Wahlprüfsteine

Am 14. März sind Landtagswahlen in Baden-Württemberg. Wie stehen die Parteien zur Informationsfreiheit?

zu unseren Wahlprüfsteinen

unverschlüsselte Alarmierung von Feuerwehr + Rettungsdienst in Baden-Württemberg

Anfrage an:
Ministerium für Inneres, Digitalisierung und Migration Baden-Württemberg
Verwendete Gesetze:
Status dieser Anfrage:
Anfrage erfolgreich
Zusammenfassung der Anfrage

Die Fachzeitschrift c't berichtete am 23.10.20 unter
https://www.heise.de/select/ct/2020/23/…
über eine Sicherheitslücke im Programm "BosMon".

"BosMon" ist ein kostenloses Programm zum Dekodieren von ZVEI-,FMS-und POCSAG-Telegrammen, wie sie bei bei der Alarmierung von Feuerwehr und Rettungsdienst im BOS-Funk zum Einsatz kommen.
Damit können Alarmierungen und Statusmeldungen von Feuerwehr und Rettungsdienst an einem PC angezeigt und verarbeitet werden.
Über die integrierte Anbindung an Dienste wie SMS, Prowl, NMA sowie durch die App BosMon Mobile können Einheiten automatisch oder manuell alarmiert werden.

Die Sicherheitslücke bestand - wie oben berichtet - darin, dass der jeweilige "BosMon"-webserver über das Internet ohne Passwort oder Zugangsdaten erreichbar war.
Die webserver waren über Dienste wie z.B. censys.io leicht auffindbar.

Über den ungeschützen webserver-Zugang war es möglich, Einblick in die Alarmierung des jeweiligen Landkreises im Klartext zu erhalten.
Die Sicherheitslücke der verschiedenen webserver wurde bis Ende 2020 nach und nach weitgehend geschlossen.

Beim Einblick in die webserver in den verschiedenen Landkreisen fiel auf, dass oftmals unverschlüsselte digitale Alarmierung nach dem POCSAG-Standard verwendet wurde (Eintrag "POCSAG" in der Spalte "Kanal" in der webserver-Darstellung.)
Dargestellt wurden dabei die persönlichen Daten der Patienten (Name, Adresse, Alter) und teilweise auch deren Gesundheitsdaten (z.B. das Symptom) in Klartext.

Das Problem der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten im BOS-Funk wurde bereits mehrfach medial thematisiert, siehe z.B.:
https://www.golem.de/news/behoerdenfunk…
und
https://www.ndr.de/ratgeber/verbraucher…

Das Telekommunikationsgesetz (TKG) schreibt in
"§ 109 Technische Schutzmaßnahmen
(1) Jeder Diensteanbieter hat erforderliche technische Vorkehrungen und sonstige Maßnahmen zu treffen
1. zum Schutz des Fernmeldegeheimnisses und
2. gegen die Verletzung des Schutzes personenbezogener Daten.
Dabei ist der Stand der Technik zu berücksichtigen."

Nach meiner Einschätzung ist der "Stand der Technik" bei der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten im Klartext nicht gegeben.
Daraus würde folgen, dass die jeweilige Rettungsleitstelle bzw. deren Träger bei der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten gegen das TKG verstößt.

Meine Fragen:

1) In wievielen der 34 Leitstellen in Baden-Württemberg kommt die unverschlüsselte digitale POCSAG-Alarmierung von Feuerwehr und Rettungdienst aktuell zum Einsatz ?
Bei meiner Analyse der frei zugänglichen BosMon-webserver waren es - Stand November 2020 - mindestens 2 Leitstellen.

2) Teilen Sie mein Verständnis, dass bei unverschlüsselter Übertragung von Patientendaten und Gesundheitsdaten die jeweilige Rettungsleitstelle bzw. deren Träger gegen § 109 TKG verstößt ?

3) Wie ist der Zeitplan für die Umstellung auf verschlüsselte digitale Alarmierung (z.B. mittels e*BOS oder TETRA-Digitalfunk) in den betroffenen Rettungsleitstellen ?

Vielen Dank.


Korrespondenz

Von
<< Anfragesteller/in >>
Betreff
unverschlüsselte Alarmierung von Feuerwehr + Rettungsdienst in Baden-Württemberg [#208893]
Datum
17. Januar 2021 00:38
An
Ministerium für Inneres, Digitalisierung und Migration Baden-Württemberg
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.

Antrag nach dem LIFG/UVwG/VIG Sehr geehrteAntragsteller/in bitte senden Sie mir Folgendes zu:
Die Fachzeitschrift c't berichtete am 23.10.20 unter https://www.heise.de/select/ct/2020/23/2024809442273661482 über eine Sicherheitslücke im Programm "BosMon". "BosMon" ist ein kostenloses Programm zum Dekodieren von ZVEI-,FMS-und POCSAG-Telegrammen, wie sie bei bei der Alarmierung von Feuerwehr und Rettungsdienst im BOS-Funk zum Einsatz kommen. Damit können Alarmierungen und Statusmeldungen von Feuerwehr und Rettungsdienst an einem PC angezeigt und verarbeitet werden. Über die integrierte Anbindung an Dienste wie SMS, Prowl, NMA sowie durch die App BosMon Mobile können Einheiten automatisch oder manuell alarmiert werden. Die Sicherheitslücke bestand - wie oben berichtet - darin, dass der jeweilige "BosMon"-webserver über das Internet ohne Passwort oder Zugangsdaten erreichbar war. Die webserver waren über Dienste wie z.B. censys.io leicht auffindbar. Über den ungeschützen webserver-Zugang war es möglich, Einblick in die Alarmierung des jeweiligen Landkreises im Klartext zu erhalten. Die Sicherheitslücke der verschiedenen webserver wurde bis Ende 2020 nach und nach weitgehend geschlossen. Beim Einblick in die webserver in den verschiedenen Landkreisen fiel auf, dass oftmals unverschlüsselte digitale Alarmierung nach dem POCSAG-Standard verwendet wurde (Eintrag "POCSAG" in der Spalte "Kanal" in der webserver-Darstellung.) Dargestellt wurden dabei die persönlichen Daten der Patienten (Name, Adresse, Alter) und teilweise auch deren Gesundheitsdaten (z.B. das Symptom) in Klartext. Das Problem der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten im BOS-Funk wurde bereits mehrfach medial thematisiert, siehe z.B.: https://www.golem.de/news/behoerdenfunk-patientendaten-von-rettungsdiensten-ungeschuetzt-im-internet-1807-135622.html und https://www.ndr.de/ratgeber/verbraucher/Brisante-Patientendaten-fuer-jeden-zugaenglich,datenschutz446.html Das Telekommunikationsgesetz (TKG) schreibt in "§ 109 Technische Schutzmaßnahmen (1) Jeder Diensteanbieter hat erforderliche technische Vorkehrungen und sonstige Maßnahmen zu treffen 1. zum Schutz des Fernmeldegeheimnisses und 2. gegen die Verletzung des Schutzes personenbezogener Daten. Dabei ist der Stand der Technik zu berücksichtigen." Nach meiner Einschätzung ist der "Stand der Technik" bei der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten im Klartext nicht gegeben. Daraus würde folgen, dass die jeweilige Rettungsleitstelle bzw. deren Träger bei der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten gegen das TKG verstößt. Meine Fragen: 1) In wievielen der 34 Leitstellen in Baden-Württemberg kommt die unverschlüsselte digitale POCSAG-Alarmierung von Feuerwehr und Rettungdienst aktuell zum Einsatz ? Bei meiner Analyse der frei zugänglichen BosMon-webserver waren es - Stand November 2020 - mindestens 2 Leitstellen. 2) Teilen Sie mein Verständnis, dass bei unverschlüsselter Übertragung von Patientendaten und Gesundheitsdaten die jeweilige Rettungsleitstelle bzw. deren Träger gegen § 109 TKG verstößt ? 3) Wie ist der Zeitplan für die Umstellung auf verschlüsselte digitale Alarmierung (z.B. mittels e*BOS oder TETRA-Digitalfunk) in den betroffenen Rettungsleitstellen ? Vielen Dank.
Dies ist ein Antrag auf Aktenauskunft nach § 1 Abs. 2 des Landesinformationsfreiheitsgesetzes (LIFG), nach § 25 des Umweltverwaltungsgesetzes (UVwG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 Umweltinformationsgesetzes des Bundes (UIG) betroffen sind, sowie nach § 2 Abs. 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Verbraucherinformationen betroffen sind. Sollte die Aktenauskunft Ihres Erachtens gebührenpflichtig sein, bitte ich, mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben. Es handelt sich meines Erachtens um eine einfache Auskunft bei geringfügigem Aufwand. Gebühren fallen somit nicht an. Ich verweise auf § 7 Abs. 7 LIFG/§243 Abs. 3 UVwG/§ 5 Abs. 2 VIG und bitte, mir die erbetenen Informationen unverzüglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, bitte ich, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Ich bitte um eine Antwort in elektronischer Form (E-Mail) und um eine Empfangsbestätigung. Vielen Dank für Ihre Mühe! Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 208893 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/208893/ Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >> << Adresse entfernt >>
Mit freundlichen Grüßen << Anfragesteller/in >>
Von
Ministerium für Inneres, Digitalisierung und Migration Baden-Württemberg
Betreff
AW: unverschlüsselte Alarmierung von Feuerwehr + Rettungsdienst in Baden-Württemberg [#208893]
Datum
20. Januar 2021 15:56
Status
Warte auf Antwort

Sehr geehrteAntragsteller/in Ihre Anfrage vom 17. Januar 2021 haben wir erhalten und hausintern an die zuständige Stelle zur Beantwortung weitergeleitet. Mit freundlichen Grüßen
Von
Ministerium für Inneres, Digitalisierung und Migration Baden-Württemberg
Betreff
WG: unverschlüsselte Alarmierung von Feuerwehr + Rettungsdienst in Baden-Württemberg [#208893]
Datum
28. Januar 2021 11:08
Status
Anfrage abgeschlossen

Sehr geehrteAntragsteller/in Ihre Anfrage nach dem Landesinformationsfreiheitsgesetz (LIFG) haben wir erhalten. Wir können Ihre Fragen mit den hier vorliegenden Kenntnissen wie folgt beantworten: 1) In wievielen der 34 Leitstellen in Baden-Württemberg kommt die unverschlüsselte digitale POCSAG-Alarmierung von Feuerwehr und Rettungdienst aktuell zum Einsatz ? Bei meiner Analyse der frei zugänglichen BosMon-webserver waren es - Stand November 2020 - mindestens 2 Leitstellen. Nach § 4 Absatz 3 Feuerwehrgesetz für Baden-Württemberg sind die Stadt- und Landkreise für den Aufbau und Betrieb von Kommunikationsnetzen für die Feuerwehren zuständig. Der Rettungsdienst in Baden-Württemberg wird von den Rettungsdienstorganisationen als gesetzliche Leistungsträger und den Kostenträgern eigenständig und eigenverantwortlich wahrgenommen. Der Betrieb der Leitstellen wurde vom Land dem Deutschen Roten Kreuz übertragen. Im Rahmen dieser Aufgabenwahrnehmung sind diese auch für die dazu notwendige Kommunikation zuständig. Aktuelle Daten zur Umsetzung der Verschlüsselung in den einzelnen Alarmierungsnetzen bzw. zum Zeitplan einer eventuellen Einführung der Verschlüsselung liegen daher nur dem jeweiligen Betreiber des Kommunikationsnetzes vor. 2) Teilen Sie mein Verständnis, dass bei unverschlüsselter Übertragung von Patientendaten und Gesundheitsdaten die jeweilige Rettungsleitstelle bzw. deren Träger gegen § 109 TKG verstößt ? Die Bewertung der erforderlichen Sicherheit bei der Übertragung hängt grundsätzlich von der Art und dem Schutzbedarf der jeweils übertragenen Daten ab. Eine entsprechende Bewertung ist durch die Betreiber der Kommunikationsnetze zu treffen. 3) Wie ist der Zeitplan für die Umstellung auf verschlüsselte digitale Alarmierung (z.B. mittels e*BOS oder TETRA-Digitalfunk) in den betroffenen Rettungsleitstellen ? Siehe unter Ziffer 1. Mit freundlichen Grüßen

Unterstützen Sie unsere Arbeit!

Mit Ihrer Spende halten Sie die Plattform am Laufen, ermöglichen neue Features sowie Support vom FragDenStaat-Team. Kämpfen Sie mit uns für mehr Transparenz in Politik und Verwaltung!

Jetzt spenden

Von
<< Anfragesteller/in >>
Betreff
AW: WG: unverschlüsselte Alarmierung von Feuerwehr + Rettungsdienst in Baden-Württemberg [#208893]
Datum
28. Januar 2021 18:48
An
Ministerium für Inneres, Digitalisierung und Migration Baden-Württemberg
Status
E-Mail wurde erfolgreich versendet.

Sehr geehrter Antragsteller/in vielen Dank für das Bearbeiten meiner Anfrage und Ihre Recherche. Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 208893 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/208893/ Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >> << Adresse entfernt >>