Südwestpfalz / Ludwigshafen RHEINPFALZ Plus Artikel Rettungsdienst und Feuerwehr: Opferdaten landen im Internet

Bis Juni 2022 gab es in Deutschland improvisierte Alarmierungen bei Feuerwehr und Rettungsdienst. Die Daten von Menschen, die de
Bis Juni 2022 gab es in Deutschland improvisierte Alarmierungen bei Feuerwehr und Rettungsdienst. Die Daten von Menschen, die den Notruf gewählt haben, landeten dann gelegentlich im Netz.

In ganz Deutschland hat ein Südwestpfälzer Datenlecks bei Feuerwehren und Rettungsdiensten aufgespürt. Namen der Opfer und warum sie Hilfe brauchen, geisterten durchs Netz.

Herr Müller hat ein Problem. Er leidet aufgrund einer Infektion mit dem Norovirus an starken Durchfällen und muss ins Krankenhaus. Dieses Problem ist ihm bewusst. Hinzu kommt – davon weiß er wahrscheinlich nichts, dass diese Information im Internet steht. Ungeschützt, für alle einsehbar, sogar mit seiner Privatadresse und dem Namen des Krankenhauses.

Fälle wie in diesem Beispiel geschildert hat der Südwestpfälzer Thomas in ganz Deutschland gefunden. Thomas ist Ingenieur für Nachrichtentechnik und möchte anonym bleiben, da er aufgrund seiner Recherchen als Zeuge in Strafverfahren involviert ist.

Selbst gebastelte Alarm-Weiterleitung

Aber warum stehen diese doch sehr privaten Informationen im Internet? Der Grund mag überraschen: wegen des Notrufs und der alarmierten Einsatzkräfte. Die werden nämlich vielerorts via Internet über den nächsten Einsatz informiert, wie Thomas erklärt. Eigentlich laufe die Alarmierung über einen sogenannten Funkempfänger – im Volksmund „Piepser“ genannt. Von der zuständigen Rettungsleitstelle – die für Zweibrücken zuständige sitzt in Landau – werden die Einsatzkräfte über die kleinen, tragbaren schwarzen Kästchen alarmiert. Weil es aber viele Einheiten gibt, die mehr Personal als Piepser haben, wird man dort kreativ.

„In guter Absicht“, erklärt Thomas, schließen meist fachkundige Feuerwehrleute einen Piepser dann an einen PC an. Auf dem Gerät, das rund um die Uhr durchläuft, setzen sie einen Online-Server auf, der einfach gesagt den eingehenden Alarm über das Internet als SMS auf die Handys der nicht mit einem Piepser ausgerüsteten Einsatzkräfte schickt. Datenschutzrechtlich problematisch wird es, wenn besagter Server nicht mit einem Passwort geschützt ist. Dann seien die Alarmierungen nämlich wie im oben beschriebenen Beispiel über das Internet für alle einsehbar.

30 Rettungsleitstellen betroffen

Im Fachmagazin „CT“ liest Thomas Ende 2020 von den Datenlecks. Da er sich nebenberuflich bei einem privat organisierten Verbund engagiert, der nach eigenen Angaben die Versorgungssicherheit der Bevölkerung mit Blick auf die kritische Infrastruktur – also Wasser-, Elektrizitätswerke, aber auch Polizei und Rettungsdienst – erhöhen möchte, nimmt er sich der Sache an.

Mit „Suchmaschinen für Dienste“, wie Thomas sagt, sucht er im Netz nach den beschriebenen Lücken der Rettungsleitstellen. Auf in Fachkreisen bekannten Seiten findet er unverschlüsselte Alarmierungen von Einsatzkräften, im Bereich von 30 Rettungsleitstellen in ganz Deutschland.

Auch Ludwigshafen mit dabei

Einer der ersten „Fische“, der ihm dabei ins Netz geht, ist die Rettungsleitstelle Ludwigshafen. „Alle Alarmierungen waren dort frei abrufbar“, erinnert er sich im RHEINPFALZ-Gespräch. Er hat seine Entdeckung dem Landesdatenschutzbeauftragten geschickt. Nichts sei danach passiert. Im November 2020 hat er deshalb eine Online-Anzeige gestellt. „Direkt am nächsten Morgen hat sich die Kripo gemeldet“, sagt er.

Der leitende Branddirektor in Ludwigshafen, Stefan Bruck, Chef der Feuerwehr sowie des Katastrophenschutzes in der Stadt Ludwigshafen und verantwortlich für die integrierte Leitstelle, bestätigt, dass die Alarmierungen damals im Netz zu finden waren. Grund dafür sei ein Mitarbeiter aus dem Bereich der Behörden und Organisationen mit Sicherheitsaufgaben (BOS) gewesen, also beispielsweise Feuerwehr, Rettungsdienst oder Technisches Hilfswerk. Als die undichte Stelle bekannt wurde, sei sie innerhalb von 48 Stunden geschlossen worden.

Feuerwehr in Ludwigshafen ist ausgestattet

Ob der Mitarbeiter – wie in anderen von Thomas beschriebenen Fällen – lediglich Alarmierungen weiterleiten wollte, wisse Bruck aber nicht. Zumindest bei der Feuerwehr und dem Katastrophenschutz im Raum Ludwigshafen sei eine Alarmierung via SMS nicht nötig. „Da haben alle Einsatzkräfte einen Funkempfänger“, sagt er.

Die Staatsanwaltschaft Frankenthal teilt auf RHEINPFALZ-Anfrage mit, dass das Ermittlungsverfahren gegen den BOS-Mitarbeiter damals nach der Zahlung einer Geldauflage eingestellt worden sei. Über die Höhe des Betrags könne die Staatsanwaltschaft aber keine Auskunft mehr geben. Der Fall sei zu lange her.

Immer noch Probleme beim Datenschutz

Auch die anderen Datenlecks dieser Art seien in Deutschland inzwischen geschlossen worden, das letzte im Juni 2022, wie Thomas berichtet. Immer wieder hat er in ganz Deutschland Ermittlungsbehörden auf offene Stellen im jeweiligen Zuständigkeitsbereich hingewiesen. „Die hatten irgendwann ein eigenes Verfahren für mich“, erinnert er sich an eine Dienststelle, mit der er häufiger Kontakt hatte.

Probleme beim Datenschutz gebe es aber immer noch. Auch hier stehen die Alarmierungen im Fokus. Jetzt aber nicht mehr wegen ungeschützter Webserver, die sich Einsatzkräfte zur Weiterleitung des Alarms einrichten. Kopfzerbrechen bereiten nun die Funksignale selbst, mit denen die Piepser der Einsatzkräfte angefunkt werden. Viele Leitstellen würden noch alte, unverschlüsselten Funktechnik nutzen. Das liege aber daran, dass es in vielen Regionen noch nicht genug Piepser gebe, die verschlüsselte Signale entschlüsseln können. Als Schlusslicht in Sachen Fortschritt sieht Thomas hier Baden-Württemberg.

Rheinland-Pfalz hat einen Plan

Die Probleme seien hier aber bekannt und sollen behoben werden. Zudem würden keine personenbezogenen Daten wie Name oder Adresse, sondern nur unpersönliche Angaben zum Einsatz per Funk übermittelt, etwa der Ortsteil oder die benötigte Hilfeleistung. Genaueres erfahren die Einsatzkräfte beispielsweise via Fax ins Gerätehaus, wie Thomas berichtet.

Rheinland-Pfalz sei hier schon einen Schritt weiter. Im Rahmen des Projekts „Digitale Alarmierung“ sollen die Einsatzkräfte in den Bereichen der acht Rheinland-Pfälzischen Leitstellen nach und nach auf eine neue, verschlüsselte Funktechnik zur Alarmierung wechseln. Verpflichtend. In der für die Südwestpfalz zuständigen Leitstelle in Landau ist das schon geschehen.

Ein Termin wurde nicht eingehalten

Laut einer Liste des rheinland-pfälzischen Innenministeriums wird der Rettungsdienstbereich Ludwigshafen als letztes im Bundesland umgestellt. Hier soll ab Juni 2023 verpflichtend mit der neuen, verschlüsselten Technik alarmiert werden. Ein anderer Stichtag dafür sei jedoch schon einmal nicht eingehalten worden. Der sei für Dezember 2019 eingeplant gewesen, wie Stefan Bruck berichtet.

Thomas berichtet, dass vereinzelt jetzt schon mit der neuen Technik alarmiert werde. Das erkenne er daran, dass nicht alle ausgehenden Funksprüche mitlesbar seien, sondern nur vereinzelte. Immer dann, wenn die zu alarmierende Einheit noch alte Geräte hat. Doch auch verschlüsselt seien die Funkkanäle im Rettungsdienst nicht endgültig sicher. Es gebe auch Menschen, die nicht den Einsatzkräften angehören und verschlüsselte Funksprüche „zum Vergnügen“ entschlüsseln. Teilweise würden die dann von diesen Personen unverschlüsselt im Internet hochgeladen.

x