Beiträge

Datenabfluss bei Feuerwehr und Rettungsdienst

Benötigt man im Notfall medizinische Hilfe oder technische Hilfe durch die Feuerwehr, dann wählt man die 112 und wird mit der nächstgelegenen Rettungsleitstelle verbunden. Hier schildert man sein Anliegen.
Was ist passiert? Namen und Anschrift der betroffenen Person werden übermittelt.
Weiter werden auch erste relevante medizinische Details, also ob sich die Betroffene ein Bein gebrochen hat, oder einen Kollaps erlitten hat, auch Alter und Geschlecht der Person in Not.
In manchen Fällen werden auch Rückrufnummern abgefragt.
Hat man sein Anliegen geschildert, dann ist „Hilfe unterwegs“.

In solch einer Notfallsituation kann sich der Hilfesuchende keine Gedanken über Datenschutz machen.
Sicher ist jedoch, dass es sich bei den Alarmierungsdaten um einen hoch sensitiven und sehr einfach individuell zuzuordnenden Datensatz handelt, welcher unter allen Umständen vertraulich behandelt werden sollte.
Blöd wenn dies nicht passiert. Doch genau das zeigte im Herbst 2020 eine Fachzeitschrift

Wenn Alarmierungsnachrichten wie:

28.03.22 14:48:24 1234567 RD Einsatz: Wiesbach Bahnbrücke K1536 Uslarer Straße 48. Richtung K 16 #Müller 36 J ##Fahrradsturz , Kopfplatzwunde##8382 14:48

26.03.22 19:01:12 0868989 KT liegend: Ostheim Alte Schulstraße 7 #Becker 68 Jahre#Norovirus#Durchfällen seit der Nacht#V. a. NORO#T 39,50#M4 Zwiefalter Bürgerspital GmbH#8202 19:01

27.03.22 10:54:20 3456789 Dialyse Tragestuhl: Dunzweiler Dialyse Hartwig / Stock 54A #Schmidt 76 Jahre##Fertig 11.20#Eichenweg#8235 10:54

25.03.22 18:06:57 4710815 Tür öffnen: Depsried Scharnhorststraße 3 2 OG#Für Polizei#8040 18:06

18.03.22 14:24:42 4988652 nfs-RV Ginsterweg 38 Mallstatt Notfallseelsorge – Übermittlung Todesnachricht nach Suizid – bei Polizei-Inspektion Worms melden

in Echtzeit und öffentlich auf einer Internet-Seite mitgelesen werden können, dann werden durch diesen Datenabfluss auch Tür und Tor für weiteren Missbrauch geöffnet.
Die oder der Betroffene bekommt davon zunächst erst mal nichts mit.

Nach Bekanntwerden der Sicherheitslücke eines gängigen Programms bei Hilfsorganisationen im Herbst 2020 wurde diese Problem durch ein Programm-Update behoben.
Allerdings zeigte sich, dass dieses Update nicht konsequent eingespielt wurde. Bis Frühjahr 2022 waren noch über 50 frei zugängliche Webserver online ohne Zugriffsschutz erreichbar.

51 dieser frei zugänglichen Webserver verteilten sie quer über Deutschland, auch 6 Fälle in Österreich konnten gefunden werden.

Dass diese Fälle nicht ohne Konsequenzen bleiben müssen, zeigt ein Fall aus Northeim. Rein rechtlich gesehen handelt es sich hier auch um Verstöße gegen die DSGVO, welche die zuständige Kreisverwaltung – als Betreiber der Rettungsleitstelle – der Landesbehörde für Datenschutz innerhalb 72 h nach Bekanntwerden melden muss. In Northeim wurde dies versäumt. Die Kreisverwaltung hatte „Glück“ und kam hier noch mit einem „deutlichen Hinweis“ davon.

Zu diesem Sachverhalt hat auch der Bayerische Rundfunk einen Artikel veröffentlicht, dieser beschreibt den hier dargelegten Sachverhalt:

 

Was ist passiert und warum konnte das in einem solchen Ausmaß passieren?

Das technische Problem hinter diesen Datenabflüssen liegt „auf der letzten Meile“, d. h. bei den Feuerwehr-Einheiten und Hilfsorganisationen vor Ort. Zur Nachalarmierung von Einsatzkräften verwenden Löscheinheiten von Feuerwehren und Ortsverbände von Hilfsorganisationen oft PC-basierte Programme bei sich vor Ort. Zu nennen ist hier beispielsweise BosMon, ein kostenloses, weit verbreitetes Programm.

Derartige Programme haben folgende Leistungsmerkmale:

a) unverschlüsselt übertragene analoge oder digitale Alarmierungen können über über die Soundkarte des PC selber ausgewertet werden. Das Audio-Signal wird von einem separaten angeschlossenen Funkmelde-Empfänger bereitgestellt.

b) Funkmelde-Empfänger werden über ihre serielle Schnittstelle mit dem PC verbunden. Damit ist auch es möglich, verschlüsselt übermittelte Alarmierungen (die erst im Funkmelde-Empfänger entschlüsselt wurden) in Klartext weiter zu verarbeiten.

Nachfolgend ist es dann möglich, eine konfigurierbare Weiterleitung der eingegangenen Alarm-Meldungen als SMS oder Push-Nachricht einzurichten. Dafür werden die eingegangenen Alarme auch auf einem Webserver dargestellt.

Das Problem:

BosMon erlaubte es in älteren Programmversionen bis Herbst 2020, den Webserver ohne Passwortschutz zu konfigurieren. Auf die Übersicht der eingehenden Alarme auf dem Webserver kann dann ohne Zugangsbeschränkungen zugegriffen werden.
Auffindbar sind die IP-Adressen und Ports der Webserver über die einschlägigen Suchmaschinen. Sind die IP-Adresse und die Ports bekannt, ist der direkte Zugriff auf die eingehenden Alarmmeldungen möglich.

Wie kann es dann sein, dass bei der Alarmierung immer wieder personenbezogene Daten in so großem Stil frei zugänglich im Internet landen und das auch noch deutschlandweit? Man liest doch immer vom bundesweiten, digitalen, abhörsicheren Behördenfunknetz. Wie erreichen die Alarmierungen der Rettungsleitstellen die hauptberuflichen oder ehrenamtlichen Rettungskräfte bei Rettungsdienst und Feuerwehr ?

Das hängt in Deutschland stark vom jeweiligen Bundesland und dem Landkreis ab.

Bei den Behörden und Organisationen mit Sicherheitsaufgaben (BOS) kommen im Bereich der nicht-polizeilichen Gefahrenabwehr (also Feuerwehr, THW, Rettungsdienst) zur Alarmierung von Einsatzkräften sogenannte Funkmelde-Empfänger zum Einsatz, im ländlichen Raum zusätzlich oft auch Sirenen.

Jedes Bundesland entscheidet selbst, welche Technologie für die Alarmierung verwendet wird.
Im Zuge der Digitalisierung entscheidet auch jedes Bundesland selbst über den Umstieg von bestehender analoger oder digitaler unverschlüsselter Alarmierung zu neuer digitaler und verschlüsselter Alarmierung.

In Deutschland verwendete Systeme

Die in Deutschland verwendeten Systeme lassen sich in diese vier Kategorien einteilen:

  • Unverschlüsselte analoge Alarmierung mit Sprach-Durchsage
  • Digitale unverschlüsselte Alarmierung (Textnachrichten) nach POCSAG-Standard
  • Digitale verschlüsselte Alarmierung nach POCSAG-Standard mit proprietärer Verschlüsselung
  • Verschlüsselte Alarmierung (Text-Nachricht) über das „BOSnet“, das Digitalfunknetz der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS)

Unverschlüsselte analoge Alarmierung mit Sprach-Durchsage:

Alle analogen Funkmelde-Empfänger z. B. einer Feuerwehr-Einheit werden auf die gleiche fünfstellige Adresse (5-Ton-Folge oder Selektivruf, ähnlich DTMF) kodiert.
Die Leitstelle sendet diese fünfstelligen Tonfolgen über Funk aus, um an den Funkmelde-Empfängern einen lauten Warnton zu aktivieren. Danach aktivieren die Funkmelde-Empfänger den eingebauten Lautsprecher und die Durchsage der Leitstelle ist zu hören.

Diese Technik ist seit den 1970ern in Deutschland im Einsatz.
Als Infrastruktur dienen die bis vor Einführung des Digitalfunkdienstes („BOSnet“) genutzten flächendeckenden Analog-Funknetze, welche von den Kommunen unterhalten wurden bzw. werden.

Nachteilig ist dabei:
Eine einzelne Alarmierung dauert mindestens 3 Sekunden zuzüglich Sprach-Durchsage.
Bei Großschadenslagen dauert die Alarmierung mehrerer Alarmierungs-Gruppen zum Teil einige Minuten. Außerdem kann die Alarmierung leicht abgehört werden.

Aktuell ist die Technik z. B. noch in Teilen von Rheinland-Pfalz, Thüringen, Baden-Württemberg und Bayern im Einsatz.

Auf einem BosMon-Webserver werden die Alarmierungen wie folgt dargestellt:

17.03.22 16:25:24 20-580 Kreisbrandinspektion Brettheim
19.03.22 01:30:17 20-598 Notzheim Feueralarm
21.03.22 19:18:46 47-253 Notarzt-Einsatzfahrzeug Rotkreuz Schweinfurt 76.1

Die analoge Alarmierung kann im jeweiligen Leitstellenbereich mit einfachen Mitteln abgehört werden, jedoch werden der Einsatzort und weitere personenbezogene Details nur in der analogen Sprachdurchsage mitgeteilt, die von BosMon nicht erfasst wird.
Die Darstellung auf dem Webserver beschränkt sich auf den Zeitstempel, die Alarmierungsadresse des Einsatzmittels und – falls vom Webserver-Betreiber korrekt eingepflegt – auch der Darstellung des Einsatzmittels in Klartext.

Ein Drittel der aufgefundenen frei erreichbaren Webserver zeigte „nur“ analoge Alarmierung an, die restlichen zeigten digitale Alarmierung, also Alarmierungen als Textnachricht an.

Digitale unverschlüsselte Alarmierung (Textnachrichten) nach POCSAG-Standard:

Der zugrunde liegende POCSAG-Standard aus den 1980er Jahren erlaubt die digitale Übertragung von kurzen Textnachrichten. Empfängt der Funkmelde-Empfänger eine Nachricht, wird diese nach dem Ertönen eines lauten Warntons auf einem Display dargestellt.

Als Infrastruktur dienen von den Kommunen unterhaltene POCSAG-Funkrufnetze, die ausschließlich für die Alarmierung genutzt werden.

Nachteilig ist hier:
Der POCSAG-Standard sieht per se keine Verschlüsselung vor.
Unverschlüsselte POCSAG-Nachrichten können mit kostengünstigen Empfängern und freier Software leicht mitgehört werden. Diese Technik kommt noch in Teilen von Rheinland-Pfalz und von Nordrhein-Westfalen zum Einsatz.

Auf einem BosMon-Webserver wird die Alarmierung wie folgt dargestellt:

28.03.22 14:48:24 1234567 RD Einsatz: Wiesbach Bahnbrücke K1536 Uslarer Straße 48. Richtung K 16 #Müller 36 J ##Fahrradsturz , Kopfplatzwunde##8382 14:48
27.02.21 10:54:20 3456789 Dialyse Tragestuhl: Dunzweiler Dialyse Hartwig / Stock 54A #Schmidt 76 Jahre##Fertig 11.20#Eichenweg#8235 10:54
25.02.21 18:06:57 4710815 Tür öffnen: Depsried Scharnhorststraße 3 2 OG#Für Polizei#8040 18:06

Auf dem Webserver werden also Zeitstempel, Alarmierungsadresse und der Alarmierungstext in Klartext dargestellt. Aufgrund der begrenzten Zeichenlänge werden oft Abkürzungen verwendet. Personenbezogene Daten sind in vollem Umfang einsehbar.

Ein Nachteil der von den Kommunen unterhaltenen POCSAG-Funkrufnetze ist:

Die Kommunen sind für den reibungslosen Betrieb im „Normalfall“ und bei „Großschadenslagen“ selbst verantwortlich, d. h. sie müssen die Infrastruktur auch bei flächendeckenden Ausfällen der Stromversorgung und von Übertragungstechnik in Betrieb halten. Das funktioniert aber nicht immer.
In Berlin-Köpenick kam es beim Stromausfall im Februar 2019 nach 5 Stunden auch zum teilweisen Ausfall der digitalen Alarmierungstechnik.

Rheinland-Pfalz setzt zukünftig ausdrücklich auf sein neues, autarkes POCSAG-Alarmierungsnetz, dieses verfügt über eine unterbrechungsfreie Stromversorgung für mindestens 12 Stunden.

Ferner bietet die e*message GmbH mit ihrem Dienst e*BOS ein kommerzielles POCSAG-Alarmierungsnetz, auf das manche Kommunen zurückgreifen, wie z. B. Gelsenkirchen.

Digitale verschlüsselte Alarmierung nach POCSAG-Standard mit proprietärer Verschlüsselung:

Eine Erweiterung bieten proprietäre Lösungen, die eine Verschlüsselung bei POCSAG nachträglich realisieren. Ähnlich der E-Mail-Verschlüsselung wird im unverschlüsselten Textfeld des Funktelegramms eine separates Verschlüsselungsprotokoll implementiert. Die Produkte unterschiedlicher Hersteller sind untereinander nur bedingt kompatibel, was Kommunen zum Teil auf einen einzelnen Lieferanten festlegt.

Auf einem BosMon-Webserver wird Alarmierung wie folgt dargestellt:

15.03.22 10:30:53 0013951 vXA<DC2><NAK>qPB<SI>X<GS>&<CR>A-x7<ETB>Z(<SUB>$<ETX>H/f$1=A-<DC4>(5<CAN>`!<SUB>ob<DC3>sk!,F>r-o4PC-!ä<SI>m<ETX>Pfö<DC4><CAN><ENQ>Z<HT>0<GS>FE!<ENQ>w<STX><ESC>k`+<BEL>p(t<BEL><DC3>4FeÄ!<CR>fL

Der Alarmierungstext wird nun verschlüsselt dargestellt. Allerdings gibt es auch Leitstellen, bei denen nur Rettungsdienst-Alarmierungen verschlüsselt werden. Alarmierungen für Feuerwehr- und Notfallseelsorge werden weiterhin unverschlüsselt übertragen. Leider finden sich auch hier Fälle, in denen personenbezogene Daten übermittelt werden. Erst nach mehrfachen Meldungen der AG KRITIS-Mitglieder an das Landes-CERT und den Landesdatenschutzbeauftragten konnte dies abgestellt werden.Die betroffene Leitstelle sendet stattdessen nur noch eine ungenaue Adresse ohne Hausnummer und die Einsatzkräfte müssen die genaue Einsatzstelle bei der Leitstelle erfragen.

Verschlüsselte Alarmierung (Textnachricht) über „BOSnet“, das Digitalfunknetz der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS):

Das BOSnet bietet neben den Diensten Sprachkommunikation und Text-Kurznachrichten zwischen einzelnen Teilnehmern („SDS“, ähnlich SMS) auch die Möglichkeit der Alarmierung von Funkmelde- und Sirenen-Empfängern („Call-out“).

Von Vorteil für die Kommunen ist, dass dazu auf die bestehende Infrastruktur des BOSnet zurückgegriffen werden kann. Es müssen keine eigenen Funkrufnetze errichtet und unterhalten werden. Auch für die Rettungsleitstellen und Einsatzleiter gibt es hier entscheidende Vorteile gegenüber den vorher genannten Alarmierungslösungen. Anders als bei den POCSAG-basierten Funkrufnetzwerken, haben Funkmelde- und Sirenen-Empfänger hier einen Rückkanal, die den korrekten Empfang der Alarmierung zurückmelden kann sowie eine Quittierung durch die alarmierten Einsatzkräfte erlaubt („ich komme“ bzw. „ich kann nicht“). Weiter ist es durch die Vernetzung des BOSnet leichter möglich, dass Leitstellen im Rahmen überörtlicher Katastrophenhilfe auch Einheiten und Sirenen außerhalb ihres Zuständigkeitsbereichs alarmieren können.
Nachteilig wirkt sich aus, dass in einigen Bundesländern das BOSnet bislang nur für eine Funkabdeckung zu (im Freien betriebenen) Fahrzeug-Funkgeräten ausgebaut ist. Für den zuverlässigen Empfang der Funkmelde-Empfänger innerhalb von Gebäuden müssen weitere BOSnet-Basisstationen errichtet werden. Verschlüsselung ist bei Alarmierung über das BOSnet obligatorisch, d. h. es werden grundsätzlich alle Alarmierungs-Nachrichten verschlüsselt übertragen.

Allerdings bleibt noch eine „Hintertür“, wie dennoch eigentlich verschlüsselt übertragene Alarmierungen über BosMon-Webserver im Klartext einsehbar sind:

Werden Funkmelde-Empfänger über ihre serielle Schnittstelle mit dem auswertenden PC verbunden, dann werden die verschlüsselt übermittelte Alarmierungen (die erst im Funkmelde-Empfänger entschlüsselt wurden) in Klartext zur Auswertung durch BosMon weitergegeben. Ist dann der Zugriff auf den Webserver – wegen einer veralteten BosMon-Version – ohne Passwort eingerichtet, so können diese Alarmierungen im Klartext eingesehen werden; die verschlüsselten Alarmierungen, die für andere Funkmelde-Empfänger bestimmt sind, jedoch nicht.

Insgesamt konnten Mitglieder der AG KRITIS auf 38 Webserver zugreifen, bei denen personenbezogene Daten und Gesundheitsdaten frei zugänglich waren. Die Historie der Einträge reichte typischerweise ein paar Tage zurück, in Einzelfällen auch über 2 Jahre. Die Aufstellung der Alarmierungen umfasste dabei über 200 frei einsehbare Einsatz-Aufträge.

Es geht nicht ohne: das Alarm-Fax.

Ein besonderer Fall konnte in Oberbayern beobachtet werden:
In Bayern kommen häufig sogenannte „Alarm-Faxe“ zum Einsatz. Zusätzlich zur Alarmierung über Funkmelde-Empfänger und Sirene sendet die Rettungsleitstelle ein Fax mit den Einsatzdetails ins Feuerwehrgerätehaus. Dies wird von den Anwendern als sehr praktisch empfunden, liegt die benötigte Information doch beim Eintreffen im Feuerwehrgerätehaus ausgedruckt bereits vor und kann direkt in das Einsatzfahrzeug mitgenommen werden. Das Alarm-Fax enthält die genaue Adresse und Geo-Koordinaten der Einsatzstelle, den Namen der Hilfesuchenden und ggf. eine private Rückrufnummer vor Ort.

Bei einer Feuerwehr-Einheit in Oberbayern war das Programm zur Alarm- und Einsatz-Verwaltung offen aus dem Internet erreichbar. Die elektronisch gespeicherten Alarm-Faxe der letzten 2 Monate waren frei zugänglich, trotz des Vermerks „Das Fax darf nur zum internen Dienstgebrauch für den jeweiligen Einsatz verwendet werden und ist anschließend zu vernichten“.

Der Bayerische Landesbeauftrage für den Datenschutz konnte abschließend in der Angelegenheit feststellen:

… zwischenzeitlich ist die Stellungnahme der Freiwilligen Feuerwehr eingegangen.
Hierin wird dargelegt, dass in den letzten Wochen das zusätzliche Alar
mierungssystem auf die Umstellung zur digitalen Alarmierung vorbereitet worden sei.
Dafür sei ein temporärer Fernzugriff für die Betreiberfirma eingerichtet worden.
Dabei sei bedauerlicherweise unbeabsichtigt der von Ihnen angegebene Port geöffnet worden.
Als der Fehler mitgeteilt worden sei, habe die Freiwillige Feuerwehr den Port sofort geschlossen. Auch der Fernzugriff sei wieder geschlossen.
Die Freiwillige Feuerwehr versichere, dass es sich hierbei um ein Versehen gehandelt habe. Zukünftig werde sie diesbezüglich noch mehr Sorgfalt walten lassen.

Aber auch in anderen Bundesländern lassen sich immer wieder „abenteuerliche“ Versionen der Alarmfax-Anbindungen finden. Es ist mindestens ein Landkreis bekannt, in dem es technische Probleme mit den Faxanschlüssen in der Telefonanlage gibt, weshalb Alarmierungen dort von der Rettungsleitstelle auch per unverschlüsselter E-Mail über das Internet versendet werden. Im Feuerwehr-Stützpunkt befindet sich ein kleiner PC, der per IMAP die E-Mails von dem Provider abholt und dann per Outlook-Regel direkt auf dem Drucker ausgibt. Die DSGVO-Konformität dieser Lösung bezweifeln wir.

Was tun, wenn man Feuerwehr- und Rettungsdienst-Alarmierungen im Internet frei zugänglich findet ?

Die 38 gefundenen Webserver sind inzwischen alle nicht mehr öffentlich erreichbar. Verschiedene Meldewege wurden evaluiert. Basierend auf unseren Erfahrungen empfehlen wir das folgende Vorgehen:

Hingegen waren Meldungen an die zuständigen Polizei-Präsidien oder Polizei-Inspektionen oft wenig zielführend. In mehreren Fällen blieb die Meldung über den offenen Zugang zu sensiblen personenbezogenen Daten – nach Auskunft der Staatsanwaltschaft – bis zu 7 Wochen liegen und der Anschluss-Inhaber konnte nicht mehr ermittelt werden (die Speicherfrist der IP-Adresse bei den Betreibern beträgt 7 Tage). In einigen Fällen wurde der Vorgang nach etlichen technischen Rückfragen schließlich doch an die Zentrale Ansprechstelle Cybercrime zur Bearbeitung weitergeleitet.

Bei knapp zehn Prozent der Meldungen gab es Rückmeldungen zum Webserver-Betreiber:

Meistens handelt es sich bei den Betreibern der frei zugänglichen Webserver um BOS-Einheiten, also z. B. Feuerwehr-Einheiten oder Rettungsdienst-Ortsverbände. Die Konfiguration des Webservers ohne Zugangsbeschränkungen ist hier meist aus Unwissen erfolgt und nach direkter Ansprache durch die Polizei kurzfristig abgestellt worden. Es erfolge keine weitere strafrechtliche Ahndung.

In einigen wenigen Fällen erfolgte die Auswertung von unverschlüsselter analoger bzw. unverschlüsselter digitaler Alarmierung mit dem frei einsehbaren Webserver durch Unberechtigte. Dabei handelte es sich um einen Verstoß gegen das Abhörverbot im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG).

Fazit

14 deutsche Bundesländer haben sich explizit dazu entschieden, keine verschlüsselte Alarmierung über das „BOSnet“ zu nutzen. Dort kommt zu einem gewissen Teil weiterhin unverschlüsselte (analoge und digitale) Alarmierung zum Einsatz.

In den Innenministerien der Länder ist das datenschutzrechtliche Problem von unverschlüsselter Alarmierung langsam angekommen. Diese können aber nur „konkretisierende Erläuterungen und ergänzende Informationen zur praktischen Umsetzung“ zur Verschlüsselung in der Alarmierung geben. Es sind weiter die Stadt- und Landkreise und Rettungsdienst-Organisationen als Betreiber der Kommunikationsnetze für Einsatzkräfte, die „selbst für die Einhaltung der rechtlichen Vorgaben u.a. nach DSGVO und die Einleitung geeigneter Maßnahmen zur Gewährleistung der Datensicherheit verantwortlich“ sind.

Jede einzelne Kommune steht hier in der Verantwortung und muss teils mit sehr begrenzten Mitteln diese Anforderungen umsetzen. So kommt es vor, dass der Webmaster der Feuerwehr-Homepage schnell mal für seine Kameraden eine SMS-Alarmierung bastelt, die eben nicht der DSGVO entspricht.

Sind verschlüsselungsfähige Funkmelde-Empfänger vorhanden, dann sind diese noch lange nicht administriert und es erfolgt weiterhin eine unverschlüsselte Übertragung. Diese Schwachstelle ist an sich lokal beschränkt, da die technische Reichweite der Alarmierung über Funk meist auf den jeweiligen Landkreis beschränkt ist. Klassisches Abhören ist nur regional möglich. Durch frei zugängliche Webserver bekommt das Problem aber eine bundesweite Dimension.

Auch über 19 Monate nach Bekanntwerden des Problems und der Bereitstellung von Updates durch die Software-Hersteller können auch heute immer noch Webserver gefunden werden, die den unbeschränkten Zugriff auf Alarmierungs-Mitteilungen ermöglichen.

Wir sehen vier konkrete, kurzfristige Maßnahmen zur Behebung der Schwachstellen:

  • Bei den kommunalen Trägern der Alarmierungsnetze muss ein Problembewusstsein geschaffen werden. Idealerweise muss dies auf Länderebene gesteuert werden und dort zentral und datenschutzkonform durchgesetzt werden, mit Mitteln, welche über einen „Hinweis-Flyer“ hinausgehen.
  • Kommunale Betreiber von Webservern für Alarmierungs-Nachrichten müssen zu Zugangsbeschränkungen und starken Passwörtern verpflichtet werden.
    Sicherheits-Updates müssen zeitnah eingespielt werden.
  • Angehörigen von Behörden und Organisationen mit Sicherheitsaufgaben muss der private Betrieb von Webservern für Alarmierungs-Nachrichten untersagt werden.
  • Perspektivisch muss die Alarmierung aller Einsatzkräfte (wie Rettungsdienst, Feuerwehr, THW, Psychosoziale Notfallversorgung) zwingend verschlüsselt erfolgen.

Diese kurzfristigen Maßnahmen werden sicherlich dazu führen, dass der Arbeitsaufwand mancher Hilfsorganisationen geringfügig steigt, denn sie können selbst gebastelte und privat betriebene Lösungen so nicht mehr nutzen. Sie müssen nach der Alarmierung, wie im Beispiel oben gezeigt, durch Rückruf bei der Leitstelle die erforderlichen Einsatzdaten erst erfragen. Aus diesem Grund können die vorgeschlagenen Maßnahmen nur kurzfristiger Natur sein. Darüber hinaus sind auch gesetzliche Änderungen der Verantwortung notwendig.

Unsere politischen Forderungen in diesem Kontext lauten daher:

  • Wir fordern die bundesweite Harmonisierung der Landesgesetze für Brand- und Katastrophenschutz.
  • Wir fordern, dass die Verantwortung für den Betrieb der Alarmierungseinrichtungen von den Kommunen auf das Bundesland übergeht und so in den 16 Landesgesetzen für Brand- und Katastrophenschutz festgeschrieben wird.
  • Darüber hinaus benötigen wir klare gesetzliche Regelung, dass die dem Rettungsdienst nahen Gruppen, wie z. B. die ehrenamtlichen Vereine, die die lokale Psychosoziale Notfallversorgung (PSNV) übernehmen, im gleichen Umfang mit aktuellen, verschlüsselungsfähigen Meldeempfängern auszustatten sind
  • Die Innenministerien der Länder müssen eine fortlaufende Evaluierung der technischen Möglichkeiten zur Verbesserung des Informationsflusses zwischen Leitstellen und Hilfsorganisationen durchführen. Allen Hilfsorganisationen muss der aktuelle Stand der Kommunikationstechnik zur Verfügung gestellt werden.

Der Artikel wurde von unseren Mitgliedern Yves Ferrand und Peter Merk verfasst. Vielen Dank!

Das Bild des Artikels wurde von Jacek Rużyczka aufgenommen, es steht unter einer CC-BY-Lizenz.

#Shitrix: Was kann der Gesetzgeber aus dem Citrix-Vorfall lernen und für KRITIS Betreiber verbessern?

Seit dem 07.01.2020 hat das CERT-Bund des BSI deutsche Netzbetreiber, die Bundesverwaltung, Betreiber Kritischer Infrastrukturen und andere -Nutzergruppen über verwundbare Citrix-Systeme informiert. Darüber hinaus wurde beispielsweise am 16.01.2020 nochmal verschärft darauf hingewiesen, dass seit dem 10.01.2020 verstärkt Exploit-Code zur Ausnutzung der Schwachstelle veröffentlicht wurde. Trotzdem sind heute immer noch viele Systeme verwundbar und werden aktiv kompromittiert, wie beispielsweise auch die Landeshauptstadt Potsdam und die Stadt Brandenburg!

Wie kann es sein, dass nach Veröffentlichung von Schwachstellen durch Hersteller und Entdecker als auch nach Warnmeldungen vom BSI ein sicherer Betrieb und eine zügige Absicherung der IT-Infrastruktur nicht gewährleistet werden kann? Bis heute sind immer noch viele Systeme ungepatcht.

Um den beschriebenen Herausforderungen auf geeignete Weise begegnen zu können, bedarf es staatlicher Unterstützung, die wir in diesem Beitrag zu politischen Forderungen zur Diskussion stellen möchten.

So kann es nicht weitergehen. Die Politik ist jetzt gefragt, einige wenige, aber sehr notwendige gesetzliche Änderungen durchzuführen.

Politische Forderungen

Was kann der Gesetzgeber aus dem Citrix-Vorfall als auch der kürzlich bekannt gewordenen Krypto-Schwachstelle bei Microsoft lernen und für uns alle verbessern?

Unabhängigkeit des Bundesamt für Sicherheit in der Informationstechnik

Wie einem Mitglied der AG KRITIS vertraulich zugetragen wurde, hätte die Citrix-Sicherheitslücke bereits einige Tage oder Wochen vor der ersten Meldung von Citrix am 17.12.2019 an das BSI gemeldet werden können. Mitarbeiter eines Unternehmens hatten schon früher Kenntnis über die Sicherheitslücke erlangt – entschieden sich aber, diese die Kenntnis der Sicherheitslücke vorerst nicht dem BSI öffentlich zu machen oder zu melden. Mangels Vertrauen, dass diese Erkenntnisse nicht auch an Angreifer oder über das BMI an die Sicherheitsbehörden zur Ausnutzung gelangen würden!

Stellungnahme vom 29.01.2020 zum obigen Abschnitt: Es handelte sich hierbei nicht um eine Meinung des Unternehmens, sondern um eine private Meinung, die in dieser Weise nicht für die Veröffentlichung vorgesehen war. Dafür entschuldigen wir uns nachdrücklich.

Das BSI muss aus den Strukturen des Bundesinnenministeriums herausgelöst werden, um eine unabhängige und defensive IT-Sicherheit in Deutschland zu etablieren. Das BMI ist auch für deutsche Sicherheitsbehörden zuständig, die zwangsläufig aufgrund ihres staatlichen Auftrags den IT-Sicherheitszielen gegensteuern müssen.

Ein unabhängiges und ausschließlich defensiv agierendes BSI kann zum einen das benötigte Vertrauen schaffen, so dass Sicherheitsforscher alle gefundenen Schwachstellen dem Hersteller als auch dem BSI möglichst umgehend bereitstellen. Zum anderen kann es dann wiederum auch konsequent die Entwicklung eines Patches und das ausrollen und installieren bei KRITIS Betreibern als Kunden dieser Hersteller überwachen und sicherstellen. Zur Not auch durch den Einsatz von Bußgeldern und Strafzahlungen, vergleichbar dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit im Rahmen der DSGVO.

Solange dieses Vertrauen nicht hergestellt ist, werden durch Sicherheitsforscher entdeckte Sicherheitslücken nicht konsequent an das BSI gemeldet. Des weiteren wird dadurch auch der Schwarzmarkt zum Handel mit Sicherheitslücken (0days oder zero day exploits) und zugehörigen Exploits zum Ausnutzen der Lücken angefeuert und nicht ausgetrocknet.

Gesetzlich verpflichtendes Patchmanagement

KRITIS Betreiber können häufig nicht ihre eigene Software für Spezialanwendungen schreiben und müssen diese zukaufen. Wir fordern daher neben der Veröffentlichung des Quellcodes, oder aber der treuhänderischen Verwaltung des Quellcodes eine gesetzliche Verpflichtung der KRITIS-Betreiber, Aktualisierungen und Softwareverteilung auf Integrität und Herkunft zu prüfen, aber auch binnen einer vorgegebenen und Bußgeldbewehrten Frist, Empfehlungen und Mindeststandards des BSI umzusetzen. Dies erfordert, dass Hersteller entsprechende Signaturen implementieren. Unsignierte Software, die nicht Open Source ist, und wo sich der Quellcode nicht in treuhändischer Verwaltung befindet, darf im KRITIS-Umfeld unserer Meinung nach nicht eingesetzt werden.

Patches müssen gesichert eingespielt werden können, um einen dauerhaften Schutz der IT-Landschaft zu gewährleisten.

Millionenfach Patientendaten ungeschützt im Internet

Der jüngste Skandal über millionenfach Patientendaten, die ungeschützt im Internet von jedermann abrufbar waren zeigt erneut, dass noch großer Handlungsbedarf bei der IT-Sicherheit in Arztpraxen und Krankenhäusern besteht. Konkret handelt es sich in dem vom BR und ProPublica recherchierten Fall um ein Bildarchiv, dem „Picture Archiving and Communication System“ oder kurz „PACS“ genannt. Hier werden zentral die Bilder von MRT, CT oder digitalen Röntgengeräten gespeichert. Durch ein Konfigurationsfehler waren diese inkl. der dazugehörigen Patientendaten ohne Passwort öffentlich einsehbar.

Leider ist dies kein Einzelfall. Eine einfache Suche mit spezialisierten Suchmaschinen wie Shodan offenbart eine Vielzahl potenziell fehlkonfigurierter und damit öffentlich einsehbarer Server oder Datenbanken. Hier stellt sich prinzipiell die Frage, warum diese Systeme direkt am Internet angebunden und nicht durch zusätzliche Sicherheitsmaßnahmen geschützt sind. Dies stellt den Stand der Technik dar und dieser ist nach § 8a BSI-Gesetz für Krankenhäuser mit mehr als 30.000 vollstationäre Bettenbelegungen im Jahr einzuhalten.

Besonders Problematisch ist, wenn für einen erfolgreichen Datenzugriff noch nicht einmal ein Passwort eingegeben werden muss. Doch auch bei einem gesetzten Passwort mangelt es leider oft an einer ausreichenden Komplexität, so dass dieses durch einfaches Erraten herausgefunden werden kann. Sofern Zugriff z. B. aufgrund von Fernwartung erforderlich ist, sollte hier der hinreichende Schutz über Mechanismen der Multifaktor-Authentikation (MFA) realisiert werden.

In der Regel sind solche Systeme zudem stark veraltet und so über Schwachstellen und dafür frei verfügbare Exploits angreifbar. Beispiele hierfür sind die Windows-Sicherheitslücken EternalBlue (2017) und BlueKeep (2019), für die schon länger Sicherheitsupdates bereitgestellt werden.

Inwiefern auch KRITIS-Betreiber als kritische Infrastruktur betroffen sind und somit zur Absicherung nach Stand der Technik verpflichtet waren oder sogar ein Bußgeld ausgesprochen wurde, ist aktuell nicht bekannt.

Allerdings sollten bereits bei der Umsetzung der Europäischen Datenschutzgrundverordnung (DSGVO) die oben genannten Sicherheitsprobleme nirgendwo auftreten dürfen. Ob und in welcher Höhe hier ein Bußgeld wegen Verstoß gegen Art. 32 DSGVO verhängt wird, bleibt daher ebenfalls abzuwarten.