Notruf 112: App für Rettungsdienste mit Datenlücke

Publiziert am 16. März 2018 von Günter Born

Eine App, die von Rettungskräften beim Notruf 112 verwendet wurde, wies ein gravierendes Datenleck auf. Dadurch hätte sich unautorisierte Dritte Zugriff auf die Patienteninfos verschaffen können.

Anzeige

Worum geht es?

Wenn ein Notruf unter 112 einen Rettungseinsatz auslöst, beginnt ein kontinuierlicher Datenaustausch zwischen der Retttungszentrale und Rettungs­diensten bzw. den Besatzungen der Einsatzwagen. Vernetzte IT-Systeme, die über Mobilfunk in ständiger Verbindung zu einem zentralen Server stehen, versorgen die Fahrzeugbesatzung der Rettungsdienste mit allen Einsatzinfor­mationen. Zudem helfen die Systeme den Fahrzeugbesatzungen und Notärzten beim Navigieren. Weiterhin nehmen die IT-Systeme die Anmeldung des Patienten an einem Klinikum vor.

Alle für den Notfall relevanten Daten – wie Name, Geburtsdatum und Adresse des Patienten sowie den Notfallort – trägt die Leitstelle in ihre Datenbank ein und stellt diese dann beispielsweise über die App NaProt den Rettungsdiensten zur Verfügung. Der Hersteller des Systems gibt an, dass bereits über eine Million Einsätze mit seiner Software erfasst werden.

Datenleck in der Anwendung

Die c't (heise.de) hat in der App NaProt jedoch ein gravierendes Datenleck entdeckt. „Bei einem Blick in die Binärdatei der App entdeckten wir fest einkodierte Zu­gangsdaten, die einen Zugriff auf reale Einsätze ermöglichten", erläutert Ronald Eikenberg von der c't-Redaktion. Laut der Redaktion hätten sich Cyber-Kriminelle nicht nur die Daten abrufen können. Vielmehr wäre es Unbefugten möglich gewesen, falsche Daten im System einzutragen oder die Einsatzmeldung an die App NaProt zu blockieren (der Einsatz wäre dann niemals gemeldet worden).

Die Redaktion von c't hat den Hersteller der NaProt-App, die Berliner Firma Pulsation IT, nach Entdeckung der Sicherheitslücke kontaktiert. Das Unternehmen hat inzwischen die Sicherheitslücke geschlossen. Zur Zeit ist die Aktualisierung der Server aber noch im Gang. Zumindest bis zum 11. März war es bei Kenntnis der richtigen URLs mit dem alten Login noch immer möglich, auf einige mit NaProt verwaltete Einsätze in Deutschland zuzugreifen, so die heise.de-Redaktion in einer Pressemitteilung. Ein Artikel mit weiteren Infos ist bei heise.de abrufbar.

Anzeige
Anzeige
Dieser Beitrag wurde unter App, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.