Behördenfunk: Patientendaten von Rettungsdiensten ungeschützt im Internet

"17:21 Herzinfarkt mit Sondersignal, Gladbeck, Blumenweg 17 bei Meyer" - solche und ähnliche Nachrichten konnte man lesen, wenn man sich mit einem offen im Internet erreichbaren Server bis vor einigen Tagen verbunden hat.

Die Daten sind verfälscht, einen Blumenweg gibt es in Gelsenkirchen nicht. Doch die Meldungen, die der Server in die Welt verschickte, waren echt und stammten von Feuerwehren und Rettungsdiensten aus dem Kreis Recklinghausen.

Durch Zufall gefunden

Gefunden hatte den Server der IT-Sicherheitsforscher Markus Vervier von der Firma X41 D-SEC. "Das System haben wir durch Zufall gefunden", sagte Vervier Golem.de. "Wir prüfen regelmäßig die Sicherheit der Systeme von Kunden und nutzen dazu auch öffentliche Daten und Quellen. Dabei sind wir auf die Einsatzdaten der Feuerwehr- und Rettungsdienste gestoßen."

Golem.de hatte den zuständigen Landkreis Recklinghausen sowie das Cert des BSI über den Vorfall informiert. Das Cert setzte sich mit dem Provider des Servers in Verbindung und wenige Stunden später war er nicht mehr erreichbar. Laut Aussage einer Sprecherin des Landkreises wurde inzwischen eine Strafanzeige gestellt.

Unverschlüsseltes Pager-Protokoll Pocsag

Doch wie gelangten die Daten auf den Server? Wie uns der Landkreis mitteilte, geht man dort davon aus, dass jemand die gefunkten Daten abgehört und ins Netz gestellt hat. Denn diese werden über ein Protokoll namens Pocsag verschickt, das keinen Schutz gegen unbefugtes Abhören bietet.

Viele Rettungsdienste nutzen zur Alarmierung ihrer Fahrzeuge das Pocsag-Protokoll. Es wurde früher von Pagern wie Skyper, Quix oder Scall genutzt, heute sind derartige Systeme im Privatbereich praktisch verschwunden. Doch im öffentlichen Bereich wird Pocsag nach wie vor eingesetzt - und das oft unverschlüsselt.

Entsprechende Nachrichten abzuhören, ist zwar illegal, schwierig ist es jedoch nicht. Passende Empfangsgeräte gibt es für deutlich unter 100 Euro und die notwendige Software ist frei verfügbar. Da das Abhören rein passiv erfolgt, ist es auch nicht feststellbar.

"Es ist erschreckend, wie sorglos mit sensiblen Daten umgegangen wird", sagte Markus Vervier, der den Server entdeckt hat. "Es wäre möglich, eine öffentliche Karte mit genauen Adressen von Menschen zu erstellen, die gerade verstorben sind. Alles in Liveansicht, inklusive Name, Straße und Hausnummer."

Ähnlicher Vorfall 2016 in Hamburg

Ein ganz ähnlicher Vorfall ereignete sich 2016 in Hamburg. Damals berichtete der NDR, dass eine Privatperson entsprechende Funksprüche der Hamburger Feuerwehr abgefangen und ins Netz gestellt hatte.

Im Landkreis Recklinghausen plant man mittelfristig eine Umstellung der Funksysteme auf solche, die eine Verschlüsselung nutzen. Einige Städte haben diese bereits und diese seien daher in den Daten auch nicht enthalten gewesen. Doch die Umstellung wird noch einige Zeit dauern.