unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Regionalleitstelle Oderland

Anfrage an: Stadtverwaltung Frankfurt (Oder)

Fragen an das Amt für Brand-, Katastrophenschutz und Rettungswesen:

Die Fachzeitschrift c't berichtete am 23.10.20 unter
https://www.heise.de/select/ct/2020/23/2024809442273661482
über eine Sicherheitslücke im Programm "BosMon".

"BosMon" ist ein kostenloses Programm zum Dekodieren von ZVEI-,FMS-und POCSAG-Telegrammen, wie sie bei bei der Alarmierung von Feuerwehr und Rettungsdienst im BOS-Funk zum Einsatz kommen.
Damit können Alarmierungen und Statusmeldungen von Feuerwehr und Rettungsdienst an einem PC angezeigt und verarbeitet werden.
Über die integrierte Anbindung an Dienste wie SMS, Prowl, NMA sowie durch die App BosMon Mobile können Einheiten automatisch oder manuell alarmiert werden.

Die Sicherheitslücke bestand - wie oben berichtet - darin, dass der jeweilige "BosMon"-webserver über das Internet ohne Passwort oder Zugangsdaten erreichbar war.
Die webserver waren über Suchmaschinen wie z.B. censys.io leicht auffindbar.

Über den ungeschützen webserver-Zugang war es möglich, Einblick in die Alarmierung des jeweiligen Landkreises im Klartext zu erhalten.
Die Sicherheitslücke der verschiedenen webserver wurde bis Mitte 2022 nach und nach weitgehend geschlossen.

Beim Einblick in die webserver in den verschiedenen Landkreisen fiel auf, dass oftmals unverschlüsselte digitale Alarmierung nach dem POCSAG-Standard verwendet wurde (Eintrag "POCSAG" in der Spalte "Kanal" in der webserver-Darstellung.)
Dargestellt wurden dabei die personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und teilweise auch deren Gesundheitsdaten (z.B. das Symptom) in Klartext.

Das Problem der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten im BOS-Funk wurde bereits mehrfach medial thematisiert, siehe z.B.:
https://northeim-jetzt.de/northeimer-kreisverwaltung-hat-aerger-mit-der-landesbehoerde-fuer-datenschutz/
und
https://www.golem.de/news/behoerdenfunk-patientendaten-von-rettungsdiensten-ungeschuetzt-im-internet-1807-135622.html

Meine Fragen bezogen auf den Bereich der Regionalleitstelle Oderland:

1) In welchem Umfang kommt unverschlüsselte digitale Alarmierung zum Einsatz ?

2) Werden hier ggf. auch personenbezogene Daten der Patienten (wie Name, Adresse, Geo-Koordinaten, Alter) und deren Gesundheitsdaten unverschlüsselt in Klartext übermittelt ?

3) Wie ist der Zeitplan für die Umstellung auf verschlüsselte digitale Alarmierung (z.B. mittels Verwendung von IDEA-Verschlüsselung im bestehenden POCSAG-Netz oder Alarmierung über TETRA-Digitalfunk) ?

Vielen Dank.

Anfrage erfolgreich

  • Datum
    1. Februar 2023
  • Frist
    4. März 2023
  • 0 Follower:innen
  • Anfrage teilen
    Twitter Mastodon Kurzlink kopieren
  • RSS-Feed
Alle einklappen Alle ausklappen Zum Ende
<< Anfragesteller:in >>
am 01.02.2023
Antrag nach dem Akteneinsichts- und Informationszugangsgesetz (AIG), BbgUIG, VIG Guten Tag, bitte senden Sie mi…
An Stadtverwaltung Frankfurt (Oder) Details
Von
<< Anfragesteller:in >>
Betreff
unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Regionalleitstelle Oderland [#269255]
Datum
1. Februar 2023 22:05
An
Stadtverwaltung Frankfurt (Oder)
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem Akteneinsichts- und Informationszugangsgesetz (AIG), BbgUIG, VIG Guten Tag, bitte senden Sie mir Folgendes zu:
Fragen an das Amt für Brand-, Katastrophenschutz und Rettungswesen: Die Fachzeitschrift c't berichtete am 23.10.20 unter https://www.heise.de/select/ct/2020/23/2024809442273661482 über eine Sicherheitslücke im Programm "BosMon". "BosMon" ist ein kostenloses Programm zum Dekodieren von ZVEI-,FMS-und POCSAG-Telegrammen, wie sie bei bei der Alarmierung von Feuerwehr und Rettungsdienst im BOS-Funk zum Einsatz kommen. Damit können Alarmierungen und Statusmeldungen von Feuerwehr und Rettungsdienst an einem PC angezeigt und verarbeitet werden. Über die integrierte Anbindung an Dienste wie SMS, Prowl, NMA sowie durch die App BosMon Mobile können Einheiten automatisch oder manuell alarmiert werden. Die Sicherheitslücke bestand - wie oben berichtet - darin, dass der jeweilige "BosMon"-webserver über das Internet ohne Passwort oder Zugangsdaten erreichbar war. Die webserver waren über Suchmaschinen wie z.B. censys.io leicht auffindbar. Über den ungeschützen webserver-Zugang war es möglich, Einblick in die Alarmierung des jeweiligen Landkreises im Klartext zu erhalten. Die Sicherheitslücke der verschiedenen webserver wurde bis Mitte 2022 nach und nach weitgehend geschlossen. Beim Einblick in die webserver in den verschiedenen Landkreisen fiel auf, dass oftmals unverschlüsselte digitale Alarmierung nach dem POCSAG-Standard verwendet wurde (Eintrag "POCSAG" in der Spalte "Kanal" in der webserver-Darstellung.) Dargestellt wurden dabei die personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und teilweise auch deren Gesundheitsdaten (z.B. das Symptom) in Klartext. Das Problem der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten im BOS-Funk wurde bereits mehrfach medial thematisiert, siehe z.B.: https://northeim-jetzt.de/northeimer-kreisverwaltung-hat-aerger-mit-der-landesbehoerde-fuer-datenschutz/ und https://www.golem.de/news/behoerdenfunk-patientendaten-von-rettungsdiensten-ungeschuetzt-im-internet-1807-135622.html Meine Fragen bezogen auf den Bereich der Regionalleitstelle Oderland: 1) In welchem Umfang kommt unverschlüsselte digitale Alarmierung zum Einsatz ? 2) Werden hier ggf. auch personenbezogene Daten der Patienten (wie Name, Adresse, Geo-Koordinaten, Alter) und deren Gesundheitsdaten unverschlüsselt in Klartext übermittelt ? 3) Wie ist der Zeitplan für die Umstellung auf verschlüsselte digitale Alarmierung (z.B. mittels Verwendung von IDEA-Verschlüsselung im bestehenden POCSAG-Netz oder Alarmierung über TETRA-Digitalfunk) ? Vielen Dank.
Dies ist ein Antrag nach dem Akteneinsichts- und Informationszugangsgesetz Brandenburg (AIG), dem Brandenburgischen Umweltinformationsgesetz (soweit Umweltinformationen betroffen sind) und dem Verbraucherinformationsgesetz (soweit Verbraucherinformationen betroffen sind). Sollte dieser Antrag Ihres Erachtens gebührenpflichtig sein, bitte ich Sie, mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben. Meines Erachtens handelt es sich bei dieser Anfrage um einen einfachen Fall, der darum nach der Akteneinsichts- und Informationszugangsgebührenordnung (AIGGebO) kostenfrei zu beantworten ist. Mit Verweis auf § 6 Abs. 1 AIG möchte ich Sie um eine unverzügliche Antwort bitten, spätestens aber innerhalb eines Monats. Sollten Sie für diesen Antrag nicht zuständig sein, bitte ich Sie, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an sonstige Dritte. Mit Verweis auf AIG §7 Abs. 3 möchte ich Sie hiermit um eine Antwort per E-Mail bitten. Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> Anfragenr: 269255 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/269255/ Postanschrift << Antragsteller:in >> << Antragsteller:in >> << Adresse entfernt >> << Adresse entfernt >>
Mit freundlichen Grüßen << Anfragesteller:in >>
Noch keine Kommentare. Please login to write a comment.
Stadtverwaltung Frankfurt (Oder)
am 06.02.2023
Betreff: WG: unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Regionalleitstelle Oderl…
Details
Von
Stadtverwaltung Frankfurt (Oder)
Betreff
WG: unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Regionalleitstelle Oderland [#269255]
Datum
6. Februar 2023 12:20
Status
Anfrage abgeschlossen
Betreff: WG: unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Regionalleitstelle Oderland [#269255] WARNUNG: Diese E-Mail kam von außerhalb der Organisation. Klicken Sie nicht auf Links oder öffnen Sie keine Anhänge, es sei denn, Sie kennen den Absender und wissen, dass der Inhalt sicher ist. Sehr << Antragsteller:in >> hiermit beantworte ich Ihre Anfrage wie folgt: Im Bereich der Regionalleitstelle "Oderland" werden in den Behördenfunknetzen der digitalen Alarmierung im POCSAG-Standard personenbezogene Einsatzdaten ausschließlich verschlüsselt übertragen. (Swissphone-IDEA, EuroBOS-AES u.ä.). Unverschlüsselte Alarmwege im Bereich der digitalen Alarmierung, welche teilweise noch für einzelne Kommunen im Bereich der Feuerwehralarmierung zum Einsatz kommen, enthalten keine personenbezogenen Informationen. Die hier verwendeten Meldetexte enthalten weder Hausnummern noch personenbezogene Daten. Die Regionalleitstelle "Oderland" bietet seit mehreren Jahren Verschlüsselungsverfahren für unterschiedliche Endgerätetypen an. Für die Endgerätebeschaffung sind die Aufgabenträger auf kommunaler Ebene und auf der Ebene der unteren Katastrophenschutzbehörden zuständig. Mit freundlichen Grüßen
Noch keine Kommentare. Please login to write a comment.

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

<< Anfragesteller:in >>
am 07.02.2023
Sehr << Anrede >> vielen Dank für das Bearbeiten meiner Anfrage und Ihre ausführliche Antwort. Mit f…
An Stadtverwaltung Frankfurt (Oder) Details
Von
<< Anfragesteller:in >>
Betreff
AW: WG: unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Regionalleitstelle Oderland [#269255]
Datum
7. Februar 2023 17:34
An
Stadtverwaltung Frankfurt (Oder)
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> vielen Dank für das Bearbeiten meiner Anfrage und Ihre ausführliche Antwort. Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> Anfragenr: 269255 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/269255/ Postanschrift << Antragsteller:in >> << Antragsteller:in >> << Adresse entfernt >> << Adresse entfernt >>
Noch keine Kommentare. Please login to write a comment.