Am 16. März 2018 veröffentlichte die heise-online Redaktion in der Rubrik heiseSecurity einen Beitrag mit dem Titel “c’t deckt auf: Notruf 112 mit fatalem Datenleck”. Dieser enthielt eine Synopse eines im c’t Magazin 7/18 abgedruckten Artikels, der zeitgleich mit der Synopse im Onlineauftritt der c’t veröffentlicht wurde: “Security-Notruf: Sicherheitslücke in Notfall-App legt Einsatzdaten offen”. Zu diesem Artikel und allen sich darauf beziehenden Meldungen nehmen wir wie folgt Stellung.
Am 31. Januar 2018 wurde die pulsation IT GmbH von der Redaktion der Zeitschrift c’t über Sicherheitslücken in der iOS-App „NaProt“ informiert. Die pulsation IT GmbH hat daraufhin umfangreiche Maßnahmen ergriffen und Sicherheitspatches sowohl für die iOS-App als auch für die Backendserver bereit gestellt. Als Ursache für die Sicherheitslücken konnte ein Fehler im Source-Management und im Abgleich zwischen Produktiv- und Testsystemen ausgemacht werden. Betroffen von den genannten “Datenlecks” waren „NaProt“ Programmversionen zwischen den Monaten September 2017 bis Januar 2018.
Bereits im Februar konnten die ersten Produktivsysteme mit neuen Versionen ausgestattet werden. Aufgrund der dezentralen Organisationsstruktur der Rettungsdienste war es jedoch nicht möglich, alle aktiven Endgeräte innerhalb kurzer Zeit umzurüsten. Bei Erscheinen des Artikels war diese Umstellung noch nicht final abgeschlossen, sodass die pulsation IT GmbH unter massiven Druck geriet und bei allen Kunden eine serverseitige Umstellung aktivieren musste, die in einzelnen Fällen dazu führte, dass Rettungsmittel ihre Einsätze nicht mehr mit der NaProt-App dokumentieren konnten.
Entgegen der Darstellung des Artikels war es zu keinem Zeitpunkt möglich, Alarmierungsdaten zu unterbinden oder gar zu manipulieren. Auch wurde die Manipulation von bestehenden Einsatzdaten keineswegs ermöglicht. Ebenfalls ausgeschlossen war die generelle Unterbindung der Alarmierung der zuständigen Rettungsmittel oder der konkreten Notfallversorgung. Auch konnten bei Ausnutzung der Schwachstelle keine dokumentierten Patientendaten anderer Rettungsmittel eingesehen werden. Die Sicherheitslücken bezogen sich lediglich auf den Abruf von Stamm- und initialen Alarmierungsdaten, wie sie von den Leitstellen zur Verfügung gestellt werden. Ferner findet jeglicher Datentransfer ausschließlich verschlüsselt statt.
Wir bedauern den Vorfall zutiefst und werden unsere internen Maßnahmen zur Qualitätssicherung anpassen. Darüber hinaus werden wir unsere Systeme tiefgreifenden und unabhängigen Penetrationstests unterziehen, um Vorfälle dieser Art künftig zu vermeiden. Bedanken möchten wir uns bei der Redaktion der Zeitschrift c’t, die uns frühzeitig und ausführlich über die gefundenen Sicherheitslücken informierte und uns Gelegenheit gab, diese Lücken vor dem Bekanntwerden zu analysieren und zu schließen.