unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Integrierten Leitstelle Mainz

Anfrage an: Landeshauptstadt Mainz

Die Fachzeitschrift c't berichtete am 23.10.20 unter
https://www.heise.de/select/ct/2020/23/2024809442273661482
über eine Sicherheitslücke im Programm "BosMon".

"BosMon" ist ein kostenloses Programm zum Dekodieren von ZVEI-,FMS-und POCSAG-Telegrammen, wie sie bei bei der Alarmierung von Feuerwehr und Rettungsdienst im BOS-Funk zum Einsatz kommen.
Damit können Alarmierungen und Statusmeldungen von Feuerwehr und Rettungsdienst an einem PC angezeigt und verarbeitet werden.
Über die integrierte Anbindung an Dienste wie SMS, Prowl, NMA sowie durch die App BosMon Mobile können Einheiten automatisch oder manuell alarmiert werden.

Die Sicherheitslücke bestand - wie oben berichtet - darin, dass der jeweilige "BosMon"-webserver über das Internet ohne Passwort oder Zugangsdaten erreichbar war.
Die webserver waren über Suchmaschinen wie z.B. censys.io leicht auffindbar.

Über den ungeschützen webserver-Zugang war es möglich, Einblick in die Alarmierung des jeweiligen Landkreises im Klartext zu erhalten.
Die Sicherheitslücke der verschiedenen webserver wurde bis Anfang 2022 nach und nach weitgehend geschlossen.

Beim Einblick in die webserver in den verschiedenen Landkreisen fiel auf, dass oftmals unverschlüsselte digitale Alarmierung nach dem POCSAG-Standard verwendet wurde (Eintrag "POCSAG" in der Spalte "Kanal" in der webserver-Darstellung.)
Dargestellt wurden dabei die personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und teilweise auch deren Gesundheitsdaten (z.B. das Symptom) in Klartext.

Das Problem der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten im BOS-Funk wurde bereits mehrfach medial thematisiert, siehe z.B.:
https://www.ndr.de/nachrichten/niedersachsen/braunschweig_harz_goettingen/Northeim-Feuerwehrmann-stellt-sensible-Daten-ins-Internet,aktuellbraunschweig6362.html
und
https://www.golem.de/news/behoerdenfunk-patientendaten-von-rettungsdiensten-ungeschuetzt-im-internet-1807-135622.html

Meine Fragen bezogen auf den Bereich der Integrierten Leitstelle Mainz:

1) In welchem Umfang kommt unverschlüsselte digitale Alarmierung zum Einsatz ?

2) Werden hier ggf. auch personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und deren Gesundheitsdaten unverschlüsselt in Klartext übermittelt ?

3) Wie ist der Zeitplan für die Umstellung auf verschlüsselte digitale Alarmierung (z.B. mittels Verwendung von IDEA-Verschlüsselung im bestehenden POCSAG-Netz oder Alarmierung über TETRA-Digitalfunk) ?

Vielen Dank.

Anfrage erfolgreich

Datum

3. März 2022
Frist

5. April 2022
0 Follower:innen

Erhalten Sie Benachrichtigungen per E-Mail

Sie erhalten per E-Mail Benachrichtigungen, sobald etwas bei dieser Anfrage passiert. Sie können die Benachrichtigungen jederzeit abbestellen.

Wenn Sie etwas hier eingeben, dann wird die Aktion nicht durchgeführt.

Was ist drei plus vier?

Bitte beantworten Sie diese Frage, um einen Beleg zu liefern, dass Sie ein Mensch sind.

Ihre E-Mail-Adresse

Newsletter

Ja, ich möchte den Newsletter zum Thema Informationsfreiheit erhalten!
Nein, ich möchte keinen Newsletter.
Anfrage teilen

Twitter Mastodon

Auf Mastodon teilen

Bitte geben Sie die Domain Ihrer Mastodon-Instanz ein.

https://

Kurzlink kopieren
RSS-Feed

Korrespondenz 3

Alle einklappen Alle ausklappen Zum Ende

<< Anfragesteller:in >>

am 03.03.2022

Antrag nach dem LTranspG, VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu: Die Fachzeitsc…

An Landeshauptstadt Mainz Details

Von: << Anfragesteller:in >>
Betreff: unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Integrierten Leitstelle Mainz [#242360]
Datum: 3. März 2022 09:57
An: Landeshauptstadt Mainz
Status: Warte auf Antwort — E-Mail wurde erfolgreich versendet.

Antrag nach dem LTranspG, VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:

Die Fachzeitschrift c't berichtete am 23.10.20 unter https://www.heise.de/select/ct/2020/23/2024809442273661482 über eine Sicherheitslücke im Programm "BosMon". "BosMon" ist ein kostenloses Programm zum Dekodieren von ZVEI-,FMS-und POCSAG-Telegrammen, wie sie bei bei der Alarmierung von Feuerwehr und Rettungsdienst im BOS-Funk zum Einsatz kommen. Damit können Alarmierungen und Statusmeldungen von Feuerwehr und Rettungsdienst an einem PC angezeigt und verarbeitet werden. Über die integrierte Anbindung an Dienste wie SMS, Prowl, NMA sowie durch die App BosMon Mobile können Einheiten automatisch oder manuell alarmiert werden. Die Sicherheitslücke bestand - wie oben berichtet - darin, dass der jeweilige "BosMon"-webserver über das Internet ohne Passwort oder Zugangsdaten erreichbar war. Die webserver waren über Suchmaschinen wie z.B. censys.io leicht auffindbar. Über den ungeschützen webserver-Zugang war es möglich, Einblick in die Alarmierung des jeweiligen Landkreises im Klartext zu erhalten. Die Sicherheitslücke der verschiedenen webserver wurde bis Anfang 2022 nach und nach weitgehend geschlossen. Beim Einblick in die webserver in den verschiedenen Landkreisen fiel auf, dass oftmals unverschlüsselte digitale Alarmierung nach dem POCSAG-Standard verwendet wurde (Eintrag "POCSAG" in der Spalte "Kanal" in der webserver-Darstellung.) Dargestellt wurden dabei die personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und teilweise auch deren Gesundheitsdaten (z.B. das Symptom) in Klartext. Das Problem der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten im BOS-Funk wurde bereits mehrfach medial thematisiert, siehe z.B.: https://www.ndr.de/nachrichten/niedersachsen/braunschweig_harz_goettingen/Northeim-Feuerwehrmann-stellt-sensible-Daten-ins-Internet,aktuellbraunschweig6362.html und https://www.golem.de/news/behoerdenfunk-patientendaten-von-rettungsdiensten-ungeschuetzt-im-internet-1807-135622.html Meine Fragen bezogen auf den Bereich der Integrierten Leitstelle Mainz: 1) In welchem Umfang kommt unverschlüsselte digitale Alarmierung zum Einsatz ? 2) Werden hier ggf. auch personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und deren Gesundheitsdaten unverschlüsselt in Klartext übermittelt ? 3) Wie ist der Zeitplan für die Umstellung auf verschlüsselte digitale Alarmierung (z.B. mittels Verwendung von IDEA-Verschlüsselung im bestehenden POCSAG-Netz oder Alarmierung über TETRA-Digitalfunk) ? Vielen Dank.

Dies ist ein Antrag auf Auskunft bzw. Einsicht nach § 2 Abs. 2 Landestransparenzgesetz (LTranspG) bzw. nach § 2 Abs. 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Verbraucherinformationen nach § 2 Abs. 1 VIG betroffen sind. Sollte diese Anfrage wider Erwarten keine einfache Anfrage sein, bitte ich Sie darum, mich vorab über den voraussichtlichen Verwaltungsaufwand sowie die voraussichtlichen Kosten für die Akteneinsicht bzw. Aktenauskunft zu informieren. Soweit Verbraucherinformationen betroffen sind, bitte ich Sie zu prüfen, ob Sie mir die erbetene Akteneinsicht bzw. Aktenauskunft nach § 7 Abs. 1 Satz 2 VIG auf elektronischem Wege kostenfrei gewähren können. Mit Verweis auf § 12 Abs. 3 Satz 1 LTranspG möchte ich Sie bitten, unverzüglich über den Antrag zu entscheiden. Soweit Umwelt- oder Verbraucherinformationen betroffen sind, verweise ich auf § 12 Abs. 3 Satz 2 Nr. 2 LTranspG bzw. § 5 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen baldmöglichst, spätestens bis zum Ablauf eines Monats nach Antragszugang zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, bitte ich Sie, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Ich bitte Sie um eine Antwort in elektronischer Form (E-Mail) und möchte Sie um eine Empfangsbestätigung bitten. Vielen Dank für Ihre Mühe! Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 242360 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/242360/ Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >> << Adresse entfernt >>

[… Zeige kompletten Anfragetext] Mit freundlichen Grüßen << Anfragesteller:in >>

Noch keine Kommentare. Please login to write a comment.

Landeshauptstadt Mainz

am 17.03.2022

Sehr geehrte Damen und Herren, Zunächst möchten wir Ihnen mitteilen, dass in der Stadt Mainz noch keine Integrie…

Details

Von: Landeshauptstadt Mainz
Betreff: Antwort: unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Integrierten Leitstelle Mainz [#242360]
Datum: 17. März 2022 14:44
Status: Anfrage abgeschlossen

Sehr geehrte Damen und Herren, Zunächst möchten wir Ihnen mitteilen, dass in der Stadt Mainz noch keine Integrierte Leitstelle vorhanden ist. Die Fragen werden somit nur aus Sicht der Feuerwehrleitstelle beantwortet. Für den Bereich des Rettungsdienstes wenden Sie sich bitte direkt an die Rettungsleitstelle beim Deutschen Roten Kreuz. Die Fragen aus Sicht der Feuerwehr beantworten wir wie folgt: 1) In welchem Umfang kommt unverschlüsselte digitale Alarmierung zum Einsatz ? Die Umstellung auf die verschlüsselte Alarmierung ist zum Großteil umgesetzt. Teilweise werden noch Alarmierungen unverschlüsselt übertragen. 2) Werden hier ggf. auch personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und deren Gesundheitsdaten unverschlüsselt in Klartext übermittelt ? Die Feuerwehrleitstelle Mainz ist nur für den Brand- und Katastrophenschutz im Leitstellenbereich zuständig und überträgt daher in der Regel keine Patientendaten. 3) Wie ist der Zeitplan für die Umstellung auf verschlüsselte digitale Alarmierung (z.B. mittels Verwendung von IDEA-Verschlüsselung im bestehenden POCSAG-Netz oder Alarmierung über TETRA-Digitalfunk) ? Der Zeitplan wird nicht durch die Feuerwehrleitstelle definiert. Sobald in der zu alarmierenden Einheit eine ausreichende Menge verschlüsselungsfähiger Meldeempfänger vorhanden ist, erfolgt die vollständige Umstellung der jeweiligen Einheit auf die verschlüsselte Alarmierung. Mit freundlichen Grüßen

Noch keine Kommentare. Please login to write a comment.

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

<< Anfragesteller:in >>

am 19.03.2022

Sehr << Anrede >> vielen Dank für das Bearbeiten meiner Anfrage und Ihre detaillierte Antwort. Mit f…

An Landeshauptstadt Mainz Details

Von: << Anfragesteller:in >>
Betreff: AW: Antwort: unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Integrierten Leitstelle Mainz [#242360]
Datum: 19. März 2022 22:55
An: Landeshauptstadt Mainz
Status: E-Mail wird verschickt...

Sehr << Anrede >> vielen Dank für das Bearbeiten meiner Anfrage und Ihre detaillierte Antwort. Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 242360 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/242360/

Zeige die zitierte Nachricht an

-- Rechtshinweis: Diese E-Mail wurde über den Webservice fragdenstaat.de versendet. Antworten werden ggf. im Auftrag der Antragstellenden auf dem Internet-Portal veröffentlicht. Falls Sie Fragen dazu haben oder eine Idee, was für eine Anfrage bei Ihnen im Haus notwendig wäre, besuchen Sie: https://fragdenstaat.de/fuer-behoerden/

Noch keine Kommentare. Please login to write a comment.

März 2022

3 Nachrichten

Zum Ende