BOS-Server: Unverschlüsselte Rettungsdienst-Nachrichten im Internet
Viele Betreiber kümmern sich nur unzureichend um die Sicherheit ihrer Server und begünstigen damit, dass persönliche Daten an die Öffentlichkeit gelangen.
- Andrijan Möcker
Wer noch vor einem Jahrzehnt verbotenerweise die 4- und 2-Meter-Frequenzbereiche der Behörden und Organisationen mit Sicherheitsaufgaben (BOS) mit einem Funkscanner abgesucht hat, konnte meist schnell die passenden Frequenzen entdecken und lauschen, was in der Region so passierte. Feuerwehr, Rettungsdienste, Polizei und weitere nutzten damals noch analoge Systeme ohne Verschlüsselung. Diese Zeiten sind heute vorbei: Ein Großteil der BOS kommuniziert heute über das deutschlandweit vereinheitlichte TETRA-Digitalfunknetz, auch als BOSNet bezeichnet, das mithilfe starker Verschlüsselung unberechtigtes Mithören verhindert. Die Alarmierung der Meldeempfänger am Gürtel der Einsatzkräfte erfolgt zwar selten über TETRA, in der Regel aber ebenso digital und verschlüsselt über das Paging-Protokoll "POCSAG".
Doch trotz guter Verschlüsselung gibt es neue Lücken in den Alarmierungs- und seltener den Sprechfunknetzen. Bei Recherchen zur Sicherheit der BOS-Funknetze entdeckten wir mehrere Serversysteme, die dafür gedacht sind, BOS-Nachrichten im Browser anzuzeigen und Einsatzkräfte per App statt per Meldeempfänger zu alarmieren. In unseren Scans stachen dabei über tausend Instanzen der Windows-Serversoftware "BosMon" heraus. BosMon ist kostenfrei und dekodiert im BOS-Funk übliche digitale POCSAG- und FMS-Telegramme (Textnachrichten) sowie analoge Tonalarmierungen. Die Software kann als Frontend dienen, hat aber auch ein Webfrontend und eine Android-App, über die ein Smartphone zum "App-Meldeempfänger" wird.
Status bis Patientendaten
Wir schauten uns die Suchergebnisse genauer an und stellten fest, dass viele BosMon-Server nur unverschlüsseltes HTTP verwenden. Doch der GAU: Auf über 100 Servern mit und ohne HTTPS war keinerlei Authentifizierung aktiviert, sodass wir ganz ohne Kennwortabfrage auf die von den Systemen empfangenen Daten zugreifen konnten.
Immer mehr Wissen. Das digitale Abo für IT und Technik.
Elektroauto MG4 Trophy im Test: Bestseller mit Batterie-Upgrade
Boox Note Air3 C im Test: Hybrid-Tablet mit farbigem E-Paper-Display
Statt Passwörter: Wie Sie Accounts mit Passkeys schützen
Smart Generator von Ecoflow im Test
Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest
High-End-Smartphones im Kameravergleich: Wettkampf um die beste Bildqualität
Immer mehr Wissen. Das digitale Abo für IT und Technik.
Elektroauto MG4 Trophy im Test: Bestseller mit Batterie-Upgrade
Boox Note Air3 C im Test: Hybrid-Tablet mit farbigem E-Paper-Display
Statt Passwörter: Wie Sie Accounts mit Passkeys schützen
Smart Generator von Ecoflow im Test
Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest