Liebe Leser*innen,

Als ich meinen letzten Job kündigte, um hierher zu wechseln, fragte mich mein damaliger Chef, wo ich denn hingehen würde. Ich sagte: „netzpolitik.org“. Er kannte das nicht. Also droppte ich eine Info, die den kritischen Standpunkt des Mediums sehr eindeutig klärt: „Gegen die wurde mal wegen Landesverrat ermittelt.“

Landesverrat ist per Definition eine Straftat, die das Potenzial hat, die Bundesrepublik in ihren Grundfesten zu erschüttern, ja sogar: zu vernichten. Dafür droht bis zu lebenslange Haft. Das muss man als Journalist auch erstmal hinkriegen, sich bei staatlichen Organen so unbeliebt zu machen, dass die mit dieser juristischen Atombombe auf einen losgehen.

Ich war damals, 2015, als die Ermittlungen begannen, auf jeden Fall mächtig beeindruckt. Wer mit einer solchen Chuzpe vertrauliche Dokumente veröffentlicht, dass er derartiges in Kauf nimmt, hatte meinen höchsten Respekt verdient. Seitdem hat Andre Meister, der damals die vertraulichen Internet-Überwachungspläne des Bundesamts für Verfassungsschutz frei zugänglich machte, was den Anstoß zu der Ermittlung lieferte, einen Ehrenplatz in meinem Herzen. Wir kannten uns damals schon von Partys, aber ab dann war er für mich eine Art Held.

Am Ende ging es ja gut aus. Die Ermittlungen gegen Andre und den damaligen Chefredakteur Markus Beckedahl wurden – ziemlich genau vor zehn Jahren – eingestellt und netzpolitik.org bekam viele Spenden, mit denen die Redaktion ausgebaut werden konnte. So dass Andre auch heute noch alles veröffentlichen kann, was er an wichtigen Dokumenten in die Finger kriegt.

Letztlich sind unsere vielen Spender*innnen ja auch dafür verantwortlich, dass ich hier mitspielen darf, was mich wahnsinnig freut. So wie mich auch der Ausgang unserer gerade abgeschlossenen sommerlichen Spendenkampagne freut, mit der wir 177 Menschen gefunden haben, die netzpolitik.org jeden Monat als stabile Dauerspender*innen mit einem gewissen Betrag unterstützen. Ohne unsere Unterstützer*innen wäre unser Kampf für die Grundrechte so nicht möglich. Ihr seid, wie Andre, eine Art Helden für mich.

Mit herzlichem Dank

Martin

Einfach zum Smartphone greifen, Kontakt auswählen und anrufen? Das können Gefängnisinsassen in Deutschland nicht. Denn sie dürfen weder ein Smartphone besitzen noch ist es ihnen in der Regel erlaubt, ein Telefon auf der Zelle zu haben.

Stattdessen müssen Insassen meist einen Apparat auf dem Flur nutzen, wo alle mithören können. Und in den meisten Justizvollzugsanstalten brauchen sie dafür ein Konto bei Telio, einer privaten Firma mit Sitz in Hamburg. Auf dieses Konto müssen sie – oder ihre Angehörige draußen – Geld einzahlen. Außerdem müssen sie jede Telefonnummer, die sie anrufen möchten, zunächst freischalten lassen.

Telio wurde im Januar gehackt

Telio ist Mitte Januar gehackt worden. Gestohlen wurden offenbar Kontakt- und Kontodaten ehemaliger Mitarbeiter*innen des Unternehmens. Eine Anfrage von netzpolitik.org per Informationsfreiheitsgesetz (IFG) hat außerdem ergeben, dass höchstwahrscheinlich auch Kund*innendaten – also von Gefangenen und/oder Angehörigen – in Kroatien, Tschechien und den Niederlanden abgegriffen wurden.

Gehackt wurde das Unternehmen in der Nacht vom 13. auf den 14. Januar, gemeldet hat Telio den Vorfall am 15. Januar bei der zuständigen Datenschutzbehörde in Hamburg. Bei einem „unbefugten Zugriff auf ein Administratorkonto“ seien „mindestens ca. 600 MB an Datenverkehr nach Extern“ abgeflossen. „Sofortige Eindämmungsmaßnahmen und Ermittlungsmaßnahmen sind im Gange“, heißt es in der Meldung.

Sicherheitsvorfälle wie diese müssen Firmen laut Datenschutzgrundverordnung (DSGVO) innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde melden. Jede neue Erkenntnis zum Datenleck muss die Firma nachmelden. Die Behörde kann dann weitere Informationen und Maßnahmen einfordern. Bußgelder, falls die Maßnahmen nicht ergriffen werden, sind allerdings nicht vorgesehen.

Am 17. Januar ergänzte Telio, dass etwa 265 Personen von dem Vorfall betroffen seien. Diese habe das Unternehmen „per Rundschreiben und dezidiertem Informationsportal im Intranet“ informiert. Auf der Webseite von Telio findet sich darüber hinaus ein „Informationsschreiben gemäß Art. 34 DSGVO an ehemalige Mitarbeiter“ von Mitte Februar, das nähere Angaben zum Datenleck enthält. Ein ehemaliger Mitarbeiter von Telio gab gegenüber netzpolitik.org an, er habe erst durch die Medienanfrage vom Datenabfluss erfahren.

Insgesamt 160 GB an Daten abgeflossen

Netzpolitik.org liegt exklusiv der E-Mail-Verkehr von Telio mit der Hamburger Datenschutzbehörde vor. Am 21. Januar schreibt ein Rechtsbeistand von Telio – die Namen in dem Dokument sind geschwärzt –, dass nach ersten Erkenntnissen aus einem lokalen Netzwerk nicht 600 MB, sondern „tatsächlich ca. 160 GB an Daten exfiltriert wurden“. Betroffen seien „konkret die (alten) Personal- und Finance Ordner“. Weiter schreibt er: „Es geht v.a. um Mitarbeiterdaten, aber auch Daten von Geschäftspartnern und Kunden z.b. aus Verträgen.“

Konkreter wird er nicht, auch die übrigen per IFG-Anfrage erhaltenen Dokumenten gehen nicht näher darauf ein.

Details könnte nur die von Telio extern in Auftrag gegebene forensische Untersuchung liefern. Sie ging der Frage nach, wie es zu dem Hack kam sowie welche Systeme und Daten davon betroffen waren. Den Abschlussbericht will Telio auf Anfrage nicht herausgeben und liegt auch der Datenschutzbehörde in Hamburg noch nicht vor.

In einer undatierten Tabelle mit Fragen der Datenschützer und Antworten von Telio heißt es lediglich: „Auf dem Fileserver befindet sich jedenfalls der alte Personalordner.“ Auf diesem seien Personaldaten von Wohnadresse über Feedbackbögen bis Behindertenstatus abgelegt.

Weiterer Vorfall im Februar

Die IFG-Anfrage von netzpolitik.org hat außerdem ergeben: Am ersten Februarwochenende wurde Telio ein weiteres Mal Opfer von Hackern.

Offenbar hatten Angreifer am 13. Januar eine sogenannte Backdoor platziert, wie Sven Marquardt im Gespräch mit netzpolitik.org sagt. Er ist beim Hamburger Datenschutzbeauftragten für den Telio-Fall zuständig,. Die Hintertür hätten die Hacker dann genutzt, um sich wenige Wochen später erneut Zutritt zur internen Infrastruktur zu verschaffen.

Der Zugriff war offenbar weitreichend. Aufklärung darüber, welche Daten dabei abflossen, könnte nur der Forensikbericht geben.

Was bereits aus der per IFG-Anfrage herausgegebenen Dokumenten hervorgeht: Bei dem erneuten Ransomware-Angriff waren nicht nur Systeme des Unternehmens in Deutschland betroffen, sondern auch in Slowenien. Und zumindest in den Niederlanden, Tschechien und Kroatien waren darüber hinaus wohl auch JVA-Kundensysteme betroffen. Die Behörden in den Ländern seien demnach darüber informiert worden.

Ein Sprecher der Datenschutzbehörde in den Niederlanden erklärte, grundsätzlich keine Informationen über Datenleck-Meldungen von Unternehmen an Medien herauszugeben. Anfragen an die übrigen Datenschutzbehörden und Justizministerien blieben bis Redaktionsschluss unbeantwortet.

Angreifer forderten Lösegeld

Laut der Meldung an die Hamburger Datenschützer hat Telio auch „digitale Lösegeldforderung […] auf den betroffenen Systemen gefunden.“ Eine Anfrage von netzpolitik.org, wie hoch die Lösegeldforderung war und ob das Unternehmen dieser nachkommen wird oder bereits nachgekommen ist, wies eine Telio-Sprecherin mit Hinweis auf laufende Ermittlungen ab. Auch nähere Angaben, ob und was über die Angreifer bekannt ist, will das Unternehmen nicht machen.

Ransomware-Gruppen veröffentlichen ihre Hacks häufig selbst. Auf der Webseite ransomware.live werden solche Selbstmeldungen übersichtlich publiziert. Dass die Sicherheitslücke bei Telio dort nicht aufgeführt ist, kann unterschiedliche Gründe haben. Nicht alle Hacks werden veröffentlicht oder von ransomware.live gefunden. Möglicherweise wurde bereits Lösegeld gezahlt, weshalb die Hackergruppe keinen Grund hat, ihren Hack zu veröffentlichen, um so Druck auf das Unternehmen auszuüben. Denkbar ist aber auch, dass kein Lösegeld gezahlt wurde, die Gruppe die Daten bereits verkauft hat und daher nicht auf das Lösegeld angewiesen sei. Oder sie verfolgt gänzlich andere Ziele mit den Daten.

Telio ist der einzige Anbieter für Gefangenentelefonie

Auch wenn bei dem Hack offenbar keine Daten von Gefangenen und ihren Angehörigen entwendet wurden, hat sich der Angriff auch in den Gefängnissen bemerkbar gemacht. Teilweise konnten Insassen nicht telefonieren oder kein Geld auf ihr Telefonkonto eingezahlt werden.

Allerdings klagen Gefangene, mit denen netzpolitik.org gesprochen hat, generell über den Service von Telio. Telefongespräche brächen immer wieder ab, teils könnten sie Anschlüsse nicht anrufen, obwohl die Nummern freigeschaltet seien.

Die Bundesländer – Justiz ist Ländersache – haben unterschiedlich auf den Hack bei Telio reagiert. In Nordrhein-Westfalen wurden einem Sprecher des Justizministeriums zufolge die Systeme auf Sicherheitslücken überprüft. Das Ergebnis war negativ. Bremen und Sachsen verwiesen auf die gesetzliche Pflicht, Gefangene an Kommunikation teilhaben zu lassen.

Diese Pflicht ergibt sich aus dem Resozialisierungsgedanken: Die Haftzeit soll Gefangene immer auch auf ein Leben draußen vorbereiten. „Ein längerfristiger Ausfall der Telefonie wäre als besonders kritisch anzusehen und würde – nachvollziehbar – auch erheblichen Unmut bei den Gefangenen erzeugen“, sagt ein Justizsprecher aus Sachsen. Und Bremen erklärt: „Ein adäquater Ersatz des Anbieters steht derzeit nicht zur Verfügung.“ Denn: Telio ist der einzige Anbieter für Gefangenentelefonie in Deutschland.

Andere Bundesländer kommen ohne Telio aus

Aufgrund hoher Telefontarife bei Telio gebe es in Sachsen immer wieder Überlegungen, die Gefangenentelefonie durch die öffentliche Hand selbst zu organisieren. „Eine entsprechende Umsetzung dürfte indes mehrere Jahre in Anspruch nehmen und wäre mit erheblichem finanziellen Aufwand verbunden“, so ein Sprecher.

Andere Bundesländer wie etwa Bayern kommen allerdings gut ohne Telio aus: Hier melden Gefangene Telefongespräche für eine bestimmte Uhrzeit an und können diese dann in einem abgeschlossenen Raum durchführen – ohne dass ihnen dadurch Kosten entstehen.

Seit Mitte Juni sucht Telio übrigens einen IT Security Engineer für den Standort Hamburg. Die Person soll unter anderem IT-Sicherheitskonzepte entwickeln, implementieren und überwachen sowie „Risikobewertungen und Schwachstellenanalysen durchführen“. Eine Anfrage an Telio, ob die Position bisher schon besetzt war oder neu geschaffen werden soll, wollte das Unternehmen nicht beantworten.

Johanna Treblin ist Redakteurin bei der taz und freie Journalistin. Sie schreibt regelmäßig zu den Themen Gefängnis, Arbeit und Migration.

Die Zero Day Initiative (ZDI) von Trend Micro ist 20 Jahre alt. Anlässlich des Jubiläums verweist das Cybersicherheits-Unternehmen auf den eigenen Erfolg: Es hat sich in dieser Zeit zum größten herstellerübergreifenden Programm zur koordinierten Offenlegung (Coordinated Disclosure) von Schwachstellen in Software entwickelt. Seit zwei Jahrzehnten vermittelt Trend Micro die Ausschüttung von Prämien („Bug Bounty“) für entdeckte Sicherheitslücken.

Trend Micro erinnert daran, dass das Programm 2005 eher bescheiden angefangen hat. Ins Leben gerufen hat es die Cybersecurity-Firma Tipping Point. Ziel war es, Sicherheitsforscher finanziell zu belohnen, wenn sie bis dato unbekannte Sicherheitslücken an die jeweiligen Hersteller melden. Erst nachdem diese die Fehler beseitigt haben, veröffentlicht ZDI Details der Lücken. So sollen keine Attacken motiviert werden, bevor die Sicherheitslücken geschlossen sind.

Pwn2Own eng verbandelt

Auch der Exploit-Wettbewerb Pwn2Own, der dieses Jahr erstmals in Berlin stattfand und einige der weltbesten Finder von Schwachstellen anzog, ist seit seiner Erfindung im Jahr 2007 eng mit der Zero Day Initiative verbunden. 2015 hat Trend Micro dann Tipping Point für 300 Millionen US-Dollar gekauft und damit auch die Verantwortung für die ZDI übernommen.

Laut einer von Trend Micro zitierten Zählung verantwortungsvoll offengelegter Sicherheitslücken wurden allein im Vorjahr 73 Prozent über die Zero Day Initiative weitergegeben. Trend Micro erklärt, dass sie ihre Kunden im Schnitt zwei Monate eher vor darüber gemeldeten Sicherheitslücken schützen können als die betroffenen Softwarehersteller.

Mittlerweile arbeiten in dem Unternehmen über 450 Forschende in 14 sogenannten Threat Centern. Außerdem tragen 19.000 unabhängige Forschende ihre Ergebnisse bei.

(mma)