Verschlüsselungsfähige Meldeempfänger bei den Feuerwehren in Saarbrücken

Die Fachzeitschrift c't berichtete am 23.10.20 unter
https://www.heise.de/select/ct/2020/23/…
über eine Sicherheitslücke im Programm "BosMon".

"BosMon" ist ein kostenloses Programm zum Dekodieren von ZVEI-,FMS-und POCSAG-Telegrammen, wie sie bei bei der Alarmierung von Feuerwehr und Rettungsdienst im BOS-Funk zum Einsatz kommen.
Damit können Alarmierungen und Statusmeldungen von Feuerwehr und Rettungsdienst an einem PC angezeigt und verarbeitet werden.
Über die integrierte Anbindung an Dienste wie SMS, Prowl, NMA sowie durch die App BosMon Mobile können Einheiten automatisch oder manuell alarmiert werden.

Die Sicherheitslücke bestand - wie oben berichtet - darin, dass der jeweilige "BosMon"-webserver über das Internet ohne Passwort oder Zugangsdaten erreichbar war.
Die webserver waren über Suchmaschinen wie z.B. censys.io leicht auffindbar.

Über den ungeschützen webserver-Zugang war es möglich, Einblick in die Alarmierung des jeweiligen Landkreises im Klartext zu erhalten.
Die Sicherheitslücke der verschiedenen webserver wurde bis Anfang 2022 nach und nach weitgehend geschlossen.

Beim Einblick in die webserver in den verschiedenen Landkreisen fiel auf, dass oftmals unverschlüsselte digitale Alarmierung nach dem POCSAG-Standard verwendet wurde (Eintrag "POCSAG" in der Spalte "Kanal" in der webserver-Darstellung.)
Dargestellt wurden dabei die personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und teilweise auch deren Gesundheitsdaten (z.B. das Symptom) in Klartext.

Das Problem der unverschlüsselten Übertragung von personenbezogenen Daten und Gesundheitsdaten im BOS-Funk wurde bereits mehrfach medial thematisiert, siehe z.B.:
https://northeim-jetzt.de/northeimer-kr…
und
https://www.golem.de/news/behoerdenfunk…

Nach dem Gesetz über den Brandschutz, die Technische Hilfe und den Katastrophenschutz im Saarland (SBKG) obliegt den Gemeinden die Sicherstellung der örtlichen Alarmierungseinrichtungen der Feuerwehr.

Meine Fragen an die Stadt als Trägerin der Feuerwehr:

1) Kommen bei Ihren Feuerwehren noch Meldeempfänger zum Einsatz, die keine Verschlüsselung unterstützen ?

2) Wenn ja, wie ist der Zeitplan zum vollständigen Umstieg auf verschlüsselte Alarmierung ?

Vielen Dank.

Anfrage erfolgreich

  • Datum
    18. April 2022
  • Frist
    21. Mai 2022
  • 2 Follower:innen
<< Anfragesteller:in >>
Antrag nach dem SIFG/SUIG/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu: Die Fachzeitsc…
An Saarbrücken, Landeshauptstadt und Universitätsstadt Details
Von
<< Anfragesteller:in >>
Betreff
Verschlüsselungsfähige Meldeempfänger bei den Feuerwehren in Saarbrücken [#246515]
Datum
18. April 2022 09:36
An
Saarbrücken, Landeshauptstadt und Universitätsstadt
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem SIFG/SUIG/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:
Die Fachzeitschrift c't berichtete am 23.10.20 unter https://www.heise.de/select/ct/2020/23/2024809442273661482 über eine Sicherheitslücke im Programm "BosMon". "BosMon" ist ein kostenloses Programm zum Dekodieren von ZVEI-,FMS-und POCSAG-Telegrammen, wie sie bei bei der Alarmierung von Feuerwehr und Rettungsdienst im BOS-Funk zum Einsatz kommen. Damit können Alarmierungen und Statusmeldungen von Feuerwehr und Rettungsdienst an einem PC angezeigt und verarbeitet werden. Über die integrierte Anbindung an Dienste wie SMS, Prowl, NMA sowie durch die App BosMon Mobile können Einheiten automatisch oder manuell alarmiert werden. Die Sicherheitslücke bestand - wie oben berichtet - darin, dass der jeweilige "BosMon"-webserver über das Internet ohne Passwort oder Zugangsdaten erreichbar war. Die webserver waren über Suchmaschinen wie z.B. censys.io leicht auffindbar. Über den ungeschützen webserver-Zugang war es möglich, Einblick in die Alarmierung des jeweiligen Landkreises im Klartext zu erhalten. Die Sicherheitslücke der verschiedenen webserver wurde bis Anfang 2022 nach und nach weitgehend geschlossen. Beim Einblick in die webserver in den verschiedenen Landkreisen fiel auf, dass oftmals unverschlüsselte digitale Alarmierung nach dem POCSAG-Standard verwendet wurde (Eintrag "POCSAG" in der Spalte "Kanal" in der webserver-Darstellung.) Dargestellt wurden dabei die personenbezogene Daten der Patienten (wie Name, Adresse, Alter) und teilweise auch deren Gesundheitsdaten (z.B. das Symptom) in Klartext. Das Problem der unverschlüsselten Übertragung von personenbezogenen Daten und Gesundheitsdaten im BOS-Funk wurde bereits mehrfach medial thematisiert, siehe z.B.: https://northeim-jetzt.de/northeimer-kreisverwaltung-hat-aerger-mit-der-landesbehoerde-fuer-datenschutz/ und https://www.golem.de/news/behoerdenfunk-patientendaten-von-rettungsdiensten-ungeschuetzt-im-internet-1807-135622.html Nach dem Gesetz über den Brandschutz, die Technische Hilfe und den Katastrophenschutz im Saarland (SBKG) obliegt den Gemeinden die Sicherstellung der örtlichen Alarmierungseinrichtungen der Feuerwehr. Meine Fragen an die Stadt als Trägerin der Feuerwehr: 1) Kommen bei Ihren Feuerwehren noch Meldeempfänger zum Einsatz, die keine Verschlüsselung unterstützen ? 2) Wenn ja, wie ist der Zeitplan zum vollständigen Umstieg auf verschlüsselte Alarmierung ? Vielen Dank.
Dies ist ein Antrag auf Aktenauskunft nach § 1 des Saarländischen Informationsfreiheitsgesetzes (SIFG) sowie § 3 des Saarländischen Umweltinformationsgesetzes (SUIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 SUIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind. Ausschlussgründe liegen meines Erachtens nicht vor. Sollte die Aktenauskunft wider Erwarten gebührenpflichtig sein, bitte ich Sie, mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben. Meines Erachtens handelt es sich um eine einfache und damit gebührenfreie Auskunft. Ich verweise auf § 1 SIFG i.V.m. § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 SUIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen baldmöglichst, spätestens jedoch nach Ablauf eines Monats zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, bitte ich Sie, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Ich bitte Sie um eine Antwort in elektronischer Form (E-Mail). Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 246515 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/246515/ Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >> << Adresse entfernt >>
Mit freundlichen Grüßen << Anfragesteller:in >>
Saarbrücken, Landeshauptstadt und Universitätsstadt
Sehr << Antragsteller:in >> vielen Dank für Ihre Anfrage bezüglich der Verschlüsselungsfähigkeit uns…
Von
Saarbrücken, Landeshauptstadt und Universitätsstadt
Betreff
WG: Verschlüsselungsfähige Meldeempfänger bei den Feuerwehren in Saarbrücken [#246515]
Datum
23. Mai 2022 08:20
Status
Anfrage abgeschlossen
Sehr << Antragsteller:in >> vielen Dank für Ihre Anfrage bezüglich der Verschlüsselungsfähigkeit unserer Funkmeldeempfänger. Bezüglich der von Ihnen über das Portal "Frag-den-Staat" gestellten Fragen kann ich Ihnen wie folgt antworten: Meine Fragen an die Stadt als Trägerin der Feuerwehr: 1) Kommen bei Ihren Feuerwehren noch Meldeempfänger zum Einsatz, die keine Verschlüsselung unterstützen ? 2) Wenn ja, wie ist der Zeitplan zum vollständigen Umstieg auf verschlüsselte Alarmierung ? Vielen Dank. Zu 1.) Alle Meldeempfänger die bei der Feuerwehr Saarbrücken zum Einsatz kommen, unterstützen Verschlüsselung. Zu 2.) s.o. Mit freundlichem Gruß

Ihre Spende für die Plattform

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Ihre Spende macht es uns möglich, die Plattform am Laufen zu halten und weiterzuentwickeln.

Jetzt unterstützen!

<< Anfragesteller:in >>
Sehr << Anrede >> vielen Dank für das Bearbeiten meiner Anfrage. Mit freundlichen Grüßen << An…
An Saarbrücken, Landeshauptstadt und Universitätsstadt Details
Von
<< Anfragesteller:in >>
Betreff
AW: WG: Verschlüsselungsfähige Meldeempfänger bei den Feuerwehren in Saarbrücken [#246515]
Datum
24. Mai 2022 09:14
An
Saarbrücken, Landeshauptstadt und Universitätsstadt
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> vielen Dank für das Bearbeiten meiner Anfrage. Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> Anfragenr: 246515 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/246515/ Postanschrift << Antragsteller:in >> << Antragsteller:in >> << Adresse entfernt >> << Adresse entfernt >>