Datenleck im Gefängnis-Telefonsystem: Insassen versehentlich auf der Bühne des Internets

Ups! Das sieht nach einem ziemlichen Datenleck aus! Über 14.000 Insassen von 20 Gefängnissen und forensischen Kliniken haben versehentlich ihre Telefoninformationen im Internet veröffentlicht. Das ist nicht gerade das, was man als „vertraulich“ bezeichnen würde.

Der Anbieter des Telefonnetzes hat seine Sicherheitsmaßnahmen anscheinend nicht ganz ernst genommen und seine Schnittstellen nicht ausreichend abgesichert. Das bedeutet, dass nicht nur die Telefonnummern der Insassen online verfügbar waren, sondern auch sämtliche Gesprächsaufzeichnungen. Das ist ja fast so, als ob man die Telefonate der Insassen auf einer öffentlichen Bühne abspielt!

Unsere IT-Sicherheitsaktivistin des Tages, Lilith Wittmann, hat das Datenleck entdeckt und sowohl die Aufsichtsbehörden als auch das Unternehmen hinter dem Telefonsystem informiert. Sie erklärte dem NDR, dass der Zugriff auf die Daten unglaublich einfach war, da es keinerlei Passwortschutz gab. Die Daten waren im Grunde genommen völlig ungeschützt. Na, das ist ja beruhigend.

Glücklicherweise wurde laut einer Sprecherin des Unternehmens kein Missbrauch festgestellt (oder zumindest behauptet). Aber wer weiß, wie lange das Datenleck schon bestand und wer sich alles Zugriff verschafft hat? Die Protokolldaten werden in der Regel nur für kurze Zeit gespeichert, also könnte es schwierig sein, frühere Zugriffe nachzuvollziehen.

Die Folgen dieses Datenlecks könnten weitreichend sein. Nicht nur für die Insassen, deren Verbindungen und Gespräche nun öffentlich sind, sondern auch für Personen in Untersuchungshaft, die den Schutz der Unschuldsvermutung genießen. Eine Offenlegung ihrer Telefonkontakte könnte zu Stigmatisierung führen, als wären sie schuldig, nur weil sie im Gefängnis sitzen. Außerdem sind Gespräche mit Therapeuten und Anwälten normalerweise vertraulich und erfordern besonderen Schutz.

Die Zeit Online hat sogar selbst getestet, ob sie auf die Daten zugreifen kann – und das konnten sie, noch bevor das Datenleck behoben wurde. Das ist wie ein Einbrecher, der durch das offene Fenster klettert, während der Besitzer noch darüber nachdenkt, es zu schließen. Erst nach einer erneuten Nachfrage wurde der Server heruntergefahren, um die Sicherheitslücke vorerst zu beheben. Na, besser spät als nie.

Offensichtlich hatte das Gefängnis-Telefonsystem eine Webanwendung zur Verwaltung von Benutzerdaten, das sogenannte Prison Control Center. Das Problem war jedoch, dass die Schnittstellen nicht abgesichert waren. Jeder, der die URL kannte, konnte einfach auf die Daten zugreifen. Es ist fast so, als ob die Gefängnistore weit offen stehen und jeder hinein- und hinausgehen kann, ohne dass es jemand bemerkt.

Die IT-Sicherheitsaktivistin Lilith Wittmann hat sogar drei weitere Schwachstellen entdeckt, durch die sie Zugriff auf sämtliche Konten und sogar das Telefon-Guthaben erhalten konnte. Wenn das keine beeindruckende Leistung ist, dann weiß ich auch nicht.

Nun, vorerst hat die Vollzugsdirektion NRW die Nutzung dieses Telefonsystems gestoppt. Allerdings ist es beängstigend zu bedenken, dass es insgesamt 44.232 Personen in deutschen Justizvollzugsanstalten gibt. Das bedeutet, dass noch viele Datenlecks auf uns warten könnten. Oh, wie aufregend!

Schlagwörter: Lilith Wittmann + Gerdes + NDR

Wie bewerten Sie den Schreibstil des Artikels?