{"id":296675,"date":"2024-06-27T12:09:38","date_gmt":"2024-06-27T10:09:38","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=296675"},"modified":"2024-07-01T15:18:29","modified_gmt":"2024-07-01T13:18:29","slug":"sicherheitslcke-in-gefngnis-telefonanlage-legt-sensible-daten-offen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/06\/27\/sicherheitslcke-in-gefngnis-telefonanlage-legt-sensible-daten-offen\/","title":{"rendered":"Sicherheitslücke in Gefängnis-Telefonanlage legt sensible Daten offen"},"content":{"rendered":"

\"SicherheitSicherheitsforscherin Lilith Wittmann hat eine schwere Sicherheitsl\u00fccke in der API einer Gef\u00e4ngnis-Telefonanlage \u00f6ffentlich gemacht. \u00dcber die API konnte auf die pers\u00f6nlichen Daten ehemaliger und aktueller H\u00e4ftlinge zugegriffen werden. Es waren von allen Menschen aus mindestens 20 Gef\u00e4ngnissen und forensischen Psychiatrien Name, Haftnummer, Station sowie von allen get\u00e4tigten Telefonaten Telefonnummer, Name und Bezeichnung des Angerufenen \u00f6ffentlich einsehbar.<\/p>\n

<\/p>\n

\"\"Ich trage es mal nach, da ich einige Tage unterwegs<\/a> war und mich anderen Aktivit\u00e4ten gewidmet habe. Die Firma telio aus Hamburg betreibt – ggf. mit Tochtergesellschaften die Telekommunikationsinfrastruktur in Haftanstalten – in Deutschland und in weiteren L\u00e4ndern. In einigen Haftanstalten kommt ein System der Gerdes Communications GmbH zum Einsatz.<\/p>\n

Telefonate aus JVAs<\/h2>\n

Insassen dieser Anstalten sind gezwungen, ihr Telefonate \u00fcber diese Telekommunikationsinfrastruktur zu f\u00fchren. Die Justizvollzugsanstalten erhalten von telio oder T\u00f6chtern Telefone und Server und betreiben die Anlagen zusammen mit dem Anbieter. Die Verwaltung erfolgt \u00fcber das sogenannte \"Prison Control Center\", eine Webanwendung, die damit per Internet erreichbar ist.<\/p>\n

Sicherheitsforscherin Lilith Wittmann hat sich nun dieses \"Prison Control Center\", welches in mindestens 20 deutschen Justizvollzugsanstalten zum Einsatz kommt, angesehen. Das ist sie auf eine schwere Sicherheitsl\u00fccke gesto\u00dfen, denn die Programmierschnittstellen des \"Prison Control Centers\" waren nicht abgesichert, wie Wittmann in nachfolgendem Tweet<\/a> offen legt.<\/p>\n

<\/a><\/p>\n

\u00dcber diese ungesicherten Programmierschnittstellen waren die teils sehr sensitiven Daten von allen Menschen aus mindestens 20 Gef\u00e4ngnissen und forensischen Psychiatrien, die \u00fcber die Telekommunikationsinfrastruktur der Einrichtungen telefoniert hatte, \u00f6ffentlich per Internet einsehbar.<\/p>\n

Es reichte eine URL zu kennen, um ohne Anmeldung auf die betreffenden Daten zugreifen zu k\u00f6nnen. Zu den abrufbaren Daten geh\u00f6rten Name, Haftnummer, Station sowie von allen get\u00e4tigten Telefonaten die Telefonnummer, der Name und Bezeichnung des Angerufenen, \u00f6ffentlich einsehbar. Betroffen waren wohl um die 14.000 Personen als Insassen von Strafanstalten.<\/p>\n

Das ist alleine bereits ein massives Problem, wird aber noch brisanter, wenn Telefonate mit Anw\u00e4lten gef\u00fchrt wurden. Diese Gespr\u00e4che und Daten unterliegen der Vertraulichkeit und m\u00fcssen sofort gel\u00f6scht werden. Wenn ich den Artikel<\/a> von Wittmann richtig interpretiere, waren in den Datens\u00e4tzen auch Aufzeichnungen von Telefonaten gespeichert.<\/p>\n

Das Ganze l\u00e4uft auf einen riesigen Skandal hin, das weder Hersteller noch die Justizvollzugsanstalten irgend eine \u00dcberpr\u00fcfung der Software auf Sicherheit durchgef\u00fchrt haben. Wittmann dokumentiert in ihrem lesenswerten Artikel<\/a> haarstr\u00e4ubende Schwachstellen und brisante Zusammenh\u00e4nge. Wittmann fordert von den Justizministern, zu pr\u00fcfen, ob dem Anbieter die Konzession f\u00fcr diesen Dienst wegen Unzuverl\u00e4ssigkeit zu entziehen ist. Dann f\u00fcr den Anbieter war das Ganze ein lukratives Gesch\u00e4ft (pro Monat zahlen die Insassen gesch\u00e4tzt ca. 36 Euro f\u00fcr diese Leistung, da l\u00e4sst sich leicht hochrechnen, was bei 14.000 Insassen anf\u00e4llt).<\/p>\n

Der WDR, der sich Geschichte mit aufgegriffen hat<\/a>, danke an den Blog-Leser f\u00fcr den Hinweis, zitiert einen Rechtsanwalt, der angibt, sensible Inhalte nicht mehr am Telefon, sondern pers\u00f6nlich zu besprechen.\u00a0 In allen Einrichtungen ist die Sicherheitsl\u00fccke laut Hersteller und NRW-Justizministerium mittlerweile geschlossen. Das Justizministerium versichert auf WDR-Anfrage, dass keine Daten abgegriffen worden seien.<\/p>\n

Die Justizvollzugsanstalten seien angewiesen, dass Gefangene \u00fcber den betroffenen Telefonanbieter keine Gespr\u00e4che f\u00fchren d\u00fcrfen, bis die Sicherheitsl\u00fccken vollst\u00e4ndig gekl\u00e4rt sind. Inzwischen liegt der Fall auch bei den Datenschutzbeh\u00f6rden, die nun das Ganze pr\u00fcfen.<\/p>\n

Die allgegenw\u00e4rtige Verantwortungslosigkeit<\/h2>\n

Der Fall ist ein Beispiel f\u00fcr die allgegenw\u00e4rtige Verantwortungslosigkeit. Wittmann geht davon aus, dass dem Anbieter die Schwachstelle bekannt war, aber nichts unternommen wurde, bis der Fall publik wurde. Die verantwortlichen JVAs haben es nicht f\u00fcr notwendig erachtet, die Software einem Sicherheitsaudit zu unterziehen. Es war halt bequem, einem Anbieter, der die Systeme betriebsfertig bereitstellte, das Gesch\u00e4ft zu \u00fcberlassen. Wittmann weist darauf hin, dass es durchaus JVAs gebe, die andere Systeme einsetzen, wo es dann die obige Sicherheitsl\u00fccke nicht gab. Das passt auch in die allgemeine Tendenz, die Vertraulichkeit des Wortes gem\u00e4\u00df \u00a7 201 StGB zu unterminieren. Wenn ein Anwalt angibt, vertrauliche Gespr\u00e4che nur noch pers\u00f6nlich und nicht per Telefon zu f\u00fchren, l\u00e4sst dies tief blicken.<\/p>\n

\"Wittmann<\/a><\/p>\n

Erg\u00e4nzung:<\/strong> Wittmann hat auf X in diesem Tweet<\/a> die Ausschreibung deses Landes Hamburg ver\u00f6ffentlicht. Dort wurden eine Reihe Forderungen an die Speicherung und das Mith\u00f6ren von Gespr\u00e4chen festgeschrieben, was so eigentlich schon problematisch ist.<\/p>\n

Erg\u00e4nzung 2:<\/strong> Wittmann hat auf X in diesem Tweet<\/a> die Presseverlautbarungen des Unternehmens und von Hamburg zum Vorfall ver\u00f6ffentlicht.<\/p>\n

\"Pressemitteilungen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Sicherheitsforscherin Lilith Wittmann hat eine schwere Sicherheitsl\u00fccke in der API einer Gef\u00e4ngnis-Telefonanlage \u00f6ffentlich gemacht. \u00dcber die API konnte auf die pers\u00f6nlichen Daten ehemaliger und aktueller H\u00e4ftlinge zugegriffen werden. Es waren von allen Menschen aus mindestens 20 Gef\u00e4ngnissen und forensischen Psychiatrien … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-296675","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/296675","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=296675"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/296675\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=296675"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=296675"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=296675"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}