Ein junger Vater sitzt in Haft, seine Frau ruft ihn per Videokonferenz an, das gemeinsame Kind sitzt auf dem Schoß, beide lachen. Mit emotionalen Bildern wie diesen wirbt die Gerdes Communications GmbH für ihre Kommunikationslösungen für den Strafvollzug. Das Unternehmen bietet Videotelefonie, robuste Telefone und Internetstationen an, an denen Inhaftierte auf von ihrer Haftanstalt zugelassenen Webseiten surfen können. Es sei schließlich wichtig für eine "erfolgreiche Wiedereingliederung", in der Haft "nicht vollständig den Anschluss an die Außenwelt zu verlieren", heißt es auf der Unternehmensseite von Gerdes Communications.
Genau jene Wiedereingliederung wird allerdings schwieriger, wenn allerlei private Daten der Inhaftierten öffentlich im Internet einsehbar sind. Denn Gerdes Communications hatte eine große Sicherheitslücke, durch die Telefondaten von mehr als 14.000 Inhaftierten sowie ihre vollen Namen und die der Haftanstalt vermutlich über Jahre offen im Internet zu finden waren. Sowohl wer, wann mit wem telefoniert hat, geht aus den Daten hervor als auch das Verhältnis zu den Inhaftierten ("Mutter", "Freund", "Anwalt", "Therapie"). Zudem wurden einige Gespräche abgehört und aufgezeichnet, Audiodateien waren ebenfalls über das Internet zugänglich.
Aufgedeckt hat die Lücke die Sicherheitsforscherin Lilith Wittmann, ZEIT ONLINE konnte die Daten einsehen. Darin sind sowohl die Namen der Inhaftierten als auch jeweils der volle Name der anrufenden Person sowie deren Telefonnummer zu sehen, außerdem Datum und exakte Uhrzeit und Dauer des Gesprächs. Daraus lässt sich ein feingranulares Profil und Netzwerk der betroffenen Häftlinge sowie ihres sozialen Umfelds erstellen. Für Cyberkriminelle dürfte das besonders interessant sein, denn es gibt nicht nur Namen und Telefonnummern von mehr als einer halben Million Gespräche, sondern die Betroffenen dürften aufgrund ihrer Lage auch besonders erpressbar sein. Gerade nach der vom Unternehmen zitierten Wiedereingliederung könnte man ihnen drohen, ihrem neuen Umfeld, Freunden, Kolleginnen von der stigmatisierenden Vergangenheit im Gefängnis zu erzählen.
Ein Selbstversuch von ZEIT ONLINE belegt die Vorgänge: Ein zu Recherchezwecken angelegter Account für das System Videovisit ließ sich durch die Sicherheitslücke von außen finden. Einsehbar waren sowohl die E-Mail-Adresse als auch eine Liste der Inhaftierten, die testweise über das System der jeweiligen Justizvollzugsanstalt (JVA) kontaktiert wurden. Dieser Account funktionierte auch noch, nachdem Gerdes Communications gegenüber der Hamburger Justizbehörde bereits angegeben hatte, die Server heruntergefahren zu haben. Erst nach einer erneuten Nachfrage war das tatsächlich der Fall.
Der Anbieter habe einen Hotfix bereitgestellt, also die Sicherheitslücke notdürftig geschlossen, indem er erst Teile des Systems und später den Server abschaltete. Nun arbeite Gerdes Communications an einer neuen Version des Systems, teilte die Hamburger Justizbehörde mit.
Zumindest für manche Inhaftierte bedeutet das eine Kommunikationssperre: Die Vollzugsdirektion NRW teilte mit, dass sie die Justizvollzugsanstalten des Landes angewiesen hätte, "die Gefangenentelefonie über den Telefonanbieter bis zur vollständigen Klärung der Sicherheitslücken und deren technische Behebung auszusetzen". Von dem Vorfall habe man erst durch die Anfrage von ZEIT ONLINE erfahren. "Mit Blick auf unsere Gefangenen und deren Recht auf Kommunikation hat die Aufklärung für uns höchste Priorität", heißt es seitens der Vollzugsdirektion.
In den Daten finden sich besonders sensible Angaben: So finden sich
zahlreiche Telefonate mit Therapeutinnen und Anwälten.
Dabei gelten gerade Gespräche mit Anwälten als hochvertraulich, sie dürfen
weder mitgehört noch aufgezeichnet werden. Dass sich ein Verzeichnis dieser
Gespräche mitsamt Telefonnummern finden lässt, ist sicher nicht im Sinne dieses
Schutzes. Gleiches gilt für Gespräche mit Therapeutinnen, hier geht es um
Gesundheitsdaten, die ebenfalls besonders gut geschützt werden müssen.
Erst durch Recherchen von der Sicherheitslücke erfahren
Unklar ist, ob sich ausschließen lässt, dass die Sicherheitslücke von Kriminellen oder Spionen ausgenutzt wurde. Entsprechende Fragen von ZEIT ONLINE wurden vom Anbieter nicht beantwortet. Kurz vor Erscheinen dieses Textes reagierte eine Marketingmanagerin von Telio, der Muttergesellschaft von Gerdes Communications, auf die Anfragen von ZEIT ONLINE, ohne allerdings die darin gestellten Fragen zu beantworten.
Man sei über eine "mögliche Sicherheitslücke in einem unserer Kommunikationssysteme" informiert worden. Die Lücke sei geschlossen worden. "Eine rechtswidrige Entwendung möglicher personenbezogener Daten konnte nicht festgestellt werden."
Das heißt aber bei Weitem nicht, dass dies ausgeschlossen werden kann. Sollte die Lücke tatsächlich jahrelang bestanden haben, wird sich das vermutlich kaum mehr sicher nachvollziehen lassen, da entsprechende Logdateien meist kürzer aufbewahrt werden. Besonders schwierig zu finden sei die Lücke jedenfalls nicht gewesen, erklärt Sicherheitsexpertin Lilith Wittmann: "Wenn man weiß, wie das System funktioniert, braucht man fünf Minuten, um die Lücken zu finden." Ihr Eindruck: Die JVAs beziehungsweise die verantwortlichen Justizbehörden haben das System nicht auf Sicherheit überprüft.
Wurden die Systeme nicht ausreichend geprüft?
Kann das sein? Wer wäre verantwortlich gewesen, die
Sicherheit zu überprüfen – und: Wieso ist das nicht geschehen? Schließlich
haben die JVAs eine besondere Verantwortung für die personenbezogenen Daten der
Häftlinge. Laut Strafvollzugsgesetz müssen sie durch technische und
organisatorische Maßnahmen "gegen unbefugten Zugang geschützt" werden. ZEIT
ONLINE hat die Justizbehörden in den betroffenen Bundesländern Bayern, Hessen,
Nordrhein-Westfalen, Hamburg und Sachsen unter anderem gefragt: Werden solche
Systeme überprüft, bevor sie eingesetzt werden? Diese Frage wurde bis zum
Erscheinen des Artikels von keiner der Behörden beantwortet. Manche der
kontaktierten Behörden kündigten allerdings an, dem nachgehen zu wollen. Andere
erfuhren erst durch die Anfrage von ZEIT ONLINE von der Sicherheitslücke –
obwohl diese bereits am Morgen des Vortags gemeldet worden war.
Eine solche Situation wird auch dadurch begünstigt, dass es auf dem Markt der Gefängniskommunikation praktisch keinen Wettbewerb mehr gibt. Dazu muss man wissen, dass Telefonieren im Gefängnis nicht ganz einfach ist: Denn die Haftanstalten wollen die Kontrolle darüber behalten, wer mit wem telefoniert und einzelne Gespräche mithören. Zudem müssen robuste Systeme entwickelt werden. Deshalb gibt es spezialisierte Dienstleister dafür, genau genommen in Deutschland neben der Telekom – die wohl in einigen wenigen Haftanstalten entsprechende Services anbietet – nur noch einen: Die Telio Communications GmbH, die weltweit mehr als 650 Haftanstalten beliefert. Die in diesem Fall betroffene Gerdes Communications ist ein hundertprozentiges Tochterunternehmen. Telio kauft derzeit weltweit Mitbewerber auf.
Ein junger Vater sitzt in Haft, seine Frau ruft ihn per Videokonferenz an, das gemeinsame Kind sitzt auf dem Schoß, beide lachen. Mit emotionalen Bildern wie diesen wirbt die Gerdes Communications GmbH für ihre Kommunikationslösungen für den Strafvollzug. Das Unternehmen bietet Videotelefonie, robuste Telefone und Internetstationen an, an denen Inhaftierte auf von ihrer Haftanstalt zugelassenen Webseiten surfen können. Es sei schließlich wichtig für eine "erfolgreiche Wiedereingliederung", in der Haft "nicht vollständig den Anschluss an die Außenwelt zu verlieren", heißt es auf der Unternehmensseite von Gerdes Communications.
