Während andere ihre Freizeit mit Netflix-Gucken oder im Biergarten verbringen, sitzt Yves Ferrant (Name geändert) oft zu Hause vor dem Rechner und sucht nach Lücken im System. Er ist Ingenieur für Nachrichtentechnik. Als Siemens noch Handys produziert, arbeitet der Allgäuer lange in der Mobilfunksparte des Münchner Konzerns. Mittlerweile ist er in die Wasser- und Abwasserbranche gewechselt und war außerdem auch 15 Jahre bei der Freiwilligen Feuerwehr. Bei ihm kommt also einiges an Wissen zusammen und so kann Ferrant offenbar nicht mehr wegschauen, wenn ihm Dinge auffallen, die so besser nicht laufen sollten.
Ferrant engagiert sich bei der AG KRITIS (Arbeitsgruppe kritische Infrastrukturen), einem losen Zusammenschluss von Leuten, die alle beruflich mit kritischer Infrastruktur in Deutschland zu tun haben und dafür sorgen wollen, dass Kraftwerke, Wasserwerke, Banken, Polizei und Rettungsdienste störungsfrei funktionieren. Man will die Versorgungssicherheit der Bevölkerung erhöhen, heißt es auf der Seite der AG Kritis.
Bei der Feuerwehr und bei den Rettungsdiensten gab und gibt es nun allerdings ein großes Sicherheitsproblem, wie Yves Ferrant herausfand. Wer in Deutschland den Notruf wählt, kann seiner Überzeugung nach nicht immer von professionellem Datenschutz ausgehen. Der Grund: Feuerwehr und Rettungsdienste würden zum Teil völlig veraltete Kommunikationstechnik aus den 1980er-Jahren nutzen, um Kosten zu sparen. Eines der Probleme, die sich daraus ergeben, wurde von der Computerzeitschrift c`t im Jahr 2020 aufgedeckt und bezog sich auf die Alarmierung der Einsatzkräfte. Damit sie erfahren, dass sie gerade gebraucht werden, wird oft eine kostenfreie Software namens BosMon eingesetzt. Die läuft meist auf den Servern von Feuerwehr- und Rettungsdienst-Angehörigen und leitet die Alarmierungen der Rettungsleitstellen als SMS und Push-Nachricht an die Rettungskräfte weiter.
Allerdings wurde die Software lange Zeit vor allem im süddeutschen Raum ungeschützt auf vielen Rechnern betrieben, etwa bei den Feuerwehren die zur Leitstelle Hochfranken gehören. Die sensiblen Daten konnten so von jedem angesehen werden. Dabei handelte es sich um Informationen wie Familiennamen, Ort und Straße des Unfalles, Grund des Einsatzes und Hinweise auf mögliche Verletzungen. Yves Ferrant hat diese Daten nicht nur in Bayern, sondern deutschlandweit entdeckt und gesammelt. Jedes Wochenende setzte er sich über eineinhalb Jahre an den PC und suchte danach. Parallel fing er an, Behörden zu kontaktieren und auf die Sicherheitslücke aufmerksam zu machen. Er schickte seitenlange PDF-Dateien mit den "erbeuteten" eigentlich internen Informationen unter anderem an die Landeskriminalämter und an die Datenschutz-Beauftragten.
Die Reaktionen fielen unterschiedlich aus. In Schweinfurt beispielsweise gelangen nach wie vor sogenannte Metadaten von den Alarmierungen in Echtzeit ins Internet. Erkennbar sind dabei Datum und Uhrzeit, welches Fahrzeug losgeschickt wird und wo der Einsatzort liegt.
Daraus sind zwar keine persönlichen Informationen mehr ablesbar. Aber wer sich ein wenig mit den Internas bei Feuerwehren und Rettungsdiensten auskennt, kann auch aus den Metadaten einiges herauslesen und damit laut Ferrant Unfug treiben. Er hat nach eigenen Angaben das Landratsamt in Schweinfurt (als Träger der Leitstelle), das Landesamt für Sicherheit in der Informationstechnik, das Landeskriminalamt und sogar das Innenministerium zu diesem Fall kontaktiert. Trotzdem sind die Daten bis jetzt jeweils in Echtzeit über eine frei zugängliche Internetseite abrufbar. Ferrant empfindet das als fahrlässig.
Immerhin räumt er ein, man sei sich in Bayern wie auch in den meisten anderen Bundesländern des Datenschutzproblems bei Feuerwehren und Rettungsdiensten inzwischen bewusst, die meisten Schwachstellen seien nach eineinhalb Jahren behoben, so der Ingenieur. Schlusslicht in puncto Datenschutz ist dagegen Baden-Württemberg.
Von den Ermittlungsbehörden bekommt Yves Ferrant nur sehr wenig Feedback zu seinen Hinweisen. Manchmal erfährt er aus den Medien, dass die von ihm gemeldeten Sicherheitslücken geschlossen wurden. Wertschätzung erhält er ab und zu von Führungskräften aus den betroffenen Rettungs-Leitstellen, die sich beim ihm für seinen Einsatz ausdrücklich bedanken, wie er berichtet.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!
Das könnte sie auch interessieren
Non-Fungible Tokens, kurz: NFTs waren der Hype des vergangenen Jahres. Für manches Stück Krypto-Kunst wurden bei Auktionen Höchstpreise erzielt. Was ist da los? Und was ändert sich für die Künstler?
Bezahlen ohne Karte, nur indem man sein Gesicht oder auch seine Hand in eine Kamera hält – der Kreditcard-Konzern Mastercard will das weltweit einführen. Erste Pilotprojekte starten in Brasilien. Aber ist das sogenannte Face Pay sicher?
Mehr als 63 Millionen Menschen sind in Deutschland doppelt gegen das Coronavirus geimpft. Bei nur 0,02 Prozent traten schwere Nebenwirkungen auf. Was aber ist mit den unklaren Symptomen und Beschwerden?
Bundeswirtschaftsminister Habeck will, dass Haushalte künftig einen finanziellen Anreiz bekommen, wenn sie ihre Öl- oder Gasheizung auf erneuerbare Energien umstellen. Damit sollen Verbrauch und Abhängigkeit von fossilen Energien reduziert werden.
Kontroverse Interviews, kritische Rezensionen und aktuelle Neuigkeiten aus Kino, Film, Musik, Literatur und Kunst. Bleiben Sie informiert mit BR24.
Wissenschaft bei ARD alpha: Von der Klimakrise bis hin zu Weltraumtourismus. Als Artikel, Podcast oder Video. Die besten Wissens-Angebote der ARD im Radio & TV hier finden.
Alle Videos und Livestreams in der BR Mediathek anschauen - immer und überall. Filme, Serien, Dokus, Reportagen, Magazine, Krimis und vieles mehr.