Für die Inhaftierte war es danke eines neuen Systems einfach, mal eben privat mit ihren Verwandten zu sprechen. Für die IT-Sicherheitsaktivistin Lilith Wittmann war es allerdings ebenso einfach auf sensible Daten des Systems zugreifen. Ein Daten-Skandal in deutschen Gefängnissen.
Die Sicherheitsforscherin Lilith Wittmann hat ungeschützte Programmierschnittstellen in einer Kommunikationssoftware für Gefängnisse entdeckt. Die jüngste Enthüllung dieser Sicherheitslücke in den Telefonanlagen deutscher Justizvollzugsanstalten hat weitreichende Konsequenzen für die Privatsphäre der Insassen, denn sensible Verbindungsdaten von Hunderttausenden Gefängnis-Anrufen sind so aufgrund einer ungeschützten API im Internet einsehbar gewesen.
Vollständige Namen und Verbindungsdetails einsehbar
Von der Sicherheitslücke sollen bundesweit über 14.000 Inhaftierte in 20 Justizvollzugsanstalten betroffen sein. Besonders stark betroffen sollen hier die Hamburger Justizvollzugsanstalten Fuhlsbüttel und Billwerder sowie die Sozialtherapeutische Anstalt in Bergedorf und die Untersuchungshaftanstalt nahe den Messehallen. Allein in Hamburg sollen so die Daten von 3.379 Personen kompromittiert worden sein, mit rund 530.000 betroffenen Anrufen bundesweit. Sicherheitslücken können enorme Folgen haben. Die Datenlecks bei Facebook, Twitter und Deezer zeigen dies eindrucksvoll.
Sind Sie von einem Datenleck bei Twitter, Facebook oder Deezer betroffen? Hier kostenlos prüfen
Die einsehbaren Daten umfassten dabei laut Berichten nicht nur die Verbindungsdetails wie Zeitpunkt und Dauer der Gespräche, sondern auch die vollständigen Vor- und Zunamen der Inhaftierten, ihre Haftnummern und das Entlassungsdatum. Auch die Login-Telefon-PIN, Notizen (z.B. „Verlegt aus der U-Haft“), Datum der letzten Nutzung sowie Guthaben konnten eingesehen werden.
Zudem konnten laut Berichten die Namen der angerufenen Personen und deren Beziehung zum Inhaftierten (z.B. Ehepartner, Verteidiger, Psychiater) eingesehen werden. Besonders gravierend aber ist die Tatsache, dass wohl auch Aufzeichnungen der Gespräche abrufbar waren, denn es gab auf dem Server einen Ordner /media/recordings/, der nahelegt, dass darin die Aufzeichnungen gespeichert wurden. Dies wäre ein erhebliches Risiko für die Vertraulichkeit dieser Gespräche. Ferner konnte wohl in Erfahrung gebracht werden, ob die Aufzeichnung von der Polizei initiiert wurde, die Freizeitaktivitäten des Gefangenen sowie Hinweise auf die Unterbringung (wo das Telefon ist) und das Entlassungsdatum (Datum an dem Account geschlossen wird).
Die telio-Sicherheitslücke in deutschen JVAs
Das Telefonsystem sollte den Inhaftierten mehr Privatsphäre bieten, indem sie über ein persönliches Festnetztelefon in ihren Hafträumen verfügen. Diese Maßnahme sollte ihnen ermöglichen, ungestörte Gespräche mit Familie und Freunden zu führen, was als wichtiger Schritt zur Resozialisierung angesehen wurde. Die Hamburger Justizsenatorin Anna Gallina hatte die Einführung des Systems im April 2022 als „Meilenstein“ bezeichnet.
Die Sicherheitslücke wurde von der IT-Sicherheitsaktivistin Lilith Wittmann entdeckt. In einem NDR-Bericht nahm sie dazu Stellung. Die Firma telio aus Hamburg betreibt die Telekommunikationsinfrastruktur in zahlreichen Justizvollzugsanstalten (JVAs) in Deutschland sowie in 20 weiteren Ländern, einschließlich der Türkei und den Vereinigten Arabischen Emiraten. Dies geschieht entweder unter ihrem eigenen Namen oder unter dem Namen einer übernommenen Firma wie der Gerdes Communications GmbH. Die von der Gerdes Communications GmbH genutzte Software wird weiterhin von der ehemaligen Mutterfirma Gerdes AG entwickelt, jedoch von Gerdes Communications (nun Teil von telio) an die Anstalten verkauft und betrieben.
Meistens stellt das Unternehmen den Anstalten kostenlos Telefone und Server zur Verfügung und betreibt die Infrastruktur gemeinsam mit den JVAs über sogenannte Konzessionen. Die Anstalten selbst pflegen sodann lediglich noch die Inhaftierten und deren erlaubte Gesprächspartner in das telio-System ein, während telio den Rest übernimmt und die Aktivitäten unter Aufsicht der Anstalten koordiniert.
Diese Verwaltung erfolgt laut Wittmann über das sogenannte Prison Control Center, eine Webapplikation, die aus dem Internet erreichbar ist, sodass die Verwaltung des Gefängnisses auch aus dem Homeoffice erfolgen kann. Diese Systeme sind größtenteils direkt in den Gefängnissen installiert und über dyndns und einen Proxy von außen zugänglich.
Ein gravierendes Problem bestand jedoch nun offenbar darin, dass die Entwickler von Gerdes Communications bzw. der Gerdes AG laut Wittmann die API dieser Systeme nicht ausreichend gesichert hatten. Jeder, der die entsprechende URL kannte, konnte zugriff erlangen und somit entweder das Gefängnis managen oder zumindest auf die Daten aller Insassen zugreifen. Dies sei „bequem“ über ein benutzerfreundliches Interface mit Dokumentation der Schnittstellen möglich gewesen.
Wittmann meldete die Lücke sowohl dem Betreiber des Systems, Gerdes Communications, als auch den Aufsichtsbehörden. Laut Wittmann waren die Daten leicht zugänglich, da sie nicht durch ein Passwort oder andere Sicherheitsmaßnahmen geschützt waren. Es ist unklar, ob diese Lücke bereits von anderen genutzt wurde, um Daten abzurufen oder herunterzuladen.
Sind Sie von einem Datenleck bei Twitter, Facebook oder Deezer betroffen? Hier kostenlos prüfen
Gravierender Verstoß gegen Datenschutzbestimmungen
Die Hamburger Justizbehörde hat nach Bekanntwerden der Sicherheitslücke sofort Kontakt zum Betreiber aufgenommen und Maßnahmen zur Schließung der Lücke veranlasst. Auch der Hamburgische Beauftragte für Datenschutz, bezeichnete den Vorfall bereits als gravierenden Verstoß gegen datenschutzrechtliche Bestimmungen. Die Firma Gerdes Communications bestätigte die Existenz der Lücke, betonte jedoch, dass bisher keine rechtswidrige Entwendung der Daten festgestellt werden konnte. Das Unternehmen kooperiert nun eng mit den zuständigen Behörden und will eigene Prüfungen zur Verbesserung der IT-Sicherheit durchführen.
Diese Rechte haben Betroffene von Datenlecks
Der Vorfall zeigt erneut die Dringlichkeit, wie die unzähligen Daten-Skandale Um Facebook, Twitter und Deezer der letzten Jahre zuvor auch, IT-Sicherheitsstandards nicht nur in sensiblen Bereichen wie Justizvollzugsanstalten massiv zu verbessern. Obwohl das Telefonsystem den Inhaftierten mehr Privatsphäre bieten sollte, hat die unzureichende Absicherung der Daten zu einer erheblichen Verletzung der Privatsphäre geführt. Diese Sicherheitslücke und ihre Folgen werfen zudem Fragen über die Verantwortlichkeit und den Schutz der Rechte von Inhaftierten auf.
Auf der Grundlage von Art. 15 DSGVO haben Betroffene grundsätzlich einen Anspruch auf Auskunft gegenüber des Unternehmens, dass die Sicherheitslücke zu verantworten hat. ob man vom Datenleck betroffen ist. Erteilt das Unternehmen sodann keine oder eine unvollständige Auskunft, kann sich daraus zu Gunsten des Betroffenen bereits ein Schadensersatzanspruch aus Art. 82 DSGVO ergeben. Daneben kommen weitere Pflichtverletzungen im Zusammenhang mit dem Datenleck in Betracht, die möglicherweise Schadensersatzansprüche zur Folge haben.
Zuletzt haben etliche deutsche Gerichte Klägern hohe Schadensersatzansprüche aus Art. 82 DSGVO bei DSGVO-Verstößen zugebilligt. Auch der EuGH hat in zwei aktuellen Urteilen zu deutschen Fällen erneut die Verbraucherrechte im Hinblick auf den immateriellen Schadensersatz nach Verletzungen der DSGVO gestärkt. Das Auskunftsrecht Inhaftierter kann aber eventuell durch das Recht Dritter am Schutz der personenbezogenen Daten oder durch andere entgegenstehende Rechte eingeschränkt sein. Dies müsste im Einzelfall näher geprüft werden.