Sicherheitslücke: Wenn Hacker die Feuerwehr orten können

Wahrscheinlich hätten die meisten Menschen den Beitrag auf Instagram einfach weggescrollt: Ein Unternehmen für Feuerwehrtechnik bewirbt einen "Tracker" für Feuerwehrautos. Ein kleines Gerät, das, einmal in den Zigarettenanzünder gesteckt, "Liveortung selbst bei niedriger Mobilfunkabdeckung" bietet, so formuliert es das Unternehmen auf der Webseite. Der Instagram-Beitrag stammt von dem österreichischen Konzern Rosenbauer.

Dieser gilt als einer der größten Hersteller von Feuerwehrfahrzeugen weltweit und setzt jährlich fast eine Milliarde Euro um. Er bietet auch Spezialfahrzeuge, die Wasser werfen, für die deutsche Polizei an. Und der Konzern verkauft Software, mit der Organisationen ihre Fahrzeuge überwachen und miteinander vernetzen können.

Der Tracker, den Rosenbauer auf Instagram bewirbt, zeigt einen QR-Code. Die Hacker des Kollektivs "Zerforschung" scannten ihn ein, legten sich ein Kundenkonto an und begannen damit, die App zu analysieren.

Das Team von "Zerforschung" ist vor allem dadurch bekannt geworden, Sicherheitslücken in Apps und in anderer Software zu finden. Wiederholt ist es "Zerforschung" gelungen, auf sensible Informationen zuzugreifen und zu zeigen, dass Kundendaten oft nicht ausreichend geschützt werden. So auch im Fall Rosenbauer.

"Innerhalb einer halben Stunde" sei den Hackern aufgefallen, dass sie Ortungsdaten anfragen können, so erklärt es Maximilian Richt, Teil des Kollektivs. Normalerweise werden solche Daten nur angezeigt, wenn die Person berechtigt ist, die Daten zu sehen. Sonst gibt es eine Fehlermeldung. Im Fall Rosenbauer ging es auch ohne Befugnis.

Zu sehen bekam das Hacker-Kollektiv "Zerforschung" eine Kundenliste der Firma Rosenbauer. Welche Feuerwehrautos sie einsetzen und in vielen Fällen auch, wo diese sich befinden.

Zu den Kunden gehören unter anderem die deutsche Bundeswehr, die Wiener und Berliner Feuerwehr. Aber auch Feuerwehren in Singapur, Nepal, den Vereinigten Arabischen Emiraten, Saudi-Arabien, Marokko, Frankreich und weiteren Ländern. Insgesamt sind mehr als 150 Kunden betroffen. Auch die Feuerwehr in der iranischen Hauptstadt Teheran ist demzufolge Kunde von Rosenbauer.

Die Daten zeigen, dass auch in den Fahrzeugen fest verbaute Geräte betroffen und damit live verfolgbar sind. Auch Drohnen, die Rosenbauer in Zusammenarbeit mit dem Hersteller DJI in sein Überwachungssystem integriert hat, können geortet werden.

Das Datenleck wird nun in einer Zeit publik, in der immer häufiger vor Gefahren durch Cyberangriffe auf kritische Infrastruktur gewarnt wird. Rosenbauer wirbt für die Vernetzung mit dem Versprechen, dass Einsätze besser gesteuert und die Fahrzeugflotten einfacher gemanagt werden könnten. Was aber passiert, wenn auch Unbefugte Antworten auf diese Fragen bekommen?

Stephan Gerling arbeitet als IT-Sicherheitsexperte bei Kaspersky und ist Technischer Einsatzleiter einer Feuerwehr. Er bestätigt die Ergebnisse von "Zerforschung". Die Daten seien aktuell und die Standorte stimmten mit echten Positionen überein.

Insbesondere gelte das für Löschfahrzeuge des Militärs und Wasserwerfer der Polizei, sagt er.

Auf Anfrage bestätigt Rosenbauer, dass ihnen ein Fehler unterlaufen sei. Dieser habe es ermöglicht, "vorübergehend Zeit und Aufenthaltsort von Feuerwehrfahrzeugen" ermitteln zu können. Der Fehler sei mittlerweile behoben, Kundendaten seien keine abgeflossen.

Die Feuerwehrautos im Iran seien "älteren Datums" und damals nicht genehmigungspflichtig gewesen. Rosenbauer unterhalte seit längerem keine Geschäftsbeziehungen mehr mit dem Iran.