unverschlüsselte Alarmierung von Feuerwehr + Rettungsdienst in Rheinland-Pfalz

Die Fachzeitschrift c't berichtete am 23.10.20 unter
https://www.heise.de/select/ct/2020/23/…
über eine Sicherheitslücke im Programm "BosMon".

"BosMon" ist ein kostenloses Programm zum Dekodieren von ZVEI-,FMS-und POCSAG-Telegrammen, wie sie bei bei der Alarmierung von Feuerwehr und Rettungsdienst im BOS-Funk zum Einsatz kommen.
Damit können Alarmierungen und Statusmeldungen von Feuerwehr und Rettungsdienst an einem PC angezeigt und verarbeitet werden.
Über die integrierte Anbindung an Dienste wie SMS, Prowl, NMA sowie durch die App BosMon Mobile können Einheiten automatisch oder manuell alarmiert werden.

Die Sicherheitslücke bestand - wie oben berichtet - darin, dass der jeweilige "BosMon"-webserver über das Internet ohne Passwort oder Zugangsdaten erreichbar war.
Die webserver waren über Dienste wie z.B. censys.io leicht auffindbar.

Über den ungeschützen webserver-Zugang war es möglich, Einblick in die Alarmierung des jeweiligen Landkreises im Klartext zu erhalten.
Die Sicherheitslücke der verschiedenen webserver wurde bis Ende 2020 nach und nach weitgehend geschlossen.

Beim Einblick in die webserver in den verschiedenen Landkreisen fiel auf, dass oftmals unverschlüsselte digitale Alarmierung nach dem POCSAG-Standard verwendet wurde (Eintrag "POCSAG" in der Spalte "Kanal" in der webserver-Darstellung.)
Dargestellt wurden dabei die persönlichen Daten der Patienten (Name, Adresse, Alter) und teilweise auch deren Gesundheitsdaten (z.B. das Symptom) in Klartext.

Das Problem der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten im BOS-Funk wurde bereits mehrfach medial thematisiert, siehe z.B.:
https://www.golem.de/news/behoerdenfunk…
und
https://www.ndr.de/ratgeber/verbraucher…

Das Telekommunikationsgesetz (TKG) schreibt in
"§ 109 Technische Schutzmaßnahmen
(1) Jeder Diensteanbieter hat erforderliche technische Vorkehrungen und sonstige Maßnahmen zu treffen
1. zum Schutz des Fernmeldegeheimnisses und
2. gegen die Verletzung des Schutzes personenbezogener Daten.
Dabei ist der Stand der Technik zu berücksichtigen."

Nach meiner Einschätzung ist der "Stand der Technik" bei der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten im Klartext nicht gegeben.
Daraus würde folgen, dass die jeweilige Rettungsleitstelle bzw. deren Träger bei der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten gegen das TKG verstößt.

Meine Fragen:

1) In wievielen der 10 Leitstellen in Rheinland-Pfalz kommt die unverschlüsselte digitale POCSAG-Alarmierung von Feuerwehr und Rettungdienst aktuell zum Einsatz ?
Bei meiner Analyse der frei zugänglichen BosMon-webserver waren es - Stand November 2020 - mindestens 2 Leitstellen.

2) Teilen Sie mein Verständnis, dass bei unverschlüsselter Übertragung von Patientendaten und Gesundheitsdaten die jeweilige Rettungsleitstelle bzw. deren Träger gegen § 109 TKG verstößt ?

3) Wie ist der Zeitplan für die Umstellung auf verschlüsselte digitale Alarmierung (z.B. mittels e*BOS oder TETRA-Digitalfunk) in den betroffenen Rettungsleitstellen ?

Vielen Dank.

Anfrage erfolgreich

  • Datum
    17. Januar 2021
  • Frist
    20. Februar 2021
  • Ein:e Follower:in
<< Anfragesteller:in >>
Antrag nach dem LTranspG, VIG Sehr geehrteAntragsteller/in bitte senden Sie mir Folgendes zu: Die Fachzeitschri…
An Ministerium des Innern und für Sport des Landes Rheinland-Pfalz Details
Von
<< Anfragesteller:in >>
Betreff
unverschlüsselte Alarmierung von Feuerwehr + Rettungsdienst in Rheinland-Pfalz [#208892]
Datum
17. Januar 2021 00:33
An
Ministerium des Innern und für Sport des Landes Rheinland-Pfalz
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem LTranspG, VIG Sehr geehrteAntragsteller/in bitte senden Sie mir Folgendes zu:
Die Fachzeitschrift c't berichtete am 23.10.20 unter https://www.heise.de/select/ct/2020/23/2024809442273661482 über eine Sicherheitslücke im Programm "BosMon". "BosMon" ist ein kostenloses Programm zum Dekodieren von ZVEI-,FMS-und POCSAG-Telegrammen, wie sie bei bei der Alarmierung von Feuerwehr und Rettungsdienst im BOS-Funk zum Einsatz kommen. Damit können Alarmierungen und Statusmeldungen von Feuerwehr und Rettungsdienst an einem PC angezeigt und verarbeitet werden. Über die integrierte Anbindung an Dienste wie SMS, Prowl, NMA sowie durch die App BosMon Mobile können Einheiten automatisch oder manuell alarmiert werden. Die Sicherheitslücke bestand - wie oben berichtet - darin, dass der jeweilige "BosMon"-webserver über das Internet ohne Passwort oder Zugangsdaten erreichbar war. Die webserver waren über Dienste wie z.B. censys.io leicht auffindbar. Über den ungeschützen webserver-Zugang war es möglich, Einblick in die Alarmierung des jeweiligen Landkreises im Klartext zu erhalten. Die Sicherheitslücke der verschiedenen webserver wurde bis Ende 2020 nach und nach weitgehend geschlossen. Beim Einblick in die webserver in den verschiedenen Landkreisen fiel auf, dass oftmals unverschlüsselte digitale Alarmierung nach dem POCSAG-Standard verwendet wurde (Eintrag "POCSAG" in der Spalte "Kanal" in der webserver-Darstellung.) Dargestellt wurden dabei die persönlichen Daten der Patienten (Name, Adresse, Alter) und teilweise auch deren Gesundheitsdaten (z.B. das Symptom) in Klartext. Das Problem der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten im BOS-Funk wurde bereits mehrfach medial thematisiert, siehe z.B.: https://www.golem.de/news/behoerdenfunk-patientendaten-von-rettungsdiensten-ungeschuetzt-im-internet-1807-135622.html und https://www.ndr.de/ratgeber/verbraucher/Brisante-Patientendaten-fuer-jeden-zugaenglich,datenschutz446.html Das Telekommunikationsgesetz (TKG) schreibt in "§ 109 Technische Schutzmaßnahmen (1) Jeder Diensteanbieter hat erforderliche technische Vorkehrungen und sonstige Maßnahmen zu treffen 1. zum Schutz des Fernmeldegeheimnisses und 2. gegen die Verletzung des Schutzes personenbezogener Daten. Dabei ist der Stand der Technik zu berücksichtigen." Nach meiner Einschätzung ist der "Stand der Technik" bei der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten im Klartext nicht gegeben. Daraus würde folgen, dass die jeweilige Rettungsleitstelle bzw. deren Träger bei der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten gegen das TKG verstößt. Meine Fragen: 1) In wievielen der 10 Leitstellen in Rheinland-Pfalz kommt die unverschlüsselte digitale POCSAG-Alarmierung von Feuerwehr und Rettungdienst aktuell zum Einsatz ? Bei meiner Analyse der frei zugänglichen BosMon-webserver waren es - Stand November 2020 - mindestens 2 Leitstellen. 2) Teilen Sie mein Verständnis, dass bei unverschlüsselter Übertragung von Patientendaten und Gesundheitsdaten die jeweilige Rettungsleitstelle bzw. deren Träger gegen § 109 TKG verstößt ? 3) Wie ist der Zeitplan für die Umstellung auf verschlüsselte digitale Alarmierung (z.B. mittels e*BOS oder TETRA-Digitalfunk) in den betroffenen Rettungsleitstellen ? Vielen Dank.
Dies ist ein Antrag auf Auskunft bzw. Einsicht nach § 2 Abs. 2 Landestransparenzgesetz (LTranspG) bzw. nach § 2 Abs. 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Verbraucherinformationen nach § 2 Abs. 1 VIG betroffen sind. Sollte diese Anfrage wider Erwarten keine einfache Anfrage sein, bitte ich Sie darum, mich vorab über den voraussichtlichen Verwaltungsaufwand sowie die voraussichtlichen Kosten für die Akteneinsicht bzw. Aktenauskunft zu informieren. Soweit Verbraucherinformationen betroffen sind, bitte ich Sie zu prüfen, ob Sie mir die erbetene Akteneinsicht bzw. Aktenauskunft nach § 7 Abs. 1 Satz 2 VIG auf elektronischem Wege kostenfrei gewähren können. Mit Verweis auf § 12 Abs. 3 Satz 1 LTranspG möchte ich Sie bitten, unverzüglich über den Antrag zu entscheiden. Soweit Umwelt- oder Verbraucherinformationen betroffen sind, verweise ich auf § 12 Abs. 3 Satz 2 Nr. 2 LTranspG bzw. § 5 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen baldmöglichst, spätestens bis zum Ablauf eines Monats nach Antragszugang zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, bitte ich Sie, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Ich bitte Sie um eine Antwort in elektronischer Form (E-Mail) und möchte Sie um eine Empfangsbestätigung bitten. Vielen Dank für Ihre Mühe! Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 208892 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/208892/ Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >> << Adresse entfernt >>
Mit freundlichen Grüßen << Anfragesteller:in >>
Ministerium des Innern und für Sport des Landes Rheinland-Pfalz
Sehr geehrteAntragsteller/in anbei übersende ich Ihnen das Antwortschreiben auf Ihre Anfrage vom 17.01.2021 Mit …
Von
Ministerium des Innern und für Sport des Landes Rheinland-Pfalz
Betreff
AW: unverschlüsselte Alarmierung von Feuerwehr + Rettungsdienst in Rheinland-Pfalz [#208892]
Datum
9. Februar 2021 08:21
Status
Anfrage abgeschlossen
Sehr geehrteAntragsteller/in anbei übersende ich Ihnen das Antwortschreiben auf Ihre Anfrage vom 17.01.2021 Mit freundlichen Grüßen

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

<< Anfragesteller:in >>
Sehr geehrte<< Anrede >> vielen Dank für das Bearbeiten meiner Anfrage und die ausführliche Antwort. …
An Ministerium des Innern und für Sport des Landes Rheinland-Pfalz Details
Von
<< Anfragesteller:in >>
Betreff
AW: unverschlüsselte Alarmierung von Feuerwehr + Rettungsdienst in Rheinland-Pfalz [#208892]
Datum
9. Februar 2021 21:48
An
Ministerium des Innern und für Sport des Landes Rheinland-Pfalz
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte<< Anrede >> vielen Dank für das Bearbeiten meiner Anfrage und die ausführliche Antwort. Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 208892 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/208892/ Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >> << Adresse entfernt >>