Auf Mastodon teilen

Fragen an den Fachbereich 37 – Feuerwehr Cottbus, Leitstelle Lausitz: Die Fachzeitschrift c't berichtete am 23.10.20 unter https://www.heise.de/select/ct/2020/23/2024809442273661482 über eine Sicherheitslücke im Programm "BosMon". "BosMon" ist ein kostenloses Programm zum Dekodieren von ZVEI-,FMS-und POCSAG-Telegrammen, wie sie bei bei der Alarmierung von Feuerwehr und Rettungsdienst im BOS-Funk zum Einsatz kommen. Damit können Alarmierungen und Statusmeldungen von Feuerwehr und Rettungsdienst an einem PC angezeigt und verarbeitet werden. Über die integrierte Anbindung an Dienste wie SMS, Prowl, NMA sowie durch die App BosMon Mobile können Einheiten automatisch oder manuell alarmiert werden. Die Sicherheitslücke bestand - wie oben berichtet - darin, dass der jeweilige "BosMon"-webserver über das Internet ohne Passwort oder Zugangsdaten erreichbar war. Die webserver waren über die einschlägigen Suchmaschinen leicht auffindbar. Über den ungeschützen webserver-Zugang war es möglich, Einblick in die Alarmierung des jeweiligen Landkreises im Klartext zu erhalten. Die Sicherheitslücke der verschiedenen webserver wurde bis Sommer 2021 nach und nach weitgehend geschlossen. Beim Einblick in die webserver in den verschiedenen Landkreisen fiel auf: Auf dem jeweiligen webserver waren Datenbanken installiert, welche die Zuordnungen von Alarmierungsadressen der Funkmeldeempfänger zu den jeweiligen Einsatzmitteln enthielten. Z.B. bei analoger Alarmierung: 12345 Feuerwehr Ah-Dorf 23456 Notarzt Be-Stadt 34567 HilfeVorOrt Ce-Hausen Z.B. bei digitaler Alarmierung: 1234567 Rotkreuz De-hofen 71/1 2345678 DLRG Eh-weiler 3456789 ILS Systemadministration Nach meinem Verständnis sollten die Zuordnungen von Funkmelder-Alarmierungsadressen zu Einsatzmitteln nur in der jeweiligen Leitstelle hinterlegt sein. Da es sich hier um einsatz-taktische Informationen handelt, würde ich eine Einstufung erwarten als "Verschlussache - Nur für Dienstgebrauch (VS-NfD)". Betreiber der BosMon-webserver waren aber nie die Leitstellen selber, sondern ehrenamtliche Angehörige von BOS (Feuerwehr, Rettungsdienst) und zum Teil sogar nur Hobby-Funker ohne direkten BOS-Bezug. Trotzdem verfügten diese Betreiber des BosMon-webservers über die Zuordnungen von Funkmelder-Alarmierungsadressen zu Einsatzmitteln, die eigentlich nur die Leitstelle kennen sollte. Meine Fragen: 1) Wie ist der Zugriff auf die Datenbanken geregelt, welche die Zuordnungen von Funkmelder-Alarmierungsadressen zu Einsatzmitteln enthalten ? 2) Sind diese Datenbanken eingestuft als "Verschlussache - Nur für Dienstgebrauch (VS-NfD)" ? 3) In welchen Anwendungsfälle werden diese Datenbanken ausgegeben an ehrenamtliche Angehörige von BOS ? Vielen Dank.