R09.Upgraded ITS: R09.U4

R09 ist die Bezeichnung einer Datenstruktur, in der verkehrstechnische Daten von öffentlichen Verkehrsmitteln gespeichert werden, beispielsweise Liniennummer und Fahrtziel. Diese Datenstruktur wurde bereits in der 1980er-Jahren vom Verband öffentlicher Verkehrsbetriebe (VÖV, seit 1991 Verband Deutscher Verkehrsunternehmen, VDV) standardisiert und ist heute das am weitesten verbreitete Datenformat für die Kommunikation zwischen Bussen/Straßenbahnen und Ampelanlagen.

Es handelt sich um Festlegungen für das Speichern und übertragen verkehrstechnischer Daten. Viele Busse und Straßenbahnen nutzen diese Standards, wenn sie Datentelegramme per Funk an die jeweils nächsten Ampelanlagen senden.
Dabei legt VDV 420 die Struktur der Daten bis auf das letzte Bit fest, und VÖV 04.05.3 bestimmt, wie diese Daten übertragen werden: per MSK, einem digitalen Modulationsverfahren. Beide Standards wurden vom Verband Deutscher Verkehrsunternehmen (VDV) veröffentlicht und sind dort erhältlich.

Der VDV-Standard 420 wurde aus Gründen der Informationssicherheit ergänzt. Diese Ergänzung stammt im Gegensatz zum ursprünglichen Werk nicht vom Verband Deutscher Verkehrsunternehmen, kann aber von jedem Betreiber in Eigenverantwortung frei genutzt werden. Ziel ist es, das Sicherheitsniveau der Funkkommunikation zwischen ÖV-Fahrzeugen und Ampelanlagen zu erhöhen.

Dabei handelt es sich um alternative Übertragungssysteme, die hauptsächlich für andere Zwecke entwickelt wurden, jedoch auch für die Kommunikation zwischen Bussen bzw. Straßenbahnen und Ampelanlagen genutzt werden können. Hierzu werden jeweils gesonderte Geräte benötigt. Es besteht keine Kompatibilität zur herkömmlichen Technik, sodass ein Umstieg auf eine dieser Alternativen meist mit hohem Aufwand verbunden ist.

Um sicherzustellen, dass die von Ampelanlagen empfangenen R09-Funktelegramme auch wirklich von einem berechtigten Bus oder einer berechtigten Straßenbahn stammen, versehen diese Fahrzeuge die Telegramme mit einer sogenannten Authentisierungsinformation, einer Art Echtheitszertifikat. Die Ampelanlage kann anhand dieses Echtheitszertifikats prüfen, ob ein solches Telegramm von einem zugelassenen Absender stammt. Diesen Vorgang nennt man Authentifizierung: Das Fahrzeug authentisiert sich bei der Ampelanlage, die Ampelanlage authentifiziert das Fahrzeug.
Die dazu erforderlichen technischen Grundlagen wurden mit der Protokollerweiterung U4 geschaffen.

Bei der Authentisierungsinformation handelt es sich im Fall der Funktelegrammerweiterung U4 um drei Bytes, die an das herkömmliche Telegramm angehängt werden. Diese drei Bytes enthalten eine Art Echtheitszertifikat, anhand dessen die Ampelanlage erkennen kann, ob das Funktelegramm von einem berechtigten Bus oder einer berechtigten Straßenbahn ausgesendet wurde. In der Grafik weiter oben auf dieser Seite sind die drei Bytes in Gelb und Orange als sogenannte "Authbytes" dargestellt.

Ja. Es ist grundsätzlich nicht möglich, eine gefährliche Situation zu erzeugen, etwa dadurch, dass an zwei Kreuzungszufahrten gleichzeitig Grün gezeigt wird. Es besteht jedoch das Risiko erheblicher Störungen im Verkehrsablauf durch vordefinierte Grünzeitverkürzungen, vergleichbar etwa mit dem ununterbrochenen Anfordern von Grün an einer sogenannten Druckknopfampel – allerdings deutlich intensiver und nicht nur lokal an einer Kreuzung, sondern in einer ganzen Stadt. Der so erzeugte flächendeckende Stau verursacht nicht nur hohe Allgemeinkosten, sondern behindert auch Feuerwehr und Rettungsdienste erheblich und kann damit eine indirekte Gefahr darstellen.
Sende- und Empfangsgeräte sind immer universeller geworden und heute sehr leicht für jedermann kostengünstig zu beschaffen, sodass sich dieses Risiko in den letzten Jahren deutlich erhöht hat. Das zeigen auch die Presseberichte von erfolgreichen Caberangriffen auf Ampelanlagen.
Eine nach U4-Standard durch Authentisierung abgesicherte Datenübertragung kann diesem Risiko entgegenwirken und ein hohes Maß an Sicherheit bringen.

Betreiber von Verkehrseinrichtungen, die der Kritis-Verordnung des Bundes unterliegen, sind verpflichtet, eine Risikobetrachtung durchzuführen und mögliche Risiken zu minimieren. Daraus lässt sich ableiten, dass die verwendeten Anlagen dem Stand der Technik entsprechen müssen. Das gilt grundsätzlich auch für die Integrität und die Authentizität von Datenübertragungen.

Ja. Die Einhaltung des Kritis-Schutzziels "Vertraulichkeit" wird durch die Protokollerweiterung U4 nicht sichergestellt. Eine allgemeine Risikountersuchung hat gezeigt, dass in den R09-Telegrammen keine vertraulichen Informationen enthalten sind. Daher bringen entsprechende technische Maßnahmen, wie etwa eine Verschlüsselung, keinen Vorteil. Auch andere Übertragungsstandards, beispielsweise Car2x, verzichten darauf.

Ja. Zur Nutzung einer Funkfrequenz benötigt man in Deutschland die Erlaubnis der Bundesnetzagentur. Das Stören von Funkdiensten ist strafbar. Gefährliche Eingriffe in den Straßenverkehr können eine Freiheitsstrafe nach sich ziehen.

Die nutzbare Funkreichweite hängt von Entwicklungsentscheidungen und vielen physikalischen Faktoren ab. Das System Car2x beispielsweise wurde hauptsächlich für den allgemeinen Autoverkehr und nicht speziell für den öffentlichen Verkehr entwickelt. Es arbeitet in der Regel auf der Basis von WLAN in einem sehr hohen Frequenzbereich und ist damit zum einen in der Reichweite und zum anderen in der Art der Wellenausbreitung beschränkt. Funkwellen hoher Frequenz breiten sich lichtähnlich aus und sind deswegen im Gegensatz zur klassischen Übertragung der R09-Funktelegramme auf eine möglichst freie Sicht zwischen Sender und Empfänger angewiesen. Das macht es erforderlich, Zwischenstationen für die Übertragung einzurichten oder weitere Übertragungsverfahren vorzusehen.
Betriebsfunkgeräte des Systems TETRA hingegen setzen im Normalfall auf die Betriebsart "Trunked Mode" und verbinden zwei Kommunikationspartner über eine Zentrale. Dies kann ebenfalls zu Schwierigkeiten führen – beispielsweise bei Funkabschattungen in Häuserschluchten oder Tunellen.

Manche Alternativen zur herkömmlichen Funkübertragung setzen asymmetrische Verschlüsselungsverfahren ein. Das heißt, es existieren private und öffentliche Datenschlüssel. Die öffentlichen Schlüssel müssen für jeden zugänglich sein und werden in der Regel per Internet zur Verfügung gestellt. Hierzu sind entsprechende zentrale Server erforderlich. Die dezentralen Geräte in den Fahrzeugen und an den Ampelanlagen benötigen eigene Internetverbindungen.
Dagegen setzt das hier vorgestellte Verfahren U4 auf symmetrische Schlüssel und überträgt diese über eine in aller Regel schon vorhandene Datenverbindung. Der Kostenfaktor einer Public-Key-Infrastruktur entfällt also bei U4.

Die gute Nachricht: Es müssen keine neuen Geräte angeschafft werden; es reichen Software-Upgrades bei Sende- und Empfangsgeräten sowie in den Betriebszentralen. Das gilt auch für etwaige angeschlossene Einrichtungen, wie beispielsweise Vorrangsysteme für Rettungsfahrzeuge oder Fahrgastinformationssysteme.
Die schlechte Nachricht: Die gute Nachricht trifft nicht immer zu. Insbesondre in den Fällen, in denen überwiegend alte Empfangsgeräte im Einsatz sind, werden reine Software-Upgrades nicht ausreichen; es müssen dann zum Teil nach und nach neue Empfänger beschafft werden. Trotzdem ist der Gesamtaufwand im Vergleich zu alternativen Systemen in aller Regel sehr gering.

Der Wechsel von R09 zu R09.U4 kann in Form eines sogenannten weichen Systemwechsel erfolgen, da beide Telegrammformate zueinander kompatibel sind. So können beispielsweise alle Fahrzeuge auf einmal per Software-Update umgestellt werden, und man kümmert sich anschließend um die Ampelanlagen Schritt für Schritt – jeweils dann, wenn sowieso eine Sanierung oder eine Wartung durchgeführt wird. Noch nicht umgerüstete Anlagen werden die neuen Telegramme empfangen können und weiter funktionieren wie bisher – natürlich dann vorerst noch ohne eigene Authentifizierung der empfangenen Funktelegramme. Es wird also nie notwendig sein, zwei Systeme gleichzeitig zu betreiben, es handelt sich um ein in sich schlüssiges Konzept.

Diese Frage ist ohne Sinn. Jegliche Funk-Übertragung geschieht auf analogem Weg – das lässt die Physik gar nicht anders zu. Bei den R09-Funktelegrammen handelt es sich um digitale Daten, die auch auf digitalem Weg verarbeitet werden. Für die Übertragung schrieb der VÖV-Standard 04.05.3 bereits in den 1980er-Jahren die Modulationsart MSK vor, ein digitales Modulationsverfahren, das in Varianten zum Beispiel auch bei Bluetooth und GSM eingesetzt wird (Minimum Shift Keying, identisch mit QPSK-π/2). Die R09-Funktelegramme wurden also schon immer mit einem digitalen Verfahren übertragen.
Einzelne IT-Anbieter nutzen das Wort "Analogfunk", weil sie damit zu argumentieren versuchen, ihre eigenen Produkte seien moderner. Realitätsferne Marketinggründe lassen sich dabei nicht immer ausschließen.

Bei dieser Formulierung handelt es sich um physikalischen Unsinn. Frequenzen können nicht "abgeschaltet" werden, genauso wenig kann man zum Beispiel die Temperatur von 23 Grad "abschalten". Tatsächlich werden derzeit Frequenzzuteilungen geändert: Die Behörde, die in Deutschland die Ressource der Funkfrequenzen verwaltet, ändert das Kanalraster von 20 Kilohertz auf 12,5 (siehe Mitteilung Nr. 418/2018 der Bundesnetzagentur). Das ist der Weiterentwicklung der Hochfrequenztechnik geschuldet: Moderne Geräte erlauben schon seit Jahrzehnten einen geringeren Kanalabstand, sodass im selben Frequenzband mehr Kanäle untergebracht werden können als vorher. Die Bundesnetzagentur hat die Aufgabe, mit der Ressource der Funkfrequenzen wirtschaftlich und verantwortungsvoll umzugehen und sich daher zu diesem eigentlich schon seit Langem fälligen Schritt entschlossen. Das ist ein ganz normaler verwaltungstechnischer Vorgang; er hat keine Auswirkung auf den Fortbestand bewährter oder die Einführung neuer Funksysteme.
Trotzdem wurde dieser Umstand schon mehrfach genutzt, um für den angeblich notwendigen Umstieg auf ein neueres System zu werben. Mit der Realität hat diese Art des Marketings jedoch wenig zu tun.

Jeder Betreiber einer "kritischen Infrastruktur" im Sinn der BSI-Kritis-Verordnung muss für den eigenen Bereich eine detaillierte Risikobetrachtung durchführen und Einrichtungen der Informationstechnik auf dem aktuellen sicherheitstechnischen Stand halten. Es bestehen in aller Regel keine gesetzlichen Vorschriften im Hinblick auf die Verwendung bestimmter Produkte oder Verfahren. Im Bereich der Straßenverkehrstechnik kann die DIN VDE V 0832-700 als Orientierungshilfe herangezogen werden.
Bezüglich der konventionell übertragenen R09-Funktelegramme ist eindeutig, dass das Schutzziel "Authentizität" nicht erreicht wird. In Verbindung mit der Erweiterung U4 ist dies jedoch möglich. Das Schutzziel "Integrität" wird bereits durch den ursprünglichen Standard sichergestellt. Dazu werden die in der Grafik weiter oben auf dieser Seite grau dargestellten "CRC-Bytes" genutzt. Das Schutzziel "Vertraulichkeit" ist nicht relevant, da keine vertraulichen Daten übertragen werden.

In der Informationstechnik gibt es allgemein keine absolute Sicherheit, sondern immer nur eine Sicherheit, die dem jeweiligen Schutzbedürfnis angemessen ist. So ist das ebenfalls bei U4. In der Theorie ist es auch bei U4 möglich, einer Ampelanlage vorzuspiegeln, dass ein gefälschtes Funktelegramm echt ist. Dass das gelingt, ist jedoch so unwahrscheinlich und dann immer nur auf einen Einzelfall bezogen, dass diese Möglichkeit des Eingriffs in der Praxis keine Rolle spielt.
In zwei kryptologischen Untersuchungen wurde U4 als ausreichend sicher eingestuft.

Die Stadt Nürnberg testet derzeit den neuen Standard in Zusammenarbeit mit der Verkehrs-Aktiengesellschaft Nürnberg, VAG. Ziel ist es, das Sicherheitsniveau der Funkkommunikation zwischen ÖV-Fahrzeugen und Ampelanlagen zu erhöhen.
Andere Städte befinden sich ebenfalls in einem Entscheidungsprozess, da sie im Sinn der Informationssicherheit handeln müssen. Mancherorts sind sogar drei unterschiedliche Systeme parallel im Einsatz. R09 in Verbindung mit U4 gilt im Hinblick auf die Kernanforderungen als besonders leistungsfähige Lösung und ist gleichzeitig sowohl bezüglich der Anschaffung als auch des Betriebs sehr kostengünstig.