Datenleck: Kommunikationsdaten von Gefängnisinsassen frei zugänglich im Netz

Sensible Informationen über Gefängnisinsassen waren über eine ungesicherte Programmierschnittstelle online abrufbar. Einfallstor war ein Telefonsystem.

In Pocket speichern vorlesen Druckansicht 15 Kommentare lesen
Eine verschwommene Schwarz-Weiß-Aufnahme einer Person, die durch eine Gittertür geht

Über ein Leck in einem Telefonsystem standen hochsensible Daten von Gefängnisinsassen frei zugänglich im Internet.

(Bild: LR-PHOTO/Shutterstock.com)

Lesezeit: 4 Min.
Inhaltsverzeichnis

Die Telefondaten von mehr als 14.000 Menschen, die derzeit in 20 Gefängnissen und forensischen Kliniken sitzen, standen frei zugänglich im Netz. Der Telefondienstleister hatte seine Programmierschnittstellen nicht geschützt. Unter den Daten waren hochsensible Informationen.

Das Telefonsystem sollte eigentlich mehr Privatsphäre ermöglichen und eine Alternative zu den öffentlichen Telefonen der Haftanstalten bieten. Nun sorgte das Prepaid-Festnetzsystem allerdings dafür, dass sogar die Telefonnummer der angerufenen oder anrufenden Person und auch Gesprächsaufzeichnungen online abrufbar waren.

Auszulesen war Entdeckerin Lilith Wittmann zufolge, wer mit wem wann wie lange telefoniert hat. Auch die Beziehung zwischen den Telefonierenden, beispielsweise Mutter, Freund, Therapie oder Kanzlei war einsehbar. Sogar Aufzeichnungen von Gesprächen, die gegebenenfalls die Polizei initiiert hatte, waren demnach öffentlich.

Den freien Zugang zu den Daten im Netz deckte die IT-Sicherheitsaktivistin Wittmann auf. Sie meldete die Lücke sowohl den Aufsichtsbehörden als auch der Firma Gerdes Communications, die das Telefonsystem betreibt. "Es war super einfach, auf die Daten zuzugreifen", sagte Wittmann dem NDR. "Die Daten waren nicht mit einem Passwort geschützt, sie waren im Grunde überhaupt nicht geschützt." Laut einer Sprecherin der Telio Management GmbH (Hamburg), die Gerdes Communications 2023 aufgekauft hatte, hat lediglich Wittmann die Daten gesehen. Ein Missbrauch sei nicht festgestellt worden, sagte sie mehreren Medien. Sollte die Sicherheitslücke allerdings länger bestanden haben, wäre ein früherer Zugriff aufgrund der meist kürzeren Speicherung von Log-Daten wohl nur schwer nachvollziehbar.

Das Auslesen der Daten könnte nicht nur für verurteilte Strafgefangene und deren Umfeld Konsequenzen haben. Menschen in Untersuchungshaft stehen noch unter der Unschuldsvermutung. Ein Bekanntwerden könnte im Zweifel dazu führen, dass Menschen durch den Gefängnisaufenthalt stigmatisiert werden, obwohl sie unschuldig sind, führt Wittmann aus. Hinzu kommt: Gerade Gespräche mit Therapeuten und Anwälten gelten als vertraulich und genießen einen besonderen Anspruch an Schutz.

Mit einem Selbstversuch konnte auch Zeit Online auf Daten zugreifen, bevor die Lücke geschlossen war. Ein eigens dafür angelegter Account im Videocallsystem war ebenso auffindbar wie die E-Mail-Adresse und eine Liste der Inhaftierten, die das Team kontaktierte. "Dieser Account funktionierte auch noch, nachdem Gerdes Communications gegenüber der Hamburger Justizbehörde bereits angegeben hatte, die Server heruntergefahren zu haben. Erst nach einer erneuten Nachfrage war das tatsächlich der Fall", schreibt die Zeitung. Der Anbieter habe erst Teile des Systems und erst später den Server abgeschaltet, um die Lücke zu vorerst schließen.

Lilith Wittmann schreibt in einem Blog-Beitrag, sie sei über das Prison Control Center, eine Webapplikation zur Verwaltung der User-Daten, an die sensiblen Informationen gelangt. Die API sei nicht geschützt gewesen – jede Person, die im Besitz der URL war, konnte demnach die Verwaltungsseite aufrufen und auf die Daten zugreifen. "Ganz bequem über ein User-Interface mit Schnittstellendokumentation", schreibt die IT-Sicherheitsaktivistin. Über drei weitere Lücken habe sie alle vorhandenen Accounts und das verfügbare Telefon-Guthaben bei Gerdescom gefunden. Im Videokonferenzsystem sei eine Vielzahl an vollständigen Namen, Haftnummern und Zuordnungen zur Anstalt, in der die Person einsitzt, auslesbar gewesen. "Dazu muss nur eine Kontaktanfrage gestellt werden und schon liefert die Programmierschnittstelle die Daten als Kontaktliste aus." Für das Videokonferenzsystem gebe es zwar ein Log-in, "für den Aufruf der Programmierschnittstelle im Namen eines anderen Users ist allerdings nur dessen E-Mail-Adresse notwendig."

Die Vollzugsdirektion NRW hat laut Zeit Online die Telefonie über die Gerdes-Communications-Infrastruktur vorerst stillgelegt. Mehrere Landesdatenschutzbeauftragte und auch Justizvollzugsanstalten hätten erst du die Anfrage des Mediums von der Sicherheitslücke erfahren. Laut Statistischem Bundesamt befanden sich zum Stichtag im März 2023 insgesamt 44.232 Strafgefangene und Sicherungsverwahrte in den Justizvollzugsanstalten in Deutschland.

(are)