Zeitgleich veröffentlichten mehrere Medien in Deutschland und Österreich am 8. August Berichte über eine Sicherheitslücke beim österreichischen Unternehmen Rosenbauer, einem der grössten Hersteller von Feuerwehrfahrzeugen in Europa. Rosenbauer verfügt auch über eine Schweizer Niederlassung, die Fahrzeuge des Unternehmens sind hierzulande bei verschiedenen Blaulicht-Organisationen im Einsatz.

"Datenleck legte Standorte von Feuerwehrautos offen", titelte 'Der Standard'. "Wenn Hacker die Feuerwehr orten können", schrieb das 'ZDF'. Hacker des auf Sicherheitslücken spezialisierten Kollektivs "Zerforschung" hatten zuvor eine App von Rosenbauer analysiert. Dazu scannten sie zuerst den QR-Code in einer Werbung des Unternehmens auf Instagram und richteten dann ein Kundenkonto ein.

"Der Link hinter dem QR-Code führt tatsächlich auf die Weboberfläche der Flottentracking-Software: Rosenbauer Connected Fleet", heisst es im Bericht des Kollektivs. Innert kürzester Zeit sei es ihnen gelungen, weltweit auf Standortdaten von Feuerwehrfahrzeugen zuzugreifen. "Wir hatten Zugriff auf Infos, auf die wir garantiert keinen Zugriff haben sollten", sagte Zerforschung-Mitglied Maximilian Richt dem 'Standard'. Man habe auf einer Kundenliste von Rosenbauer einsehen können, welche Fahrzeugtypen eingesetzt werden und in vielen Fällen auch, wo sich diese gerade befanden.

"Beim Öffnen der Webanwendung wird der Programmcode für die verschiedenen Aktionen oder Datenanzeigen schon geladen. Und da in diesem Fall die Fehlermeldung 'keine Organisation zugeordnet' Teil der Anwendung ist, bekommen wir den gesamten Programmcode serviert", schreibt Zerforschung zum Vorgehen. So habe man die Datensätze abrufen können.

"In den Ergebnissen tauchen verschiedene Institutionen auf", heisst es im Bericht des Kollektivs: Feuerwehren, Betriebsfeuerwehren, Flughafen-Feuerwehren, Militär. "Mindestens 356 Organisationen tauchen in den Daten auf, mit insgesamt mehr als 4300 Fahrzeugen." Genannt werden mehrere Beispiele aus verschiedenen Ländern – aus der Schweiz Armasuisse und Aéroport de Bâle Mulhouse Service Comptabilité.

Rosenbauer reagierte auf den Bericht mit einer offiziellen Mitteilung. Den Mitgliedern von Zerforschung sei es gelungen, "über die in den LKW verbauten Telematikmodule die Namen der Einsatzorganisationen sowie bei einzelnen Fahrzeugen mit verbauter SIM-Karte auch die Aufenthaltsorte samt Zeitstempel auszulesen". Personenbezogene Daten seien nicht darunter gewesen, betont das Unternehmen.

"Dieser Fehler wurde bereits letzte Woche unmittelbar nach Bekanntwerden behoben, ein Zugriff auf diese Daten ist somit nicht mehr möglich. RDS Connected Fleet wird ausschliesslich für die effiziente Abwicklung der Fahrzeuginstandhaltung verwendet", heisst es weiter. Einsatzkritische Informationen würden über dieses System nicht ausgetauscht.

Man sei vom Hersteller über die Entdeckung der Lücke informiert worden, bestätigt Kaj-Gunnar Sievert, Leiter Kommunikation bei Armasuisse, auf Anfrage von inside-it.ch. "Die Flugfeldlöschfahrzeuge der Firma Rosenbauer wurden für die Nutzung an die Luftwaffe übergeben. Diese wurde durch Rosenbauer am 3. August über den Fehler und dessen umgehende Behebung informiert."

26 Fahrzeuge von Rosenbauer sind bei der Schweizer Luftwaffe im Einsatz. Auf deren Betrieb habe die Lücke aber keine Auswirkungen gehabt, obwohl das Tracking-System verwendet werde. "Für Einsatzauswertung und Ferndiagnose ist ein System verbaut, das auch Standortdaten übermitteln kann", erklärt Sievert. "Allerdings ist das System bei der Luftwaffe mit einem Schalter deaktivierbar und kann durch die Luftwaffe jederzeit ausgeschaltet werden."

Am EuroAirport Basel-Mulhouse sind 4 Fahrzeuge von Rosenbauer im Einsatz. Dort heisst es auf unsere Anfrage: "Die Tracking-App von Rosenbauer verwenden wir nicht. Die entdeckte Sicherheitslücke hat keine Auswirkungen auf den Einsatz der Fahrzeuge am EuroAirport."

Im Wallis sind beim Kantonalen Amt für Feuerwesen etwa 20 Rosenbauer-Fahrzeuge im Einsatz, die für den Einsatz dieser Tracking-App geeignet sind. "Wir wurden vom Hersteller mündlich über die Möglichkeit der genauen Ortung von Fahrzeugen informiert. Diese Information wurde im Rahmen der verschiedenen Möglichkeiten, die der Hersteller anbietet, weitergegeben", erklärt das Amt. In die Fahrzeuge sei aber bis heute kein derartiges System eingebaut und die Lücke habe deshalb auch keine Auswirkungen. "Eine Analyse ist im Gange, um zu definieren, ob diese Anwendung für den Kanton Wallis nützlich ist", schreibt das Amt.

Schutz und Rettung Zürich (SRZ) verfügt über ein Fahrzeug von Rosenbauer: die Rettungstreppe der Berufsfeuerwehr am Flughafen Zürich. "SRZ hat in seinen Feuerwehrfahrzeugen nicht das Tracking-System von Rosenbauer verbaut, sondern Rescuetrack. Daher hat sich eine Information seitens Rosenbauer an uns zum aktuellen Geschehen erübrigt", erklärt Mediensprecher Marco Grendelmeier.

Die vom Hacker-Kollektiv analysierte Tracking-App werde weder von der Zürcher Feuerwehr noch von der Einsatzleitzentrale aller Feuerwehrmittel des Kantons Zürich verwendet. Das Entdecken der Lücke habe deshalb keinerlei Auswirkungen auf den Einsatz und den Datenschutz bei SRZ. Update 14.8.: Der Artikel wurde um einen Abschnitt mit Antworten des Kantons Wallis ergänzt.