Brisantes Datenleck bei Hamburger Feuerwehr

„Weibliche Person, 66 Jahre, Verdacht auf Herzinfarkt“

Per Funk werden sensible Gesundheitsdaten samt Adresse an viele Notarzt- und Rettungswagen übermittelt. Recherchen des NDR haben jetzt ein brisantes Datenleck bei der Hamburger Feuerwehr entdeckt – und Hacker lesen mit.
Personenbezogene Gesundheitsdaten können nach NRD-Recherchen kinderleicht abgefangen werden. Quelle: dpa
Datenleck gefunden

Personenbezogene Gesundheitsdaten können nach NRD-Recherchen kinderleicht abgefangen werden.

(Foto: dpa)

DüsseldorfDie Rettungsleitstelle der Feuerwehr Hamburg sendet nach Recherchen des NDR Verbrauchermagazins „Markt“ sensible personenbezogene Daten unverschlüsselt an ihre Einsatzkräfte. Gesundheitsdaten sind nach den Landesdatenschutzgesetzen besonders sensibel und bedürfen eines besonderen Schutzes.

„Weibliche Person, 66 Jahre, Verdacht auf Herzinfarkt“ - zusammen mit der Adresse werden solche Daten per Funk an viele Notarzt- und Rettungswagen übermittelt. Das Personal kann sie auf Meldeempfängern auslesen und zum Einsatz ausrücken. Doch diese Datenübertragung ist offenbar nicht sicher, die Meldedaten können mit geringem technischem Aufwand abgefangen und ausgelesen werden. Ein Hacker stellte rund 280.000 Hamburger Einsatzmeldungen monatelang zum Mitlesen ins Internet. Mittels einer eingebauten Suchfunktion konnten User nach Namen, Straßen oder Verdachts-Diagnosen forschen.

Inzwischen ermittelt die Hamburger Staatsanwaltschaft gegen den illegalen Datensammler. Doch nach Recherchen von „Markt“ können die Daten noch immer kinderleicht abgefangen werden. Die Hard- und Software dafür ist in Deutschland frei verkäuflich. Abhilfe könnte die Anschaffung verschlüsselungsfähiger Meldeempfänger bringen. Der Hamburger Beauftragte für Datenschutz, Johannes Caspar, pocht gegenüber den NDR-Reportern jedenfalls auf die Einhaltung des Datenschutzes bei der Feuerwehr: „Das Hamburger Datenschutzgesetz sieht schon vor, dass technische und organisatorische Maßnahmen zu ergreifen sind von demjenigen, der verantwortlich Daten verarbeitet, die Unbefugte daran hindern, ohne große Schwierigkeiten Zugriff zu diesen personenbezogenen Daten von Bürgerinnen und Bürgern zu bekommen. Insofern ist schon auch eine Verpflichtung natürlich der verantwortlichen Stelle, und hier in diesem Falle der Feuerwehr Hamburg, gegeben.“

Das müssen Unternehmen nach einem Störfall melden
Systematische Analyse
1 von 14

Seit Ende Juli 2015 sind Unternehmen, die kritische Infrastrukturen betreiben, dazu verpflichtet, Störungen in ihrer IT-Infrastruktur an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Dieses sammelt die anonymisierten Berichte und wertet sie azs. Auf diese Weise, so heißt es in einem Fachartikel im Magazin „Markt und Mittelstand“, lassen sich etwa bundesweite Hacker-Angriffe systematisch analysieren, um später noch besser gegen solche Attacken gewappnet zu sein.

Nicht meldepflichtig
2 von 14

Doch was stellt überhaupt eine meldepflichtige Störung der IT-Infrastruktur dar? Das neue Gesetz hat drei Stufen definiert: Nicht meldepflichtig sind beispielsweise per Virenscanner abgefangener Spam oder Schadsoftware oder auch kleinere Ausfälle, die nach dem aktuellen Stand der Technik bewältigt werden können.

Meldepflichtig
3 von 14

Anders sieht es aber aus, wenn die IT-Technik über Sicherheitslücken überlistet wurde und dadurch Störungen, Schadprogramme oder außergewöhnliche technische Defekte auftraten – dann muss das BSI informiert werden.

Alarmstufe rot
4 von 14

Ist durch erhebliche Störungen gar die Funktionsfähigkeit der Dienstleistungen des Unternehmens bedroht, herrscht dringende Meldepflicht. Wer nicht handelt, riskiert im schlimmsten Fall ein Bußgeld in Höhe von bis zu 100.000 Euro.

Jeder kann fällig sein
5 von 14

Viele Mittelständler fühlten sich zunächst nicht angesprochen bei der Frage, wer Betreiber einer kritischen Infrastruktur ist. Ein Irrtum, so „Markt und Mittelstand“. Denn wer sich in einer Lieferkette befindet, kann plötzlich Zielscheibe von Wirtschaftsspionage mit allen Folgen für die firmeneigene IT-Sicherheit und die seiner Kunden werden.

Energie- und Trinkwasserversorger
6 von 14

Tatsächlich, so das Fachmagazin für mittelständische Unternehmen, ist der Kreis der betroffenen Unternehmen weit größer als die vom Gesetz definierten 2000 Betreiber kritischer Infrastrukturen wie Energie- oder Trinkwasserversorger.

Pflichtansage trifft auch kleinere Unternehmen
7 von 14

So müssen auch kleine und mittelständische Betriebe, die mit einem oder mehreren der folgenden Branchen zusammenarbeiten, IT-Sicherheitsvorfälle an das BSI melden
Energie: Stromversorgung, Versorgung mit Erdgas, Versorgung mit Mineralöl
Informationstechnik und Telekommunikation: Sprach- und Datenkommunikation, Verarbeitung und Speicherung von Daten
Transport und Verkehr: Transport von Gütern und Personen im Nah- und Fernbereich, Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik
Ernährung: Versorgung mit Lebensmitteln, Ernährungswirtschaft, Lebensmittelhandel
Finanz- und Versicherungswesen: Zahlungsverkehr, Bargeldversorgung, Kreditvergabe, Geld- und Devisenhandel, Wertpapier- und Derivatehandel, Versicherungsleistungen, Banken, Börsen, Versicherungen, Finanzdienstleister
Gesundheit: Medizinische Versorgung, Labore, Arzneimittel und Medizinprodukte
Wasser: Trinkwasserversorgung (öffentliche Wasserversorgung), Abwasserversorgung (öffentliche Abwasserbeseitigung)

Die Feuerwehr Hamburg schreibt auf Anfrage von „Markt“: „Datenmissbrauch ist strafbar. Es ist Aufgabe der Strafverfolgungsbehörden, dies zu unterbinden und zu ahnden. Unabhängig davon nutzt die Feuerwehr Hamburg technische Erneuerungen, um mögliche Innovationen oder notwendige Schutzmaßnahmen dem Stand der Technik anzupassen und einem Missbrauch vorzubeugen.“ Andere Rettungsleitstellen im Norden sind jedoch schon weiter. Dort wird die gesamte Übermittlung der sensiblen Einsatzdaten verschlüsselt - und das schon seit Jahren. Mehr zum Thema sendet der NDR heute Abend, 26. September, um 20:15 Uhr in der Sendung „Markt.“

Startseite

Mehr zu: Brisantes Datenleck bei Hamburger Feuerwehr - „Weibliche Person, 66 Jahre, Verdacht auf Herzinfarkt“

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%