Abo
  • Services:

Behördenfunk: Patientendaten von Rettungsdiensten ungeschützt im Internet

Ein Unbekannter stellte Funksprüche von Rettungsdiensten mit Namen und Adressen von Betroffenen aus dem Landkreis Recklinghausen ins Internet. Möglich ist das, weil die Daten über ein unverschlüsseltes Protokoll namens Pocsag verschickt werden.

Artikel veröffentlicht am , Hanno Böck
Wenn die Feuerwehr in Gladbeck zum Einsatz gerufen wird, geschieht das über ein unverschlüsseltes Funkprotokoll, das sich trivial abhören lässt.
Wenn die Feuerwehr in Gladbeck zum Einsatz gerufen wird, geschieht das über ein unverschlüsseltes Funkprotokoll, das sich trivial abhören lässt. (Bild: Frank Vincentz/Wikimedia Commons/CC-BY-SA 3.0)

"17:21 Herzinfarkt mit Sondersignal, Gladbeck, Blumenweg 17 bei Meyer" - solche und ähnliche Nachrichten konnte man lesen, wenn man sich mit einem offen im Internet erreichbaren Server bis vor einigen Tagen verbunden hat.

Stellenmarkt
  1. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Oberpfaffenhofen
  2. Landwirtschaftliche Rentenbank, Frankfurt am Main

Die Daten sind verfälscht, einen Blumenweg gibt es in Gelsenkirchen nicht. Doch die Meldungen, die der Server in die Welt verschickte, waren echt und stammten von Feuerwehren und Rettungsdiensten aus dem Kreis Recklinghausen.

Durch Zufall gefunden

Gefunden hatte den Server der IT-Sicherheitsforscher Markus Vervier von der Firma X41 D-SEC. "Das System haben wir durch Zufall gefunden", sagte Vervier Golem.de. "Wir prüfen regelmäßig die Sicherheit der Systeme von Kunden und nutzen dazu auch öffentliche Daten und Quellen. Dabei sind wir auf die Einsatzdaten der Feuerwehr- und Rettungsdienste gestoßen."

Golem.de hatte den zuständigen Landkreis Recklinghausen sowie das Cert des BSI über den Vorfall informiert. Das Cert setzte sich mit dem Provider des Servers in Verbindung und wenige Stunden später war er nicht mehr erreichbar. Laut Aussage einer Sprecherin des Landkreises wurde inzwischen eine Strafanzeige gestellt.

Unverschlüsseltes Pager-Protokoll Pocsag

Doch wie gelangten die Daten auf den Server? Wie uns der Landkreis mitteilte, geht man dort davon aus, dass jemand die gefunkten Daten abgehört und ins Netz gestellt hat. Denn diese werden über ein Protokoll namens Pocsag verschickt, das keinen Schutz gegen unbefugtes Abhören bietet.

Viele Rettungsdienste nutzen zur Alarmierung ihrer Fahrzeuge das Pocsag-Protokoll. Es wurde früher von Pagern wie Skyper, Quix oder Scall genutzt, heute sind derartige Systeme im Privatbereich praktisch verschwunden. Doch im öffentlichen Bereich wird Pocsag nach wie vor eingesetzt - und das oft unverschlüsselt.

Entsprechende Nachrichten abzuhören, ist zwar illegal, schwierig ist es jedoch nicht. Passende Empfangsgeräte gibt es für deutlich unter 100 Euro und die notwendige Software ist frei verfügbar. Da das Abhören rein passiv erfolgt, ist es auch nicht feststellbar.

"Es ist erschreckend, wie sorglos mit sensiblen Daten umgegangen wird", sagte Markus Vervier, der den Server entdeckt hat. "Es wäre möglich, eine öffentliche Karte mit genauen Adressen von Menschen zu erstellen, die gerade verstorben sind. Alles in Liveansicht, inklusive Name, Straße und Hausnummer."

Ähnlicher Vorfall 2016 in Hamburg

Ein ganz ähnlicher Vorfall ereignete sich 2016 in Hamburg. Damals berichtete der NDR, dass eine Privatperson entsprechende Funksprüche der Hamburger Feuerwehr abgefangen und ins Netz gestellt hatte.

Im Landkreis Recklinghausen plant man mittelfristig eine Umstellung der Funksysteme auf solche, die eine Verschlüsselung nutzen. Einige Städte haben diese bereits und diese seien daher in den Daten auch nicht enthalten gewesen. Doch die Umstellung wird noch einige Zeit dauern.



Anzeige
Blu-ray-Angebote
  1. (Prime Video)
  2. (u. a. The Equalizer Blu-ray, Hotel Transsilvanien 2 Blu-ray, Arrival Blu-ray, Die glorreichen 7...
  3. (2 Monate Sky Ticket für nur 4,99€)

Chrilue 25. Jul 2018 / Themenstart

Ich war selbst viele Jahre beim Rettungsdienst. Damals haben einige Leute auf unserer...

MFGSparka 24. Jul 2018 / Themenstart

Ich kann das leider bestätigen. Beste Aussagen zum Thema Versand von unverschlüsselten...

ibsi 24. Jul 2018 / Themenstart

Wieso sollte keiner kommen? Die sind - laut Gesetz - dazu verpflichtet die Daten geheim...

ibsi 24. Jul 2018 / Themenstart

Wenn Dir jemand ein Kinderpornografisches Video schickt, ist der Polizei auch erst einmal...

NativesAlter 24. Jul 2018 / Themenstart

Alternativ könnte man auch die Notrufe wie gehabt weiterleiten und auf breiter Basis...

Kommentieren


Folgen Sie uns
       


No Man's Sky Next - Golem.de Live

Kommet und sehet, wie ein Weltraumbummler an nur einem Abend alles verliert.

No Man's Sky Next - Golem.de Live Video aufrufen
Threadripper 2990WX und 2950X im Test: Viel hilft nicht immer viel
Threadripper 2990WX und 2950X im Test
Viel hilft nicht immer viel

Für Workstations: AMDs Threadripper 2990WX mit 32 Kernen schlägt Intels ähnlich teure 18-Core-CPU klar und der günstigere Threadripper 2950X hält noch mit. Für das Ryzen-Topmodell muss aber die Software angepasst sein und sie darf nicht zu viel Datentransferrate benötigen.
Ein Test von Marc Sauter

  1. 32-Kern-CPU Threadripper 2990WX läuft mit Radeons besser
  2. Threadripper 2990WX AMDs 32-Kerner kostet weniger als Intels 18-Kerner
  3. Zhongshan Subor Z+ AMD baut SoC mit PS4-Pro-Leistung für chinesische Konsole

Matebook X Pro im Test: Huaweis zweites Notebook ist klasse
Matebook X Pro im Test
Huaweis zweites Notebook ist klasse

Mit dem Matebook X Pro veröffentlicht Huawei sein zweites Ultrabook. Das schlanke Gerät überzeugt durch ein gutes Display, flotte Hardware samt dedizierter Grafikeinheit, clevere Kühlung und sinnvolle Anschlüsse. Nur die eigenwillig positionierte Webcam halten wir für fragwürdig.
Ein Test von Marc Sauter

  1. Android Huawei stellt zwei neue Tablets mit 10-Zoll-Displays vor
  2. Smartphones Huawei will Ende 2019 Nummer 1 werden
  3. Handelskrieg Huawei-Chef kritisiert Rückständigkeit in den USA

Elektromobilität: Regierung bremst bei Anspruch auf private Ladesäulen
Elektromobilität
Regierung bremst bei Anspruch auf private Ladesäulen

Die Anschaffung eines Elektroautos scheitert häufig an der fehlenden Lademöglichkeit am heimischen Parkplatz. Doch die Bundesregierung will vorerst keinen eigenen Gesetzesentwurf für einen Anspruch von Wohnungseigentümern und Mietern vorlegen.
Ein Bericht von Friedhelm Greis

  1. TU Graz Der Roboter als E-Tankwart
  2. WLTP VW kann Elektro- und Hybridautos 2018 nicht mehr verkaufen
  3. Elektroautos Daimler-Betriebsrat will Akkuzellen aus Europa

    •  /