unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Integrierten Regionalleitstelle Ostwürttemberg

Die Fachzeitschrift c't berichtete am 23.10.20 unter
https://www.heise.de/select/ct/2020/23/…
über eine Sicherheitslücke im Programm "BosMon".

"BosMon" ist ein kostenloses Programm zum Dekodieren von ZVEI-,FMS-und POCSAG-Telegrammen, wie sie bei bei der Alarmierung von Feuerwehr und Rettungsdienst im BOS-Funk zum Einsatz kommen.
Damit können Alarmierungen und Statusmeldungen von Feuerwehr und Rettungsdienst an einem PC angezeigt und verarbeitet werden.
Über die integrierte Anbindung an Dienste wie SMS, Prowl, NMA sowie durch die App BosMon Mobile können Einheiten automatisch oder manuell alarmiert werden.

Die Sicherheitslücke bestand - wie oben berichtet - darin, dass der jeweilige "BosMon"-webserver über das Internet ohne Passwort oder Zugangsdaten erreichbar war.
Die webserver waren über Suchmaschinen wie z.B. censys.io leicht auffindbar.

Über den ungeschützen webserver-Zugang war es möglich, Einblick in die Alarmierung des jeweiligen Landkreises im Klartext zu erhalten.
Die Sicherheitslücke der verschiedenen webserver wurde bis Anfang 2022 nach und nach weitgehend geschlossen.

Beim Einblick in die webserver in den verschiedenen Landkreisen fiel auf, dass oftmals unverschlüsselte digitale Alarmierung nach dem POCSAG-Standard verwendet wurde (Eintrag "POCSAG" in der Spalte "Kanal" in der webserver-Darstellung.)
Dargestellt wurden dabei die personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und teilweise auch deren Gesundheitsdaten (z.B. das Symptom) in Klartext.

Das Problem der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten im BOS-Funk wurde bereits mehrfach medial thematisiert, siehe z.B.:
https://www.golem.de/news/behoerdenfunk…
und
https://www.ndr.de/ratgeber/verbraucher…

Meine Fragen an den Ostalbkreis als einer der Träger der Integrierten Regionalleitstelle Ostwürttemberg:

1) In welchem Umfang kommt unverschlüsselte digitale Alarmierung zum Einsatz ?

2) Werden hier ggf. auch personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und deren Gesundheitsdaten unverschlüsselt in Klartext übermittelt ?

3) Wie ist der Zeitplan für die Umstellung auf verschlüsselte digitale Alarmierung (z.B. mittels Verwendung von IDEA-Verschlüsselung im bestehenden POCSAG-Netz oder Alarmierung über TETRA-Digitalfunk) ?

Vielen Dank.

Anfrage erfolgreich

  • Datum
    30. Januar 2022
  • Frist
    2. März 2022
  • Ein:e Follower:in
<< Anfragesteller:in >>
Antrag nach dem LIFG/UVwG/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu: Die Fachzeitsc…
An Landratsamt Ostalbkreis Details
Von
<< Anfragesteller:in >>
Betreff
unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Integrierten Regionalleitstelle Ostwürttemberg [#239213]
Datum
30. Januar 2022 10:31
An
Landratsamt Ostalbkreis
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem LIFG/UVwG/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:
Die Fachzeitschrift c't berichtete am 23.10.20 unter https://www.heise.de/select/ct/2020/23/2024809442273661482 über eine Sicherheitslücke im Programm "BosMon". "BosMon" ist ein kostenloses Programm zum Dekodieren von ZVEI-,FMS-und POCSAG-Telegrammen, wie sie bei bei der Alarmierung von Feuerwehr und Rettungsdienst im BOS-Funk zum Einsatz kommen. Damit können Alarmierungen und Statusmeldungen von Feuerwehr und Rettungsdienst an einem PC angezeigt und verarbeitet werden. Über die integrierte Anbindung an Dienste wie SMS, Prowl, NMA sowie durch die App BosMon Mobile können Einheiten automatisch oder manuell alarmiert werden. Die Sicherheitslücke bestand - wie oben berichtet - darin, dass der jeweilige "BosMon"-webserver über das Internet ohne Passwort oder Zugangsdaten erreichbar war. Die webserver waren über Suchmaschinen wie z.B. censys.io leicht auffindbar. Über den ungeschützen webserver-Zugang war es möglich, Einblick in die Alarmierung des jeweiligen Landkreises im Klartext zu erhalten. Die Sicherheitslücke der verschiedenen webserver wurde bis Anfang 2022 nach und nach weitgehend geschlossen. Beim Einblick in die webserver in den verschiedenen Landkreisen fiel auf, dass oftmals unverschlüsselte digitale Alarmierung nach dem POCSAG-Standard verwendet wurde (Eintrag "POCSAG" in der Spalte "Kanal" in der webserver-Darstellung.) Dargestellt wurden dabei die personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und teilweise auch deren Gesundheitsdaten (z.B. das Symptom) in Klartext. Das Problem der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten im BOS-Funk wurde bereits mehrfach medial thematisiert, siehe z.B.: https://www.golem.de/news/behoerdenfunk-patientendaten-von-rettungsdiensten-ungeschuetzt-im-internet-1807-135622.html und https://www.ndr.de/ratgeber/verbraucher/Brisante-Patientendaten-fuer-jeden-zugaenglich,datenschutz446.html Meine Fragen an den Ostalbkreis als einer der Träger der Integrierten Regionalleitstelle Ostwürttemberg: 1) In welchem Umfang kommt unverschlüsselte digitale Alarmierung zum Einsatz ? 2) Werden hier ggf. auch personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und deren Gesundheitsdaten unverschlüsselt in Klartext übermittelt ? 3) Wie ist der Zeitplan für die Umstellung auf verschlüsselte digitale Alarmierung (z.B. mittels Verwendung von IDEA-Verschlüsselung im bestehenden POCSAG-Netz oder Alarmierung über TETRA-Digitalfunk) ? Vielen Dank.
Dies ist ein Antrag auf Aktenauskunft nach § 1 Abs. 2 des Landesinformationsfreiheitsgesetzes (LIFG), nach § 25 des Umweltverwaltungsgesetzes (UVwG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 Umweltinformationsgesetzes des Bundes (UIG) betroffen sind, sowie nach § 2 Abs. 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Verbraucherinformationen betroffen sind. Sollte die Aktenauskunft Ihres Erachtens gebührenpflichtig sein, bitte ich, mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben. Es handelt sich meines Erachtens um eine einfache Auskunft bei geringfügigem Aufwand. Gebühren fallen somit nicht an. Ich verweise auf § 7 Abs. 7 LIFG/§243 Abs. 3 UVwG/§ 5 Abs. 2 VIG und bitte, mir die erbetenen Informationen unverzüglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, bitte ich, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Ich bitte um eine Antwort in elektronischer Form (E-Mail) und um eine Empfangsbestätigung. Vielen Dank für Ihre Mühe! Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 239213 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/239213/ Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >> << Adresse entfernt >>
Mit freundlichen Grüßen << Anfragesteller:in >>
<< Anfragesteller:in >>
Sehr geehrte Damen und Herren, meine Informationsfreiheitsanfrage „unverschlüsselte Alarmierung von Feuerwehr und…
An Landratsamt Ostalbkreis Details
Von
<< Anfragesteller:in >>
Betreff
IFG-Anfrage: unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Integrierten Regionalleitstelle Ostwürttemberg [#239213]
Datum
13. März 2022 20:22
An
Landratsamt Ostalbkreis
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, meine Informationsfreiheitsanfrage „unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Integrierten Regionalleitstelle Ostwürttemberg“ vom 30.01.2022 (#239213) wurde von Ihnen nicht in der gesetzlich vorgeschriebenen Zeit beantwortet. Sie haben die Frist mittlerweile um 12 Tage überschritten. Bitte informieren Sie mich umgehend über den Stand meiner Anfrage. Mit freundlichen Grüßen Antragsteller/in Antragsteller/in
<< Anfragesteller:in >>
Sehr geehrte Damen und Herren, meine Informationsfreiheitsanfrage „unverschlüsselte Alarmierung von Feuerwehr und…
An Landratsamt Ostalbkreis Details
Von
<< Anfragesteller:in >>
Betreff
LIFG-Anfrage: unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Integrierten Regionalleitstelle Ostwürttemberg [#239213]
Datum
18. April 2022 11:57
An
Landratsamt Ostalbkreis
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte Damen und Herren, meine Informationsfreiheitsanfrage „unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Integrierten Regionalleitstelle Ostwürttemberg“ vom 30.01.2022 (#239213) wurde von Ihnen nicht in der gesetzlich vorgeschriebenen Zeit beantwortet. Sie haben die Frist mittlerweile um 48 Tage überschritten. Bitte informieren Sie mich umgehend über den Stand meiner Anfrage. Mit freundlichen Grüßen Antragsteller/in Antragsteller/in
Landratsamt Ostalbkreis
Lieber << Antragsteller:in >> vielen Dank für die Anmahnung! Nachstehend die Antworten zur Ihrer Anfr…
Von
Landratsamt Ostalbkreis
Betreff
WG: LIFG-Anfrage: unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Integrierten Regionalleitstelle Ostwürttemberg [#239213]
Datum
4. Mai 2022 10:58
Status
Anfrage abgeschlossen
Lieber << Antragsteller:in >> vielen Dank für die Anmahnung! Nachstehend die Antworten zur Ihrer Anfrage 1) In welchem Umfang kommt unverschlüsselte digitale Alarmierung zum Einsatz ? •Gar nicht. 2) Werden hier ggf. auch personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und deren Gesundheitsdaten unverschlüsselt in Klartext übermittelt ? •Nein 3) Wie ist der Zeitplan für die Umstellung auf verschlüsselte digitale Alarmierung (z.B. mittels Verwendung von IDEA-Verschlüsselung im bestehenden POCSAG-Netz oder Alarmierung über TETRA-Digitalfunk) ? •Siehe Frage eins. Mit freundlichen Grüßen

120.000 Euro bis zum Jahresende:
Bist Du dabei?

Ob Klagen, investigative Recherchen, Anfragen-Features oder Kampagnen: Wir brauchen Dich an unserer Seite, um den nächsten Coup planen zu können. Kämpfe mit Deiner Weihnachtsspende mit uns für mehr Transparenz!

360.516,42 € von 400.000,00 €

Jetzt spenden!  Weihnachts-Trailer ansehen

<< Anfragesteller:in >>
Sehr << Anrede >> vielen Dank für das Bearbeiten meiner Anfrage und die damit verbundene Recherche. …
An Landratsamt Ostalbkreis Details
Von
<< Anfragesteller:in >>
Betreff
LIFG-Anfrage: unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Integrierten Regionalleitstelle Ostwürttemberg [#239213]
Datum
4. Mai 2022 23:22
An
Landratsamt Ostalbkreis
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> vielen Dank für das Bearbeiten meiner Anfrage und die damit verbundene Recherche. Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> Anfragenr: 239213 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/239213/ Postanschrift << Antragsteller:in >> << Antragsteller:in >> << Adresse entfernt >> << Adresse entfernt >>