Sicherheitsforscherin Lilith Wittmann hat eine schwere Sicherheitslücke in der API einer Gefängnis-Telefonanlage öffentlich gemacht. Über die API konnte auf die persönlichen Daten ehemaliger und aktueller Häftlinge zugegriffen werden. Es waren von allen Menschen aus mindestens 20 Gefängnissen und forensischen Psychiatrien Name, Haftnummer, Station sowie von allen getätigten Telefonaten Telefonnummer, Name und Bezeichnung des Angerufenen öffentlich einsehbar.
Anzeige
Ich trage es mal nach, da ich einige Tage unterwegs war und mich anderen Aktivitäten gewidmet habe. Die Firma telio aus Hamburg betreibt – ggf. mit Tochtergesellschaften die Telekommunikationsinfrastruktur in Haftanstalten – in Deutschland und in weiteren Ländern. In einigen Haftanstalten kommt ein System der Gerdes Communications GmbH zum Einsatz.
Telefonate aus JVAs
Insassen dieser Anstalten sind gezwungen, ihr Telefonate über diese Telekommunikationsinfrastruktur zu führen. Die Justizvollzugsanstalten erhalten von telio oder Töchtern Telefone und Server und betreiben die Anlagen zusammen mit dem Anbieter. Die Verwaltung erfolgt über das sogenannte "Prison Control Center", eine Webanwendung, die damit per Internet erreichbar ist.
Sicherheitsforscherin Lilith Wittmann hat sich nun dieses "Prison Control Center", welches in mindestens 20 deutschen Justizvollzugsanstalten zum Einsatz kommt, angesehen. Das ist sie auf eine schwere Sicherheitslücke gestoßen, denn die Programmierschnittstellen des "Prison Control Centers" waren nicht abgesichert, wie Wittmann in nachfolgendem Tweet offen legt.
Anzeige
Über diese ungesicherten Programmierschnittstellen waren die teils sehr sensitiven Daten von allen Menschen aus mindestens 20 Gefängnissen und forensischen Psychiatrien, die über die Telekommunikationsinfrastruktur der Einrichtungen telefoniert hatte, öffentlich per Internet einsehbar.
Es reichte eine URL zu kennen, um ohne Anmeldung auf die betreffenden Daten zugreifen zu können. Zu den abrufbaren Daten gehörten Name, Haftnummer, Station sowie von allen getätigten Telefonaten die Telefonnummer, der Name und Bezeichnung des Angerufenen, öffentlich einsehbar. Betroffen waren wohl um die 14.000 Personen als Insassen von Strafanstalten.
Das ist alleine bereits ein massives Problem, wird aber noch brisanter, wenn Telefonate mit Anwälten geführt wurden. Diese Gespräche und Daten unterliegen der Vertraulichkeit und müssen sofort gelöscht werden. Wenn ich den Artikel von Wittmann richtig interpretiere, waren in den Datensätzen auch Aufzeichnungen von Telefonaten gespeichert.
Das Ganze läuft auf einen riesigen Skandal hin, das weder Hersteller noch die Justizvollzugsanstalten irgend eine Überprüfung der Software auf Sicherheit durchgeführt haben. Wittmann dokumentiert in ihrem lesenswerten Artikel haarsträubende Schwachstellen und brisante Zusammenhänge. Wittmann fordert von den Justizministern, zu prüfen, ob dem Anbieter die Konzession für diesen Dienst wegen Unzuverlässigkeit zu entziehen ist. Dann für den Anbieter war das Ganze ein lukratives Geschäft (pro Monat zahlen die Insassen geschätzt ca. 36 Euro für diese Leistung, da lässt sich leicht hochrechnen, was bei 14.000 Insassen anfällt).
Der WDR, der sich Geschichte mit aufgegriffen hat, danke an den Blog-Leser für den Hinweis, zitiert einen Rechtsanwalt, der angibt, sensible Inhalte nicht mehr am Telefon, sondern persönlich zu besprechen. In allen Einrichtungen ist die Sicherheitslücke laut Hersteller und NRW-Justizministerium mittlerweile geschlossen. Das Justizministerium versichert auf WDR-Anfrage, dass keine Daten abgegriffen worden seien.
Die Justizvollzugsanstalten seien angewiesen, dass Gefangene über den betroffenen Telefonanbieter keine Gespräche führen dürfen, bis die Sicherheitslücken vollständig geklärt sind. Inzwischen liegt der Fall auch bei den Datenschutzbehörden, die nun das Ganze prüfen.
Die allgegenwärtige Verantwortungslosigkeit
Der Fall ist ein Beispiel für die allgegenwärtige Verantwortungslosigkeit. Wittmann geht davon aus, dass dem Anbieter die Schwachstelle bekannt war, aber nichts unternommen wurde, bis der Fall publik wurde. Die verantwortlichen JVAs haben es nicht für notwendig erachtet, die Software einem Sicherheitsaudit zu unterziehen. Es war halt bequem, einem Anbieter, der die Systeme betriebsfertig bereitstellte, das Geschäft zu überlassen. Wittmann weist darauf hin, dass es durchaus JVAs gebe, die andere Systeme einsetzen, wo es dann die obige Sicherheitslücke nicht gab. Das passt auch in die allgemeine Tendenz, die Vertraulichkeit des Wortes gemäß § 201 StGB zu unterminieren. Wenn ein Anwalt angibt, vertrauliche Gespräche nur noch persönlich und nicht per Telefon zu führen, lässt dies tief blicken.
Ergänzung: Wittmann hat auf X in diesem Tweet die Ausschreibung deses Landes Hamburg veröffentlicht. Dort wurden eine Reihe Forderungen an die Speicherung und das Mithören von Gesprächen festgeschrieben, was so eigentlich schon problematisch ist.
Ergänzung 2: Wittmann hat auf X in diesem Tweet die Presseverlautbarungen des Unternehmens und von Hamburg zum Vorfall veröffentlicht.
Anzeige
"Über die API konnte auf die persönlichen Daten ehemaliger und aktueller Häftlinge."
Da fehlt was im Satz. ;-)
Hab es ergänzt.
So ist es. Wenn man im Knast sitzt hat man zumindest temporär seine Bürgerrechte verloren.
It is a feature … nur wissen die hoch ausgebildeten mit 60 in Pension gehen dürfenden Justizbeamten nix damit anzufangen.
Der Hersteller hat eindeutig die JVAs überschätzt. Meine bescheidene Meinung.
Im Grunde wäre dem zu widersprechen. Gerade im Hinblick auf Jugendliche und Gesprächspartner. Der Begriff Bürgerrechte ist aber nicht näher definiert und wird von sogenannten Bürgerrechtsbewegungen gegen den Staat eingesetzt.
Maßgeblich entscheidender (schlimmer?) ist, dass es die zivilisatorische Errungenschaft unseres Rechtsstaat gibt, dass jeder das Recht hat, sich nicht selbst belasten zu müssen – sprich zu schweigen (§ 55 StPO). Ganz wichtig wenn man für etwas bezichtigt wird, was man nicht gemacht hat.
Wenn nun jemand z.B. in Untersuchungshaft sitzt, weil eine Staatsanwaltschaft Ihre Klage noch nicht beisammen hat. Und im öffentlich zugänglichen Gespräch mit der Familie plötzlich Belastendes bespricht, dann gibt es da ein Problem. (übrigens, nahe Verwandte haben das gleiche Recht, niemanden belasten zu müssen (§ 52 StPO).
Dessen sind sich natürlich die wenigsten bewusst, wenn diese in den sogenannten sozialen Medien Ihren Schmus frei raus posaunen oder denen sowas wie Telemetrie oder Datensparsamkeit und -schutz egal ist.
Aus meiner eigenen indirekten Erfahrung kann ich Ihnen sagen, wie § 52 StPO in diesem Punkt bedeutungslos wird.
Wenn Sie ein Untersuchungshäftling anrufen kann (!!!!) , dann bekommen Sie in der Regel in einer Bandansage, vor Beginn des Gespräches, mitgeteilt, dass dieses Gespräch eventuell aufgezeichnet werden kann. Außerdem kann die Staatsanwaltschaft, in der U-Haft, Personen von der Telekomunikation ausschließen (meist Verdunkelungsgefahr).
Ich weiß nicht, ob das bei "Pille Palle" Straftaten in der U-Haft ähnlich gehandhabt wird, doch wenn es um etwas gravierendes wie Mord(-versuch) oder Totschlag (Versuch) geht, läuft das so.
Viel wichtiger ist hier aber für Angehörige zu begreifen, das sie sich niemals, bei einem Besuch, darauf verlassen sollten, dass sie sich leise ungestört unterhalten können.
Im Punkt Errungenschaften des Rechtsstaates (Unschuldsvermutung und Schweigerecht) und Telemetrie- bzw. Datensparsamkeit bin ich übrigens völlig ihrer Meinung, denn es kann einem völlig Unschuldigen, in seltenen Fällen, durchaus passieren, dass er sich plötzlich mit einem zu ermittelnden Sachverhalt und unbegründeten Vorwurf konfrontiert sieht, dass wir diese Tugenden des Rechtsstaates für alle Bürger hochhalten sollten!
—Grüße—
>>> § 55 StPO … § 52 StPO
Wenn schon Quellen, dann redlich. Für eine ausgewogene Sicht fehlt mir da z. B. https://www.gesetze-im-internet.de/stpo/__100a.html
"Sicherheitsforscherin"
Bravo Günter!
Bin gespannt wie lange es dauert bis Sie flächendeckend respektiert wird, das Hackerimage verkauft sich leider besser.
Ich vermute nicht wenige hier sind sich nicht sicher sie richtig zu verstehen.
Bitte präzisieren doch bitte ihre Meinung.
@rpr:
Wenn GB sie als Sicherheitsforscherin bezeichnet, erkennt er ihre Leistungen als Forscherin an, stärkt ihren Ruf und sieht sie nicht nur als Hackerin, wie viele andere. Und da GB nicht irgendwer ist, adelt es LW ein wenig, denke ich.
>>> Sicherheitsforscherin <<<
Schön, dass es Frau Wittmann gibt – als Vorbild für junge Frauen, auch einen Weg in die Informationstechnik einzuschlagen. Forschung ist dann aber doch etwas anderes als digitale Türfallen zu drücken, in der Erwartung jemanden zu erwischen, der nicht abgeschlossen hat. Auch das Attribut IT-Sicherheitsexpertin, womit sie in der Wikipedia behängt wird, halte ich für überhöht.
@nook @anonym: Mag eure Meinung sein – was ich bisher von ihr so gesehen habe – und was sie auf Zerforschung dokumentiert hat, hat imho Hand und Fuß. Und was machen Sicherheitsforscher üblicherweise? Schwachstellen aufdecken und offen legen – das andere sind für mich Security Analysten, wenn sie einen Angriff analysieren und dokumentieren.
Sicherheitsforscher:innen (m, w, d) dann bitte. Frau Wittmann war mal Herr Wittmann und könnte es auch jederzeit wieder Herr werden/sein (laut Gesetzgeber, nicht laut Biologie). Nix Genaues weiß man nicht. Man kann sich in diesem Genderwahnsinn ganz schön verheddern. Meine persönliche Meinung.
Grundsätzlich habe ich kein Problem mit dem Abhören von (auch schon verurteilter) Krimineller:innen.
Ging mir zwar durch den Kopf, dass Du das gemeint haben könntest – aber der Kommentar ist diesbezüglich "äußerst ungut"! Man mag gendern verurteilen, halte ich auch nichts von und vermeide es nach Möglichkeit in den Blogs. Aber was die persönliche Geschichte bzw. Lebensumstände von Frau Wittmann mit der Beurteilung "Sicherheitsforscher" zu tun haben, erschließt sich mir nicht. Mir war dies bekannt, ich beurteile aber die Ergebnisse der betreffenden Person, und die können sich meiner unmaßgeblichen Meinung nach sehen lassen. Zumindest scheint Wittmann zu wissen, worüber sie schreibt (jedenfalls soweit ich es beurteilen kann).
Und mit dem Abhören: Mag zwar am Stammtisch gut kommen – aber der Gesetzgeber sieht ziemliche Restriktionen bezüglich des Abhörens und des gesprochenen Worts vor. Und das gilt auch für Insassen im Strafvollzug. Wenn ein Anwalt sagt "Vertrauliches bespreche ich nur noch Face to Face", sind wir schon sehr tief gesunken – bin ja schon etwas älter, es gab mal ein Post- und Fernmeldegeheimnis.
Es gibt klare Festlegungen des Gesetzgebers und der Gerichte, wann eine Telefonüberwachung von Verdächtigen und ggf. deren Anwälten statthaft ist. Ich denke nicht, dass dies von den betreffenden JVAs so juristisch sauber geregelt wurde. Aber es geht hier im Artikel darum, dass es ziemlich dämlich ist, das als Web-Oberfläche zu implementieren und dann offen aus dem Internet zugänglich zu halten (Polemik: Damit das Personal in der JVA die Überwachung per Home Office vornehmen kann?).
Mal sehen, wann die CDU erneut gegen die Frau schießt. Digital sie, die CDU.
Mal sehen, wann das Wahlvolk endlich aufhört solche verfassungswidrig agierenden Parteien zu wählen!
Gefängnisse mit allem drum und dran sind Infrastruktur, Post, Telefon, Bahn, Flugsicherung, Straßennetze, Brücken, Tunnel usw. sind Infrastruktur, Krankenhäuser, Pflege und Gesundheitsfürsorge sind hoch sensible Bereiche und somit auch Infrastruktur – oder? Schließlich ist bis jetzt NOCH keiner auf die Idee gekommen die Polizei, Bundeswehr und die Justiz (Staatsanwälte, Richter) selbst zu "privatisieren" … warum treibt man das seit Jahrzehnten immer weiter GEGEN die Verfassung (GG – das wenn nötig, dann halt einfach geändert wurde/wird) voran. Und warum waren/sind Wähler so dumm, solche Parteien immer wieder zu wählen ??? Verstehe ich seit 1993 NICHT ! Das Privatisieren von Infrastruktur SCHADET nicht nur den Interessen/der Versorgung der Bürger, sondern letztlich auch dem ganzen Land. Siehe Glasfaserausbau … versus "gleiche Lebensverhältnisse in Stadt und Land" … danke CDU/CSU/FDP/SPD für die Privatisierung der Post!
Übrigens – eine zunächst teilweise Refinanzierung künftiger Renten über "die Kapitalmärkte", sprich Aktienrente, ist nichts anderes als die beginnende Privatisierung des Rentensystems. Nun überlegt mal sehr genau wo das hinführen wird. Ganz sicher nicht zu sinkenden oder auch nur stabilen Beiträgen und erst recht nicht zu gesicherten Renten! Man kann sich das schön reden, mit solchem Geschwätz wie "über lange Zeiträume haben Aktionäre noch nie Verlust gemacht) … bla bla bla … wer will denn definitiv ausschließen, das es doch nochmal einen ganz großen Crash wie 1929 gibt? Das kann NIEMAND garantiert ausschließen. Und so wie sich die Weltlage entwickelt, würde ich da nicht mal den kleinen Finger für ins Feuer legen. Zumal das ganze Kapitalismussystem völlig überdreht ist, mit imaginären "Werten", die ein vielfaches der real existierenden Waren und Leistungen entsprechen. Würde dieses ganze (ungedeckte) Giral-Geld auf einen schlag Nachfrage nach realen Produkten erzeugen, müssten die Preise ins Bodenlose fallen … wird so natürlich nie passieren. Aber wem gehören eigentlich die vielen Billionen und warum haben Staaten Schulden bei diesen Privatleuten … Fragen über die es sich lohnt intensiv nachzudenken . . .
"Die allgegenwärtige Verantwortungslosigkeit" ist übrigens politisch gewollt und insofern handelt es sich um staatlich organisierte Verantwortungslosigkeit. Da in diesem System nie irgendein Verantwortungsträger ernsthaft ein schlimmes übel für sich persönlich fürchten muss. Wer Sch…ße baut wird befördert, das läuft seit mindestens sieben Jahrzehnten so und wurde über die Zeit sogar schlimmer … heutzutage treten Minister ja nicht einmal mehr zurück, das lange Zeit wenigstens eine Geste ggü. der Öffentlichkeit war. Selbst das haben "die da oben" nicht mehr nötig …
Und statt ihre Haltung und Einstellungen nach schlechten Wahlergebnissen zu überdenken, wird Gejammert und der Wähler beklagt, weil der vermeintlich die falschen Parteien gewählt habe … die ebenfalls immer mehr werdenden NICHT-Wähler werden mit keinem Wort erwähnt. Auch nicht von den sog. "Qualitätsmedien", die das Problem zwar (sehr selten und gut versteckt) ansprechen, aber helfen es unterm Teppich zu halten. Kann man es der blauen Partei da verdenken, wenn sie von Lügenpresse und Staatsfunk spricht? Es ist ja leider ein Funke Wahrheit dran. Und genau dieser Funke (der in manchen Aussagen der Blauen enthalten ist) bricht den Etablierten Stück für Stück, Wahl für Wahl das Genick!
Bitte künftig diese Art Kommentare einstellen, sonst sperre ich. Man mag diese Haltung haben, das ist hier im IT-Blog aber eher nicht der richtige Platz, um die Fundamentalkritik los zu werden. Danke für das Verständnis.
Hallo Herr Born – einfach löschen und "gut ist", es treiben sich nun auch leider hier vermehr HEISE/TELEPOLIS-Trolle herum, sehr ärgerlich…
>>> es treiben sich nun auch leider hier vermehr HEISE/TELEPOLIS-Trolle herum, sehr ärgerlich… <<<
Einfach wegbleiben und gut ist. Im Ernst: Wie eindimensional kann man sein? Am interessantesten und fruchtbarsten sind immer noch die Sichtweisen, die einem am meisten auf den Senkel gehen. Da mal drüber nachdenken.