Daten-GAU in Vollzugsanstalten

Kommunikationsdaten von über 14.000 Insassen aus 20 Gefängnissen (in Hamburg betroffen: Fuhlsbüttel, Billwerder, Untersuchungshaftanstalt) und forensischen Kliniken standen frei zugänglich im Internet. Den Zugang ermöglichte eine ungeschützte Programmierschnittstelle des Quasi-Monopolisten Gerdes Communications GmbH (eine Marke der Telio Management GmbH, Hamburg), der den Anstalten die Technologie für Telefonate bereitstellt.  

Über die Web-Applikation "Prison Control Center" konnten die Mitarbeiter der Gerdes GmbH bzw. die Anstalten die Kommunikation der Insassen managen, also etwa "Kunden" anlegen und für sie bestimmte Rufnummern (von Angehörigen, Anwälten etc.) freischalten.

Diese Web-Applikation war völlig ungeschützt. Jeder, der die entsprechende URL kannte, konnte auf die Daten er Insassen zugreifen. Unter Adressen wie

• https://fuhlsbuettel.hamburg.jva.gerdescom.de
• https://stadtroda.jva.gerdescom.de
• https://erding.jva.gerdescom.de

konnte jeder auf folgende persönlichen Daten der Insassen zugreifen:

• Vorname
• Nachname
• Haftnummer
• PIN/Gerdes-Nummer (zum Login am Telefon benötigt)
• Notizen (z.B. “Verlegt aus der U-Haft”)
• Datum letzte Nutzung/Schließung des Accounts
• Guthaben

Ferner konnten für alle Telefonate aus einem bestimmten Zeitraum (in der Regel 10 Tage) folgende Informationen ausgelesen werden:

• Wer wurde angerufen (Nummer, Name, Beschreibung des Kontakts z.B. “Ehefrau” oder “Rechtsanwalt”)
• Dauer des Anrufes
• Genaue Zeitstempel Beginn/Ende des Telefonats
• Ob das Telefonat aufgezeichnet wurde und falls es aufgezeichnet wurde, die Pfade zu den Dateien (gespeichert im Ordner /media/recordings/)
• Ob die Aufzeichnung von der Polizei initiiert wurde
• Freizeitaktivitäten des Gefangenen (nicht in allen Anstalten genutzt)
• Hinweise auf die Unterbringung (wo das Telefon ist) und das Entlassungsdatum (Datum an dem Account geschlossen wird)

Ermittelt hat den Skandal die Sicherheitsforscherin Lilith Wittmann, die ihre Ergebnisse auf Ihrer Internetseite dargestellt hat.

Gegenüber der Deutschen Presse-Agentur hat eine Sprecherin der  Telio Management GmbH das Datenleck eingestanden (vgl. dpa-Meldung auf Zeit-Online sowie Artikel von Zeit-Online, jew. v. 26.06.2024). Sie behauptet: "Eine rechtswidrige Entwendung möglicher personenbezogener Daten konnte nicht festgestellt werden." In der von der Hamburger Justizbehörde veröffentlichen Erklärung der Geschäftsführung der Gerdes Communications GmbH heißt es etwas präziser: "Stand Freitag, 28.06.2024 um 12:00 Uhr haben wir keine Untersuchungsergebnisse, die darauf schließen lassen, dass die personenbezogenen Daten einer breiten Öffentlichkeit ohne Fachkenntnisse im Internet zugänglich waren."

In Anbetracht des Ausmaßes des Datenschutzversagens der Verantwortlichen waren besondere "Fachkenntnisse im Internet" aber wohl nicht erforderlich (Zeit-Online, Herf. v. Verf.):

"Sollte die Lücke tatsächlich jahrelang bestanden haben, wird sich das vermutlich kaum mehr sicher nachvollziehen lassen, da entsprechende Logdateien meist kürzer aufbewahrt werden. Besonders schwierig zu finden sei die Lücke jedenfalls nicht gewesen, erklärt Sicherheitsexpertin Lilith Wittmann: "Wenn man weiß, wie das System funktioniert, braucht man fünf Minuten, um die Lücken zu finden." Ihr Eindruck: Die JVAs beziehungsweise die verantwortlichen Justizbehörden haben das System nicht auf Sicherheit überprüft."

Ein Sprecher der Hamburger Justizbehörde äußerte gegenüber der Deutschen Presse-Agentur: "Wir haben viele offene Fragen. [...] "Wir nehmen den Betreiber in die Pflicht, alle noch offenen Fragen zu beantworten und solche Vorfälle in der Zukunft zu verhindern."

Der Fokus der Behörde dürfte darauf liegen, dass künftig nicht mehr öffentlich einsehbar ist, welche Insassen von Maßnahmen zur Telekommunikationsüberwachung im Strafverfahren betroffen sind. In Anbetracht der Ausgestaltung der Gefängniskommunikation fällt es schwer zu glauben, dass den Behörden an der Datensicherheit der Insassen sonderlich, gelegen ist, vgl. Lilith Wittmann:

"In Bundesländern wie Bayern gibt es erst seit kurzem überhaupt die rechtliche Möglichkeit, Menschen im Knast regelmäßig Zugang zu Telefonen zu geben. In anderen Bundesländern gibt es Telefone auf dem Zellenflur mit wenigen (zwischen 10 und 30) freigeschalteten Rufnummern, die dann von den Gefangenen für teils horrende Gebühren angerufen werden können. An modernere Kommunikationsmittel wie Videotelefonie oder E-Mails ist abgesehen von Einzelfällen quasi noch nicht zu denken. [...]

Die in Gefängnissen eingesetzten digitalen Systeme sind eine Unverschämtheit. Sie sind schlecht, wirklich sehr sehr teuer (vgl. z.B. der Lichtblick, 2023–00 — extra, S9ff) und bieten nur einen sehr eingeschränkten Zugang zur Kommunikation mit der Außenwelt. Fast so, als möchten wir die Menschen im Gefängnis nochmal zusätzlich mit Abschottung von der Gesellschaft sowie Entkopplung von der technologischen Entwicklung draußen bestrafen."