BOS-Server: Unverschlüsselte Rettungsdienst-Nachrichten im Internet

Viele Betreiber kümmern sich nur unzureichend um die Sicherheit ihrer Server und begünstigen damit, dass persönliche Daten an die Öffentlichkeit gelangen.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von
  • Andrijan Möcker
Inhaltsverzeichnis

Wer noch vor einem Jahrzehnt verbotenerweise die 4- und 2-Meter-Frequenzbereiche der Behörden und Organisationen mit Sicherheitsaufgaben (BOS) mit einem Funkscanner abgesucht hat, konnte meist schnell die passenden Frequenzen entdecken und lauschen, was in der Region so passierte. Feuerwehr, Rettungsdienste, Polizei und weitere nutzten damals noch analoge Systeme ohne Verschlüsselung. Diese Zeiten sind heute vorbei: Ein Großteil der BOS kommuniziert heute über das deutschlandweit vereinheitlichte TETRA-Digitalfunknetz, auch als BOSNet bezeichnet, das mithilfe starker Verschlüsselung unberechtigtes Mithören verhindert. Die Alarmierung der Meldeempfänger am Gürtel der Einsatzkräfte erfolgt zwar selten über TETRA, in der Regel aber ebenso digital und verschlüsselt über das Paging-Protokoll "POCSAG".

Doch trotz guter Verschlüsselung gibt es neue Lücken in den Alarmierungs- und seltener den Sprechfunknetzen. Bei Recherchen zur Sicherheit der BOS-Funknetze entdeckten wir mehrere Serversysteme, die dafür gedacht sind, BOS-Nachrichten im Browser anzuzeigen und Einsatzkräfte per App statt per Meldeempfänger zu alarmieren. In unseren Scans stachen dabei über tausend Instanzen der Windows-Serversoftware "BosMon" heraus. BosMon ist kostenfrei und dekodiert im BOS-Funk übliche digitale POCSAG- und FMS-Telegramme (Textnachrichten) sowie analoge Tonalarmierungen. Die Software kann als Frontend dienen, hat aber auch ein Webfrontend und eine Android-App, über die ein Smartphone zum "App-Meldeempfänger" wird.

Wir schauten uns die Suchergebnisse genauer an und stellten fest, dass viele BosMon-Server nur unverschlüsseltes HTTP verwenden. Doch der GAU: Auf über 100 Servern mit und ohne HTTPS war keinerlei Authentifizierung aktiviert, sodass wir ganz ohne Kennwortabfrage auf die von den Systemen empfangenen Daten zugreifen konnten.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

  • Zugriff auf alle Inhalte von heise+
  • exklusive Tests, Ratgeber & Hintergründe: unabhängig, kritisch fundiert
  • c't, iX, Technology Review, Mac & i, Make, c't Fotografie direkt im Browser lesen
  • einmal anmelden – auf allen Geräten lesen - monatlich kündbar
  • erster Monat gratis, danach monatlich 9,95 €
  • Wöchentlicher Newsletter mit persönlichen Leseempfehlungen des Chefredakteurs
GRATIS-Monat beginnen Jetzt GRATIS-Monat beginnen Mehr Informationen zu heise+