Abo
  • Services:

Behördenfunk: Patientendaten von Rettungsdiensten ungeschützt im Internet

Ein Unbekannter stellte Funksprüche von Rettungsdiensten mit Namen und Adressen von Betroffenen aus dem Landkreis Recklinghausen ins Internet. Möglich ist das, weil die Daten über ein unverschlüsseltes Protokoll namens Pocsag verschickt werden.

Artikel veröffentlicht am , Hanno Böck
Wenn die Feuerwehr in Gladbeck zum Einsatz gerufen wird, geschieht das über ein unverschlüsseltes Funkprotokoll, das sich trivial abhören lässt.
Wenn die Feuerwehr in Gladbeck zum Einsatz gerufen wird, geschieht das über ein unverschlüsseltes Funkprotokoll, das sich trivial abhören lässt. (Bild: Frank Vincentz/Wikimedia Commons/CC-BY-SA 3.0)

"17:21 Herzinfarkt mit Sondersignal, Gladbeck, Blumenweg 17 bei Meyer" - solche und ähnliche Nachrichten konnte man lesen, wenn man sich mit einem offen im Internet erreichbaren Server bis vor einigen Tagen verbunden hat.

Stellenmarkt
  1. Teambank AG, Nürnberg
  2. Artschwager und Kohl Software GmbH, Herzogenaurach

Die Daten sind verfälscht, einen Blumenweg gibt es in Gelsenkirchen nicht. Doch die Meldungen, die der Server in die Welt verschickte, waren echt und stammten von Feuerwehren und Rettungsdiensten aus dem Kreis Recklinghausen.

Durch Zufall gefunden

Gefunden hatte den Server der IT-Sicherheitsforscher Markus Vervier von der Firma X41 D-SEC. "Das System haben wir durch Zufall gefunden", sagte Vervier Golem.de. "Wir prüfen regelmäßig die Sicherheit der Systeme von Kunden und nutzen dazu auch öffentliche Daten und Quellen. Dabei sind wir auf die Einsatzdaten der Feuerwehr- und Rettungsdienste gestoßen."

Golem.de hatte den zuständigen Landkreis Recklinghausen sowie das Cert des BSI über den Vorfall informiert. Das Cert setzte sich mit dem Provider des Servers in Verbindung und wenige Stunden später war er nicht mehr erreichbar. Laut Aussage einer Sprecherin des Landkreises wurde inzwischen eine Strafanzeige gestellt.

Unverschlüsseltes Pager-Protokoll Pocsag

Doch wie gelangten die Daten auf den Server? Wie uns der Landkreis mitteilte, geht man dort davon aus, dass jemand die gefunkten Daten abgehört und ins Netz gestellt hat. Denn diese werden über ein Protokoll namens Pocsag verschickt, das keinen Schutz gegen unbefugtes Abhören bietet.

Viele Rettungsdienste nutzen zur Alarmierung ihrer Fahrzeuge das Pocsag-Protokoll. Es wurde früher von Pagern wie Skyper, Quix oder Scall genutzt, heute sind derartige Systeme im Privatbereich praktisch verschwunden. Doch im öffentlichen Bereich wird Pocsag nach wie vor eingesetzt - und das oft unverschlüsselt.

Entsprechende Nachrichten abzuhören, ist zwar illegal, schwierig ist es jedoch nicht. Passende Empfangsgeräte gibt es für deutlich unter 100 Euro und die notwendige Software ist frei verfügbar. Da das Abhören rein passiv erfolgt, ist es auch nicht feststellbar.

"Es ist erschreckend, wie sorglos mit sensiblen Daten umgegangen wird", sagte Markus Vervier, der den Server entdeckt hat. "Es wäre möglich, eine öffentliche Karte mit genauen Adressen von Menschen zu erstellen, die gerade verstorben sind. Alles in Liveansicht, inklusive Name, Straße und Hausnummer."

Ähnlicher Vorfall 2016 in Hamburg

Ein ganz ähnlicher Vorfall ereignete sich 2016 in Hamburg. Damals berichtete der NDR, dass eine Privatperson entsprechende Funksprüche der Hamburger Feuerwehr abgefangen und ins Netz gestellt hatte.

Im Landkreis Recklinghausen plant man mittelfristig eine Umstellung der Funksysteme auf solche, die eine Verschlüsselung nutzen. Einige Städte haben diese bereits und diese seien daher in den Daten auch nicht enthalten gewesen. Doch die Umstellung wird noch einige Zeit dauern.



Anzeige
Hardware-Angebote
  1. 59,99€
  2. (u. a. 32 GB 6,98€, 128 GB 23,58€)

Chrilue 25. Jul 2018

Ich war selbst viele Jahre beim Rettungsdienst. Damals haben einige Leute auf unserer...

MFGSparka 24. Jul 2018

Ich kann das leider bestätigen. Beste Aussagen zum Thema Versand von unverschlüsselten...

ibsi 24. Jul 2018

Wieso sollte keiner kommen? Die sind - laut Gesetz - dazu verpflichtet die Daten geheim...

ibsi 24. Jul 2018

Wenn Dir jemand ein Kinderpornografisches Video schickt, ist der Polizei auch erst einmal...

NativesAlter 24. Jul 2018

Alternativ könnte man auch die Notrufe wie gehabt weiterleiten und auf breiter Basis...


Folgen Sie uns
       


Samsung Galaxy S10e - Test

Das Galaxy S10e ist das kleinste Modell von Samsungs neuer Galaxy-S10-Reihe - und für uns der Geheimtipp der Serie.

Samsung Galaxy S10e - Test Video aufrufen
EEG: Windkraft in Gefahr
EEG
Windkraft in Gefahr

Besitzer älterer Windenergieanlagen könnten bald ein Problem bekommen: Sie erhalten keine Förderung mehr. Das könnte sogar die Energiewende ins Wanken bringen.
Ein Bericht von Daniel Hautmann

  1. Windenergie Mister Windkraft will die Welt vor dem Klimakollaps retten
  2. Offshore-Windparks Neue Windräder sollen mehr Strom liefern
  3. Fistuca Der Wasserhammer hämmert leise

Gesetzesinitiative des Bundesrates: Neuer Straftatbestand Handelsplattform-Betreiber im Darknet
Gesetzesinitiative des Bundesrates
Neuer Straftatbestand Handelsplattform-Betreiber im Darknet

Eine Gesetzesinitiative des Bundesrates soll den Betrieb von Handelsplattformen im Darknet unter Strafe stellen, wenn sie Illegales fördern. Das war auch bisher schon strafbar, das Gesetz könnte jedoch vor allem der Überwachung dienen, kritisieren Juristen.
Von Moritz Tremmel

  1. Security Onionshare 2 ermöglicht einfachen Dateiaustausch per Tor
  2. Tor-Netzwerk Britischer Kleinstprovider testet Tor-SIM-Karte
  3. Tor-Netzwerk Sicherheitslücke für Tor Browser 7 veröffentlicht

Stadia ausprobiert: Um die Grafikoptionen kümmert sich Google
Stadia ausprobiert
Um die Grafikoptionen kümmert sich Google

GDC 2019 Beim Ausprobieren und im Gespräch mit Entwicklern wird immer klarer: Stadia von Google ist als eigenständige Plattform zu verstehen und nicht als simpler Streamingdienst. Momentan kommt für das Bild noch der Codec VP9 zum Einsatz.
Von Peter Steinlechner


      •  /