In Ausgabe 23/2020 berichtet das magazin für computer technik c´t über die Ergebnisse einer sehr umfangreichen Recherche zu Schwachstellen in Servern, die über das Internet erreicht werden können. Dabei sind den Redakteuren auch mehrere Serversysteme aufgefallen, die BOS-Nachrichten (BOS=Behörden und Organisationen mit Sicherheitsaufgaben) ungeschützt im Internet bereitstellen.
Die Recherche zeigte über 1.000 Systeme mit der Software BosMon. Die Software kann genutzt werden, um die Textnachrichten aus dem BOS-Funk an eine App im Handy weiterzuleiten und so Alarmierungen per Handy an Einsatzkräfte zu verteilen. Von diesen Systemen waren mehr als 100 Systeme nicht nach dem Stand der Technik gesichert. Die Sicherheitsmängel reichten von unverschlüsselter Übertragung per http bis zu komplett fehlender Authentifizierung, sodass jede Person mit Kenntnis der IP-Adresse die Daten von der Schnittstelle erhalten kann.
Die c´t weist darauf hin, dass die ungesicherte Bereitstellung von Inhalten des BOS-Funks gesetzeswidrig ist. Es ist aber sicher auch ohne diesen Hinweis im Interesse jedes Betreibers, dass in Zeiten mit Angriffen auf Einsatzkräfte und Behinderung durch Schaulustige die Geheimhaltung der Einsatzinformationen gewährleistet bleibt. Wir bitten deshalb jeden Betreiber eines solchen Servers, die Konfiguration zu prüfen. Hilfe zur richtigen Konfiguration gibt die Software BosMon selbst und auch die c´t in Ausgabe 23/2020 oder online auf www.heise.de (Suchwort BOS-Scheunentor – Beitrag liegt größtenteils hinter Bezahlschranke).
