BOS-Scheunentor
Unverschlüsselte Rettungsdienst-Nachrichten im Internet
Die Serversoftware „BosMon“ leitet Daten aus den Funksystemen von Feuerwehr und Rettungsdienst an eine Website und eine Android-App weiter. Das geht eigentlich gut geschützt, doch viele Betreiber kümmern sich nur unzureichend um die Sicherheit ihrer Server und begünstigen damit, dass höchst persönliche Daten an die Öffentlichkeit gelangen.
Wer noch vor einem Jahrzehnt verbotenerweise die 4- und 2-Meter-Frequenzbereiche der Behörden und Organisationen mit Sicherheitsaufgaben (BOS) mit einem Funkscanner abgesucht hat, konnte meist schnell die passenden Frequenzen entdecken und lauschen, was in der Region so passierte. Feuerwehr, Rettungsdienste, Polizei und weitere nutzten damals noch analoge Systeme ohne Verschlüsselung. Diese Zeiten sind heute vorbei: Ein Großteil der BOS kommuniziert heute über das deutschlandweit vereinheitlichte TETRA-Digitalfunknetz, auch als BOSNet bezeichnet, das mithilfe starker Verschlüsselung unberechtigtes Mithören verhindert. Die Alarmierung der Meldeempfänger am Gürtel der Einsatzkräfte erfolgt zwar selten über TETRA, in der Regel aber ebenso digital und verschlüsselt über das Paging-Protokoll „POCSAG“.
Doch trotz guter Verschlüsselung gibt es neue Lücken in den Alarmierungs- und seltener den Sprechfunknetzen. Bei Recherchen zur Sicherheit der BOS-Funknetze entdeckten wir mehrere Serversysteme, die dafür gedacht sind, BOS-Nachrichten im Browser anzuzeigen und Einsatzkräfte per App statt per Meldeempfänger zu alarmieren. In unseren Scans stachen dabei über tausend Instanzen der Windows-Serversoftware „BosMon“ heraus. BosMon ist kostenfrei und dekodiert im BOS-Funk übliche digitale POCSAG- und FMS-Telegramme (Textnachrichten) sowie analoge Tonalarmierungen. Die Software kann als Frontend dienen, hat aber auch ein Webfrontend und eine Android-App, über die ein Smartphone zum „App-Meldeempfänger“ wird.