Fehlkonstruktion Katwarn

Heise meldet zur Katastrophen-Warn-App Katwarn:

Das Smartphone-Warnsystem KatWarn war während des Attentats am Freitagabend in München völlig überlastet. “Wir sind an die Belastungsgrenze gestoßen”, sagte ein KatWarn-Sprecher am heutigen Samstag. “Das ist nicht gut – die Kritik ist berechtigt”, räumte er ein. Die Kapazitäten des Systems müssten schnellstmöglich erweitert werden. Grund sei die hohe Zahl von Nutzern in München und anderen Teilen der Republik gewesen, in denen es Unwetter gab. Zeitweise war der Dienst nicht erreichbar.

Und das ist, milde gesagt, untertrieben.

An jedem ereignislosen Tag ist die App schon mit relativ harmlosen Gewitter-Meldungen überfordert. Öffne ich eine Gewitter-Benachrichtigung in dem Moment, in dem sie eingeht, ist der Server oft genug nicht erreichbar. Wenn dann eine Viertelmillion Menschen gleichzeitig den Warnhinweis lesen will, ist das System natürlich erst recht überfordert. Erst einige Minuten später war die Meldung dann abrufbar. Sooft am Freitag eine neue Welle von Benachrichtigungen einging, war der Dienst wieder nicht erreichbar.

katwarn-loading

Dazu erscheint mir die behördliche Organisation verquer: In München wurden scheinbar von verschiedenen Seiten ähnliche, aber redundante Meldungen eingestellt.

Hat man mehrere Postleitzahlen innerhalb der Stadt abonniert (z.B. für Büro und Wohnung), werden diese scheinbar auch nicht dedupliziert. Geht eine Warnung für das ganze Stadtgebiet ein, wird mehrfach benachrichtigt. Bei mir führte das dann zu etwa 20 Benachrichtigungen innerhalb von wenigen Minuten, ohne dass ich deren Inhalt hätte lesen können.

katwarn-notification-center

Wie das System via SMS funktioniert hat, kann ich nicht beurteilen, ergänze ich aber gerne, wenn sich Leser dazu melden.

Die Architektur dieses Dienstes scheint mir auf mehreren Ebenen fragwürdig zu sein, deswegen hier mehrere Verbesserungsvorschläge.

Am Freitag war in der Push-Benachrichtigung nur “Sonderfall” ohne weitere Erklärung zu lesen. Der wichtigere Hinweis “Zu Hause bleiben” war zunächst nicht sichtbar.

Warum nicht die Push-Infrastruktur von Android und iOS nutzen, und den ausführlichen Beschreibungstext mit der Push-Benachrichtigung mitsenden? Sollte der Server im Anschluss wegen Überlastung nicht erreichbar sein, wäre zumindest der Text mit bis zu etwa 2000 Zeichen sichtbar. Die Push-Infrastruktur von Google und Apple kippt vermutlich erst lange nach dem behördlich genutzten Server um.

Die Stadt und der Landkreis haben unglaublich langsam reagiert. Die Polizei München hat schon um 19:05 Uhr gewarnt, die Wohnung nicht zu verlassen.

Katwarn hat eine volle Stunde länger dafür gebraucht, in der leicht noch mehr Schaden hätte entstehen können. Zudem war zumindest eine der Meldungen mit 19:45 Uhr datiert, wurde aber erst rund 20 Minuten später ausgeliefert. Warum kann die Polizei nicht selbst eine Warnung verschicken, oder hat einen direkten Kanal zu Landkreis oder Stadt?

katwarn-sonderfall

Nur wer die App installiert hat oder sich für den SMS-Dienst angemeldet hat, bekommt Benachrichtigungen.

Es gibt einen Mechanismus im Mobilfunknetz, der für ähnliche Warnungen genutzt werden könnte: Cell Broadcast. Eine einzige Meldung könnte an alle Mobilfunkgeräte in einer bestimmten Umgebung gesendet werden. In den USA läuft das unter Wireless Emergency Alerts und wird für Gefahren durch Wetter oder Terror und bei Kindesentführungen genutzt. Dieser Mechanismus ignoriert beispielsweise den lautlosen Nacht-Modus auf dem iPhone und ist deswegen nicht allseits beliebt oder ganz unumstritten.

All das unter der Annahme, dass ein solches Warnsystem tatsächlich einen Nutzen hat (glaube ich) bzw. verantwortungsvoll genutzt wird (hoffe ich). Wird unüberlegt eine Warnung in ein Gedränge geschickt, könnten sich die Menschen vermutlich auch leicht in einer Massenpanik tottrampeln.