Verbindungsdaten von Häftlingen waren frei im Netz zugänglich
Telefon-Verbindungsdaten von Tausenden Gefängnisinsassen standen offen im Internet. Das berichtet der NDR. Bundesweit sind demnach 20 Justizvollzugsanstalten (JVA) betroffen – allein in Hamburg sollen mehr als 3000 Personen von dem Datenleck betroffen sein.
Wie der NDR berichtet, gibt es in einigen Haftanstalten Festnetztelefone in den Zellen. Damit sollte den Insassen etwas mehr Privatsphäre gegenüber den klassischen Flurtelefonen verschafft werden. Als die Telefone im April 2022 in Hamburg eingeführt wurden, habe Justizsenatorin Anna Gallina (Grüne) etwa von “einem Meilenstein für die Resozialisierung” gesprochen – weil es zuvor praktisch unmöglich gewesen sei, persönliche oder vertrauliche Themen zu besprechen. Mit den Telefonen in den Hafträumen werde ein Stück mehr Privatsphäre geschaffen, sagte Gallina laut NDR damals.
Doch bis vor kurzem war es Unbefugten möglich, auf die Verbindungsdaten der Telefongespräche zuzugreifen. Entdeckt hat das Sicherheitsproblem die IT-Sicherheitsaktivistin Lilith Wittmann. Ihren Angaben zufolge waren die Daten nicht mit einem Passwort oder ähnlichem geschützt – für den Zugriff mussten Unbefugte nur die richtige Internetadresse kennen.
Laut NDR sind bundesweit Telefongespräche von mehr als 14.000 Inhaftierten in 20 Justizvollzugsanstalten betroffen – es soll um rund 530.000 Anrufe gehen. In Hamburg seien vier Einrichtungen mit mehr als 3300 Personen betroffen.
Wer hat mit wem gesprochen?
Um die Telefone nutzen zu können, müssen die Gefangenen oder ihre Angehörigen Guthaben aufladen. Mit einer PIN können sich die Nutzer über das Telefon an ihrem Konto anmelden und dann zuvor von der JVA geprüfte Telefonnummern anwählen – laut NDR maximal 30. Anrufe von Außen sind nicht möglich.
Betrieben wird das System von der Firma Gerdes Communications, die zum Unternehmen Telio Management gehört. Unklar bleibt, wie lange die Daten ungesichert über das Internet abgerufen werden konnten.
Einsehbar war laut Bericht, wann Gefangene wie lange mit wem telefoniert haben. Die Insassen waren mit vollständigem Namen und ihrer Haftnummer aufgeführt. Auch das voraussichtliche Entlassungsdatum hätten Unbefugte abrufen können.
Ebenso ließen sich die vollständigen Namen und Telefonnummern der Angerufenen einsehen. Zudem war angegeben, ob es sich beispielsweise um die Ehefrau, den Anwalt oder die Psychiaterin eines Gefangenen handelt.
Selbst ob das jeweilige Gespräch aufgezeichnet wurde, war angegeben. Ob die zugehörigen Audiodateien tatsächlich auf dem Server lagen, hat Wittmann eigenen Angaben zufolge nicht überprüft – ein entsprechender Ordner habe aber existiert.
Gravierender Datenschutzverstoß
Die Gerdes Communications GmbH hat die Sicherheitslücke gegenüber dem NDR eingeräumt – sie soll inzwischen geschlossen worden sein. Das Unternehmen arbeite zudem mit den zuständigen Behörden zusammen.
Auch die Hamburger Justizbehörde hat die Sicherheitslücke gegenüber dem Sender bestätigt. Es sei tatsächlich möglich gewesen, bestimmte Insassen-Daten auszulesen. Die Behörde teilte mit: “Wir nehmen den Betreiber in die Pflicht, noch offene Fragen zu beantworten, Sicherheitslücken zu schließen und solche Vorfälle in der Zukunft zu verhindern.”
Der Hamburgische Beauftragte für Datenschutz, Thomas Fuchs, erklärte gegenüber dem NDR, mit Blick auf die “potentielle Sensibilität der betroffenen Daten und das besondere Gewaltverhältnis des Staates zu Insassen und Insassinnen von Justizvollzugsanstalten” dürfte es sich um einen gravierenden Verstoß gegen Datenschutzbestimmungen handeln.
Auch die Hamburger Rechtsanwältin Laura Leweke äußerte sich gegenüber dem NDR. Sie ist demnach selbst betroffen, weil auch die Verbindungsdaten ihrer Gespräche mit Mandanten einsehbar waren. In Bezug auf das Datenleck sprach sie gegenüber dem Sender von einem erheblichen Eingriff in die Rechte der Beschuldigten beziehungsweise der Gefangenen. Sie erklärte: “Allein die bloße Information, dass sich jemand in Haft befindet, ist hochsensibel – gerade mit Blick auf die Untersuchungshaft-Gefangenen, die ja noch die Unschuldsvermutung genießen und nicht verurteilt sind.” Sie wolle nun prüfen, ob ihre Mandanten Schadenersatzansprüche geltend machen können. (js)