Die Sicherheitslücke betrifft die Telefonsysteme eines Unternehmens aus Hamburg. Sie sind in mehr als zwanzig Gefängnissen bundesweit im Einsatz. Häftlinge müssen die Telefonanlage ihrer JVA nutzen, wenn sie nach draußen telefonieren wollen. Eigene Handys dürfen sie nicht besitzen.
Laut NDR-Recherchen sind deutschlandweit über 14.000 Gefangene betroffen. Die Daten standen offen abrufbar im Internet, ohne dass dafür beispielsweise Sicherheitshürden wie Passwörter überwunden werden mussten.
Mitschnitte und Personendaten abrufbar
Neben Datum, Dauer und Namen der Angerufenen standen offenbar auch noch weitere Informationen zu den Telefonaten im Netz. Darunter Daten zu den angerufenen Personen, inklusive einer Funktionsbezeichnung wie "Ehefrau", "Psychologe" oder "Verteidiger".
In einem Unterverzeichnis sollen sich auch Gesprächsmitschnitte befunden haben. Ob diese unerlaubt oder standardmäßig bei Telefonaten in Justizvollzugsanstalten angefertigt wurden, ist noch nicht klar.
Mehrere NRW-Gefängnisse betroffen
In Nordrhein-Westfalen ist die Sicherheitslücke bei fünf Gefängnissen aufgetreten. Betroffen sind demnach Gefangene in Gelsenkirchen, Wuppertal-Ronsdorf, Attendorn, Herford und Schwerte. In allen Einrichtungen ist die Sicherheitslücke laut Hersteller und NRW-Justizministerium mittlerweile geschlossen.
Das Ministerium hat auf WDR-Anfrage mitgeteilt, es seien keine Daten abgegriffen worden. Man habe erst am Dienstag durch eine Presseanfrage überhaupt von dem Vorfall erfahren. Die Justizvollzugsanstalten seien angewiesen, dass Gefangene über den betroffenen Telefonanbieter keine Gespräche führen dürfen, bis die Sicherheitslücken vollständig geklärt sind.
Anwälte kritisieren Datenleck
Ein Düsseldorfer Rechtsanwalt mit über dreißig Jahren Berufserfahrung schlussfolgert aus dem Vorfall: Sensible Inhalte bespreche er nicht am Telefon, sondern so weit wie möglich persönlich. Dass Unbefugte selbst das Entlassungsdatum eines Gefangenen herauslesen konnten, hält eine Strafverteidigerin aus Dortmund für besonders heikel: Man müsse befürchten, dass jemand zum Beispiel einem entlassenen Straftäter vor der JVA auflauern könne.
IT-Expertin hat Datenleck aufgedeckt
Die IT-Sicherheitsforscherin Lilith Wittmann hatte die Sicherheitslücke entdeckt und sie sowohl dem Unternehmen als auch den Aufsichtsbehörden gemeldet. Recherchen des NDR bestätigten, dass auf Verbindungsdaten aus mehreren Anstalten aufgrund der Sicherheitslücke von außen zugegriffen werden konnte.
Jetzt beschäftigt sich unter anderem der zuständige Datenschutzbeauftragte des Bundes mit dem Fall.
Unsere Quelle:
- Justizministerium des Landes NRW
- NDR-Recherche
- Hintergrundgespräche mit Rechtsanwälten
Über dieses Thema berichten wir am 26. Juni 2024 auch in den Hörfunk-Nachrichten von WDR aktuell - etwa bei WDR 2 oder WDR 5.