Datenlücke

Sicherheitslücke in der Notruf-App

In einer Notfall App für Rettungskräfte fanden Spezialisten des Computermagazins c't ein Datenleck. Das wurde inzwischen gestopft.
Von

Datenleck in der Rettungs-App gefunden Datenleck in der Rettungs-App gefunden
Picture Alliance Das Computermagazin c’t hat in einer App für Rettungskräfte ein Datenleck entdeckt. Bis vor kurzem konnte auf Einsatzdaten inklusive detaillierten Patienteninfos zugegriffen werden.

Wenn die 112 gewählt wird

Wenn im Falle eines Falles die standardisierte Notrufnummer 112 gewählt wird, wird nicht nur eine Sprachverbindung zur Notrufzentrale hergestellt. Im Hintergrund startet ein intensiver Datenaustausch zwischen Zentrale und Rettungsdiensten über Mobilfunk: Vernetzte IT-Systeme versorgen die Fahrzeugbesatzung der Rettungsdienste mit allen notwendigen Einsatzinformationen, helfen beim Navigieren zum vermuteten Aufenthaltsort des Patienten und nehmen die Anmeldung an dem Klinikum vor, wo der Patient hingebracht werden soll. Alle für den Notfall relevanten Daten – wie Name, Geburtsdatum und Adresse des Patienten sowie den Notfallort – trägt die Leitstelle in ihre Datenbank ein und stellt diese Informationen dann beispielsweise über die App „NaProt“ den Rettungsdiensten zur Verfügung. Der Hersteller gibt an, dass bereits über eine Million Einsätze mit seiner Software erfasst werden.

Lücke im System gefunden: Zugangsdaten fest codiert

Datenleck in der Rettungs-App gefunden Datenleck in der Rettungs-App gefunden
Picture Alliance Solche sensiblen Daten im System sollten natürlich gut geschützt sein. Doch als c’t sich einen Eindruck von der Sicherheit verschaffen wollte, stießen die Experten auf ein fatales Datenleck: „Bei einem Blick in die Binärdatei der App entdeckten wir fest einkodierte Zugangsdaten, die einen Zugriff auf reale Einsätze ermöglichten“, erläutert Ronald Eikenberg.

Rechtzeitig gemerkt

Die c't ist sich sicher: Nutzer mit krimineller Energie hätten dafür sorgen können, dass Einsätze nicht über NaProt gemeldet worden wären. Auch die Erfassung falscher Daten wäre möglich gewesen.

Lücke geschlossen - Update dauert an

Nachdem c’t den Hersteller der NaProt-App, die Berliner Firma Pulsation IT, über das Problem in Kenntnis gesetzt hatte, reagierte das Unternehmen umgehend und schloss die Sicherheitslücke. Offenbar ist die Aktualisierung der Server aber noch im Gang: Am 11. März war es bei Kenntnis der richtigen URLs mit dem alten Login noch immer möglich, auf einige mit NaProt verwaltete Einsätze in Deutschland zuzugreifen.

Mehr zum Thema Datensicherheit Smartphone