Ups! Das sieht nach einem ziemlichen Datenleck aus! \u00dcber 14.000 Insassen von 20 Gef\u00e4ngnissen und forensischen Kliniken haben versehentlich ihre Telefoninformationen im Internet ver\u00f6ffentlicht. Das ist nicht gerade das, was man als „vertraulich“ bezeichnen w\u00fcrde.<\/p>\n
Der Anbieter des Telefonnetzes hat seine Sicherheitsma\u00dfnahmen anscheinend nicht ganz ernst genommen und seine Schnittstellen nicht ausreichend abgesichert. Das bedeutet, dass nicht nur die Telefonnummern der Insassen online verf\u00fcgbar waren, sondern auch s\u00e4mtliche Gespr\u00e4chsaufzeichnungen. Das ist ja fast so, als ob man die Telefonate der Insassen auf einer \u00f6ffentlichen B\u00fchne abspielt!<\/p>\n
Unsere IT-Sicherheitsaktivistin des Tages, Lilith Wittmann, hat das Datenleck entdeckt und sowohl die Aufsichtsbeh\u00f6rden als auch das Unternehmen hinter dem Telefonsystem informiert. Sie erkl\u00e4rte dem NDR, dass der Zugriff auf die Daten unglaublich einfach war, da es keinerlei Passwortschutz gab. Die Daten waren im Grunde genommen v\u00f6llig ungesch\u00fctzt. Na, das ist ja beruhigend.<\/p>\n
Gl\u00fccklicherweise wurde laut einer Sprecherin des Unternehmens kein Missbrauch festgestellt (oder zumindest behauptet). Aber wer wei\u00df, wie lange das Datenleck schon bestand und wer sich alles Zugriff verschafft hat? Die Protokolldaten werden in der Regel nur f\u00fcr kurze Zeit gespeichert, also k\u00f6nnte es schwierig sein, fr\u00fchere Zugriffe nachzuvollziehen.<\/p>\n
Die Folgen dieses Datenlecks k\u00f6nnten weitreichend sein. Nicht nur f\u00fcr die Insassen, deren Verbindungen und Gespr\u00e4che nun \u00f6ffentlich sind, sondern auch f\u00fcr Personen in Untersuchungshaft, die den Schutz der Unschuldsvermutung genie\u00dfen. Eine Offenlegung ihrer Telefonkontakte k\u00f6nnte zu Stigmatisierung f\u00fchren, als w\u00e4ren sie schuldig, nur weil sie im Gef\u00e4ngnis sitzen. Au\u00dferdem sind Gespr\u00e4che mit Therapeuten und Anw\u00e4lten normalerweise vertraulich und erfordern besonderen Schutz.<\/p>\n
Die Zeit Online hat sogar selbst getestet, ob sie auf die Daten zugreifen kann – und das konnten sie, noch bevor das Datenleck behoben wurde. Das ist wie ein Einbrecher, der durch das offene Fenster klettert, w\u00e4hrend der Besitzer noch dar\u00fcber nachdenkt, es zu schlie\u00dfen. Erst nach einer erneuten Nachfrage wurde der Server heruntergefahren, um die Sicherheitsl\u00fccke vorerst zu beheben. Na, besser sp\u00e4t als nie.<\/p>\n
Offensichtlich hatte das Gef\u00e4ngnis-Telefonsystem eine Webanwendung zur Verwaltung von Benutzerdaten, das sogenannte Prison Control Center. Das Problem war jedoch, dass die Schnittstellen nicht abgesichert waren. Jeder, der die URL kannte, konnte einfach auf die Daten zugreifen. Es ist fast so, als ob die Gef\u00e4ngnistore weit offen stehen und jeder hinein- und hinausgehen kann, ohne dass es jemand bemerkt.<\/p>\n
Die IT-Sicherheitsaktivistin Lilith Wittmann hat sogar drei weitere Schwachstellen entdeckt, durch die sie Zugriff auf s\u00e4mtliche Konten und sogar das Telefon-Guthaben erhalten konnte. Wenn das keine beeindruckende Leistung ist, dann wei\u00df ich auch nicht.<\/p>\n
Nun, vorerst hat die Vollzugsdirektion NRW die Nutzung dieses Telefonsystems gestoppt. Allerdings ist es be\u00e4ngstigend zu bedenken, dass es insgesamt 44.232 Personen in deutschen Justizvollzugsanstalten gibt. Das bedeutet, dass noch viele Datenlecks auf uns warten k\u00f6nnten. Oh, wie aufregend!<\/p>\n
Schlagw\u00f6rter: Lilith Wittmann + Gerdes + NDR<\/p>\n","protected":false},"excerpt":{"rendered":"
Ups! Das sieht nach einem ziemlichen Datenleck aus! \u00dcber 14.000 Insassen von 20 Gef\u00e4ngnissen und forensischen Kliniken haben versehentlich ihre Telefoninformationen im Internet ver\u00f6ffentlicht. Das ist nicht gerade das, was man als „vertraulich“ bezeichnen w\u00fcrde. Der Anbieter des Telefonnetzes hat seine Sicherheitsma\u00dfnahmen anscheinend nicht ganz ernst genommen und seine Schnittstellen...<\/p>\n","protected":false},"author":4,"featured_media":9027,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-9028","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/9028","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=9028"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/9028\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/9027"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=9028"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=9028"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=9028"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}