unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Kooperativen Regionalleitstelle West

Anfrage an: Der Landrat des Kreises Pinneberg

Die Fachzeitschrift c't berichtete am 23.10.20 unter
https://www.heise.de/select/ct/2020/23/2024809442273661482
über eine Sicherheitslücke im Programm "BosMon".

"BosMon" ist ein kostenloses Programm zum Dekodieren von ZVEI-,FMS-und POCSAG-Telegrammen, wie sie bei bei der Alarmierung von Feuerwehr und Rettungsdienst im BOS-Funk zum Einsatz kommen.
Damit können Alarmierungen und Statusmeldungen von Feuerwehr und Rettungsdienst an einem PC angezeigt und verarbeitet werden.
Über die integrierte Anbindung an Dienste wie SMS, Prowl, NMA sowie durch die App BosMon Mobile können Einheiten automatisch oder manuell alarmiert werden.

Die Sicherheitslücke bestand - wie oben berichtet - darin, dass der jeweilige "BosMon"-webserver über das Internet ohne Passwort oder Zugangsdaten erreichbar war.
Die webserver waren über Suchmaschinen wie z.B. censys.io leicht auffindbar.

Über den ungeschützen webserver-Zugang war es möglich, Einblick in die Alarmierung des jeweiligen Landkreises im Klartext zu erhalten.
Die Sicherheitslücke der verschiedenen webserver wurde bis Anfang 2022 nach und nach weitgehend geschlossen.

Beim Einblick in die webserver in den verschiedenen Landkreisen fiel auf, dass oftmals unverschlüsselte digitale Alarmierung nach dem POCSAG-Standard verwendet wurde (Eintrag "POCSAG" in der Spalte "Kanal" in der webserver-Darstellung.)
Dargestellt wurden dabei die personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und teilweise auch deren Gesundheitsdaten (z.B. das Symptom) in Klartext.

Das Problem der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten im BOS-Funk wurde bereits mehrfach medial thematisiert, siehe z.B.:
https://northeim-jetzt.de/northeimer-kreisverwaltung-hat-aerger-mit-der-landesbehoerde-fuer-datenschutz/
und
https://www.golem.de/news/behoerdenfunk-patientendaten-von-rettungsdiensten-ungeschuetzt-im-internet-1807-135622.html

Meine Fragen bezogen auf den Bereich der Kooperativen Regionalleitstelle West:

1) In welchem Umfang kommt unverschlüsselte digitale Alarmierung zum Einsatz ?

2) Werden hier ggf. auch personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und deren Gesundheitsdaten unverschlüsselt in Klartext übermittelt ?

3) Wie ist der Zeitplan für die Umstellung auf verschlüsselte digitale Alarmierung (z.B. mittels Verwendung von IDEA-Verschlüsselung im bestehenden POCSAG-Netz oder Alarmierung über TETRA-Digitalfunk) ?

Vielen Dank.

Anfrage erfolgreich

  • Datum
    27. April 2022
  • Frist
    31. Mai 2022
  • Ein:e Follower:in
  • Anfrage teilen
    Twitter Mastodon Kurzlink kopieren
  • RSS-Feed
Alle einklappen Alle ausklappen Zum Ende
<< Anfragesteller:in >>
am 27.04.2022
Antrag nach dem IZG-SH/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu: Die Fachzeitschri…
An Der Landrat des Kreises Pinneberg Details
Von
<< Anfragesteller:in >>
Betreff
unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Kooperativen Regionalleitstelle West [#247403]
Datum
27. April 2022 22:08
An
Der Landrat des Kreises Pinneberg
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem IZG-SH/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:
Die Fachzeitschrift c't berichtete am 23.10.20 unter https://www.heise.de/select/ct/2020/23/2024809442273661482 über eine Sicherheitslücke im Programm "BosMon". "BosMon" ist ein kostenloses Programm zum Dekodieren von ZVEI-,FMS-und POCSAG-Telegrammen, wie sie bei bei der Alarmierung von Feuerwehr und Rettungsdienst im BOS-Funk zum Einsatz kommen. Damit können Alarmierungen und Statusmeldungen von Feuerwehr und Rettungsdienst an einem PC angezeigt und verarbeitet werden. Über die integrierte Anbindung an Dienste wie SMS, Prowl, NMA sowie durch die App BosMon Mobile können Einheiten automatisch oder manuell alarmiert werden. Die Sicherheitslücke bestand - wie oben berichtet - darin, dass der jeweilige "BosMon"-webserver über das Internet ohne Passwort oder Zugangsdaten erreichbar war. Die webserver waren über Suchmaschinen wie z.B. censys.io leicht auffindbar. Über den ungeschützen webserver-Zugang war es möglich, Einblick in die Alarmierung des jeweiligen Landkreises im Klartext zu erhalten. Die Sicherheitslücke der verschiedenen webserver wurde bis Anfang 2022 nach und nach weitgehend geschlossen. Beim Einblick in die webserver in den verschiedenen Landkreisen fiel auf, dass oftmals unverschlüsselte digitale Alarmierung nach dem POCSAG-Standard verwendet wurde (Eintrag "POCSAG" in der Spalte "Kanal" in der webserver-Darstellung.) Dargestellt wurden dabei die personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und teilweise auch deren Gesundheitsdaten (z.B. das Symptom) in Klartext. Das Problem der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten im BOS-Funk wurde bereits mehrfach medial thematisiert, siehe z.B.: https://northeim-jetzt.de/northeimer-kreisverwaltung-hat-aerger-mit-der-landesbehoerde-fuer-datenschutz/ und https://www.golem.de/news/behoerdenfunk-patientendaten-von-rettungsdiensten-ungeschuetzt-im-internet-1807-135622.html Meine Fragen bezogen auf den Bereich der Kooperativen Regionalleitstelle West: 1) In welchem Umfang kommt unverschlüsselte digitale Alarmierung zum Einsatz ? 2) Werden hier ggf. auch personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und deren Gesundheitsdaten unverschlüsselt in Klartext übermittelt ? 3) Wie ist der Zeitplan für die Umstellung auf verschlüsselte digitale Alarmierung (z.B. mittels Verwendung von IDEA-Verschlüsselung im bestehenden POCSAG-Netz oder Alarmierung über TETRA-Digitalfunk) ? Vielen Dank.
Dies ist ein Antrag gemäß § 4 Abs. 1 Informationszugangsgesetz Schleswig-Holstein (IZG-SH) auf Zugang nach Informationen nach § 3 IZG-SH sowie § 1 des Gesetz zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Verbraucherinformationen im Sinne des § 2 Abs. 1 VIG betroffen sind. Sollten aus Ihrer Sicht Kosten für die Gewährung des Zuganges zu den erbetenen Informationen anfallen, bitte ich Sie mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben. Bitte teilen Sie mir auch dann mit, auf welche Regelung Sie die Kostenerhebung stützen und warum diese anfallen. Ich bitte Sie, mir die Informationen sobald wie möglich, spätestens jedoch mit Ablauf eines Monats zugänglich zu machen (vgl. § 5 Abs. 2 Satz 1 IZG-SH/§ 5 Abs. 2 VIG). Sollten Sie für diesen Antrag nicht zuständig sein, bitte ich Sie, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Ich bitte Sie um eine Antwort in elektronischer Form (E-Mail). Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> Anfragenr: 247403 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/247403/ Postanschrift << Antragsteller:in >> << Antragsteller:in >> << Adresse entfernt >> << Adresse entfernt >>
Mit freundlichen Grüßen << Anfragesteller:in >>
Noch keine Kommentare. Please login to write a comment.
Der Landrat des Kreises Pinneberg
am 28.04.2022
Sehr Antragsteller/in für die Anfrage bin ich nicht zuständig, ich habe die Mail an die Leitstelle West weitergel…
Details
Von
Der Landrat des Kreises Pinneberg
Betreff
AW: [EXTERN] unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Kooperativen Regionalleitstelle West [#247403]
Datum
28. April 2022 12:06
Status
Warte auf Antwort
Sehr Antragsteller/in für die Anfrage bin ich nicht zuständig, ich habe die Mail an die Leitstelle West weitergeleitet. Mit freundlichen Grüßen
Noch keine Kommentare. Please login to write a comment.
Der Landrat des Kreises Pinneberg
am 12.05.2022
Sehr << Antragsteller:in >> vielen Dank für Ihre Anfrage, die wir nachfolgend gerne beantworten. Erl…
Details
Von
Der Landrat des Kreises Pinneberg
Betreff
AW: unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Kooperativen Regionalleitstelle West [#247403]
Datum
12. Mai 2022 14:49
Status
Anfrage abgeschlossen
image001.png
22,6 KB
image002.png
4,2 KB
image003.png
6,2 KB
image004.png
2,9 KB
image005.png
2,3 KB
image006.png
6,1 KB
image007.png
9,5 KB
Zeige 4 weitere Anhänge
Sehr << Antragsteller:in >> vielen Dank für Ihre Anfrage, die wir nachfolgend gerne beantworten. Erlauben Sie mir vor der Beantwortung Ihrer eigentlichen Fragen einen ergänzenden Hinweis: Wir leiten jeden uns bekannt gemachten (Verdachts-)Fall von illegaler Auswertung, Beschaffung oder sogar Veröffentlichung von Einsatz- bzw. personenbezogenen Daten an die Ermittlungsbehörden weiter. Darüber hinaus unterstützen wir die Ermittlungsarbeit. Insofern danken wir Ihnen für die entsprechenden Hinweise. 1) In welchem Umfang kommt unverschlüsselte digitale Alarmierung zum Einsatz ? Die digitale Alarmierung im Versorgungsbereich der Kooperativen Regionalleitstelle West sieht grundsätzlich eine verschlüsselte Übertragung vor. Die Infrastruktur in den jeweiligen Kreisen setzt diese Verschlüsselung in drei von vier Gebietskörperschaften bereits seit vielen Jahren konsequent bis auf die Endgeräteebene und für alle Bedarfsträger fort. Diese einzelne Gebietskörperschaft ist erst 2021 der Kooperativen Regionalleitstelle West mit ihrem Bestandsnetz beigetreten. 2) Werden hier ggf. auch personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und deren Gesundheitsdaten unverschlüsselt in Klartext übermittelt ? Nur in einem der angeschlossenen Kreise erfolgt technisch bisher keine Verschlüsselung in der digitalen Alarmierung (vgl. Antwort zu 1.). Die Alarmierungsdaten umfassen dort die notwendigen Angaben zum Einsatzort und zur globalen Einsatzklasse (z. B. Krankentransport). Der konkrete Einsatzgrund wird nicht als Klartext, sondern als nummerische Codierung ausgegeben. 3) Wie ist der Zeitplan für die Umstellung auf verschlüsselte digitale Alarmierung (z.B. mittels Verwendung von IDEA-Verschlüsselung im bestehenden POCSAG-Netz oder Alarmierung über TETRA-Digitalfunk) ? Die Kooperativen Regionalleitstelle West sieht eine verschlüsselte Übertragung in der digitalen Alarmierung grundsätzlich als Standard und Stand der Technik vor. Technische Anpassungen in den einzelnen Subnetzen der digitalen Alarmierung in den jeweiligen Kreisen unterliegen jedoch Abstimmungs- und Koordinationsbedarfen sowie der Verfügbarkeit und Bereitstellung notwendiger Haushaltsmittel. Die Alarmierung über TETRA-Digitalfunk im Einzelfall wird zusätzlich geprüft, eine Ausweitung des bestehenden Netzes in der digitalen Alarmierung mit Verschlüsselung unterliegt vergaberechtlichen Vorschriften und damit einem zeitlichen Vorlauf. Aufgrund des geringen Verwaltungsaufwandes ergeht die Beantwortung der Auskunft gebührenfrei. Für den Fall, dass Sie eine Veröffentlichung dieser Antwort beabsichtigen, darf ich darauf hinweisen, dass, soweit aus der Veröffentlichung persönliche Daten des Bearbeiters hervorgehen könnten, diese zu anonymisieren sind. Es grüß
Noch keine Kommentare. Please login to write a comment.

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

<< Anfragesteller:in >>
am 15.05.2022
Sehr << Anrede >> vielen Dank für das Bearbeiten meiner Anfrage und die sehr ausführlichen Antworten.…
An Der Landrat des Kreises Pinneberg Details
Von
<< Anfragesteller:in >>
Betreff
AW: unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Bereich der Kooperativen Regionalleitstelle West [#247403]
Datum
15. Mai 2022 00:30
An
Der Landrat des Kreises Pinneberg
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> vielen Dank für das Bearbeiten meiner Anfrage und die sehr ausführlichen Antworten. Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> Anfragenr: 247403 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/247403/ Postanschrift << Antragsteller:in >> << Antragsteller:in >> << Adresse entfernt >> << Adresse entfernt >>
Noch keine Kommentare. Please login to write a comment.