Die Telio Management GmbH ist wohl Opfer einer Ransomware-Infektion geworden. Das Unternehmen ist Anbieter von Kommunikationslösungen (Telefon, TV) für Strafvollzugsanstalten. Dort funktionieren nun weder Telefon noch TV-Geräte. Mir war das Unternehmen bekannt, weil vor einem Jahr Sicherheitslücken in seinen Produkten aufgedeckt wurden.
Anzeige
Ransomware-Infektion bei Telio
Die Ransomware-Infektion ist an mir vorbei gegangen – aber ich bin eben über nachfolgenden Post von Lilith Wittmann auf das Thema aufmerksam geworden.
Die Märkische Allgemein (MAZ) berichtete zum 28. Februar 2025 von einer Sicherheitspanne, die Gefängnisse in Brandenburg betrifft (einen zweiten Bericht gibt es hier). Dort heißt es, dass die Fernsehgeräte und Haftraumtelefone in den Gefängnissen abgeschaltet wurden, weil es einen Hackerangriff auf den Kommunikationsdienstleister Telio gegeben habe.
Die MAZ zitiert das Justizministerium Brandenburgs mit: "Nach Information der Telio Communications GmbH hat ein krimineller Ransomware-Angriff auf die IT-Infrastruktur der Telio Group zu den Ausfällen geführt." Bei dem Angriff sind dann wohl Teile der Infrastruktur der in Hamburg angesiedelten Telio verschlüsselt worden.
Anzeige
Nach dem Angriff wurde die Telio-Infrastruktur heruntergefahren. "Die forensischen Untersuchungen dauern nach Mitteilung des Unternehmens derzeit noch an und ein Projektteam interner und externer Experten arbeite konzentriert daran, die Systeme der betroffenen Kunden wiederherzustellen", teilte das Justizministerium der MAZ dazu mit.
Information an Telio-Mitarbeiter zum 12. Feb. 2025
Auf der Telio-Webseite findet sich seit dem 12. Feb. 2025 das Informationsschreiben gemäß Art. 34 DSGVO an ehemalige Mitarbeiter, in dem ein Sicherheitsvorfall auf die Datensysteme der Telio-Gruppe eingestanden wird. Im Rahmen dieses Vorfalls kam es zu einem unbefugten Zugriff auf bestimmte Personalakten. Dieser Zugriff betraf auch personenbezogene Daten ehemaliger Mitarbeiter.
Die von Telio gespeicherten personenbezogenen Daten seien verschlüsselt und exfiltriert worden, heißt es. Bei den betroffenen personenbezogenen Daten handelt es sich um Standard-Personalinformationen aus dem Arbeitsvertrag wie Namen, Privatadressen, private E-Mail-Adressen sowie beschäftigungsbezogene Daten wie gesundheitsbezogene Daten und Finanzunterlagen (Bankdaten, Gehaltsabrechnungsinformationen).
Nach derzeitigen Kenntnisstand seien aber keine personenbezogenen Daten ins Darknet gelangt (was aber noch kommen kann). Da Telio nicht über die aktuellen Kontaktdaten aller ehemaligen Mitarbeiter verfügt, soll dieses öffentliche Informationsschreiben ehemaligen Mitarbeitern ermöglichen, Transparenz über den Vorfall zu erlangen.
Rückblick: Sicherheitslücken bei Telio
Beim Tweet von Wittmann klingelte direkt was – denn im Beitrag Sicherheitslücke in Gefängnis-Telefonanlage legt sensible Daten offen vom 27. Juni 2024 hatte ich über ein fettes Problem in der Software der Firma berichtet. Sicherheitsforscherin Lilith Wittmann hatte eine schwere Sicherheitslücke in der API einer Gefängnis-Telefonanlage öffentlich gemacht.
Über die API konnte auf die persönlichen Daten ehemaliger und aktueller Häftlinge zugegriffen werden. Es waren von allen Menschen aus mindestens 20 Gefängnissen und forensischen Psychiatrien Name, Haftnummer, Station sowie von allen getätigten Telefonaten Telefonnummer, Name und Bezeichnung des Angerufenen öffentlich einsehbar.
Zusammenhang unklar, Folgen spürbar
Ob es einen Zusammenhang zwischen der seinerzeit aufgedeckten Sicherheitslücke in der API einer Gefängnis-Telefonanlage und dem jetzt bekannt gewordenen Ransomware-Vorfall gibt, steht natürlich nicht fest und wäre Spekulation. Aber diese beiden Vorfälle werfen Fragen auf, und ich bin gespannt, ob etwas zum Infektionsvektor beim Telio-Ransomware-Vorfall bekannt wird.
Der Vorfall zeigt aber auch, wie ein Ransomware-Vorfall direkt Auswirkungen auf Kunden hat, wenn Cloud-Funktionen genutzt werden. Die Beeinträchtigungen der (Telefon-)Cloud-Lösung von Telio führt dazu, dass in Brandenburgs JVAs keine Telefonie und kein TV (erfolgt über Telio Set-Top-Boxen) möglich ist. Wie lange das anhält, kann aktuell niemand sagen.
Anzeige
Waren bzw. sind das nicht die, die so exorbitante Preise für Telefonate verlangen?
Ja, richtig. Lilith hat das System analysiert und beim 38C3 einen Talk dazu gehalten: https://media.ccc.de/v/38c3-knste-hacken
Die Lücke in der API wird dort auch erklärt.