Presse-Informationen
c't

  1. heise group
  2. Presse-Informationen
  3. c't

Sicherheitslücke in Notruf-App legt Einsatzdaten offen
c’t deckt auf: Notruf 112 mit fatalem Datenleck

Hannover, 16. März 2018 – Das Computer­magazin c’t hat in einer App für Rettungskräfte ein Datenleck entdeckt, das bis vor Kurzem Einsatzdaten inklusive detaillierten Patien­teninfos offenlegte. Wie der Zugriff möglich war, beschreibt c’t in seiner aktuellen Ausgabe 7/18, die jetzt am Kiosk erhältlich ist.

Mit einem Anruf bei 112 beginnt im Hintergrund der konti­nuierliche Datenaustausch zwischen Zentrale und Rettungs­diensten: Stark vernetzte IT-Systeme, die über Mobilfunk in ständiger Verbindung zu einem zentralen Server stehen, versorgen die Fahrzeugbesatzung der Rettungsdienste mit allen Einsatzinfor­mationen, helfen beim Navigieren und nehmen die Anmeldung an einem Klinikum vor. Alle für den Notfall relevanten Daten – wie Name, Geburtsdatum und Adresse des Patienten sowie den Notfallort – trägt die Leitstelle in ihre Datenbank ein und stellt diese dann beispielsweise über die App NaProt den Rettungsdiensten zur Verfügung. Der Hersteller gibt an, dass bereits über eine Million Einsätze mit seiner Software erfasst werden.

Trotz dieser starken Vernetzung müssen solche Daten im System natürlich gut geschützt sein. Doch als c’t sich einen Eindruck von der Sicherheit verschaffen wollte, stieß das Magazin auf ein fatales Datenleck: „Bei einem Blick in die Binärdatei der App entdeckten wir fest einkodierte Zu­gangsdaten, die einen Zugriff auf reale Einsätze ermöglichten“, erläutert Ronald Eikenberg, c’t-Sicherheitsexperte.

Kriminelle hätten sogar dafür sorgen können, dass Einsätze nicht über NaProt gemeldet worden wären. Auch die Erfassung falscher Daten wäre durch das Sicherheitsleck möglich gewesen.

Nachdem c’t den Hersteller der NaProt-App, die Berliner Firma Pulsation IT, über das Problem in Kenntnis gesetzt hatte, reagierte das Unternehmen umgehend und schloss die Sicherheitslücke. Offenbar ist die Aktualisierung der Server aber noch im Gang: Am 11. März war es bei Kenntnis der richtigen URLs mit dem alten Login noch immer möglich, auf einige mit NaProt verwaltete Einsätze in Deutschland zuzugreifen.