Kein sicherer Anschluss hinter Gittern

Einfach zum Smartphone greifen, Kontakt auswählen und anrufen? Das können Gefängnisinsassen in Deutschland nicht. Denn sie dürfen weder ein Smartphone besitzen noch ist es ihnen in der Regel erlaubt, ein Telefon auf der Zelle zu haben.

Stattdessen müssen Insassen meist einen Apparat auf dem Flur nutzen, wo alle mithören können. Und in den meisten Justizvollzugsanstalten brauchen sie dafür ein Konto bei Telio, einer privaten Firma mit Sitz in Hamburg. Auf dieses Konto müssen sie – oder ihre Angehörige draußen – Geld einzahlen. Außerdem müssen sie jede Telefonnummer, die sie anrufen möchten, zunächst freischalten lassen.

Telio wurde im Januar gehackt

Telio ist Mitte Januar gehackt worden. Gestohlen wurden offenbar Kontakt- und Kontodaten ehemaliger Mitarbeiter*innen des Unternehmens. Eine Anfrage von netzpolitik.org per Informationsfreiheitsgesetz (IFG) hat außerdem ergeben, dass höchstwahrscheinlich auch Kund*innendaten – also von Gefangenen und/oder Angehörigen – in Kroatien, Tschechien und den Niederlanden abgegriffen wurden.

Gehackt wurde das Unternehmen in der Nacht vom 13. auf den 14. Januar, gemeldet hat Telio den Vorfall am 15. Januar bei der zuständigen Datenschutzbehörde in Hamburg. Bei einem „unbefugten Zugriff auf ein Administratorkonto“ seien „mindestens ca. 600 MB an Datenverkehr nach Extern“ abgeflossen. „Sofortige Eindämmungsmaßnahmen und Ermittlungsmaßnahmen sind im Gange“, heißt es in der Meldung.

Sicherheitsvorfälle wie diese müssen Firmen laut Datenschutzgrundverordnung (DSGVO) innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde melden. Jede neue Erkenntnis zum Datenleck muss die Firma nachmelden. Die Behörde kann dann weitere Informationen und Maßnahmen einfordern. Bußgelder, falls die Maßnahmen nicht ergriffen werden, sind allerdings nicht vorgesehen.

Am 17. Januar ergänzte Telio, dass etwa 265 Personen von dem Vorfall betroffen seien. Diese habe das Unternehmen „per Rundschreiben und dezidiertem Informationsportal im Intranet“ informiert. Auf der Webseite von Telio findet sich darüber hinaus ein „Informationsschreiben gemäß Art. 34 DSGVO an ehemalige Mitarbeiter“ von Mitte Februar, das nähere Angaben zum Datenleck enthält. Ein ehemaliger Mitarbeiter von Telio gab gegenüber netzpolitik.org an, er habe erst durch die Medienanfrage vom Datenabfluss erfahren.

Insgesamt 160 GB an Daten abgeflossen

Netzpolitik.org liegt exklusiv der E-Mail-Verkehr von Telio mit der Hamburger Datenschutzbehörde vor. Am 21. Januar schreibt ein Rechtsbeistand von Telio – die Namen in dem Dokument sind geschwärzt –, dass nach ersten Erkenntnissen aus einem lokalen Netzwerk nicht 600 MB, sondern „tatsächlich ca. 160 GB an Daten exfiltriert wurden“. Betroffen seien „konkret die (alten) Personal- und Finance Ordner“. Weiter schreibt er: „Es geht v.a. um Mitarbeiterdaten, aber auch Daten von Geschäftspartnern und Kunden z.b. aus Verträgen.“

Konkreter wird er nicht, auch die übrigen per IFG-Anfrage erhaltenen Dokumenten gehen nicht näher darauf ein.

Details könnte nur die von Telio extern in Auftrag gegebene forensische Untersuchung liefern. Sie ging der Frage nach, wie es zu dem Hack kam sowie welche Systeme und Daten davon betroffen waren. Den Abschlussbericht will Telio auf Anfrage nicht herausgeben und liegt auch der Datenschutzbehörde in Hamburg noch nicht vor.

In einer undatierten Tabelle mit Fragen der Datenschützer und Antworten von Telio heißt es lediglich: „Auf dem Fileserver befindet sich jedenfalls der alte Personalordner.“ Auf diesem seien Personaldaten von Wohnadresse über Feedbackbögen bis Behindertenstatus abgelegt.

Weiterer Vorfall im Februar

Die IFG-Anfrage von netzpolitik.org hat außerdem ergeben: Am ersten Februarwochenende wurde Telio ein weiteres Mal Opfer von Hackern.

Offenbar hatten Angreifer am 13. Januar eine sogenannte Backdoor platziert, wie Sven Marquardt im Gespräch mit netzpolitik.org sagt. Er ist beim Hamburger Datenschutzbeauftragten für den Telio-Fall zuständig,. Die Hintertür hätten die Hacker dann genutzt, um sich wenige Wochen später erneut Zutritt zur internen Infrastruktur zu verschaffen.

Der Zugriff war offenbar weitreichend. Aufklärung darüber, welche Daten dabei abflossen, könnte nur der Forensikbericht geben.

Was bereits aus der per IFG-Anfrage herausgegebenen Dokumenten hervorgeht: Bei dem erneuten Ransomware-Angriff waren nicht nur Systeme des Unternehmens in Deutschland betroffen, sondern auch in Slowenien. Und zumindest in den Niederlanden, Tschechien und Kroatien waren darüber hinaus wohl auch JVA-Kundensysteme betroffen. Die Behörden in den Ländern seien demnach darüber informiert worden.

Ein Sprecher der Datenschutzbehörde in den Niederlanden erklärte, grundsätzlich keine Informationen über Datenleck-Meldungen von Unternehmen an Medien herauszugeben. Anfragen an die übrigen Datenschutzbehörden und Justizministerien blieben bis Redaktionsschluss unbeantwortet.

Angreifer forderten Lösegeld

Laut der Meldung an die Hamburger Datenschützer hat Telio auch „digitale Lösegeldforderung […] auf den betroffenen Systemen gefunden.“ Eine Anfrage von netzpolitik.org, wie hoch die Lösegeldforderung war und ob das Unternehmen dieser nachkommen wird oder bereits nachgekommen ist, wies eine Telio-Sprecherin mit Hinweis auf laufende Ermittlungen ab. Auch nähere Angaben, ob und was über die Angreifer bekannt ist, will das Unternehmen nicht machen.

Ransomware-Gruppen veröffentlichen ihre Hacks häufig selbst. Auf der Webseite ransomware.live werden solche Selbstmeldungen übersichtlich publiziert. Dass die Sicherheitslücke bei Telio dort nicht aufgeführt ist, kann unterschiedliche Gründe haben. Nicht alle Hacks werden veröffentlicht oder von ransomware.live gefunden. Möglicherweise wurde bereits Lösegeld gezahlt, weshalb die Hackergruppe keinen Grund hat, ihren Hack zu veröffentlichen, um so Druck auf das Unternehmen auszuüben. Denkbar ist aber auch, dass kein Lösegeld gezahlt wurde, die Gruppe die Daten bereits verkauft hat und daher nicht auf das Lösegeld angewiesen sei. Oder sie verfolgt gänzlich andere Ziele mit den Daten.

Telio ist der einzige Anbieter für Gefangenentelefonie

Auch wenn bei dem Hack offenbar keine Daten von Gefangenen und ihren Angehörigen entwendet wurden, hat sich der Angriff auch in den Gefängnissen bemerkbar gemacht. Teilweise konnten Insassen nicht telefonieren oder kein Geld auf ihr Telefonkonto eingezahlt werden.

Allerdings klagen Gefangene, mit denen netzpolitik.org gesprochen hat, generell über den Service von Telio. Telefongespräche brächen immer wieder ab, teils könnten sie Anschlüsse nicht anrufen, obwohl die Nummern freigeschaltet seien.

Die Bundesländer – Justiz ist Ländersache – haben unterschiedlich auf den Hack bei Telio reagiert. In Nordrhein-Westfalen wurden einem Sprecher des Justizministeriums zufolge die Systeme auf Sicherheitslücken überprüft. Das Ergebnis war negativ. Bremen und Sachsen verwiesen auf die gesetzliche Pflicht, Gefangene an Kommunikation teilhaben zu lassen.

Diese Pflicht ergibt sich aus dem Resozialisierungsgedanken: Die Haftzeit soll Gefangene immer auch auf ein Leben draußen vorbereiten. „Ein längerfristiger Ausfall der Telefonie wäre als besonders kritisch anzusehen und würde – nachvollziehbar – auch erheblichen Unmut bei den Gefangenen erzeugen“, sagt ein Justizsprecher aus Sachsen. Und Bremen erklärt: „Ein adäquater Ersatz des Anbieters steht derzeit nicht zur Verfügung.“ Denn: Telio ist der einzige Anbieter für Gefangenentelefonie in Deutschland.

Andere Bundesländer kommen ohne Telio aus

Aufgrund hoher Telefontarife bei Telio gebe es in Sachsen immer wieder Überlegungen, die Gefangenentelefonie durch die öffentliche Hand selbst zu organisieren. „Eine entsprechende Umsetzung dürfte indes mehrere Jahre in Anspruch nehmen und wäre mit erheblichem finanziellen Aufwand verbunden“, so ein Sprecher.

Andere Bundesländer wie etwa Bayern kommen allerdings gut ohne Telio aus: Hier melden Gefangene Telefongespräche für eine bestimmte Uhrzeit an und können diese dann in einem abgeschlossenen Raum durchführen – ohne dass ihnen dadurch Kosten entstehen.

Seit Mitte Juni sucht Telio übrigens einen IT Security Engineer für den Standort Hamburg. Die Person soll unter anderem IT-Sicherheitskonzepte entwickeln, implementieren und überwachen sowie „Risikobewertungen und Schwachstellenanalysen durchführen“. Eine Anfrage an Telio, ob die Position bisher schon besetzt war oder neu geschaffen werden soll, wollte das Unternehmen nicht beantworten.

Johanna Treblin ist Redakteurin bei der taz und freie Journalistin. Sie schreibt regelmäßig zu den Themen Gefängnis, Arbeit und Migration.