• IT-Karriere:
  • Services:

Behördenfunk: Patientendaten von Rettungsdiensten ungeschützt im Internet

Ein Unbekannter stellte Funksprüche von Rettungsdiensten mit Namen und Adressen von Betroffenen aus dem Landkreis Recklinghausen ins Internet. Möglich ist das, weil die Daten über ein unverschlüsseltes Protokoll namens Pocsag verschickt werden.

Artikel veröffentlicht am , Hanno Böck
Wenn die Feuerwehr in Gladbeck zum Einsatz gerufen wird, geschieht das über ein unverschlüsseltes Funkprotokoll, das sich trivial abhören lässt.
Wenn die Feuerwehr in Gladbeck zum Einsatz gerufen wird, geschieht das über ein unverschlüsseltes Funkprotokoll, das sich trivial abhören lässt. (Bild: Frank Vincentz/Wikimedia Commons/CC-BY-SA 3.0)

"17:21 Herzinfarkt mit Sondersignal, Gladbeck, Blumenweg 17 bei Meyer" - solche und ähnliche Nachrichten konnte man lesen, wenn man sich mit einem offen im Internet erreichbaren Server bis vor einigen Tagen verbunden hat.

Stellenmarkt
  1. Dürr Systems AG, Bietigheim-Bissingen
  2. SOLCOM GmbH, Reutlingen

Die Daten sind verfälscht, einen Blumenweg gibt es in Gelsenkirchen nicht. Doch die Meldungen, die der Server in die Welt verschickte, waren echt und stammten von Feuerwehren und Rettungsdiensten aus dem Kreis Recklinghausen.

Durch Zufall gefunden

Gefunden hatte den Server der IT-Sicherheitsforscher Markus Vervier von der Firma X41 D-SEC. "Das System haben wir durch Zufall gefunden", sagte Vervier Golem.de. "Wir prüfen regelmäßig die Sicherheit der Systeme von Kunden und nutzen dazu auch öffentliche Daten und Quellen. Dabei sind wir auf die Einsatzdaten der Feuerwehr- und Rettungsdienste gestoßen."

Golem.de hatte den zuständigen Landkreis Recklinghausen sowie das Cert des BSI über den Vorfall informiert. Das Cert setzte sich mit dem Provider des Servers in Verbindung und wenige Stunden später war er nicht mehr erreichbar. Laut Aussage einer Sprecherin des Landkreises wurde inzwischen eine Strafanzeige gestellt.

Unverschlüsseltes Pager-Protokoll Pocsag

Doch wie gelangten die Daten auf den Server? Wie uns der Landkreis mitteilte, geht man dort davon aus, dass jemand die gefunkten Daten abgehört und ins Netz gestellt hat. Denn diese werden über ein Protokoll namens Pocsag verschickt, das keinen Schutz gegen unbefugtes Abhören bietet.

Viele Rettungsdienste nutzen zur Alarmierung ihrer Fahrzeuge das Pocsag-Protokoll. Es wurde früher von Pagern wie Skyper, Quix oder Scall genutzt, heute sind derartige Systeme im Privatbereich praktisch verschwunden. Doch im öffentlichen Bereich wird Pocsag nach wie vor eingesetzt - und das oft unverschlüsselt.

Entsprechende Nachrichten abzuhören, ist zwar illegal, schwierig ist es jedoch nicht. Passende Empfangsgeräte gibt es für deutlich unter 100 Euro und die notwendige Software ist frei verfügbar. Da das Abhören rein passiv erfolgt, ist es auch nicht feststellbar.

"Es ist erschreckend, wie sorglos mit sensiblen Daten umgegangen wird", sagte Markus Vervier, der den Server entdeckt hat. "Es wäre möglich, eine öffentliche Karte mit genauen Adressen von Menschen zu erstellen, die gerade verstorben sind. Alles in Liveansicht, inklusive Name, Straße und Hausnummer."

Ähnlicher Vorfall 2016 in Hamburg

Ein ganz ähnlicher Vorfall ereignete sich 2016 in Hamburg. Damals berichtete der NDR, dass eine Privatperson entsprechende Funksprüche der Hamburger Feuerwehr abgefangen und ins Netz gestellt hatte.

Im Landkreis Recklinghausen plant man mittelfristig eine Umstellung der Funksysteme auf solche, die eine Verschlüsselung nutzen. Einige Städte haben diese bereits und diese seien daher in den Daten auch nicht enthalten gewesen. Doch die Umstellung wird noch einige Zeit dauern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 4,32€
  2. 19,99
  3. 4,99€
  4. (-72%) 8,50€

Chrilue 25. Jul 2018

Ich war selbst viele Jahre beim Rettungsdienst. Damals haben einige Leute auf unserer...

MFGSparka 24. Jul 2018

Ich kann das leider bestätigen. Beste Aussagen zum Thema Versand von unverschlüsselten...

ibsi 24. Jul 2018

Wieso sollte keiner kommen? Die sind - laut Gesetz - dazu verpflichtet die Daten geheim...

ibsi 24. Jul 2018

Wenn Dir jemand ein Kinderpornografisches Video schickt, ist der Polizei auch erst einmal...

NativesAlter 24. Jul 2018

Alternativ könnte man auch die Notrufe wie gehabt weiterleiten und auf breiter Basis...


Folgen Sie uns
       


Death Stranding - Fazit

Das Actionspiel Death Stranding schickt uns in eine düstere Welt voller Gefahren - und langer Wanderungen. Das aktuelle Werk von Stardesigner Hideo Kojima erscheint für Playstation 4 und Mitte 2020 für Windows-PC.

Death Stranding - Fazit Video aufrufen
Videoüberwachung: Kameras sind überall, aber nicht überall erlaubt
Videoüberwachung
Kameras sind überall, aber nicht überall erlaubt

Dass Überwachungskameras nicht legal eingesetzt werden, ist keine Seltenheit. Ob aus Nichtwissen oder mit Absicht: Werden Privatsphäre oder Datenschutz verletzt, gehören die Kameras weg. Doch dazu müssen sie erst mal entdeckt, als legal oder illegal ausgemacht und gemeldet werden.
Von Harald Büring

  1. Nach Attentat Datenschutzbeauftragter kritisiert Hintertüren in Messengern
  2. Australien IT-Sicherheitskonferenz Cybercon lädt Sprecher aus
  3. Spionagesoftware Staatsanwaltschaft ermittelt nach Anzeige gegen Finfisher

Staupilot: Der Zulassungsstau löst sich langsam auf
Staupilot
Der Zulassungsstau löst sich langsam auf

Nach jahrelangen Verhandlungen soll es demnächst internationale Zulassungskriterien für hochautomatisierte Autos geben. Bei höheren Automatisierungsgraden strebt die Bundesregierung aber einen nationalen Alleingang an.
Ein Bericht von Friedhelm Greis

  1. Autonomes Fahren Ermittler geben Testfahrerin Hauptschuld an Uber-Unfall
  2. Ermittlungsberichte Wie die Uber-Software den tödlichen Unfall begünstigte
  3. Firmentochter gegründet VW will in fünf Jahren autonom fahren

Minikonsolen im Video-Vergleichstest: Die sieben sinnlosen Zwerge
Minikonsolen im Video-Vergleichstest
Die sieben sinnlosen Zwerge

Golem retro_ Eigentlich sollten wir die kleinen Retrokonsolen mögen. Aber bei mittelmäßiger Emulation, schlechter Steuerung und Verarbeitung wollten wir beim Testen mitunter über die sieben Berge flüchten.
Ein Test von Martin Wolf


      •  /