Am besten zentral „Ende zu Ende“

Bei der Alarmierung von Einsatzkräften über Funknetze oder andere behördliche Kommunikationsnetze werden häufig  personenbezogene Daten übermittelt. Eine Textverschlüsselung ist somit Pflicht. Worauf sollte der Anwender im Hinblick auf die Verschlüsselung achten?

Die seit dem 25. Mai EU-weit geltende Datenschutzgrundverordnung (EUDGSVO) hat dem Thema „Textverschlüsselung von Alarmmeldungen“ zusätzliche Dynamik verliehen.

Abhören ist eine durchaus reale Bedrohung

Unter den Behörden und Organisationen mit Sicherheitsaufgaben (BOS) in Deutschland bestand aber auch schon vor der Diskussion um die Folgen der DGSVO Einigkeit darüber, dass eine solche Verschlüsselung sinnvoll und notwendig ist. Schließlich gehört es zu den Aufgaben der BOS, das Abhören bzw. Weiterverbreiten von Alarmmeldungen durch Unbefugte zu verhindern.
Zum Beispiel sollen Einsatzort und Einsatzstichwort nur den beteiligten Einsatzkräften bekannt werden. Besonders notwendig wird die Verschlüsselung bei Kommunikationsnetzen, in die Rettungsdienste eingebunden sind. Hier enthalten die Meldungen an die Einsatzkräfte besonders häufig personenbezogene Daten. Ein reines Abhörverbot reicht in diesem  all nicht aus. Das zeigt schon die Tatsache, dass solche Verbote bewusst unterlaufen werden können. In den vergangenen Jahren gab es mehrere Gerichtsverfahren wegen des unbefugten Abhörens des BOS-Funks, die  allesamt mit der Verurteilung des Beschuldigten endeten.

Ende-zu-Ende-Verschlüsselung

Unabhängig von der Art des Protokolls ist die Grundstruktur der Verschlüsselung von Alarmmeldungen bei der digitalen Funkalarmierung stets identisch. Die Verschlüsselung findet in der alarmauslösenden Stelle (Leitstelle bzw. FEZ) im sog. digitalen Alarmgeber (DAG-Rechner), in Einzelfällen auch im Einsatzleitsystem (ELS) statt. Das Pocsag-Funknetz überträgt die Meldung verschlüsselt, und im Endgerät (Melder) wird sie wieder entschlüsselt. Diese Ende-zu-Ende Verschlüsselung ist eine Voraussetzung für größtmögliche Sicherheit. Für die Verschlüsselung stehen drei verschiedene Verfahren zur Verfügung: AES-128 (Advanced Encryption Standard), DiCal-IDEA (International Data Encryption Algorithm) und BOSKrypt. Alle drei Verfahren sind lizenzfrei nutzbar und gewährleisten als Ende-zu-Ende-Verschlüsselung einen
hohen Sicherheitsstandard. Jedoch wurde AES-128 nicht dezidiert für die Funkrufübertragung entwickelt, sondern als allgemeiner Standard für Internet und Kommunikation. Weitere Unterschiede gibt es u.a. bei der maximalen Klartextlänge. Sie ist bei BOSKrypt auf 180 Zeichen beschränkt, bei DiCal-IDEA hingegen wurde auf eine Begrenzung der Klartextlänge verzichtet. Außerdem zeichnet sich DiCal-IDEA durch den mit Abstand geringsten „Overhead” aus, so dass nur wenig Ressourcen des Alarmierungsnetzes benötigt werden und das Netz schnell wieder für den nächsten Alarm bereit ist. Zudem unterscheiden sich die Verfahren in der Empfangswahrscheinlichkeit der Nachrichten. Im Falle von BOSKrypt müssen deutlich mehr Daten fehlerfrei empfangen werden, damit die Meldung angezeigt wird. Dies wirkt sich speziell
bei Funkübertragungen sehr negativ aus.

Die Marktanteile der drei Verfahren sind mehr als deutlich verteilt. Allein in Deutschland nutzen mehr als hundert Alarmierungsfunknetze mit mehreren hunderttausend Endgeräten die DiCal-IDEA-Verschlüsselung mit 128 bit (Bild 2). Damit ist dieses Verfahren das bei weitem gebräuchlichste. Bei AES-128 liegt der Marktanteil im einstelligen Prozentbereich, und bei BOSKrypt gibt es nach Schätzungen von Swissphone bislang wenige tausend Endgeräte, die mit dieser Verschlüsselung arbeiten. Somit kann DiCal-IDEA als De-facto-Standard bei den deutschen BOS gelten.

Interoperabilität?

BOSKrypt verspricht, Melder mehrerer Hersteller mit einem Verschlüsselungsverfahren betreiben zu können. Auf der Ebene der reinen Verschlüsselung trifft dies zu. Aufgrund herstellerabhängiger Zusatzfunktionen gibt es aber Einschränkungen in Bezug auf das Sperren von Meldern, auf die Zeichenlänge, auf das Setzen der Zeit sowie den Einsatz des von Swissphone patentierten Verfahrens ExpressAlarm. Das bedeutet, dass Betreiber eines Netzes mit dem BOSKrypt-Verschlüsselungsverfahren diese Funktionen nur eingeschränkt nutzen können. Handelt es sich um ein herstellerproprietäres Verfahren, sind sie gewährleistet.

Zentrale Steuerung der Endgeräte

Zum hohen Sicherheitsniveau des von Swissphone entwickelten Alarmierungssystems gehört außerdem, dass sich über eine zentrale Software alle Melder uneingeschränkt steuern lassen. Damit hat der Administrator in der jeweiligen Leitstelle die Möglichkeit, Endgeräte zu sperren, deren Zeit zu stellen oder den Schlüssel zu wechseln. Dies erfolgt jeweils über die Luftschnittstelle des Netzes.

 

Lesen Sie weiter indem Sie das PDF "Artikel NETMagazin" klicken.

 

 

Über Swissphone Wireless AG

Swissphone steht für die sichere Alarmierung

Die Swissphone-Gruppe ist eine führende, international tätige Anbieterin modernster und zuverlässiger Alarmierungs- und Kommunikationslösungen. Wir fokussieren die gesamte Kette der Alarmierung: Von der Produktion von robusten Pagern für Blaulichtorganisationen über die Konzeption von sicheren Alarmierungsnetzen bis hin zur Entwicklung von innovativen Softwarelösungen für das Ressourcenmanagement. Dabei konzentrieren wir uns seit jeher auf zwei Attribute – auf höchste Qualität und absolute Zuverlässigkeit. Dank des fundierten Know-hows, begründet auf unserer fast 50-jährigen Erfahrung, sind wir ausgewiesene Experten in der Konzeption und im Aufbau von drahtlosen Kommunikationssystemen.

Swissphone Wireless AG
Fälmisstrasse 21
CH-8833 Samstagern