Die geplanten Novellen der schweizerischen Verordnung über die Überwachung des Post- und Fernmeldeverkehrs (VÜPF) sowie der zugehörigen Durchführungsbestimmung schlagen weiter hohe Wellen. Proton hat jetzt bestätigt, dass der Anbieter verschlüsselter Kommunikationsdienste aufgrund der mit dem Vorhaben verknüpften Rechtsunsicherheit mit dem Abzug von IT-Infrastrukturen aus der Schweiz begonnen hat. Der im Juli eingeführte KI-Chatbot Lumo, der mit mehr Datenschutz als ChatGPT & Co. punkten soll, ist das erste Produkt, das seinen Standort wechselt.

Schon in einem Blogbeitrag zum Start von Lumo erklärte Eamonn Maguire, Leiter für Missbrauchsbekämpfung und Kontosicherheit bei Proton, dass sich das Unternehmen aus Angst vor den drohenden Gesetzesänderungen für Investitionen außerhalb der Schweiz entschieden habe. Angesichts der Pläne der Schweizer Regierung „zur Einführung von Massenüberwachung“, die in der EU verboten sei, verlagere der Anbieter „den Großteil seiner physischen Infrastruktur“ aus der Alpenrepublik. Der Anfang erfolge mit dem Chatbot.

Protons CEO Andy Yen führte nach dem Start gegenüber der Nachrichtenagentur Keystone-SDA aus, dass sich das Unternehmen aufgrund der vorgesehenen VÜPF-Reform für Deutschland als Standort für die Server von Lumo entschieden habe. Zusätzlich baue die Firma Standorte in Norwegen auf. Ganz will Proton die Zelte in der eidgenössischen Heimat aber nicht abbrechen. „In Europa zu investieren bedeutet nicht, die Schweiz zu verlassen“, erklärte ein Unternehmenssprecher gegenüber TechRadar. Gerüchte, wonach Proton das Land endgültig verlassen werde, bestätigte er so nicht.

Auch die EU treibt die Überwachung voran

Laut der umkämpften Initiative des Schweizer Bundesrats und des Eidgenössischen Justiz- und Polizeidepartements müssten künftig auch Online-Dienste, die mindestens 5000 Nutzer haben, Metadaten wie IP-Adressen und Portnummern sechs Monate auf Vorrat speichern sowie der Polizei und Geheimdiensten beim Entschlüsseln von Inhalten helfen. Neu dazukommen wird dem Plan nach auch eine Auflage für solche Betreiber, User zu identifizieren. Diese müssten eine Ausweis- oder Führerscheinkopie vorlegen oder zumindest eine Telefonnummer angeben.

Doch auch die EU-Kommission hat schon vor Jahren einen Entwurf für eine Verordnung zur massenhaften Online-Überwachung unter dem Aufhänger des Kampfs gegen sexuellen Kindesmissbrauch (Chatkontrolle) auf den Weg gebracht. Vor Kurzem legte die Brüsseler Regierungsinstitution zudem einen Fahrplan für „Entschlüsselung“ und eine Neuauflage der Vorratsdatenspeicherung unter dem Aufhänger „ProtectEU“ vor. Der Proton-Sprecher hielt dem entgegen, dass das obligatorische Aufbewahren elektronischer Nutzerspuren bereits mehrfach von europäischen Gerichten für rechtswidrig erklärt worden sei. Er unterstrich: „Wir werden die Entwicklungen in der EU jedoch selbstverständlich weiterhin genau beobachten. Das tun wir auch in anderen Rechtsräumen.“

Petition mit über 15.000 Unterzeichnern

Proton ist nicht der einzige Anbieter, der sich lautstark gegen den befürchteten „Krieg gegen Online-Anonymität“ in der Schweiz ausgesprochen hat. NymVPN, ein anderer Anbieter virtueller privater Netzwerke, drohte bereits im Mai, die Schweiz zu verlassen, sollten die erweiterten Überwachungsvorgaben in Kraft treten. „In der Schweiz kann man derzeit nicht in Datenschutz investieren“, monierte Nym-Mitgründer Alexis Roussel nun gegenüber TechRadar. Die Firma habe ebenfalls bereits eine Strategie entwickelt, um ihre VPN-Aktivitäten außerhalb der Schweiz und der EU anzusiedeln. Das wäre jedoch der letzte Ausweg. Aufgrund seiner dezentralen Infrastruktur sei das Unternehmen aber nicht direkt von der Anti-Verschlüsselungsregel betroffen, da es dafür gar keine Schlüssel selbst speichere.

Die Schweizer Bürgerrechtsorganisation Digitale Gesellschaft und die Kampagnenseite Campax übergaben der Regierung in Bern derweil am Donnerstag gut 15.000 Unterschriften der Petition „Demokratie statt Überwachungsstaat!“ gegen die skizzierte VÜPF-Novelle. Sie warnten dabei vor einem massiven Angriff auf Grundrechte, Datenschutz und digitale Freiheit und forderten den sofortigen Stopp der Pläne. Die Organisatoren kritisierten auch, dass der Bundesrat diesen Ausbau der Massenüberwachung ohne parlamentarische Debatte und demokratische Legitimation auf dem Verordnungsweg umsetzen wolle. Das Alles erinnere eher an „Russland, China oder den Iran“ als an europäische Staaten.

(jo)

Liebe Leser*innen,

Als ich meinen letzten Job kündigte, um hierher zu wechseln, fragte mich mein damaliger Chef, wo ich denn hingehen würde. Ich sagte: „netzpolitik.org“. Er kannte das nicht. Also droppte ich eine Info, die den kritischen Standpunkt des Mediums sehr eindeutig klärt: „Gegen die wurde mal wegen Landesverrat ermittelt.“

Landesverrat ist per Definition eine Straftat, die das Potenzial hat, die Bundesrepublik in ihren Grundfesten zu erschüttern, ja sogar: zu vernichten. Dafür droht bis zu lebenslange Haft. Das muss man als Journalist auch erstmal hinkriegen, sich bei staatlichen Organen so unbeliebt zu machen, dass die mit dieser juristischen Atombombe auf einen losgehen.

Ich war damals, 2015, als die Ermittlungen begannen, auf jeden Fall mächtig beeindruckt. Wer mit einer solchen Chuzpe vertrauliche Dokumente veröffentlicht, dass er derartiges in Kauf nimmt, hatte meinen höchsten Respekt verdient. Seitdem hat Andre Meister, der damals die vertraulichen Internet-Überwachungspläne des Bundesamts für Verfassungsschutz frei zugänglich machte, was den Anstoß zu der Ermittlung lieferte, einen Ehrenplatz in meinem Herzen. Wir kannten uns damals schon von Partys, aber ab dann war er für mich eine Art Held.

Am Ende ging es ja gut aus. Die Ermittlungen gegen Andre und den damaligen Chefredakteur Markus Beckedahl wurden – ziemlich genau vor zehn Jahren – eingestellt und netzpolitik.org bekam viele Spenden, mit denen die Redaktion ausgebaut werden konnte. So dass Andre auch heute noch alles veröffentlichen kann, was er an wichtigen Dokumenten in die Finger kriegt.

Letztlich sind unsere vielen Spender*innnen ja auch dafür verantwortlich, dass ich hier mitspielen darf, was mich wahnsinnig freut. So wie mich auch der Ausgang unserer gerade abgeschlossenen sommerlichen Spendenkampagne freut, mit der wir 177 Menschen gefunden haben, die netzpolitik.org jeden Monat als stabile Dauerspender*innen mit einem gewissen Betrag unterstützen. Ohne unsere Unterstützer*innen wäre unser Kampf für die Grundrechte so nicht möglich. Ihr seid, wie Andre, eine Art Helden für mich.

Mit herzlichem Dank

Martin

Einfach zum Smartphone greifen, Kontakt auswählen und anrufen? Das können Gefängnisinsassen in Deutschland nicht. Denn sie dürfen weder ein Smartphone besitzen noch ist es ihnen in der Regel erlaubt, ein Telefon auf der Zelle zu haben.

Stattdessen müssen Insassen meist einen Apparat auf dem Flur nutzen, wo alle mithören können. Und in den meisten Justizvollzugsanstalten brauchen sie dafür ein Konto bei Telio, einer privaten Firma mit Sitz in Hamburg. Auf dieses Konto müssen sie – oder ihre Angehörige draußen – Geld einzahlen. Außerdem müssen sie jede Telefonnummer, die sie anrufen möchten, zunächst freischalten lassen.

Telio wurde im Januar gehackt

Telio ist Mitte Januar gehackt worden. Gestohlen wurden offenbar Kontakt- und Kontodaten ehemaliger Mitarbeiter*innen des Unternehmens. Eine Anfrage von netzpolitik.org per Informationsfreiheitsgesetz (IFG) hat außerdem ergeben, dass höchstwahrscheinlich auch Kund*innendaten – also von Gefangenen und/oder Angehörigen – in Kroatien, Tschechien und den Niederlanden abgegriffen wurden.

Gehackt wurde das Unternehmen in der Nacht vom 13. auf den 14. Januar, gemeldet hat Telio den Vorfall am 15. Januar bei der zuständigen Datenschutzbehörde in Hamburg. Bei einem „unbefugten Zugriff auf ein Administratorkonto“ seien „mindestens ca. 600 MB an Datenverkehr nach Extern“ abgeflossen. „Sofortige Eindämmungsmaßnahmen und Ermittlungsmaßnahmen sind im Gange“, heißt es in der Meldung.

Sicherheitsvorfälle wie diese müssen Firmen laut Datenschutzgrundverordnung (DSGVO) innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde melden. Jede neue Erkenntnis zum Datenleck muss die Firma nachmelden. Die Behörde kann dann weitere Informationen und Maßnahmen einfordern. Bußgelder, falls die Maßnahmen nicht ergriffen werden, sind allerdings nicht vorgesehen.

Am 17. Januar ergänzte Telio, dass etwa 265 Personen von dem Vorfall betroffen seien. Diese habe das Unternehmen „per Rundschreiben und dezidiertem Informationsportal im Intranet“ informiert. Auf der Webseite von Telio findet sich darüber hinaus ein „Informationsschreiben gemäß Art. 34 DSGVO an ehemalige Mitarbeiter“ von Mitte Februar, das nähere Angaben zum Datenleck enthält. Ein ehemaliger Mitarbeiter von Telio gab gegenüber netzpolitik.org an, er habe erst durch die Medienanfrage vom Datenabfluss erfahren.

Insgesamt 160 GB an Daten abgeflossen

Netzpolitik.org liegt exklusiv der E-Mail-Verkehr von Telio mit der Hamburger Datenschutzbehörde vor. Am 21. Januar schreibt ein Rechtsbeistand von Telio – die Namen in dem Dokument sind geschwärzt –, dass nach ersten Erkenntnissen aus einem lokalen Netzwerk nicht 600 MB, sondern „tatsächlich ca. 160 GB an Daten exfiltriert wurden“. Betroffen seien „konkret die (alten) Personal- und Finance Ordner“. Weiter schreibt er: „Es geht v.a. um Mitarbeiterdaten, aber auch Daten von Geschäftspartnern und Kunden z.b. aus Verträgen.“

Konkreter wird er nicht, auch die übrigen per IFG-Anfrage erhaltenen Dokumenten gehen nicht näher darauf ein.

Details könnte nur die von Telio extern in Auftrag gegebene forensische Untersuchung liefern. Sie ging der Frage nach, wie es zu dem Hack kam sowie welche Systeme und Daten davon betroffen waren. Den Abschlussbericht will Telio auf Anfrage nicht herausgeben und liegt auch der Datenschutzbehörde in Hamburg noch nicht vor.

In einer undatierten Tabelle mit Fragen der Datenschützer und Antworten von Telio heißt es lediglich: „Auf dem Fileserver befindet sich jedenfalls der alte Personalordner.“ Auf diesem seien Personaldaten von Wohnadresse über Feedbackbögen bis Behindertenstatus abgelegt.

Weiterer Vorfall im Februar

Die IFG-Anfrage von netzpolitik.org hat außerdem ergeben: Am ersten Februarwochenende wurde Telio ein weiteres Mal Opfer von Hackern.

Offenbar hatten Angreifer am 13. Januar eine sogenannte Backdoor platziert, wie Sven Marquardt im Gespräch mit netzpolitik.org sagt. Er ist beim Hamburger Datenschutzbeauftragten für den Telio-Fall zuständig,. Die Hintertür hätten die Hacker dann genutzt, um sich wenige Wochen später erneut Zutritt zur internen Infrastruktur zu verschaffen.

Der Zugriff war offenbar weitreichend. Aufklärung darüber, welche Daten dabei abflossen, könnte nur der Forensikbericht geben.

Was bereits aus der per IFG-Anfrage herausgegebenen Dokumenten hervorgeht: Bei dem erneuten Ransomware-Angriff waren nicht nur Systeme des Unternehmens in Deutschland betroffen, sondern auch in Slowenien. Und zumindest in den Niederlanden, Tschechien und Kroatien waren darüber hinaus wohl auch JVA-Kundensysteme betroffen. Die Behörden in den Ländern seien demnach darüber informiert worden.

Ein Sprecher der Datenschutzbehörde in den Niederlanden erklärte, grundsätzlich keine Informationen über Datenleck-Meldungen von Unternehmen an Medien herauszugeben. Anfragen an die übrigen Datenschutzbehörden und Justizministerien blieben bis Redaktionsschluss unbeantwortet.

Angreifer forderten Lösegeld

Laut der Meldung an die Hamburger Datenschützer hat Telio auch „digitale Lösegeldforderung […] auf den betroffenen Systemen gefunden.“ Eine Anfrage von netzpolitik.org, wie hoch die Lösegeldforderung war und ob das Unternehmen dieser nachkommen wird oder bereits nachgekommen ist, wies eine Telio-Sprecherin mit Hinweis auf laufende Ermittlungen ab. Auch nähere Angaben, ob und was über die Angreifer bekannt ist, will das Unternehmen nicht machen.

Ransomware-Gruppen veröffentlichen ihre Hacks häufig selbst. Auf der Webseite ransomware.live werden solche Selbstmeldungen übersichtlich publiziert. Dass die Sicherheitslücke bei Telio dort nicht aufgeführt ist, kann unterschiedliche Gründe haben. Nicht alle Hacks werden veröffentlicht oder von ransomware.live gefunden. Möglicherweise wurde bereits Lösegeld gezahlt, weshalb die Hackergruppe keinen Grund hat, ihren Hack zu veröffentlichen, um so Druck auf das Unternehmen auszuüben. Denkbar ist aber auch, dass kein Lösegeld gezahlt wurde, die Gruppe die Daten bereits verkauft hat und daher nicht auf das Lösegeld angewiesen sei. Oder sie verfolgt gänzlich andere Ziele mit den Daten.

Telio ist der einzige Anbieter für Gefangenentelefonie

Auch wenn bei dem Hack offenbar keine Daten von Gefangenen und ihren Angehörigen entwendet wurden, hat sich der Angriff auch in den Gefängnissen bemerkbar gemacht. Teilweise konnten Insassen nicht telefonieren oder kein Geld auf ihr Telefonkonto eingezahlt werden.

Allerdings klagen Gefangene, mit denen netzpolitik.org gesprochen hat, generell über den Service von Telio. Telefongespräche brächen immer wieder ab, teils könnten sie Anschlüsse nicht anrufen, obwohl die Nummern freigeschaltet seien.

Die Bundesländer – Justiz ist Ländersache – haben unterschiedlich auf den Hack bei Telio reagiert. In Nordrhein-Westfalen wurden einem Sprecher des Justizministeriums zufolge die Systeme auf Sicherheitslücken überprüft. Das Ergebnis war negativ. Bremen und Sachsen verwiesen auf die gesetzliche Pflicht, Gefangene an Kommunikation teilhaben zu lassen.

Diese Pflicht ergibt sich aus dem Resozialisierungsgedanken: Die Haftzeit soll Gefangene immer auch auf ein Leben draußen vorbereiten. „Ein längerfristiger Ausfall der Telefonie wäre als besonders kritisch anzusehen und würde – nachvollziehbar – auch erheblichen Unmut bei den Gefangenen erzeugen“, sagt ein Justizsprecher aus Sachsen. Und Bremen erklärt: „Ein adäquater Ersatz des Anbieters steht derzeit nicht zur Verfügung.“ Denn: Telio ist der einzige Anbieter für Gefangenentelefonie in Deutschland.

Andere Bundesländer kommen ohne Telio aus

Aufgrund hoher Telefontarife bei Telio gebe es in Sachsen immer wieder Überlegungen, die Gefangenentelefonie durch die öffentliche Hand selbst zu organisieren. „Eine entsprechende Umsetzung dürfte indes mehrere Jahre in Anspruch nehmen und wäre mit erheblichem finanziellen Aufwand verbunden“, so ein Sprecher.

Andere Bundesländer wie etwa Bayern kommen allerdings gut ohne Telio aus: Hier melden Gefangene Telefongespräche für eine bestimmte Uhrzeit an und können diese dann in einem abgeschlossenen Raum durchführen – ohne dass ihnen dadurch Kosten entstehen.

Seit Mitte Juni sucht Telio übrigens einen IT Security Engineer für den Standort Hamburg. Die Person soll unter anderem IT-Sicherheitskonzepte entwickeln, implementieren und überwachen sowie „Risikobewertungen und Schwachstellenanalysen durchführen“. Eine Anfrage an Telio, ob die Position bisher schon besetzt war oder neu geschaffen werden soll, wollte das Unternehmen nicht beantworten.

Johanna Treblin ist Redakteurin bei der taz und freie Journalistin. Sie schreibt regelmäßig zu den Themen Gefängnis, Arbeit und Migration.