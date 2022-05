Während andere ihre Freizeit mit Netflix-Gucken oder im Biergarten verbringen, sitzt Yves Ferrant (Name geändert) oft zu Hause vor dem Rechner und sucht nach Lücken im System. Er ist Ingenieur für Nachrichtentechnik. Als Siemens noch Handys produziert, arbeitet der Allgäuer lange in der Mobilfunksparte des Münchner Konzerns. Mittlerweile ist er in die Wasser- und Abwasserbranche gewechselt und war außerdem auch 15 Jahre bei der Freiwilligen Feuerwehr. Bei ihm kommt also einiges an Wissen zusammen und so kann Ferrant offenbar nicht mehr wegschauen, wenn ihm Dinge auffallen, die so besser nicht laufen sollten.

Ferrant engagiert sich bei der AG KRITIS (Arbeitsgruppe kritische Infrastrukturen), einem losen Zusammenschluss von Leuten, die alle beruflich mit kritischer Infrastruktur in Deutschland zu tun haben und dafür sorgen wollen, dass Kraftwerke, Wasserwerke, Banken, Polizei und Rettungsdienste störungsfrei funktionieren. Man will die Versorgungssicherheit der Bevölkerung erhöhen, heißt es auf der Seite der AG Kritis.

Schwachstelle ist eine kostenlose Software

Bei der Feuerwehr und bei den Rettungsdiensten gab und gibt es nun allerdings ein großes Sicherheitsproblem, wie Yves Ferrant herausfand. Wer in Deutschland den Notruf wählt, kann seiner Überzeugung nach nicht immer von professionellem Datenschutz ausgehen. Der Grund: Feuerwehr und Rettungsdienste würden zum Teil völlig veraltete Kommunikationstechnik aus den 1980er-Jahren nutzen, um Kosten zu sparen. Eines der Probleme, die sich daraus ergeben, wurde von der Computerzeitschrift c`t im Jahr 2020 aufgedeckt und bezog sich auf die Alarmierung der Einsatzkräfte. Damit sie erfahren, dass sie gerade gebraucht werden, wird oft eine kostenfreie Software namens BosMon eingesetzt. Die läuft meist auf den Servern von Feuerwehr- und Rettungsdienst-Angehörigen und leitet die Alarmierungen der Rettungsleitstellen als SMS und Push-Nachricht an die Rettungskräfte weiter.

Unfall-Details wie Namen und Verletzungen waren frei zugänglich

Allerdings wurde die Software lange Zeit vor allem im süddeutschen Raum ungeschützt auf vielen Rechnern betrieben, etwa bei den Feuerwehren die zur Leitstelle Hochfranken gehören. Die sensiblen Daten konnten so von jedem angesehen werden. Dabei handelte es sich um Informationen wie Familiennamen, Ort und Straße des Unfalles, Grund des Einsatzes und Hinweise auf mögliche Verletzungen. Yves Ferrant hat diese Daten nicht nur in Bayern, sondern deutschlandweit entdeckt und gesammelt. Jedes Wochenende setzte er sich über eineinhalb Jahre an den PC und suchte danach. Parallel fing er an, Behörden zu kontaktieren und auf die Sicherheitslücke aufmerksam zu machen. Er schickte seitenlange PDF-Dateien mit den "erbeuteten" eigentlich internen Informationen unter anderem an die Landeskriminalämter und an die Datenschutz-Beauftragten.

Im Raum Schweinfurt sind noch immer Metadaten auslesbar

Die Reaktionen fielen unterschiedlich aus. In Schweinfurt beispielsweise gelangen nach wie vor sogenannte Metadaten von den Alarmierungen in Echtzeit ins Internet. Erkennbar sind dabei Datum und Uhrzeit, welches Fahrzeug losgeschickt wird und wo der Einsatzort liegt.