unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Märkischen Kreis

Anfrage an: Kreisverwaltung Märkischer Kreis

Die Fachzeitschrift c't berichtete am 23.10.20 unter
https://www.heise.de/select/ct/2020/23/…
über eine Sicherheitslücke im Programm "BosMon".

"BosMon" ist ein kostenloses Programm zum Dekodieren von ZVEI-,FMS-und POCSAG-Telegrammen, wie sie bei bei der Alarmierung von Feuerwehr und Rettungsdienst im BOS-Funk zum Einsatz kommen.
Damit können Alarmierungen und Statusmeldungen von Feuerwehr und Rettungsdienst an einem PC angezeigt und verarbeitet werden.
Über die integrierte Anbindung an Dienste wie SMS, Prowl, NMA sowie durch die App BosMon Mobile können Einheiten automatisch oder manuell alarmiert werden.

Die Sicherheitslücke bestand - wie oben berichtet - darin, dass der jeweilige "BosMon"-webserver über das Internet ohne Passwort oder Zugangsdaten erreichbar war.
Die webserver waren über Suchmaschinen wie z.B. censys.io leicht auffindbar.

Über den ungeschützen webserver-Zugang war es möglich, Einblick in die Alarmierung des jeweiligen Landkreises im Klartext zu erhalten.
Die Sicherheitslücke der verschiedenen webserver wurde bis Ende 2021 nach und nach weitgehend geschlossen.

Beim Einblick in die webserver in den verschiedenen Landkreisen fiel auf, dass oftmals unverschlüsselte digitale Alarmierung nach dem POCSAG-Standard verwendet wurde (Eintrag "POCSAG" in der Spalte "Kanal" in der webserver-Darstellung.)
Dargestellt wurden dabei die personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und teilweise auch deren Gesundheitsdaten (z.B. das Symptom) in Klartext.

Das Problem der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten im BOS-Funk wurde bereits mehrfach medial thematisiert, siehe z.B.:
https://www.golem.de/news/behoerdenfunk…
und
https://www.ndr.de/ratgeber/verbraucher…

Meine Fragen bezogen auf den Bereich der Kreisleitstelle des Märkischen Kreises (Leitstelle Mark):

1) In welchem Umfang kommt unverschlüsselte digitale Alarmierung zum Einsatz ?

2) Werden hier ggf. auch personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und deren Gesundheitsdaten unverschlüsselt in Klartext übermittelt ?

3) Wie ist der Zeitplan für die Umstellung auf verschlüsselte digitale Alarmierung (z.B. mittels Verwendung von IDEA-Verschlüsselung im bestehenden POCSAG-Netz oder Alarmierung über TETRA-Digitalfunk) ?

Vielen Dank.

Anfrage erfolgreich

Datum

1. Januar 2022
Frist

5. Februar 2022
3 Follower:innen

Erhalten Sie Benachrichtigungen per E-Mail

Sie erhalten per E-Mail Benachrichtigungen, sobald etwas bei dieser Anfrage passiert. Sie können die Benachrichtigungen jederzeit abbestellen.

Wenn Sie etwas hier eingeben, dann wird die Aktion nicht durchgeführt.

Was ist drei plus vier?

Bitte beantworten Sie diese Frage, um einen Beleg zu liefern, dass Sie ein Mensch sind.

Ihre E-Mail-Adresse

Newsletter

Ja, ich möchte den Newsletter zum Thema Informationsfreiheit erhalten!
Nein, ich möchte keinen Newsletter.
Kurz-URL kopieren

Anfrage tweeten
Anfrage teilen
RSS-Feed

Korrespondenz 3

Alle einklappen Alle ausklappen Zum Ende

<< Anfragesteller:in >>

am 01.01.2022

Antrag nach dem Informationsfreiheitsgesetz NRW, UIG NRW, VIG Sehr geehrte Damen und Herren, bitte senden Sie m…

An Kreisverwaltung Märkischer Kreis Details

Von: << Anfragesteller:in >>
Betreff: unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Märkischen Kreis [#236588]
Datum: 1. Januar 2022 21:56
An: Kreisverwaltung Märkischer Kreis
Status: Warte auf Antwort — E-Mail wurde erfolgreich versendet.

Antrag nach dem Informationsfreiheitsgesetz NRW, UIG NRW, VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:

Die Fachzeitschrift c't berichtete am 23.10.20 unter https://www.heise.de/select/ct/2020/23/2024809442273661482 über eine Sicherheitslücke im Programm "BosMon". "BosMon" ist ein kostenloses Programm zum Dekodieren von ZVEI-,FMS-und POCSAG-Telegrammen, wie sie bei bei der Alarmierung von Feuerwehr und Rettungsdienst im BOS-Funk zum Einsatz kommen. Damit können Alarmierungen und Statusmeldungen von Feuerwehr und Rettungsdienst an einem PC angezeigt und verarbeitet werden. Über die integrierte Anbindung an Dienste wie SMS, Prowl, NMA sowie durch die App BosMon Mobile können Einheiten automatisch oder manuell alarmiert werden. Die Sicherheitslücke bestand - wie oben berichtet - darin, dass der jeweilige "BosMon"-webserver über das Internet ohne Passwort oder Zugangsdaten erreichbar war. Die webserver waren über Suchmaschinen wie z.B. censys.io leicht auffindbar. Über den ungeschützen webserver-Zugang war es möglich, Einblick in die Alarmierung des jeweiligen Landkreises im Klartext zu erhalten. Die Sicherheitslücke der verschiedenen webserver wurde bis Ende 2021 nach und nach weitgehend geschlossen. Beim Einblick in die webserver in den verschiedenen Landkreisen fiel auf, dass oftmals unverschlüsselte digitale Alarmierung nach dem POCSAG-Standard verwendet wurde (Eintrag "POCSAG" in der Spalte "Kanal" in der webserver-Darstellung.) Dargestellt wurden dabei die personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und teilweise auch deren Gesundheitsdaten (z.B. das Symptom) in Klartext. Das Problem der unverschlüsselten Übertragung von Patientendaten und Gesundheitsdaten im BOS-Funk wurde bereits mehrfach medial thematisiert, siehe z.B.: https://www.golem.de/news/behoerdenfunk-patientendaten-von-rettungsdiensten-ungeschuetzt-im-internet-1807-135622.html und https://www.ndr.de/ratgeber/verbraucher/Brisante-Patientendaten-fuer-jeden-zugaenglich,datenschutz446.html Meine Fragen bezogen auf den Bereich der Kreisleitstelle des Märkischen Kreises (Leitstelle Mark): 1) In welchem Umfang kommt unverschlüsselte digitale Alarmierung zum Einsatz ? 2) Werden hier ggf. auch personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und deren Gesundheitsdaten unverschlüsselt in Klartext übermittelt ? 3) Wie ist der Zeitplan für die Umstellung auf verschlüsselte digitale Alarmierung (z.B. mittels Verwendung von IDEA-Verschlüsselung im bestehenden POCSAG-Netz oder Alarmierung über TETRA-Digitalfunk) ? Vielen Dank.

Dies ist ein Antrag nach dem Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen (Informationsfreiheitsgesetz Nordrhein-Westfalen – IFG NRW), dem Umweltinformationsgesetz Nordrhein-Westfalen (soweit Umweltinformationen betroffen sind) und dem Verbraucherinformationsgesetz des Bundes (soweit Verbraucherinformationen betroffen sind). Ausschlussgründe liegen meines Erachtens nicht vor. Aus Gründen der Billigkeit und insbesondere auf Grund des Umstands, dass die Auskunft in gemeinnütziger Art der Öffentlichkeit zur Verfügung gestellt werden wird, bitte ich Sie, nach § 2 VerwGebO IFG NRW von der Erhebung von Gebühren abzusehen. Soweit Umweltinformationen betroffen sind, handelt es sich hierbei um eine einfache Anfrage nach §5 (2) UIG NRW. Sollte die Aktenauskunft Ihres Erachtens gebührenpflichtig sein, bitte ich Sie, mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben. Auslagen dürfen nicht erhoben werden, da es dafür keine gesetzliche Grundlage gibt. Ich verweise auf § 5 Abs. 2 IFG NRW, § 2 UIG NRW und bitte Sie, mir die erbetenen Informationen unverzüglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, möchte ich Sie bitten, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Nach §5 Abs. 1 Satz 5 IFG NRW bitte ich Sie um eine Antwort in elektronischer Form (E-Mail). Ich möchte Sie um Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 236588 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/236588/ Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >> << Adresse entfernt >>

[… Zeige kompletten Anfragetext] Mit freundlichen Grüßen << Anfragesteller:in >>

Noch keine Kommentare. Please login to write a comment.

Kreisverwaltung Märkischer Kreis

am 27.01.2022

Sehr Antragsteller/in unter Bezugnahme auf Ihre Email vom 01.01.2022 möchte ich die dort gestellten Fragen nach …

Details

Von: Kreisverwaltung Märkischer Kreis
Betreff: WG: unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Märkischen Kreis [#236588]
Datum: 27. Januar 2022 08:08
Status: Anfrage abgeschlossen

Sehr Antragsteller/in unter Bezugnahme auf Ihre Email vom 01.01.2022 möchte ich die dort gestellten Fragen nach dem IFG NRW wie folgt beantworten: 1) In welchem Umfang kommt unverschlüsselte digitale Alarmierung zum Einsatz ? Die Alarmierung der Feuerwehren wird bislang noch unverschlüsselt übertragen. 2) Werden hier ggf. auch personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und deren Gesundheitsdaten unverschlüsselt in Klartext übermittelt ? Mit Ausnahme der Einsatzadresse werden keine personenbezogenen Daten mehr unverschlüsselt übermittelt. 3) Wie ist der Zeitplan für die Umstellung auf verschlüsselte digitale Alarmierung (z.B. mittels Verwendung von IDEA-Verschlüsselung im bestehenden POCSAG-Netz oder Alarmierung über TETRA-Digitalfunk) ? Es ist geplant, einen nicht unerheblichen Teil der Umstellung bis Ende 2022 umzusetzen, den Rest in der Zeit danach. Gebühren werden für diese Auskunft nicht erhoben. Mit freundlichem Gruß

Nur eingeloggt sichtbar • 27. Januar 2022 12:27

Diese Auskunft ist teilweise falsch. Es werden sehr wohl auch die Rettungsdienstalarmierungen samt Patientendaten und Diagnosen unverschlüsselt übertragen.

Please login to write a comment.

Jetzt für 2023 spenden - wir brauchen noch 120.000 Euro!

Sei mit Deiner Spende dabei und unterstütze uns beim #FragenKlagenHaben für mehr Transparenz – davon singen wir jetzt auch im neuen Weihnachtssong!

Zum Musikvideo & spenden!

<< Anfragesteller:in >>

am 30.01.2022

Sehr << Anrede >> vielen Dank für das Bearbeiten meiner Anfrage und Ihre Rückmeldung. Durch eine Sic…

An Kreisverwaltung Märkischer Kreis Details

Von: << Anfragesteller:in >>
Betreff: AW: WG: unverschlüsselte Alarmierung von Feuerwehr und Rettungsdienst im Märkischen Kreis [#236588]
Datum: 30. Januar 2022 10:10
An: Kreisverwaltung Märkischer Kreis
Status: E-Mail wurde erfolgreich versendet.

Sehr << Anrede >> vielen Dank für das Bearbeiten meiner Anfrage und Ihre Rückmeldung. Durch eine Sicherheitslücke bei eine Hilfsorganisation war ja Anfang Januar 2022 die digitale Alarmierung Ihres Kreises über Internet für alle vollständig einsehbar. Dabei waren auch die personenbezogenen Daten wie Name, Alter der Patienten, Einsatzstichwort und die genaue Einsatz-Adresse einsehbar. Gut, dass mit Ausnahme der Einsatzadresse nun keine personenbezogenen Daten mehr unverschlüsselt übermittelt werden. Vermutlich war das die Konsequenz aus der Sicherheitslücke. Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 236588 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/236588/

Zeige die zitierte Nachricht an

-- Rechtshinweis: Diese E-Mail wurde über den Webservice fragdenstaat.de versendet. Antworten werden ggf. im Auftrag der Antragstellenden auf dem Internet-Portal veröffentlicht. Falls Sie Fragen dazu haben oder eine Idee, was für eine Anfrage bei Ihnen im Haus notwendig wäre, besuchen Sie: https://fragdenstaat.de/fuer-behoerden/

Noch keine Kommentare. Please login to write a comment.

Januar 2022

3 Nachrichten

Zum Ende