unverschlüsselte Alarmierung von Feuerwehr + Rettungsdienst in Nordrhein-Westfalen

Anfrage an: Ministerium des Innern des Landes Nordrhein-Westfalen

Die Fachzeitschrift c't berichtete am 23.10.20 unter
https://www.heise.de/select/ct/2020/23/…
über eine Sicherheitslücke im Programm "BosMon".

"BosMon" ist ein kostenloses Programm zum Dekodieren von ZVEI-,FMS-und POCSAG-Telegrammen, wie sie bei bei der Alarmierung von Feuerwehr und Rettungsdienst im BOS-Funk zum Einsatz kommen.
Damit können Alarmierungen und Statusmeldungen von Feuerwehr und Rettungsdienst an einem PC angezeigt und verarbeitet werden.
Über die integrierte Anbindung an Dienste wie SMS, Prowl, NMA sowie durch die App BosMon Mobile können Einheiten automatisch oder manuell alarmiert werden.

Die Sicherheitslücke bestand - wie oben berichtet - darin, dass der jeweilige "BosMon"-webserver über das Internet ohne Passwort oder Zugangsdaten erreichbar war.
Die webserver waren über Dienste wie z.B. censys.io leicht auffindbar.

Über den ungeschützen webserver-Zugang war es möglich, Einblick in die Alarmierung des jeweiligen Landkreises im Klartext zu erhalten.
Die Sicherheitslücke der verschiedenen webserver wurde bis Ende 2020 nach und nach weitgehend geschlossen.

Beim Einblick in die webserver in den verschiedenen Landkreisen/Städten fiel auf, dass oftmals unverschlüsselte digitale Alarmierung nach dem POCSAG-Standard verwendet wurde bzw. werden (Eintrag "POCSAG" in der Spalte "Kanal" in der webserver-Darstellung.)
Dargestellt wurden dabei die persönlichen Daten der Patienten (Name, Adresse, Alter) und teilweise auch deren Gesundheitsdaten (z.B. das Symptom) in Klartext.

Das Problem der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten im BOS-Funk wurde bereits mehrfach medial thematisiert, siehe z.B.:
https://www.golem.de/news/behoerdenfunk…
und
https://www.ndr.de/ratgeber/verbraucher…

Das Telekommunikationsgesetz (TKG) schreibt in
"§ 109 Technische Schutzmaßnahmen
(1) Jeder Diensteanbieter hat erforderliche technische Vorkehrungen und sonstige Maßnahmen zu treffen
1. zum Schutz des Fernmeldegeheimnisses und
2. gegen die Verletzung des Schutzes personenbezogener Daten.
Dabei ist der Stand der Technik zu berücksichtigen."

Nach meiner Einschätzung ist der "Stand der Technik" bei der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten im Klartext nicht gegeben.
Daraus würde folgen, dass die jeweilige Rettungsleitstelle bzw. deren Träger bei der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten gegen das TKG verstößt.

Meine Fragen:

1) In wievielen Leitstellen in Nordrhein-Westfalen kommt die unverschlüsselte digitale POCSAG-Alarmierung von Feuerwehr und Rettungdienst aktuell zum Einsatz ?

2) Teilen Sie mein Verständnis, dass bei unverschlüsselter Übertragung von Patientendaten und Gesundheitsdaten die jeweilige Rettungsleitstelle bzw. deren Träger gegen § 109 TKG verstößt ?

3) Wie ist der Zeitplan für die Umstellung auf verschlüsselte digitale Alarmierung (z.B. mittels e*BOS oder TETRA-Digitalfunk) in den betroffenen Rettungsleitstellen ?

Vielen Dank.

Anfrage erfolgreich

Datum

29. Juli 2021
Frist

31. August 2021
0 Follower:innen

Erhalten Sie Benachrichtigungen per E-Mail

Sie erhalten per E-Mail Benachrichtigungen, sobald etwas bei dieser Anfrage passiert. Sie können die Benachrichtigungen jederzeit abbestellen.

Wenn Sie etwas hier eingeben, dann wird die Aktion nicht durchgeführt.

Was ist drei plus vier?

Bitte beantworten Sie diese Frage, um einen Beleg zu liefern, dass Sie ein Mensch sind.

Ihre E-Mail-Adresse

Newsletter

Ja, ich möchte den Newsletter zum Thema Informationsfreiheit erhalten!
Nein, ich möchte keinen Newsletter.
Anfrage teilen

Twitter Mastodon

Auf Mastodon teilen

Bitte geben Sie die Domain Ihrer Mastodon-Instanz ein.

https://

Kurzlink kopieren
RSS-Feed

Korrespondenz 2

Alle einklappen Alle ausklappen Zum Ende

<< Anfragesteller:in >>

am 29.07.2021

Antrag nach dem Informationsfreiheitsgesetz NRW, UIG NRW, VIG Sehr Antragsteller/in bitte senden Sie mir Folgend…

An Ministerium des Innern des Landes Nordrhein-Westfalen Details

Von: << Anfragesteller:in >>
Betreff: unverschlüsselte Alarmierung von Feuerwehr + Rettungsdienst in Nordrhein-Westfalen [#225744]
Datum: 29. Juli 2021 01:15
An: Ministerium des Innern des Landes Nordrhein-Westfalen
Status: Warte auf Antwort — E-Mail wurde erfolgreich versendet.

Antrag nach dem Informationsfreiheitsgesetz NRW, UIG NRW, VIG Sehr Antragsteller/in bitte senden Sie mir Folgendes zu:

Die Fachzeitschrift c't berichtete am 23.10.20 unter https://www.heise.de/select/ct/2020/23/… über eine Sicherheitslücke im Programm "BosMon". "BosMon" ist ein kostenloses Programm zum Dekodieren von ZVEI-,FMS-und POCSAG-Telegrammen, wie sie bei bei der Alarmierung von Feuerwehr und Rettungsdienst im BOS-Funk zum Einsatz kommen. Damit können Alarmierungen und Statusmeldungen von Feuerwehr und Rettungsdienst an einem PC angezeigt und verarbeitet werden. Über die integrierte Anbindung an Dienste wie SMS, Prowl, NMA sowie durch die App BosMon Mobile können Einheiten automatisch oder manuell alarmiert werden. Die Sicherheitslücke bestand - wie oben berichtet - darin, dass der jeweilige "BosMon"-webserver über das Internet ohne Passwort oder Zugangsdaten erreichbar war. Die webserver waren über Dienste wie z.B. censys.io leicht auffindbar. Über den ungeschützen webserver-Zugang war es möglich, Einblick in die Alarmierung des jeweiligen Landkreises im Klartext zu erhalten. Die Sicherheitslücke der verschiedenen webserver wurde bis Ende 2020 nach und nach weitgehend geschlossen. Beim Einblick in die webserver in den verschiedenen Landkreisen/Städten fiel auf, dass oftmals unverschlüsselte digitale Alarmierung nach dem POCSAG-Standard verwendet wurde bzw. werden (Eintrag "POCSAG" in der Spalte "Kanal" in der webserver-Darstellung.) Dargestellt wurden dabei die persönlichen Daten der Patienten (Name, Adresse, Alter) und teilweise auch deren Gesundheitsdaten (z.B. das Symptom) in Klartext. Das Problem der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten im BOS-Funk wurde bereits mehrfach medial thematisiert, siehe z.B.: https://www.golem.de/news/behoerdenfunk… und https://www.ndr.de/ratgeber/verbraucher… Das Telekommunikationsgesetz (TKG) schreibt in "§ 109 Technische Schutzmaßnahmen (1) Jeder Diensteanbieter hat erforderliche technische Vorkehrungen und sonstige Maßnahmen zu treffen 1. zum Schutz des Fernmeldegeheimnisses und 2. gegen die Verletzung des Schutzes personenbezogener Daten. Dabei ist der Stand der Technik zu berücksichtigen." Nach meiner Einschätzung ist der "Stand der Technik" bei der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten im Klartext nicht gegeben. Daraus würde folgen, dass die jeweilige Rettungsleitstelle bzw. deren Träger bei der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten gegen das TKG verstößt. Meine Fragen: 1) In wievielen Leitstellen in Nordrhein-Westfalen kommt die unverschlüsselte digitale POCSAG-Alarmierung von Feuerwehr und Rettungdienst aktuell zum Einsatz ? 2) Teilen Sie mein Verständnis, dass bei unverschlüsselter Übertragung von Patientendaten und Gesundheitsdaten die jeweilige Rettungsleitstelle bzw. deren Träger gegen § 109 TKG verstößt ? 3) Wie ist der Zeitplan für die Umstellung auf verschlüsselte digitale Alarmierung (z.B. mittels e*BOS oder TETRA-Digitalfunk) in den betroffenen Rettungsleitstellen ? Vielen Dank.

Dies ist ein Antrag nach dem Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen (Informationsfreiheitsgesetz Nordrhein-Westfalen – IFG NRW), dem Umweltinformationsgesetz Nordrhein-Westfalen (soweit Umweltinformationen betroffen sind) und dem Verbraucherinformationsgesetz des Bundes (soweit Verbraucherinformationen betroffen sind). Ausschlussgründe liegen meines Erachtens nicht vor. Aus Gründen der Billigkeit und insbesondere auf Grund des Umstands, dass die Auskunft in gemeinnütziger Art der Öffentlichkeit zur Verfügung gestellt werden wird, bitte ich Sie, nach § 2 VerwGebO IFG NRW von der Erhebung von Gebühren abzusehen. Soweit Umweltinformationen betroffen sind, handelt es sich hierbei um eine einfache Anfrage nach §5 (2) UIG NRW. Sollte die Aktenauskunft Ihres Erachtens gebührenpflichtig sein, bitte ich Sie, mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben. Auslagen dürfen nicht erhoben werden, da es dafür keine gesetzliche Grundlage gibt. Ich verweise auf § 5 Abs. 2 IFG NRW, § 2 UIG NRW und bitte Sie, mir die erbetenen Informationen unverzüglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, möchte ich Sie bitten, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Nach §5 Abs. 1 Satz 5 IFG NRW bitte ich Sie um eine Antwort in elektronischer Form (E-Mail). Ich möchte Sie um Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 225744 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/225744/ Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >>

[… Zeige kompletten Anfragetext] Mit freundlichen Grüßen << Anfragesteller:in >>

Noch keine Kommentare. Please login to write a comment.

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Ministerium des Innern des Landes Nordrhein-Westfalen

am 15.08.2021

Sehr Antragsteller/in haben Sie vielen Dank für Ihre Anfrage vom 29. Juli 2021. Ihre Fragen beantworte ich wie fo…

Details

Von: Ministerium des Innern des Landes Nordrhein-Westfalen
Betreff: Antwort zur IFG Anfrage - unverschlüsselte Alarmierung von Feuerwehr + Rettungsdienst in Nordrhein-Westfalen
Datum: 15. August 2021 11:57
Status: Warte auf Antwort

Sehr Antragsteller/in haben Sie vielen Dank für Ihre Anfrage vom 29. Juli 2021. Ihre Fragen beantworte ich wie folgt. Die Kreise und kreisfreien Städte unterhalten in eigener Zuständigkeit nach dem Gesetz über den Brandschutz, die Hilfeleistung und den Katastrophenschutz (BHKG) einheitliche Leitstellen für den Brandschutz, die Hilfeleistung, den Katastrophenschutz und den Rettungsdienst. Die Alarmierung der Einsatzkräfte vor Ort liegt im Aufgaben- und Verantwortungsbereich der Leitstellen und nicht im Zuständigkeitsbereich des Ministeriums des Innern. Die Entscheidung zur Art der technischen Umsetzung fällt demnach in die kommunale Zuständigkeit. Bezüglich Ihres Anliegens einer rechtlichen Bewertung eines potentiellen Verstoßes gegen § 109 TKG, muss ich Ihnen bedauerlicherweise mitteilen, dass es sich hierbei nicht um eine vorhandene amtliche Information bzw. ein berechtigtes Auskunftsersuchen im Sinne des Informationsfreiheitsgesetzes handelt. Zur zeitlichen Planung der Nutzung alternativer Dienste für die Alarmierung liegen mir keine Informationen vor. Ich hoffe, Ihnen mit diesen Erläuterungen dennoch weitergeholfen zu haben. Mit freundlichen Grüßen

Noch keine Kommentare. Please login to write a comment.

Zum Ende