Hamburg. Bei einem Telefonsystem, das in mehr als 20 Gefängnissen in Deutschland eingesetzt wird, gab es nach NDR Recherchen bis gestern eine erhebliche Sicherheitslücke. Verbindungsdaten von Insassen waren im Internet einsehbar, ohne dass dafür Sicherheitshürden wie zum Beispiel Passwörter überwunden werden mussten. Offenbar waren deutschlandweit mehr als 14.000 Gefangene betroffen. Die IT-Sicherheitsforscherin Lilith Wittmann hatte die Sicherheitslücke entdeckt und sie sowohl dem Unternehmen als auch den Aufsichtsbehörden gemeldet.

Bei einem Telefonsystem, das in mehr als 20 Gefängnissen in Deutschland eingesetzt wird, gab es nach NDR Recherchen bis gestern eine erhebliche Sicherheitslücke. Verbindungsdaten von Insassen waren im Internet einsehbar, ohne dass dafür Sicherheitshürden wie zum Beispiel Passwörter überwunden werden mussten. Offenbar waren deutschlandweit mehr als 14.000 Gefangene betroffen. Die IT-Sicherheitsforscherin Lilith Wittmann hatte die Sicherheitslücke entdeckt und sie sowohl dem Unternehmen als auch den Aufsichtsbehörden gemeldet.

Anbieter des betroffenen Systems ist das Unternehmen Gerdes Communications, das zum Hamburger Unternehmen Telio Management gehört. Es betreibt Telefonsysteme in Gefängnissen in Deutschland, unter anderem auch in den Hamburger Justizvollzugsanstalten Fuhlsbüttel und Billwerder. Recherchen des NDR bestätigten, dass auf Verbindungsdaten aus diesen Anstalten auf Grund der Sicherheitslücke von außen zugegriffen werden konnte.

Aus den Daten ging hervor, welcher Gefangene in den vorangegangenen zehn Tagen wann, wie lange und mit wem telefoniert hatte. Die angerufenen Personen waren mit Vor- und Nachnamen sowie einer Funktion gekennzeichnet, zum Beispiel "Ehefrau", "Verteidiger" oder "Seelsorge". In einem eigenen Verzeichnis waren offensichtlich aufgezeichnete Gespräche aufgeführt und ebenfalls von außen abrufbar. Die Insassen müssen zum Telefonieren das System nutzen, da sie keine eigenen Mobiltelefone besitzen dürfen. Die Kosten für die Gespräche müssen sie selbst tragen. In Hamburg wurde das System von Gerdes erst im April 2022 eingeführt. Justizsenatorin Anna Gallina sagte damals laut einer Pressemitteilung: "Damit schaffen wir ein Stück mehr Privatsphäre für die Gefangenen, deren Leben in Haft ohnehin schon sehr fremdbestimmt ist."

Die Hamburger Behörde für Justiz und Verbraucherschutz bestätigte die Sicherheitslücke auf NDR Anfrage. Man habe unmittelbar nach Bekanntwerden des Verdachts Kontakt zum externen Betreiber Gerdes Communications und Telio Management aufgenommen. Das Unternehmen habe die Sicherheitslücke mittlerweile geschlossen. Die Behörde bestätigte, dass es wegen der Sicherheitsmängel möglich gewesen sei, bestimmte Insassendaten auszulesen. Weiter heißt es von der Hamburger Justizbehörde: "Wir nehmen den Betreiber in die Pflicht, noch offene Fragen zu beantworten, Sicherheitslücken zu schließen und solche Vorfälle in der Zukunft zu verhindern."

Die Gerdes Communications GmbH räumte auf Anfrage von NDR Info die Sicherheitslücke ein, betonte jedoch, eine rechtswidrige Entwendung möglicher personenbezogener Daten könne nicht festgestellt werden. Das Unternehmen kooperiere eng mit den zuständigen Behörden und werde eigene umfangreiche Prüfungen zur Gewährleistung einer bestmöglichen IT-Sicherheit vornehmen.

Der Hamburgische Beauftragte für Datenschutz Thomas Fuchs erklärte, mit Blick auf die potentielle Sensibilität der betroffenen Daten und das besondere Gewaltverhältnis des Staates zu Insassen von JVA dürfte es sich - den Abschluss der Sachverhaltsaufklärung vorausgesetzt - um einen gravierenden Verstoß gegen datenschutzrechtliche Bestimmungen gehandelt haben.

Mehr zur Recherche heute (Mittwoch, 26. Juni) ab 15 Uhr im Radio, Fernsehen und online bei NDR Info.

Pressekontakt: Norddeutscher Rundfunk Unternehmenskommunikation Presse und Kommunikation Mail: presse@ndr.dewww.twitter.com/NDRpresse

Weiteres Material: www.presseportal.de Quelle: NDR Norddeutscher Rundfunk