Telefonieren im Gefängnis: Gravierende Sicherheitslücke aufgedeckt Stand: 26.06.2024 15:00 Uhr In vielen deutschen Gefängnissen können Insassen mit einem eigenen Telefon-Konto per Festnetz telefonieren. Jetzt ist klar: Wegen einer Sicherheitslücke bei einer Hamburger Firma waren viele Verbindungsdaten bis vor Kurzem im Internet einsehbar. Allein in Hamburg sind Tausende Personen betroffen.

von Svea Eckert, Lennart Banholzer und Marc-Oliver Rehrmann

Eigentlich ist es eine lobenswerte Idee: Das eigene Festnetz-Telefon soll den Gefangenen mehr Privatsphäre während ihrer Haftzeit ermöglichen. Hamburgs Justizsenatorin Anna Gallina (Grüne) sprach bei der Einführung des Telefonsystems in der Hansestadt im April 2022 von "einem Meilenstein für die Resozialisierung". Die Gefangenen hätten nun die Möglichkeit, "einfach mal zum Hörer zu greifen und mit Freunden oder der Familie zu sprechen". Denn: "Bislang war es quasi unmöglich, über das Flurtelefon ungestört über persönliche oder vertrauliche Themen zu sprechen", so Gallina damals. "Mit den Telefonen in den Hafträumen schaffen wir ein Stück mehr Privatsphäre für die Gefangenen." Die Insassen müssen die Festnetz-Telefone nutzen, da sie keine Handys besitzen dürfen.

Sicherheitslücke entdeckt und gemeldet

Was die Justizsenatorin nicht ahnte: Mit der Privatsphäre war es offenbar nicht so weit her, wie sich nun zeigt. Zwar können nun die Mitgefangenen nicht mehr auf dem Flur mithören, aber die Verbindungsdaten der Telefongespräche waren offenbar bis vor Kurzem im Internet einsehbar. Recherchen von NDR Info bestätigten, dass der Zugriff von außen möglich war. Die Sicherheitslücke hatte die IT-Sicherheitsaktivistin Lilith Wittmann entdeckt und dies sowohl dem Betreiber des Telefonsystems - der Firma Gerdes Communications mit Sitz in Hamburg - als auch den Aufsichtsbehörden gemeldet. "Es war super einfach, auf die Daten zuzugreifen", sagt Wittmann. "Die Daten waren nicht mit einem Passwort geschützt, sie waren im Grunde überhaupt nicht geschützt." Ob die Sicherheitslücke bereits genutzt worden war, um Daten einzusehen oder herunterzuladen, ist unklar.

Nach Angaben der Gerdes Communications GmbH, die zum Hamburger Unternehmen Telio Management gehört, ist die Sicherheitslücke inzwischen geschlossen.

Tausende Inhaftierte allein in Hamburg betroffen

Bundesweit geht es um Telefon-Gespräche von mehr als 14.000 Inhaftierten in 20 Justizvollzugsanstalten. In Norddeutschland sind vier Einrichtungen der Hamburger Justizbehörde betroffen: die Gefängnisse in Fuhlsbüttel und Billwerder, die Sozialtherapeutische Anstalt in Bergedorf und die Untersuchungshaftanstalt nahe den Messehallen. Allein in der Hansestadt hat das Datenleck 3.379 Personen getroffen, von ihnen sind 1.880 in der JVA Billwerder untergebracht und 623 in Fuhlsbüttel. Auch die Zahl der erfassten Telefon-Gespräche ist enorm: Bundesweit sind es rund 530.000 Anrufe.

Sogar Aufzeichnungen der Telefonate waren abrufbar

Aus den Daten, die der NDR auszugsweise einsehen konnte, geht hervor, welcher Gefangene und welche Gefangene zu welchem Zeitpunkt, wie lange und mit wem telefoniert hat. Die angerufenen Personen sind mit Vor- und Nachnamen aufgeführt. Zudem ist erfasst, um wen es sich handelte - ob beispielsweise die Ehefrau, der Verteidiger oder der Psychiater angerufen wurde. Von den Inhaftierten wäre neben dem vollständigen Namen auch die Haftnummer einzusehen gewesen. Selbst das Entlassungsdatum aus dem Gefängnis hätten Unbefugte herauslesen können. Schwerwiegender noch: Da ein Teil der Telefonate aufgezeichnet wurden, war es nach Angaben von Lilith Wittmann offensichtlich auch möglich, diese Audio-Dateien von außen übers Internet herunterzuladen. Sie habe aber davon abgesehen.

Wie funktioniert "Haftraum-Telefonie" in Gefängnissen? Die meisten Hamburger Gefangenen verfügen über ein Festnetz-Telefon in ihrem Haftraum. Rund 2.000 Räume in fünf Gefängnissen sind entsprechend mit einem Anschluss ausgestattet. Die Gefangenen können auf diese Weise private Telefonate führen. Dafür ist es nötig, ein Guthaben auf das eigene "Telefonkonto" zu laden - wahlweise 15, 25, 50 oder 100 Euro. Auch Angehörige können Guthaben einzahlen. Mit einer persönlichen PIN müssen sich die Nutzer für ihr Konto anmelden. Um einen Missbrauch der Telefone zu verhindern, dürfen nur von der JVA geprüfte Telefonnummern - maximal 30 - angewählt werden. Außerdem dürfen sich die Gefängnis-Insassen aus Sicherheitsgründen nicht anrufen lassen.

Justizbehörde fordert Betreiber zum Handeln auf

Die Hamburger Justizbehörde bestätigte die Sicherheitslücke auf Anfrage des NDR. Man habe unmittelbar nach Bekanntwerden des Verdachts Kontakt zum externen Betreiber Gerdes Communications und Telio Management aufgenommen. Die Behörde bestätigte, dass es wegen der Sicherheitsmängel tatsächlich möglich gewesen ist, bestimmte Insassen-Daten auszulesen. Weiter heißt es von der Justizbehörde: "Wir nehmen den Betreiber in die Pflicht, noch offene Fragen zu beantworten, Sicherheitslücken zu schließen und solche Vorfälle in der Zukunft zu verhindern."

Gerdes Communications: Keine Daten rechtswidrig entwendet

Die Gerdes Communications GmbH räumte die Sicherheitslücke gegenüber dem NDR ein. Eine Sprecherin betonte jedoch, eine rechtswidrige Entwendung möglicher personenbezogener Daten habe nicht festgestellt werden können. Weiter heißt es in einer Mitteilung des Unternehmens: "Die Gerdes Communications GmbH kooperiert eng mit den zuständigen Behörden und wird eigene umfangreiche Prüfungen zur Gewährleistung einer bestmöglichen IT-Sicherheit vornehmen."

"Gravierender Verstoß gegen datenschutzrechtliche Bestimmungen"

Der Hamburgische Beauftragte für Datenschutz, Thomas Fuchs, zeigt sich irritiert über die gemeldete Sicherheitslücke. Auf Anfrage des NDR teilte Fuchs mit: "Mit Blick auf die potentielle Sensibilität der betroffenen Daten und das besondere Gewaltverhältnis des Staates zu Insassen und Insassinnen von Justizvollzugsanstalten dürfte es sich um einen gravierenden Verstoß gegen datenschutzrechtliche Bestimmungen handeln." Darüber hinaus fordert der Datenschutz-Beauftragte vom Betreiber des Telefondienstes, dass sich solch ein Vorfall nicht wiederholen dürfe.

Anwältin: Erheblicher Eingriff in die Rechte der Gefangenen

Die Hamburger Rechtsanwältin Laura Leweke ist bestürzt über das zwischenzeitliche Datenleck. Sie hat aktuell einen Mandanten in der Untersuchungshaft in Hamburg und ist selbst betroffen, da auch die Verbindungsdaten von ihren Telefonaten mit Gefangenen einsehbar waren. "Ich führe die Gespräche mit meinen Mandanten am liebsten persönlich vor Ort, aber das ist aus Zeitgründen leider nicht immer möglich", sagt die Anwältin. Das Datenleck bezeichnet sie als erheblichen Eingriff in die Rechte der Beschuldigten beziehungsweise der Gefangenen. "Allein die bloße Information, dass sich jemand in Haft befindet, ist hochsensibel - gerade mit Blick auf die Untersuchungshaft-Gefangenen, die ja noch die Unschuldsvermutung genießen und nicht verurteilt sind." Leweke will nach eigenen Angaben prüfen, ob sie für ihren Mandanten Schadenersatz-Ansprüche geltend machen kann.

