Beiträge

Schriftliche Stellungnahme zum Gesetzentwurf des Thüringer Brand- und Katastrophenschutzgesetzes

Der Innen- und Kommunalausschuss des Thüringer Landtags hat in seiner 57. Sitzung am 15. März 2024 beschlossen, ein schriftliches Anhörungsverfahren durchzuführen zum Gesetzentwurf des Thüringer Gesetzes über den Brandschutz, die Allgemeine Hilfe und den Katastrophenschutz (Thüringer Brand- und Katastrophenschutzgesetz – ThürBKG).

Der zur Diskussion stehende Gesetzentwurf wurde auf Drucksache 7/9658 von den drei Regierungsfraktionen DIE LINKE, der SPD und BÜNDNIS90/DIE GRÜNEN eingebracht. Auch der AG KRITIS wurde dabei Gelegenheit zu einer schriftlichen Stellungnahme gegeben.

Wir empfehlen dabei unter anderem allen Bundesländern folgende Maßnahmen gemeinsam umzusetzen:

1. Ausnahmslos alle Behörden und Organisationen mit Sicherheitsaufgaben (BOS) der Bundesländer müssen verbindlich das abhörsichere und hochverfügbare BOS-Digitalfunknetz nutzen. Denn im Bereich der nicht-polizeilichen Gefahrenabwehr (Rettungsdienst, Feuerwehr, Katastrophenschutz) kommen bundesweit aktuell immer noch analoger Sprechfunk und unverschlüsselte digitale Alarmierungstechnik zum Einsatz. Sie können lokal einfach abgehört werden und wurden in der Vergangenheit im großen Umfang im Internet frei zugänglich gemacht. Lediglich die Polizei nutzt flächendeckend den abhörsicheren BOS-Digitalfunk.

2. Die Alarmierung der Einsatzkräfte (insbesondere Rettungsdienst, Feuerwehr, Psychosoziale Notfallversorgung) muss zwingend verschlüsselt erfolgen.

3. Die Mittel zur Warnung der Bevölkerung müssen flächendeckend vorhanden und regelmäßig getestet werden.

4. Wir fordern die Errichtung eines Kommunal-CERT in jedem Landes-CERT in allen Bundesländern. Dieses sollte für alle Einrichtungen auf kommunaler Ebene zum Einsatz kommen, wie z.B. Rathäuser, Kreisverwaltungen und Rettungsleitstellen. Nur so kann das Gemeinwesen der Bundesländer auf allen Ebenen resilienter gestaltet werden, insbesondere gegen Bedrohungen aus dem Cyber-Raum und großflächige Ausfälle landesweiter IT-Infrastruktur. Denn in einigen Bundesländern ist das Landes-CERT nicht zuständig für kommunale Einrichtungen, sondern nur für Behörden und Ämter des Landes und landeseigene Betriebe.

Der Gesetzentwurf zielt vordergründig auf den Bereich des Brand- und Katastrophenschutzes im engeren Sinne ab. Um eine gesamtstaatliche und gesamtgesellschaftliche Resilienz zu erreichen, wäre ein wesentlich breiterer Ansatz erforderlich. Hierfür sei verwiesen auf das Sendai-Rahmenwerk für Katastrophenvorsorge 2015–2030, sowie dessen nationale Umsetzung durch die Resilienzstrategie des Bundes.

Titelbild wurde von Alupus angefertigt und via Wikimedia Commons veröffentlicht. Das Bild steht unter CC BY-SA 3.0 Lizenz.

Schriftliche Stellungnahme für Anhörung im Thüringer Landtag zur Änderung des Thüringer Brand- und Katastrophenschutzgesetzes

Der Innen- und Kommunalausschuss des Thüringer Landtags hat in seiner 53. Sitzung am 30. November 2023 beschlossen, ein schriftliches Anhörungsverfahren durchzuführen zum beratenen Gesetz zur Änderung des Thüringer Brand- und Katastrophenschutzgesetzes.

Der zur Diskussion stehende Gesetzentwurf wurde auf Drucksache 7/8909 von den drei Regierungsfraktionen DIE LINKE, SPD und BÜNDNIS90/DIE GRÜNEN eingebracht .

Teil der Anhörung ist auch ein Entwurf der FDP. Dieser Entwurf regelt ausschließlich die Altersversorgung von Feuerwehrangehörigen. Da die AG KRITIS diese Fragestellungen bisher nicht diskutiert hat, sehen wir von einer Stellungnahme zur entsprechenden Drucksache 7/8910 ab.

Der Regierungsentwurf will die alten analogen und unverschlüsselten Alarmierungsnetze der 14 Rettungsleitstellen durch moderne Technologie ersetzen. In unserer Stellungnahme geben wir Empfehlungen für daraus folgende technische Entscheidungen.

Unsere Stellungnahme findet sich hier zum Download.

Titelbild wurde von Alupus angefertigt und via Wikimedia Commons veröffentlicht. Das Bild steht unter CC BY-SA 3.0 Lizenz.

 

Datenabfluss bei Feuerwehr und Rettungsdienst

Benötigt man im Notfall medizinische Hilfe oder technische Hilfe durch die Feuerwehr, dann wählt man die 112 und wird mit der nächstgelegenen Rettungsleitstelle verbunden. Hier schildert man sein Anliegen.
Was ist passiert? Namen und Anschrift der betroffenen Person werden übermittelt.
Weiter werden auch erste relevante medizinische Details, also ob sich die Betroffene ein Bein gebrochen hat, oder einen Kollaps erlitten hat, auch Alter und Geschlecht der Person in Not.
In manchen Fällen werden auch Rückrufnummern abgefragt.
Hat man sein Anliegen geschildert, dann ist „Hilfe unterwegs“.

In solch einer Notfallsituation kann sich der Hilfesuchende keine Gedanken über Datenschutz machen.
Sicher ist jedoch, dass es sich bei den Alarmierungsdaten um einen hoch sensitiven und sehr einfach individuell zuzuordnenden Datensatz handelt, welcher unter allen Umständen vertraulich behandelt werden sollte.
Blöd wenn dies nicht passiert. Doch genau das zeigte im Herbst 2020 eine Fachzeitschrift

Wenn Alarmierungsnachrichten wie:

28.03.22 14:48:24 1234567 RD Einsatz: Wiesbach Bahnbrücke K1536 Uslarer Straße 48. Richtung K 16 #Müller 36 J ##Fahrradsturz , Kopfplatzwunde##8382 14:48

26.03.22 19:01:12 0868989 KT liegend: Ostheim Alte Schulstraße 7 #Becker 68 Jahre#Norovirus#Durchfällen seit der Nacht#V. a. NORO#T 39,50#M4 Zwiefalter Bürgerspital GmbH#8202 19:01

27.03.22 10:54:20 3456789 Dialyse Tragestuhl: Dunzweiler Dialyse Hartwig / Stock 54A #Schmidt 76 Jahre##Fertig 11.20#Eichenweg#8235 10:54

25.03.22 18:06:57 4710815 Tür öffnen: Depsried Scharnhorststraße 3 2 OG#Für Polizei#8040 18:06

18.03.22 14:24:42 4988652 nfs-RV Ginsterweg 38 Mallstatt Notfallseelsorge – Übermittlung Todesnachricht nach Suizid – bei Polizei-Inspektion Worms melden

in Echtzeit und öffentlich auf einer Internet-Seite mitgelesen werden können, dann werden durch diesen Datenabfluss auch Tür und Tor für weiteren Missbrauch geöffnet.
Die oder der Betroffene bekommt davon zunächst erst mal nichts mit.

Nach Bekanntwerden der Sicherheitslücke eines gängigen Programms bei Hilfsorganisationen im Herbst 2020 wurde diese Problem durch ein Programm-Update behoben.
Allerdings zeigte sich, dass dieses Update nicht konsequent eingespielt wurde. Bis Frühjahr 2022 waren noch über 50 frei zugängliche Webserver online ohne Zugriffsschutz erreichbar.

51 dieser frei zugänglichen Webserver verteilten sie quer über Deutschland, auch 6 Fälle in Österreich konnten gefunden werden.

Dass diese Fälle nicht ohne Konsequenzen bleiben müssen, zeigt ein Fall aus Northeim. Rein rechtlich gesehen handelt es sich hier auch um Verstöße gegen die DSGVO, welche die zuständige Kreisverwaltung – als Betreiber der Rettungsleitstelle – der Landesbehörde für Datenschutz innerhalb 72 h nach Bekanntwerden melden muss. In Northeim wurde dies versäumt. Die Kreisverwaltung hatte „Glück“ und kam hier noch mit einem „deutlichen Hinweis“ davon.

Zu diesem Sachverhalt hat auch der Bayerische Rundfunk einen Artikel veröffentlicht, dieser beschreibt den hier dargelegten Sachverhalt:

 

Was ist passiert und warum konnte das in einem solchen Ausmaß passieren?

Das technische Problem hinter diesen Datenabflüssen liegt „auf der letzten Meile“, d. h. bei den Feuerwehr-Einheiten und Hilfsorganisationen vor Ort. Zur Nachalarmierung von Einsatzkräften verwenden Löscheinheiten von Feuerwehren und Ortsverbände von Hilfsorganisationen oft PC-basierte Programme bei sich vor Ort. Zu nennen ist hier beispielsweise BosMon, ein kostenloses, weit verbreitetes Programm.

Derartige Programme haben folgende Leistungsmerkmale:

a) unverschlüsselt übertragene analoge oder digitale Alarmierungen können über über die Soundkarte des PC selber ausgewertet werden. Das Audio-Signal wird von einem separaten angeschlossenen Funkmelde-Empfänger bereitgestellt.

b) Funkmelde-Empfänger werden über ihre serielle Schnittstelle mit dem PC verbunden. Damit ist auch es möglich, verschlüsselt übermittelte Alarmierungen (die erst im Funkmelde-Empfänger entschlüsselt wurden) in Klartext weiter zu verarbeiten.

Nachfolgend ist es dann möglich, eine konfigurierbare Weiterleitung der eingegangenen Alarm-Meldungen als SMS oder Push-Nachricht einzurichten. Dafür werden die eingegangenen Alarme auch auf einem Webserver dargestellt.

Das Problem:

BosMon erlaubte es in älteren Programmversionen bis Herbst 2020, den Webserver ohne Passwortschutz zu konfigurieren. Auf die Übersicht der eingehenden Alarme auf dem Webserver kann dann ohne Zugangsbeschränkungen zugegriffen werden.
Auffindbar sind die IP-Adressen und Ports der Webserver über die einschlägigen Suchmaschinen. Sind die IP-Adresse und die Ports bekannt, ist der direkte Zugriff auf die eingehenden Alarmmeldungen möglich.

Wie kann es dann sein, dass bei der Alarmierung immer wieder personenbezogene Daten in so großem Stil frei zugänglich im Internet landen und das auch noch deutschlandweit? Man liest doch immer vom bundesweiten, digitalen, abhörsicheren Behördenfunknetz. Wie erreichen die Alarmierungen der Rettungsleitstellen die hauptberuflichen oder ehrenamtlichen Rettungskräfte bei Rettungsdienst und Feuerwehr ?

Das hängt in Deutschland stark vom jeweiligen Bundesland und dem Landkreis ab.

Bei den Behörden und Organisationen mit Sicherheitsaufgaben (BOS) kommen im Bereich der nicht-polizeilichen Gefahrenabwehr (also Feuerwehr, THW, Rettungsdienst) zur Alarmierung von Einsatzkräften sogenannte Funkmelde-Empfänger zum Einsatz, im ländlichen Raum zusätzlich oft auch Sirenen.

Jedes Bundesland entscheidet selbst, welche Technologie für die Alarmierung verwendet wird.
Im Zuge der Digitalisierung entscheidet auch jedes Bundesland selbst über den Umstieg von bestehender analoger oder digitaler unverschlüsselter Alarmierung zu neuer digitaler und verschlüsselter Alarmierung.

In Deutschland verwendete Systeme

Die in Deutschland verwendeten Systeme lassen sich in diese vier Kategorien einteilen:

  • Unverschlüsselte analoge Alarmierung mit Sprach-Durchsage
  • Digitale unverschlüsselte Alarmierung (Textnachrichten) nach POCSAG-Standard
  • Digitale verschlüsselte Alarmierung nach POCSAG-Standard mit proprietärer Verschlüsselung
  • Verschlüsselte Alarmierung (Text-Nachricht) über das „BOSnet“, das Digitalfunknetz der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS)

Unverschlüsselte analoge Alarmierung mit Sprach-Durchsage:

Alle analogen Funkmelde-Empfänger z. B. einer Feuerwehr-Einheit werden auf die gleiche fünfstellige Adresse (5-Ton-Folge oder Selektivruf, ähnlich DTMF) kodiert.
Die Leitstelle sendet diese fünfstelligen Tonfolgen über Funk aus, um an den Funkmelde-Empfängern einen lauten Warnton zu aktivieren. Danach aktivieren die Funkmelde-Empfänger den eingebauten Lautsprecher und die Durchsage der Leitstelle ist zu hören.

Diese Technik ist seit den 1970ern in Deutschland im Einsatz.
Als Infrastruktur dienen die bis vor Einführung des Digitalfunkdienstes („BOSnet“) genutzten flächendeckenden Analog-Funknetze, welche von den Kommunen unterhalten wurden bzw. werden.

Nachteilig ist dabei:
Eine einzelne Alarmierung dauert mindestens 3 Sekunden zuzüglich Sprach-Durchsage.
Bei Großschadenslagen dauert die Alarmierung mehrerer Alarmierungs-Gruppen zum Teil einige Minuten. Außerdem kann die Alarmierung leicht abgehört werden.

Aktuell ist die Technik z. B. noch in Teilen von Rheinland-Pfalz, Thüringen, Baden-Württemberg und Bayern im Einsatz.

Auf einem BosMon-Webserver werden die Alarmierungen wie folgt dargestellt:

17.03.22 16:25:24 20-580 Kreisbrandinspektion Brettheim
19.03.22 01:30:17 20-598 Notzheim Feueralarm
21.03.22 19:18:46 47-253 Notarzt-Einsatzfahrzeug Rotkreuz Schweinfurt 76.1

Die analoge Alarmierung kann im jeweiligen Leitstellenbereich mit einfachen Mitteln abgehört werden, jedoch werden der Einsatzort und weitere personenbezogene Details nur in der analogen Sprachdurchsage mitgeteilt, die von BosMon nicht erfasst wird.
Die Darstellung auf dem Webserver beschränkt sich auf den Zeitstempel, die Alarmierungsadresse des Einsatzmittels und – falls vom Webserver-Betreiber korrekt eingepflegt – auch der Darstellung des Einsatzmittels in Klartext.

Ein Drittel der aufgefundenen frei erreichbaren Webserver zeigte „nur“ analoge Alarmierung an, die restlichen zeigten digitale Alarmierung, also Alarmierungen als Textnachricht an.

Digitale unverschlüsselte Alarmierung (Textnachrichten) nach POCSAG-Standard:

Der zugrunde liegende POCSAG-Standard aus den 1980er Jahren erlaubt die digitale Übertragung von kurzen Textnachrichten. Empfängt der Funkmelde-Empfänger eine Nachricht, wird diese nach dem Ertönen eines lauten Warntons auf einem Display dargestellt.

Als Infrastruktur dienen von den Kommunen unterhaltene POCSAG-Funkrufnetze, die ausschließlich für die Alarmierung genutzt werden.

Nachteilig ist hier:
Der POCSAG-Standard sieht per se keine Verschlüsselung vor.
Unverschlüsselte POCSAG-Nachrichten können mit kostengünstigen Empfängern und freier Software leicht mitgehört werden. Diese Technik kommt noch in Teilen von Rheinland-Pfalz und von Nordrhein-Westfalen zum Einsatz.

Auf einem BosMon-Webserver wird die Alarmierung wie folgt dargestellt:

28.03.22 14:48:24 1234567 RD Einsatz: Wiesbach Bahnbrücke K1536 Uslarer Straße 48. Richtung K 16 #Müller 36 J ##Fahrradsturz , Kopfplatzwunde##8382 14:48
27.02.21 10:54:20 3456789 Dialyse Tragestuhl: Dunzweiler Dialyse Hartwig / Stock 54A #Schmidt 76 Jahre##Fertig 11.20#Eichenweg#8235 10:54
25.02.21 18:06:57 4710815 Tür öffnen: Depsried Scharnhorststraße 3 2 OG#Für Polizei#8040 18:06

Auf dem Webserver werden also Zeitstempel, Alarmierungsadresse und der Alarmierungstext in Klartext dargestellt. Aufgrund der begrenzten Zeichenlänge werden oft Abkürzungen verwendet. Personenbezogene Daten sind in vollem Umfang einsehbar.

Ein Nachteil der von den Kommunen unterhaltenen POCSAG-Funkrufnetze ist:

Die Kommunen sind für den reibungslosen Betrieb im „Normalfall“ und bei „Großschadenslagen“ selbst verantwortlich, d. h. sie müssen die Infrastruktur auch bei flächendeckenden Ausfällen der Stromversorgung und von Übertragungstechnik in Betrieb halten. Das funktioniert aber nicht immer.
In Berlin-Köpenick kam es beim Stromausfall im Februar 2019 nach 5 Stunden auch zum teilweisen Ausfall der digitalen Alarmierungstechnik.

Rheinland-Pfalz setzt zukünftig ausdrücklich auf sein neues, autarkes POCSAG-Alarmierungsnetz, dieses verfügt über eine unterbrechungsfreie Stromversorgung für mindestens 12 Stunden.

Ferner bietet die e*message GmbH mit ihrem Dienst e*BOS ein kommerzielles POCSAG-Alarmierungsnetz, auf das manche Kommunen zurückgreifen, wie z. B. Gelsenkirchen.

Digitale verschlüsselte Alarmierung nach POCSAG-Standard mit proprietärer Verschlüsselung:

Eine Erweiterung bieten proprietäre Lösungen, die eine Verschlüsselung bei POCSAG nachträglich realisieren. Ähnlich der E-Mail-Verschlüsselung wird im unverschlüsselten Textfeld des Funktelegramms eine separates Verschlüsselungsprotokoll implementiert. Die Produkte unterschiedlicher Hersteller sind untereinander nur bedingt kompatibel, was Kommunen zum Teil auf einen einzelnen Lieferanten festlegt.

Auf einem BosMon-Webserver wird Alarmierung wie folgt dargestellt:

15.03.22 10:30:53 0013951 vXA<DC2><NAK>qPB<SI>X<GS>&<CR>A-x7<ETB>Z(<SUB>$<ETX>H/f$1=A-<DC4>(5<CAN>`!<SUB>ob<DC3>sk!,F>r-o4PC-!ä<SI>m<ETX>Pfö<DC4><CAN><ENQ>Z<HT>0<GS>FE!<ENQ>w<STX><ESC>k`+<BEL>p(t<BEL><DC3>4FeÄ!<CR>fL

Der Alarmierungstext wird nun verschlüsselt dargestellt. Allerdings gibt es auch Leitstellen, bei denen nur Rettungsdienst-Alarmierungen verschlüsselt werden. Alarmierungen für Feuerwehr- und Notfallseelsorge werden weiterhin unverschlüsselt übertragen. Leider finden sich auch hier Fälle, in denen personenbezogene Daten übermittelt werden. Erst nach mehrfachen Meldungen der AG KRITIS-Mitglieder an das Landes-CERT und den Landesdatenschutzbeauftragten konnte dies abgestellt werden.Die betroffene Leitstelle sendet stattdessen nur noch eine ungenaue Adresse ohne Hausnummer und die Einsatzkräfte müssen die genaue Einsatzstelle bei der Leitstelle erfragen.

Verschlüsselte Alarmierung (Textnachricht) über „BOSnet“, das Digitalfunknetz der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS):

Das BOSnet bietet neben den Diensten Sprachkommunikation und Text-Kurznachrichten zwischen einzelnen Teilnehmern („SDS“, ähnlich SMS) auch die Möglichkeit der Alarmierung von Funkmelde- und Sirenen-Empfängern („Call-out“).

Von Vorteil für die Kommunen ist, dass dazu auf die bestehende Infrastruktur des BOSnet zurückgegriffen werden kann. Es müssen keine eigenen Funkrufnetze errichtet und unterhalten werden. Auch für die Rettungsleitstellen und Einsatzleiter gibt es hier entscheidende Vorteile gegenüber den vorher genannten Alarmierungslösungen. Anders als bei den POCSAG-basierten Funkrufnetzwerken, haben Funkmelde- und Sirenen-Empfänger hier einen Rückkanal, die den korrekten Empfang der Alarmierung zurückmelden kann sowie eine Quittierung durch die alarmierten Einsatzkräfte erlaubt („ich komme“ bzw. „ich kann nicht“). Weiter ist es durch die Vernetzung des BOSnet leichter möglich, dass Leitstellen im Rahmen überörtlicher Katastrophenhilfe auch Einheiten und Sirenen außerhalb ihres Zuständigkeitsbereichs alarmieren können.
Nachteilig wirkt sich aus, dass in einigen Bundesländern das BOSnet bislang nur für eine Funkabdeckung zu (im Freien betriebenen) Fahrzeug-Funkgeräten ausgebaut ist. Für den zuverlässigen Empfang der Funkmelde-Empfänger innerhalb von Gebäuden müssen weitere BOSnet-Basisstationen errichtet werden. Verschlüsselung ist bei Alarmierung über das BOSnet obligatorisch, d. h. es werden grundsätzlich alle Alarmierungs-Nachrichten verschlüsselt übertragen.

Allerdings bleibt noch eine „Hintertür“, wie dennoch eigentlich verschlüsselt übertragene Alarmierungen über BosMon-Webserver im Klartext einsehbar sind:

Werden Funkmelde-Empfänger über ihre serielle Schnittstelle mit dem auswertenden PC verbunden, dann werden die verschlüsselt übermittelte Alarmierungen (die erst im Funkmelde-Empfänger entschlüsselt wurden) in Klartext zur Auswertung durch BosMon weitergegeben. Ist dann der Zugriff auf den Webserver – wegen einer veralteten BosMon-Version – ohne Passwort eingerichtet, so können diese Alarmierungen im Klartext eingesehen werden; die verschlüsselten Alarmierungen, die für andere Funkmelde-Empfänger bestimmt sind, jedoch nicht.

Insgesamt konnten Mitglieder der AG KRITIS auf 38 Webserver zugreifen, bei denen personenbezogene Daten und Gesundheitsdaten frei zugänglich waren. Die Historie der Einträge reichte typischerweise ein paar Tage zurück, in Einzelfällen auch über 2 Jahre. Die Aufstellung der Alarmierungen umfasste dabei über 200 frei einsehbare Einsatz-Aufträge.

Es geht nicht ohne: das Alarm-Fax.

Ein besonderer Fall konnte in Oberbayern beobachtet werden:
In Bayern kommen häufig sogenannte „Alarm-Faxe“ zum Einsatz. Zusätzlich zur Alarmierung über Funkmelde-Empfänger und Sirene sendet die Rettungsleitstelle ein Fax mit den Einsatzdetails ins Feuerwehrgerätehaus. Dies wird von den Anwendern als sehr praktisch empfunden, liegt die benötigte Information doch beim Eintreffen im Feuerwehrgerätehaus ausgedruckt bereits vor und kann direkt in das Einsatzfahrzeug mitgenommen werden. Das Alarm-Fax enthält die genaue Adresse und Geo-Koordinaten der Einsatzstelle, den Namen der Hilfesuchenden und ggf. eine private Rückrufnummer vor Ort.

Bei einer Feuerwehr-Einheit in Oberbayern war das Programm zur Alarm- und Einsatz-Verwaltung offen aus dem Internet erreichbar. Die elektronisch gespeicherten Alarm-Faxe der letzten 2 Monate waren frei zugänglich, trotz des Vermerks „Das Fax darf nur zum internen Dienstgebrauch für den jeweiligen Einsatz verwendet werden und ist anschließend zu vernichten“.

Der Bayerische Landesbeauftrage für den Datenschutz konnte abschließend in der Angelegenheit feststellen:

… zwischenzeitlich ist die Stellungnahme der Freiwilligen Feuerwehr eingegangen.
Hierin wird dargelegt, dass in den letzten Wochen das zusätzliche Alar
mierungssystem auf die Umstellung zur digitalen Alarmierung vorbereitet worden sei.
Dafür sei ein temporärer Fernzugriff für die Betreiberfirma eingerichtet worden.
Dabei sei bedauerlicherweise unbeabsichtigt der von Ihnen angegebene Port geöffnet worden.
Als der Fehler mitgeteilt worden sei, habe die Freiwillige Feuerwehr den Port sofort geschlossen. Auch der Fernzugriff sei wieder geschlossen.
Die Freiwillige Feuerwehr versichere, dass es sich hierbei um ein Versehen gehandelt habe. Zukünftig werde sie diesbezüglich noch mehr Sorgfalt walten lassen.

Aber auch in anderen Bundesländern lassen sich immer wieder „abenteuerliche“ Versionen der Alarmfax-Anbindungen finden. Es ist mindestens ein Landkreis bekannt, in dem es technische Probleme mit den Faxanschlüssen in der Telefonanlage gibt, weshalb Alarmierungen dort von der Rettungsleitstelle auch per unverschlüsselter E-Mail über das Internet versendet werden. Im Feuerwehr-Stützpunkt befindet sich ein kleiner PC, der per IMAP die E-Mails von dem Provider abholt und dann per Outlook-Regel direkt auf dem Drucker ausgibt. Die DSGVO-Konformität dieser Lösung bezweifeln wir.

Was tun, wenn man Feuerwehr- und Rettungsdienst-Alarmierungen im Internet frei zugänglich findet ?

Die 38 gefundenen Webserver sind inzwischen alle nicht mehr öffentlich erreichbar. Verschiedene Meldewege wurden evaluiert. Basierend auf unseren Erfahrungen empfehlen wir das folgende Vorgehen:

Hingegen waren Meldungen an die zuständigen Polizei-Präsidien oder Polizei-Inspektionen oft wenig zielführend. In mehreren Fällen blieb die Meldung über den offenen Zugang zu sensiblen personenbezogenen Daten – nach Auskunft der Staatsanwaltschaft – bis zu 7 Wochen liegen und der Anschluss-Inhaber konnte nicht mehr ermittelt werden (die Speicherfrist der IP-Adresse bei den Betreibern beträgt 7 Tage). In einigen Fällen wurde der Vorgang nach etlichen technischen Rückfragen schließlich doch an die Zentrale Ansprechstelle Cybercrime zur Bearbeitung weitergeleitet.

Bei knapp zehn Prozent der Meldungen gab es Rückmeldungen zum Webserver-Betreiber:

Meistens handelt es sich bei den Betreibern der frei zugänglichen Webserver um BOS-Einheiten, also z. B. Feuerwehr-Einheiten oder Rettungsdienst-Ortsverbände. Die Konfiguration des Webservers ohne Zugangsbeschränkungen ist hier meist aus Unwissen erfolgt und nach direkter Ansprache durch die Polizei kurzfristig abgestellt worden. Es erfolge keine weitere strafrechtliche Ahndung.

In einigen wenigen Fällen erfolgte die Auswertung von unverschlüsselter analoger bzw. unverschlüsselter digitaler Alarmierung mit dem frei einsehbaren Webserver durch Unberechtigte. Dabei handelte es sich um einen Verstoß gegen das Abhörverbot im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG).

Fazit

14 deutsche Bundesländer haben sich explizit dazu entschieden, keine verschlüsselte Alarmierung über das „BOSnet“ zu nutzen. Dort kommt zu einem gewissen Teil weiterhin unverschlüsselte (analoge und digitale) Alarmierung zum Einsatz.

In den Innenministerien der Länder ist das datenschutzrechtliche Problem von unverschlüsselter Alarmierung langsam angekommen. Diese können aber nur „konkretisierende Erläuterungen und ergänzende Informationen zur praktischen Umsetzung“ zur Verschlüsselung in der Alarmierung geben. Es sind weiter die Stadt- und Landkreise und Rettungsdienst-Organisationen als Betreiber der Kommunikationsnetze für Einsatzkräfte, die „selbst für die Einhaltung der rechtlichen Vorgaben u.a. nach DSGVO und die Einleitung geeigneter Maßnahmen zur Gewährleistung der Datensicherheit verantwortlich“ sind.

Jede einzelne Kommune steht hier in der Verantwortung und muss teils mit sehr begrenzten Mitteln diese Anforderungen umsetzen. So kommt es vor, dass der Webmaster der Feuerwehr-Homepage schnell mal für seine Kameraden eine SMS-Alarmierung bastelt, die eben nicht der DSGVO entspricht.

Sind verschlüsselungsfähige Funkmelde-Empfänger vorhanden, dann sind diese noch lange nicht administriert und es erfolgt weiterhin eine unverschlüsselte Übertragung. Diese Schwachstelle ist an sich lokal beschränkt, da die technische Reichweite der Alarmierung über Funk meist auf den jeweiligen Landkreis beschränkt ist. Klassisches Abhören ist nur regional möglich. Durch frei zugängliche Webserver bekommt das Problem aber eine bundesweite Dimension.

Auch über 19 Monate nach Bekanntwerden des Problems und der Bereitstellung von Updates durch die Software-Hersteller können auch heute immer noch Webserver gefunden werden, die den unbeschränkten Zugriff auf Alarmierungs-Mitteilungen ermöglichen.

Wir sehen vier konkrete, kurzfristige Maßnahmen zur Behebung der Schwachstellen:

  • Bei den kommunalen Trägern der Alarmierungsnetze muss ein Problembewusstsein geschaffen werden. Idealerweise muss dies auf Länderebene gesteuert werden und dort zentral und datenschutzkonform durchgesetzt werden, mit Mitteln, welche über einen „Hinweis-Flyer“ hinausgehen.
  • Kommunale Betreiber von Webservern für Alarmierungs-Nachrichten müssen zu Zugangsbeschränkungen und starken Passwörtern verpflichtet werden.
    Sicherheits-Updates müssen zeitnah eingespielt werden.
  • Angehörigen von Behörden und Organisationen mit Sicherheitsaufgaben muss der private Betrieb von Webservern für Alarmierungs-Nachrichten untersagt werden.
  • Perspektivisch muss die Alarmierung aller Einsatzkräfte (wie Rettungsdienst, Feuerwehr, THW, Psychosoziale Notfallversorgung) zwingend verschlüsselt erfolgen.

Diese kurzfristigen Maßnahmen werden sicherlich dazu führen, dass der Arbeitsaufwand mancher Hilfsorganisationen geringfügig steigt, denn sie können selbst gebastelte und privat betriebene Lösungen so nicht mehr nutzen. Sie müssen nach der Alarmierung, wie im Beispiel oben gezeigt, durch Rückruf bei der Leitstelle die erforderlichen Einsatzdaten erst erfragen. Aus diesem Grund können die vorgeschlagenen Maßnahmen nur kurzfristiger Natur sein. Darüber hinaus sind auch gesetzliche Änderungen der Verantwortung notwendig.

Unsere politischen Forderungen in diesem Kontext lauten daher:

  • Wir fordern die bundesweite Harmonisierung der Landesgesetze für Brand- und Katastrophenschutz.
  • Wir fordern, dass die Verantwortung für den Betrieb der Alarmierungseinrichtungen von den Kommunen auf das Bundesland übergeht und so in den 16 Landesgesetzen für Brand- und Katastrophenschutz festgeschrieben wird.
  • Darüber hinaus benötigen wir klare gesetzliche Regelung, dass die dem Rettungsdienst nahen Gruppen, wie z. B. die ehrenamtlichen Vereine, die die lokale Psychosoziale Notfallversorgung (PSNV) übernehmen, im gleichen Umfang mit aktuellen, verschlüsselungsfähigen Meldeempfängern auszustatten sind
  • Die Innenministerien der Länder müssen eine fortlaufende Evaluierung der technischen Möglichkeiten zur Verbesserung des Informationsflusses zwischen Leitstellen und Hilfsorganisationen durchführen. Allen Hilfsorganisationen muss der aktuelle Stand der Kommunikationstechnik zur Verfügung gestellt werden.

Der Artikel wurde von unseren Mitgliedern Yves Ferrand und Peter Merk verfasst. Vielen Dank!

Das Bild des Artikels wurde von Jacek Rużyczka aufgenommen, es steht unter einer CC-BY-Lizenz.