Wahrscheinlich hätten die meisten Menschen den Beitrag auf Instagram einfach weggescrollt: Ein Unternehmen für Feuerwehrtechnik bewirbt einen "Tracker" für Feuerwehrautos. Ein kleines Gerät, das, einmal in den Zigarettenanzünder gesteckt, "Liveortung selbst bei niedriger Mobilfunkabdeckung" bietet, so formuliert es das Unternehmen auf der Webseite. Der Instagram-Beitrag stammt von dem oberösterreichischen Konzern Rosenbauer. Was er nicht ahnte, war eine entscheidende Sicherheitslücke in seiner Software, die das Hackerkollektiv "Zerforschung" entdeckte.

Rosenbauer hat seinen Sitz in Leonding, gilt als einer der größten Hersteller von Feuerwehrfahrzeugen weltweit und setzt jährlich fast eine Milliarde Euro um. Er bietet etwa auch Spezialfahrzeuge, die Wasser werfen, für die deutsche Polizei an. Und er verkauft Software, mit der Organisationen ihre Fahrzeuge überwachen und miteinander vernetzen können.

Daten ungeschützt

Hacker des Kollektivs "Zerforschung" scannten einen QR-Code, der in der Instagram-Werbung von Rosenbauer zu sehen war, ein, legten sich ein Kundenkonto an und begannen damit, die App zu analysieren. Das Team von "Zerforschung" ist vor allem damit bekannt geworden, Sicherheitslücken in verschiedenster Software zu finden. Wiederholt ist es ihnen gelungen, auf sensible Informationen zuzugreifen und zu zeigen, dass Kundendaten oft nicht ausreichend geschützt werden. So auch im Fall Rosenbauer.

"Innerhalb einer halben Stunde" sei den Hackern aufgefallen, dass sie Ortungsdaten hätten abfragen können, sagt Maximilian Richt, Teil des Kollektivs. Normalerweise werden solche Daten nur angezeigt, wenn Personen berechtigt sind, die Daten zu sehen. Sonst gibt es eine Fehlermeldung. Im Fall Rosenbauer ging es auch so: "Wir hatten Zugriff auf Infos, auf die wir garantiert keinen Zugriff haben sollten", sagt Richt.

Zu sehen bekam "Zerforschung" eine Kundenliste der Firma Rosenbauer. Und das Kollektiv sah, welche Feuerwehrautos eingesetzt wurden und in vielen Fällen auch, wo diese sich befanden. Eine Liveortung der Einsatzwagen war möglich. Den Datensatz liegt dem STANDARD und anderen Medien vor. Auch Drohnen, die Rosenbauer in sein Überwachungssystem integriert hat, konnten lokalisiert werden.

Zu den Kunden gehören unter anderem die Wiener Berufsfeuerwehr, die deutsche Bundeswehr sowie die Berliner Feuerwehr. Aber auch Feuerwehren in Singapur, Nepal, den Vereinigten Arabischen Emiraten, Saudi-Arabien, Marokko, Frankreich und weiteren Ländern scheinen auf. Insgesamt sind mehr als 150 Kunden betroffen. Die Feuerwehr in der iranischen Hauptstadt Teheran ist demzufolge ebenso eine Abnehmerin von Rosenbauers Produkten.

Vernetzung beworben

Rosenbauer wirbt mit dem Versprechen, dass mittels seiner Technik Einsätze besser gesteuert und die Fahrzeugflotten einfacher gemanagt werden könnten. So könnten die Leitstellen "immer und überall den Überblick behalten", schreibt das Unternehmen in einem Werbeprospekt. "Welche Fahrzeuge sind einsatzbereit, und wo befinden sie sich? Wie viel Betriebs- und Löschmittel wie Kraftstoff, Wasser, Schaum etc. ist an Bord? Welche Wartungsaufgaben wurden bereits abgearbeitet?" – das seien Fragen, die das System live beantworten könne.

Was aber passiert, wenn auch Unbefugte Antworten auf diese Fragen bekommen? Stephan Gerling arbeitet als IT-Sicherheitsexperte bei Kaspersky und ist Technischer Einsatzleiter einer Feuerwehr. Er bestätigt die Ergebnisse von "Zerforschung". Die Daten seien aktuell, und die Standorte stimmten mit echten Positionen überein. "Ich finde es kritisch, dass diese Daten, die eigentlich nur einem besonderen Personenkreis zur Verfügung stehen sollten, frei Haus geliefert werden", sagt Gerling. Insbesondere gelte das generell für Löschfahrzeuge des Militärs und Wasserwerfer der Polizei.

Niederschwellige Lösung

Die Sicherheitslücke sei zu bedauern, sagt Otmar Lendl vom österreichischen Cert.at, einem Team von IT-Fachleuten, die im Fall von Sicherheitsvorfällen Betroffene unterstützen. "Diese gilt es zu korrigieren", aber: Ein grundsätzliches Sicherheitsproblem darin, dass Standorte von Feuerwehrfahrzeugen getrackt und über Mobilfunk vermittelt werden, sieht Lendl nicht. Zu wissen wie schnell ein Team an einen Einsatzort gelangen kann, sei gerade bei Notfällen wertvoll, sagt er. Zwar könnte die Feuerwehr auch über geschlossene Netzwerke kommunizieren. Doch besonders in Ländern, in denen die Organisationen häufig freiwillig arrangiert sind, brauche es eine niederschwellige Lösung ohne spezielles Equipment.

Auf Anfrage bestätigt Rosenbauer, dass ein Fehler unterlaufen sei. Dieser habe es ermöglicht, "vorübergehend Zeit und Aufenthaltsort von Feuerwehrfahrzeugen" zu ermitteln. Der Fehler sei mittlerweile behoben, Kundendaten seien keine abgeflossen. Die Feuerwehrautos im Iran seien "älteren Datums" und damals nicht genehmigungspflichtig gewesen. Rosenbauer unterhalte seit längerem keine Geschäftsbeziehungen mehr mit dem Iran.

Die Wiener Berufsfeuerwehr gibt auf Anfrage an, über den Vorfall informiert worden zu sein. Es würden keine einsatzspezifischen Daten über das System übertragen, "eine Verbindung zu unserem Einsatzleitsystem besteht nicht", heißt es. (Muzayen Al-Youssef, Hannes Munzinger, Hakan Tanriverdi, 8.8.2023)