation mit Rückmeldung möglich. Die Rückmeldung mittels einer SIM-Karte per GSM ist nicht gesichert und weist keine hohe Verfügbarkeit aus (sog. Hybrid-Systeme), da sie häufig von dem Anbieter einer SIM-Karte oder einem Netz abhängig ist. Zudem bieten die Wege keine besondere Verschlüsselung (z.B. Rückmeldung per SMS) und erfordern ggf. zusätzliche Infrastruktur, was wiederum Kosten verursacht.
- Je weiter weg sich ein POCSAG-Endgerät vom Funknetz befindet, desto schwerer wird der Empfang. Außerhalb des POCSAG-Funknetzes sind die Einsatzkräfte überhaupt nicht erreichbar. Eine Einbuchung des Melders in andere Netze ist nicht möglich.
- POCSAG ermöglicht keine Kontrolle über die Verfügbarkeit von Einsatzkräften.
- Die Programmierung der Endgeräte und alle Änderungen daran sind aufwendig. Außerdem sind für alle Betriebsebenen spezielle Kompetenzen erforderlich, was Personal und Zeit bindet.
- Bei der POCSAG-Alarmierung gibt es keine Redundanz. Das heißt, wenn ein Baustein des Funknetzes ausfällt, gibt es keine automatische Rückfallebene. Schon ein Verbindungsabbruch des DAG zu den Master-DAU oder ein ausgefallener Master-DAU reichen z.B. aus, um einen Alarm großflächig zu verhindern.
- POCSAG arbeitet nach dem Fire-and-Forget-Prinzip und sendet die Alarmierung nur einmalig.
- POCSAG arbeitet nach dem Broadcast-Prinzip, sendet also jeden Alarm über das gesamte Netz. Das kann gerade bei einer großen Menge von Alarmen zu Problemen führen.
- Die Verschlüsselung innerhalb des POCSAG-Netzes benötigt entsprechende Lizenzen der Hersteller und ist damit kostenintensiv.
Über TETRA
Terrestrial Trunked Radio (TETRA) ist ein Standard für digitalen Bündelfunk, der Mitte der 1990er Jahre eingeführt wurde, nachdem der analoge BOS-Funk an seine Grenzen geraten war. Sein Ziel: Schaffung eines einheitlichen Funksystems zur nationalen Strukturierung der vormals regional aufgebauten Netze.
So wurde 1995 die erste Version des TETRA Standards vom europäischen Gremium für Fernmeldenormen ETSI (European Telecommunications Standards Institute) veröffentlicht. Mit TETRA lassen sich Universalnetze aufbauen, über die die Kommunikation von Anwendern wie Behörden, Industrie- oder auch Nahverkehrsbetriebe abgewickelt werden kann. Auch das Funken zwischen verschiedenen Organisationen wie Feuerwehren, Rettungsdiensten, Katastrophenschutz und Polizei ist damit möglich. In Deutschland ist die Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS) Netzbetreiber von TETRA.
TETRA ist ein digitales Netz, angelehnt an die Standards der kommerziellen Mobilfunknetze (GSM, UMTS). Zur Verwendung kommen Frequenzen im 70-cm-Band. Da sich die Funkwellen in diesem Frequenzbereich quasioptisch ausbreiten, reichen schon wenige Hindernisse zwischen Sender und Empfänger aus, um die Verbindung stark zu beeinträchtigen. In diesem Netz werden verschiedene Dienste durch die BDBOS bereitgestellt, u.a. die Alarmierung.
Diese ist zwar bidirektional, verschlüsselt und sicher, aber im Vergleich zu POSCAG sind wesentlich mehr Basisstationen notwendig, um eine sichere Abdeckung auch innerhalb von Gebäuden zu gewährleisten. In einigen Bundesländern wurde die Alarmierung mit TETRA bereits eingeführt und soll die bewährte Technik POCSAG ablösen. Erfahrungsberichte zeigen jedoch, dass weiterhin häufig mit der analogen Technik gearbeitet wird. In den meisten anderen Bundesländern ist eine TETRA-Alarmierung wirtschaftlich nicht umsetzbar, da die Anzahl der benötigten Funk-Basisstationen zu hoch wäre.
Im Vergleich zu POCSAG ist die Übertragungsgeschwindigkeit von Nachrichten mit 3,0 kBit/s - 4,8 kBit/s bei TETRA besser. Die Vertraulichkeit wird durch gegenseitige Authentifizierung und starke Verschlüsselung garantiert. Auch ist hier das ferngesteuerte Sperren von gestohlenen oder verlorenen Endgeräten möglich. Außerdem können Standortermittlung mittels eingebauten GPS-Empfänger sowie technische und taktische Rückmeldungen erfolgen.
Nachteile von TETRA
Neben den genannten Vorteilen ist die praktische Leistungsfähigkeit von TETRA im echten Praxisbetrieb aktuell äußerst fraglich. Heute gängige Mobiltelefone in den aktuell ausgebauten Mobilfunknetzen sind bereits um ein Vielfaches leistungsfähiger. Daneben kämpft TETRA mit vielen anderen Problemen:
- Erhebliche Folgekosten für Betrieb der Endgeräte (z.B. Lizenzen)
- Anders als POCSAG ist die bundeseinheitliche digitale Sprech- und Datenfunktechnik TETRA zwar bidirektional ausgelegt, dennoch ist keine flächendeckende und jederzeit sichere Alarmierung möglich, da das Netz - trotz anderweitiger Pläne - bis heute lückenhaft ist.
- Außerhalb der freigegebenen Bereiche im TETRA-Funknetz sind die Einsatzkräfte auch hier nicht erreichbar. Eine Einbuchung des Melders in anderen Gebieten ist ebenfalls häufig nicht möglich. Anders als bei POCSAG bricht der Empfang bei TETRA-Geräten sogar abrupt, ohne “Vorwarnung” ab.
- Wie bei POCSAG gibt es auch bei TETRA keine Redundanz. Das heißt, wenn ein Baustein des Funknetzes ausfällt, gibt es keine automatische Rückfallebene. Neben den Basisstationen müssen auch alle Verbindungen zu den übergeordneten Netzkomponenten jederzeit verfügbar sein.
- Erfahrungen haben gezeigt, dass das TETRA-Netz schnell überlastet ist. In einem solchen Fall ist neben dem Ausfall anderer Dienste auch keine Alarmierung mehr möglich. Dies kann z.B. sogar schon bei hohem Benutzeraufkommen passieren.
Zwischenfazit
Sowohl POCSAG als auch TETRA sind nicht ausreichend für die Alarmierung und die nachfolgenden Anforderungen an ein breitbandiges Netz zur Übertragung von einsatzrelevanten Daten (Bilder, Videos …) geeignet. Hieraus ergibt sich die Frage, ob es nicht sinnvoller ist, die bereits vorhandenen Mobilfunknetze dafür zu nutzen.
Sichere Alarmierung über vorhandene Mobilfunknetze
In Deutschland gibt es derzeit drei große Mobilfunkanbieter (Telekom, Vodafone, Telefónica), gemeinsam decken sie im Bereich 2G über 99,64 % der Fläche, inklusive Überlappung (Redundanz) und Indoor-Versorgung ab. Laut dem Breitband-Monitor der Bundesnetzagentur sind bereits 96,24 % der Fläche mit 4G versorgt. Die nächste Generation der Breitbandnetze (5G) wird derzeit von allen Providern massiv ausgebaut.
Die Alarmierung ist keine Breitband-Anwendung, benötigt daher im Vergleich zu den sonstigen Anwendungen in diesen Netzen weniger Ressourcen. Sie ist im Mobilfunknetz angesiedelt bei den IoT-Geräten (Internet of Things, z.B. Stromzähler, Tracking-Geräte, Sensoren, Zustandsüberwachung …). Das Netz bietet bei - für diese Technologie - verhältnismäßig niedriger Datenrate (bis zu 10 Mbps) eine hohe Gebäudedurchdringung und Redundanzen (LTE Cat-M).
Vorteile Mobilfunk
- Mehrere Betreiber und damit automatische Redundanz bei Ausfall eines Anbieters bzw. einer Basisstation
- Zeit- und Kostenersparnis, da es keinen Planungs- oder Installationsaufwand durch Nutzung vorhandener Infrastruktur gibt
- Keine physischen oder konfigurierten Grenzen durch “Netzende”
- In den Grenzregionen Nutzung ausländischer Mobilfunknetze möglich, damit bessere Abdeckung der Randbereiche
- Als bidirektionales Netz konzipiert und ausgebaut
Nachteile Mobilfunk
- Kein eigenes Netz, daher zunächst keine Kontrolle über Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit ohne zusätzliche Maßnahmen
- Nicht-Verfügbarkeit durch Überlastung (hauptsächlich bei SMS und Anruf, aber kein Engpass bei Datenverbindung)
- Wiederkehrende Kosten durch Nutzung der Netze
Mit der hochverfügbaren Alarmierungsplattform GroupAlarm und dem Pager F.R.E.D. können im Mobilfunknetz im Hinblick auf Sicherheit, Verfügbarkeit und Schnelligkeit durch Bündelung seiner systemimmanenten Vorteile sämtliche Anforderungen an eine sichere, schnelle und redundante Alarmierung erfüllt werden - ganz ohne POCSAG & TETRA.
Verfügbarkeit
Durch eine geschickte Nutzung aller verfügbaren Mobilfunknetze durch nationales und internationales Roaming bucht sich der F.R.E.D.-Pager in das jeweils stärkste Netz ein. Zusätzlich verfügt das Gerät über zwei SIM-Karten, um flexibel auf Störungen bei Anbietern reagieren zu können. Einmal verbunden, hält der Pager eine stehende Datenverbindung im Netz. Diese wird netzseitig nicht abgebaut, daher muss das Gerät - wie z.B. ein Telefonanruf in überlasteten Netzen - nicht auf einen freien Kanal warten. In den vergangenen Jahren ist es bei verschiedenen Großveranstaltungen zu keiner Überlastung gekommen. Zudem verliert dieses Thema mit dem generell steigenden Ausbau der Netze durch die Mobilfunkprovider an Bedeutung.
Der Pager verwendet LTE-M und kann als erste Rückfallebene das NB-IoT verwenden. Beide Netze verfügen über eine bessere Netzabdeckung innerhalb von Gebäuden, da die schmalbandigen Modulationsverfahren und mehrfachen Übertragungswiederholungen eine höhere Leistungsdichte im Vergleich zu GSM haben. Innerhalb dieser Netze sind auch IoT-Geräte aktiv, weswegen häufig auch zusätzliche Basisstationen öffentliche Bereiche wie U-Bahnen oder Straßentunnel abdecken. Dieser Aufwand wird für die Indoor-Versorgung allein für die POCSAG/TETRA-Abdeckung wegen erheblicher Zusatzkosten selten betrieben.
Authentizität, Integrität und Vertraulichkeit
Die Kommunikation erfolgt über gesicherte IP-Verbindungen auf Basis eines patentierten IP-basierten Datenprotokolls. Bereits durch die Provider werden die eingesetzten SIM-Karten in einem geschlossenen Netz verbunden, das keine anderen Geräte zulässt. Über mehrere VPN-Tunnel gelangen die Daten zur GroupAlarm-Plattform. Zum einen ist damit jede Nachricht vom Sender bis hin zum Empfänger mehrfach verschlüsselt, zum anderen ist es nicht möglich, eine fremde Nachricht in das System einzuschleusen. Im Vergleich dazu sind POCSAG-Alarme nicht abhörsicher, eine optionale Verschlüsselung ist möglich, verursacht jedoch Mehrkosten.
Echtes Zwei-Wege-Paging
Da der Pager seine Empfangsbereitschaft durchgängig signalisiert, ist die aktuelle Erreichbarkeit jedes Teilnehmers ständig erkennbar. Durch diese Status-Meldungen ist ein ausführliches Monitoring des Gesamtsystems möglich und potenzielle Fehler in der Alarmierungskette können direkt erkannt werden, noch bevor ein Alarm ausgesendet wird.
Nach erfolgter Alarmierung sendet der Pager außerdem automatisch eine Empfangsbestätigung und lässt eine einsatztaktische Rückmeldung des Benutzers zu.
Weder die umfangreiche Ende-zu-Ende-Überwachung noch der sichere Rückmeldekanal über VPN ist bei POCSAG-Geräten mit GSM-Rückkanal möglich.
Resilienz des Systems
Durch die eingesetzte Technik ist die Alarmierungszeit über die GroupAlarm-Plattform mit dem F.R.E.D.-Pager nach unserer Erfahrung deutlich kürzer als bei POCSAG- und TETRA-Systemen. Dies zeigt sich vor allem bei großen Alarmen mit vielen Empfängern und unterschiedlichen Alarmtexten.
Sollte ein Pager kurzzeitig keinen Empfang haben oder gar ausgeschaltet sein, wird der Alarm bis zu 30 Minuten lang gespeichert und nachträglich zugestellt. POCSAG arbeitet nach dem Fire-and-Forget-Prinzip und sendet die Alarmierung nur einmalig.
Fällt ein Pager komplett aus oder liegen gleichzeitige Störungen bei allen Providern vor, können über GroupAlarm weitere Erreichbarkeiten genutzt werden. Die App-Alarmierung erfolgt per gesicherter Datenkommunikation im öffentlichen Mobilfunknetz und integriert durch Nutzung von WLAN eine weitere Technologie, die zumindest teilweise unabhängig vom Mobilfunkprovider ist. Weitere Alarmierungswege wie Anruf oder SMS können mit einem angepassten Alarmierungstext in GroupAlarm integriert werden. Auch der Pager kann als letzte Rückfallebene per SMS ausgelöst werden. Hierbei sind die entsprechenden Schutzstufen in Abhängigkeit der zu übermittelnden Informationen zu berücksichtigen.
Wirtschaftlichkeit
Der Pager und seine laufenden Kosten sind zwar im Vergleich zu POCSAG- oder TETRA-Empfängern teurer, allerdings steht das in keinem Verhältnis zu den Kosten, die bei der Anschaffung und dem Betrieb eigener Funknetze anfallen (Härtung, Instandhaltung, Sicherheitsupdates). Der klare Vorteil des Pagers ist, dass er vorhandene Netze nutzen kann und daher anders als bei POCSAG und TETRA keine zusätzlichen Investitionen in eine eigene Infrastruktur benötigt werden. Insgesamt fallen mit dem Alarmierungssystem - bestehend aus GroupAlarm und F.R.E.D. - weniger Kosten an als bei POCSAG und TETRA - auch im Hinblick auf zeitliche und personelle Ressourcen. Darüber hinaus ist eine direkte Inbetriebnahme, ohne langfristigen Planungsprozess, möglich - mit smarten Erweiterungen und Integrationen sowie der Anbindungen überregionaler Helfer.
Fazit
Seit mehreren Jahren ist die beschriebene Technik der Alarmierung über die öffentlichen Mobilfunknetze mit GroupAlarm erfolgreich im Einsatz bei (Werk-)Feuerwehren, im Regelrettungsdienst und bei Hilfsorganisationen. Die etablierten Techniken POCSAG und TETRA bieten demgegenüber wie beschrieben keine signifikanten Vorzüge. Der letzte vermeintliche Vorteil eines eigenen Netzes hält im Extremfall (großflächiger Stromausfall) nur so lange, wie keine andere Infrastruktur im betroffenen Gebiet zur Aufrechterhaltung notwendig ist (z.B. Anbindungen an übergeordnete Netzkomponenten).
Am Ende eines jeden denkbaren Ausfall-Szenarios müssen technische und/oder organisatorische Maßnahmen greifen (z.B. Sirenenalarmierung oder selbstständiges Anfahren des Standortes bei Ausfall von Kommunikation über einen bestimmten Zeitraum). Betrachtet man die Eintrittswahrscheinlichkeit solcher Szenarien, erscheinen Aufbau, Wartung und Härtung eines eigenen Netzes für die Alarmierung nicht sinnvoll.
Denn die wichtigen Kriterien in der Alarmierung, die bisher die Rechtfertigung eines eigenen Netzes darstellen (Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit) setzt GroupAlarm durch die intelligente Kombination und Verwendung der richtigen Techniken und Methoden bereits jetzt um. Dank sicherer Ende-zu-Ende-Verschlüsselung, Redundanzen in der Erreichbarkeit sowie hoher Ausfallsicherheit der GroupAlarm-Plattform können die öffentlichen Mobilfunknetze mit ihrer bestehenden Netzabdeckung zu deutlich attraktiveren Konditionen im sensiblen Bereich der Alarmierung verwendet werden.
Hanno Heeskens
E-Mail: sales@groupalarm.com