unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Leitstelle für Feuerwehr, Katastrophenschutz und Rettungsdienst Bonn

Die Fachzeitschrift c't berichtete am 23.10.20 unter
https://www.heise.de/select/ct/2020/23/2024809442273661482
über eine Sicherheitslücke im Programm "BosMon".

"BosMon" ist ein kostenloses Programm zum Dekodieren von ZVEI-,FMS-und POCSAG-Telegrammen, wie sie bei bei der Alarmierung von Feuerwehr und Rettungsdienst im BOS-Funk zum Einsatz kommen.
Damit können Alarmierungen und Statusmeldungen von Feuerwehr und Rettungsdienst an einem PC angezeigt und verarbeitet werden.
Über die integrierte Anbindung an Dienste wie SMS, Prowl, NMA sowie durch die App BosMon Mobile können Einheiten automatisch oder manuell alarmiert werden.

Die Sicherheitslücke bestand - wie oben berichtet - darin, dass der jeweilige "BosMon"-webserver über das Internet ohne Passwort oder Zugangsdaten erreichbar war.
Die webserver waren über Suchmaschinen wie z.B. censys.io leicht auffindbar.

Über den ungeschützen webserver-Zugang war es möglich, Einblick in die Alarmierung des jeweiligen Landkreises im Klartext zu erhalten.
Die Sicherheitslücke der verschiedenen webserver wurde bis Anfang 2022 nach und nach weitgehend geschlossen.

Beim Einblick in die webserver in den verschiedenen Landkreisen fiel auf, dass oftmals unverschlüsselte digitale Alarmierung nach dem POCSAG-Standard verwendet wurde (Eintrag "POCSAG" in der Spalte "Kanal" in der webserver-Darstellung.)
Dargestellt wurden dabei die personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und teilweise auch deren Gesundheitsdaten (z.B. das Symptom) in Klartext.

Das Problem der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten im BOS-Funk wurde bereits mehrfach medial thematisiert, siehe z.B.:
https://northeim-jetzt.de/northeimer-kreisverwaltung-hat-aerger-mit-der-landesbehoerde-fuer-datenschutz/
und
https://www.golem.de/news/behoerdenfunk-patientendaten-von-rettungsdiensten-ungeschuetzt-im-internet-1807-135622.html

Meine Fragen bezogen auf den Bereich der Leitstelle für Feuerwehr, Katastrophenschutz und Rettungsdienst Bonn:

1) In welchem Umfang kommt unverschlüsselte digitale Alarmierung zum Einsatz ?

2) Werden hier ggf. auch personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und deren Gesundheitsdaten unverschlüsselt in Klartext übermittelt ?

3) Wie ist der Zeitplan für die Umstellung auf verschlüsselte digitale Alarmierung (z.B. mittels Verwendung von IDEA-Verschlüsselung im bestehenden POCSAG-Netz oder Alarmierung über TETRA-Digitalfunk) ?

Vielen Dank.

Anfrage erfolgreich

  • Datum
    24. März 2022
  • Frist
    27. April 2022
  • 2 Follower:innen
<< Anfragesteller:in >>
Antrag nach dem Informationsfreiheitsgesetz NRW, UIG NRW, VIG Sehr geehrte Damen und Herren, bitte senden Sie m…
An Kommunalverwaltung Bonn Details
Von
<< Anfragesteller:in >>
Betreff
unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Leitstelle für Feuerwehr, Katastrophenschutz und Rettungsdienst Bonn [#244564]
Datum
24. März 2022 23:40
An
Kommunalverwaltung Bonn
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem Informationsfreiheitsgesetz NRW, UIG NRW, VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:
Die Fachzeitschrift c't berichtete am 23.10.20 unter https://www.heise.de/select/ct/2020/23/2024809442273661482 über eine Sicherheitslücke im Programm "BosMon". "BosMon" ist ein kostenloses Programm zum Dekodieren von ZVEI-,FMS-und POCSAG-Telegrammen, wie sie bei bei der Alarmierung von Feuerwehr und Rettungsdienst im BOS-Funk zum Einsatz kommen. Damit können Alarmierungen und Statusmeldungen von Feuerwehr und Rettungsdienst an einem PC angezeigt und verarbeitet werden. Über die integrierte Anbindung an Dienste wie SMS, Prowl, NMA sowie durch die App BosMon Mobile können Einheiten automatisch oder manuell alarmiert werden. Die Sicherheitslücke bestand - wie oben berichtet - darin, dass der jeweilige "BosMon"-webserver über das Internet ohne Passwort oder Zugangsdaten erreichbar war. Die webserver waren über Suchmaschinen wie z.B. censys.io leicht auffindbar. Über den ungeschützen webserver-Zugang war es möglich, Einblick in die Alarmierung des jeweiligen Landkreises im Klartext zu erhalten. Die Sicherheitslücke der verschiedenen webserver wurde bis Anfang 2022 nach und nach weitgehend geschlossen. Beim Einblick in die webserver in den verschiedenen Landkreisen fiel auf, dass oftmals unverschlüsselte digitale Alarmierung nach dem POCSAG-Standard verwendet wurde (Eintrag "POCSAG" in der Spalte "Kanal" in der webserver-Darstellung.) Dargestellt wurden dabei die personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und teilweise auch deren Gesundheitsdaten (z.B. das Symptom) in Klartext. Das Problem der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten im BOS-Funk wurde bereits mehrfach medial thematisiert, siehe z.B.: https://northeim-jetzt.de/northeimer-kreisverwaltung-hat-aerger-mit-der-landesbehoerde-fuer-datenschutz/ und https://www.golem.de/news/behoerdenfunk-patientendaten-von-rettungsdiensten-ungeschuetzt-im-internet-1807-135622.html Meine Fragen bezogen auf den Bereich der Leitstelle für Feuerwehr, Katastrophenschutz und Rettungsdienst Bonn: 1) In welchem Umfang kommt unverschlüsselte digitale Alarmierung zum Einsatz ? 2) Werden hier ggf. auch personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und deren Gesundheitsdaten unverschlüsselt in Klartext übermittelt ? 3) Wie ist der Zeitplan für die Umstellung auf verschlüsselte digitale Alarmierung (z.B. mittels Verwendung von IDEA-Verschlüsselung im bestehenden POCSAG-Netz oder Alarmierung über TETRA-Digitalfunk) ? Vielen Dank.
Dies ist ein Antrag nach dem Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen (Informationsfreiheitsgesetz Nordrhein-Westfalen – IFG NRW), dem Umweltinformationsgesetz Nordrhein-Westfalen (soweit Umweltinformationen betroffen sind) und dem Verbraucherinformationsgesetz des Bundes (soweit Verbraucherinformationen betroffen sind). Ausschlussgründe liegen meines Erachtens nicht vor. Aus Gründen der Billigkeit und insbesondere auf Grund des Umstands, dass die Auskunft in gemeinnütziger Art der Öffentlichkeit zur Verfügung gestellt werden wird, bitte ich Sie, nach § 2 VerwGebO IFG NRW von der Erhebung von Gebühren abzusehen. Soweit Umweltinformationen betroffen sind, handelt es sich hierbei um eine einfache Anfrage nach §5 (2) UIG NRW. Sollte die Aktenauskunft Ihres Erachtens gebührenpflichtig sein, bitte ich Sie, mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben. Auslagen dürfen nicht erhoben werden, da es dafür keine gesetzliche Grundlage gibt. Ich verweise auf § 5 Abs. 2 IFG NRW, § 2 UIG NRW und bitte Sie, mir die erbetenen Informationen unverzüglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, möchte ich Sie bitten, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Nach §5 Abs. 1 Satz 5 IFG NRW bitte ich Sie um eine Antwort in elektronischer Form (E-Mail). Ich möchte Sie um Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 244564 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/244564/ Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >> << Adresse entfernt >>
Mit freundlichen Grüßen << Anfragesteller:in >>
Kommunalverwaltung Bonn
Sehr Antragsteller/in vielen Dank für Ihre gestrige Anfrage nach dem Informationsfreiheitsgesetz NRW (IFG NRW), d…
Von
Kommunalverwaltung Bonn
Betreff
WG: unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Leitstelle für Feuerwehr, Katastrophenschutz und Rettungsdienst Bonn [#244564]
Datum
25. März 2022 10:55
Status
Warte auf Antwort
image001.png
5,2 KB
image002.png
20,9 KB


Sehr Antragsteller/in vielen Dank für Ihre gestrige Anfrage nach dem Informationsfreiheitsgesetz NRW (IFG NRW), die zuständigkeitshalber zur Bearbeitung an mich weitergeleitet wurde und deren Eingang ich Ihnen hiermit bestätige. Sie möchten wissen, ob im Bereich von Feuerwehr und Rettungsdienst eine unverschlüsselte digitale Alarmierung zum Einsatz kommt, ob dabei personenbezogene Daten übermittelt werden und mit welcher zeitlichen Perspektive eine Umstellung geplant ist. Ich möchte Sie darauf hinweisen, dass der Anspruch nach § 4 Abs. 1 IFG NRW auf die bei der Bundesstadt Bonn vorhandenen Informationen beschränkt ist und nicht schrankenlos besteht. Zunächst werde ich Rücksprache mit den einzubeziehenden Fachämtern halten. Nachdem ich von dort die entsprechende Rückmeldung erhalten habe, werde ich mich wieder bei Ihnen melden. Ich weise rein vorsorglich darauf hin, dass im Falle einer positiven Bescheidung Ihres Antrags je nach Verwaltungsaufwand Gebühren erhoben werden können. Die grundsätzliche Gebührenpflicht ergibt sich aus § 11 Abs. 1 Satz 1 IFG NRW. Die Höhe der Gebühren richtet sich nach § 11 Abs. 1 S. 1, Abs. 2 S. 1 des IFG NRW i. V. m. § 1 der Verwaltungsgebührenordnung zum IFG NRW vom 19.02.2002 i.V.m. der jeweiligen Tarifstelle des dazugehörigen Gebührentarifs. Die Einordnung richtet sich dann nach dem erforderlichen Vorbereitungsaufwand. Dass Sie die Informationen in gemeinnütziger Art zur Verfügung stellen wollen, führt nicht zu einer Befreiung von den Gebühren. Der Befreiungstatbestand in § 2 VerwGebO IFG NRW erfasst insbesondere Fälle sozialer Härte. Sollte Ihr Antrag abgelehnt werden, entstehen in keinem Fall Gebühren. Bei Nachfragen stehe ich gerne zur Verfügung. Mit freundlichen Grüßen
Kommunalverwaltung Bonn
Bundesstadt Bonn - Amt 30 - 53103 Bonn Die Oberbürgermeisterin Antragsteller/in Antragsteller/in << Adre…
Von
Kommunalverwaltung Bonn
Betreff
AW: unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Leitstelle für Feuerwehr, Katastrophenschutz und Rettungsdienst Bonn [#244564]
Datum
12. April 2022 12:21
Status
Anfrage abgeschlossen
image003.png
5,2 KB
image004.png
20,9 KB
image005.png
210 Bytes


Bundesstadt Bonn - Amt 30 - 53103 Bonn Die Oberbürgermeisterin Antragsteller/in Antragsteller/in << Adresse entfernt >> 87437 Kempten Per E-Mail an: <<E-Mail-Adresse>><mailto:<<E-Mail-Adresse>>> Amt für Recht und Versicherungen [rollstuhl-symbol-pos-bitmap] Bertha-von-Suttner-Platz 2-4 53111 Bonn Mein Zeichen 30-1 402/22 Datum 12.04.2022 Antrag nach dem Informationsfreiheitsgesetz NRW Ihr Informationsersuchen vom 24.03.2022 Sehr Antragsteller/in ich nehme Bezug auf Ihre Anfrage nach dem Informationsfreiheitsgesetz NRW (IFG NRW) vom 24.03.2022. Es ergeht folgender B E S CH E I D 1. Ich gewähre Ihnen Zugang zu den hier vorhandenen Informationen bezüglich der Nutzung unverschlüsselter digitaler Alarmierung von Feuerwehr und Rettungsdienst. 2. Dieser Bescheid ergeht gebührenfrei. B E G R Ü N D U N G Mit E-Mail vom 24.03.2022 beantragten Sie Informationen hinsichtlich der Nutzung unverschlüsselter digitaler Alarmierung, bezogen auf den Bereich der Leitstelle für Feuerwehr, Katastrophenschutz und Rettungsdienst Bonn. Gemäß § 4 Abs. 1 IFG NRW haben Sie nach Maßgabe des Gesetzes grundsätzlich Anspruch auf Zugang zu den bei der Bundesstadt Bonn vorhandenen amtlichen Informationen. Es bestehen keine spezielleren Anspruchsgrundlagen, die nach der Subsidiaritätsklausel des § 4 Abs. 2 IFG NRW dem hier verfolgten Anspruch vorgehen. Auf Ihre Fragen kann ich Ihnen Folgendes mitteilen: 1. In welchem Umfang kommt unverschlüsselte digitale Alarmierung zum Einsatz? Mit Ausnahme einzelner Aussendungen kommt auf dem Gebiet der Bundesstadt Bonn keine unverschlüsselte digitale Alarmierung mehr zum Einsatz. Diese einzelnen Aussendungen sind technisch bedingt und erfolgen an zwei ehrenamtliche, externe Organisationen. Die digitale Alarmierung von Feuerwehr und Rettungsdienst ist bereits seit mehreren Jahren vollständig mittels Swissphone DiCal-IDEA verschlüsselt. Die von Ihnen angesprochenen Sicherheitslücken beruhten hier jedenfalls nicht auf einer unverschlüsselten Alarmierung. Der genaue Hintergrund wird derzeit noch ermittelt. 2. Werden hier ggf. auch personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und deren Gesundheitsdaten unverschlüsselt in Klartext übermittelt? Nein. Es werden keine personenbezogenen Daten und keine Gesundheitsdaten unverschlüsselt im Klartext übermittelt. 3. Wie ist der Zeitplan für die Umstellung auf verschlüsselte digitale Alarmierung (z. B. mittels Verwendung von IDEA-Verschlüsselung im bestehenden POCSAG-Netz oder Alarmierung über TETRA-Digitalfunk? In den letzten Jahren erfolgte auf dem Gebiet der Bundesstadt Bonn bereits eine flächendeckende Umstellung der Aussendungen an die prioritär zu alarmierenden Stellen mit Ausnahme der oben genannten vereinzelten unverschlüsselten Nutzungen. Eine Umstellung der letzten Endgeräte auf eine verschlüsselte digitale Alarmierung ist in absehbarer Zeit beabsichtigt. Ein konkreter Zeitplan steht hierzu aber nicht fest und kann nicht einseitig festgelegt werden, da es dazu einer Abstimmung mit den beteiligten externen ehrenamtlichen Organisationen bedarf. Sollten Sie weitere Nachfragen haben, stehe ich gerne zur Verfügung. Rechtsbehelfsbelehrung Gegen diesen Bescheid kann innerhalb eines Monats nach Bekanntgabe Klage erhoben werden. Die Klage ist bei dem Verwaltungsgericht Köln, Appellhofplatz, 50667 Köln, schriftlich einzureichen oder zur Niederschrift des Urkundsbeamten der Geschäftsstelle zu erklären. Die Klage kann auch durch Übertragung eines elektronischen Dokuments an die elektronische Poststelle des Gerichts erhoben werden. Das elektronische Dokument muss für die Bearbeitung durch das Gericht geeignet sein. Es muss mit einer qualifizierten elektronischen Signatur der verantwortenden Person versehen sein oder von der verantwortenden Person signiert und auf einem sicheren Übermittlungsweg gemäß § 55a Absatz 4 Verwaltungsgerichtsordnung (VwGO) eingereicht werden. Weitere Voraussetzungen, insbesondere zu den zugelassenen Dateiformaten und Übermittlungswegen, sowie zur qualifizierten elektronischen Signatur, ergeben sich aus der Verordnung über die technischen Rahmenbedingungen des elektronischen Rechtsverkehrs und über das besondere elektronische Behördenpostfach (ERVV) in der jeweils gültigen Fassung. Über das Justizportal des Bundes und der Länder (www.justiz.de) können weitere Informationen über die Rechtsgrundlagen, Bearbeitungsvoraussetzungen und das Verfahren des elektronischen Rechtsverkehrs abgerufen werden. Ab dem 1. Januar 2022 sind vorbereitende Schriftsätze und deren Anlagen sowie schriftlich einzureichende Anträge und Erklärungen, die durch einen Rechtsanwalt, durch eine Behörde oder durch eine juristische Person des öffentlichen Rechts einschließlich der von ihr zur Erfüllung ihrer öffentlichen Aufgaben gebildeten Zusammenschlüsse eingereicht werden, als elektronisches Dokument zu übermitteln. Gleiches gilt für die nach diesem Gesetz vertretungsberechtigten Personen, für die ein sicherer Übermittlungsweg nach § 55a Abs. 4 Satz 1 Nr. 2 VwGO zur Verfügung steht. An dieser Stelle weise ich zudem darauf hin, dass Sie sich gem. § 13 Abs. 2 IFG NRW an die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen wenden können, um auf diese Weise eine unverzügliche Nachprüfung einer Ablehnungsentscheidung zu erreichen. Bitte beachten Sie, dass dadurch die Klagefrist nicht ausgesetzt wird. Sie haben außerdem die Möglichkeit, die Ombudsstelle der Bundesstadt Bonn als unabhängige Schlichtungsstelle anzurufen. Bitte beachten Sie, dass durch die Kontaktaufnahme mit der Ombudsstelle die Klagefrist nicht ausgesetzt wird. Weitere Informationen erhalten Sie unter 0228 – 77 44 33 oder auf www.bonn.de. Mit freundlichen Grüßen

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

<< Anfragesteller:in >>
Sehr << Anrede >> vielen Dank für das Bearbeiten meiner Anfrage und Ihre sehr ausführlichen Antworten…
An Kommunalverwaltung Bonn Details
Von
<< Anfragesteller:in >>
Betreff
AW: unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Leitstelle für Feuerwehr, Katastrophenschutz und Rettungsdienst Bonn [#244564]
Datum
13. April 2022 09:24
An
Kommunalverwaltung Bonn
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> vielen Dank für das Bearbeiten meiner Anfrage und Ihre sehr ausführlichen Antworten. Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 244564 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/244564/ Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >> << Adresse entfernt >>