Die Sicherheitsforscherin Lilith Wittmann hat eine Sicherheitslücke bei TELIO aufgedeckt. ZEIT-Online konnte die Daten sichten und berichtete am 26.6.2024 darüber.
Danach sollen Kommunikationsdaten von über 14.000 Insassinnen und Insassen aus 20 Gefängnissen und forensischen Kliniken frei zugänglich im Internet gestanden haben, weil der Telefonieanbieter Gerdes Communications (Teil von telio) seine Programmierschnittstellen nicht geschützt habe.
Darunter seien der volle Name und die Haftanstalt, vermutlich über Jahre, offen im Internet zu finden gewesen und evtl. noch zu finden sein. Aus den Daten von mehr als 500.000 Gesprächen gehe sowohl hervor, wer wann mit wem telefoniert hat, als auch das „Verhältnis“ des Inhaftierten zum Gesprächspartner (etwa: Mutter, Freund, Anwalt, Therapeut). Zudem seien Gespräche abgehört und aufgezeichnet worden. Die Mitschnitte fänden sich ebenfalls im Internet, heißt es heute auch von der Berliner Strafverteidigervereinigung.
Die Betreiberin von TELIO, die Gerdes Communications GmbH, habe die Sicherheitslücke gegenüber ZEIT-Online eingeräumt, so die Vereinigung..
Dass die für die Justizvollzugsanstalten zuständigen Justizbehörden offenbar das Telekommunikationssystem TELIO und die dazugehörige Datenverarbeitung nicht auf Sicherheit geprüft haben, sei erschütternd.
Erschütternd sei gleichermaßen, dass Gerdes Communication laut ZEIT-Online die betroffenen Justizvollzugsanstalten und Behörden nur zögerlich informiert.
Dieses, „von uns datenschutzwidrig eingeordnete Verhalten“ der Gerdes Communications GmbH werde sicherlich nicht unerheblich durch die Quasimonopolstellung von TELIO ermöglicht, so die Berliner Vereinigung.
Der Strafvollzug ist eine sog. Kritische Infrastruktur (KRITIS). Damit einhergehend sind besondere Regelungen und Verpflichtungen qua Gesetz, nicht nur bezüglich der Energieversorgung bei einem Blackout, sondern gerade auch bezüglich der IT-Sicherheit und des Datenschutzes der Betroffenen. Die Daten sind sensibel. Verstöße gegen den Datenschutz sind schwere Eingriffe in die Grundrechte der Betroffenen.
Die Berliner Strafverteidigervereinigung weiter:
Die schweren Grundrechtseingriffe durch die Verfügbarkeit der Daten im Internet gehen bei Inhaftierten und bei im Maßregelvollzug Untergebrachten mit einer ins persönliche Umfeld reichenden Stigmatisierung einher. Im frei zugänglichen TELIO-Datenmeer versinkt dabei die Unschuldsvermutung aller betroffenen Untersuchungshäftlinge aus Art 6 Abs. 2 EMRK gleich mit.
„Uns Strafverteidiger*innen betreffend wird der Schutz des Mandatsverhältnisses verletzt und unsere Berufsgeheimnispflicht ad absurdum geführt. Dasselbe gilt für Ärzt*innen und Therapeut*innen.“
„Ganz gleich, ob die Sicherheitslücke durch Cyberkriminelle oder Geheimdienste ausgenutzt wurde oder nicht, muss dem unverantwortlichen Verhalten von Gerdes Communications GmbH als Betreiberin von TELIO im Sinne unserer Mandant*innen, deren Familien, deren Therapeut*innen und deren Rechtsanwält*innen ein Ende gesetzt werden.“
Laut Lilith Wittmann seien Berliner Anstalten wohl nicht betroffen.
„Gleichwohl fordern wir im Sinne unserer Mandant*innen und unserer Mitglieder die Gerdes Communications GmbH dazu auf, der Datenschutzbeauftragten des Landes Berlin alle relevanten Informationen zur Verfügung zu stellen, damit diese selbst eine Überprüfung durchführen kann. Außerdem fordern wir die Senatsverwaltung für Justiz auf, eine datenschutzkonforme und sichere Telekommunikation der Inhaftierten und im Maßregelvollzug Untergebrachten zu ermöglichen und sicherzustellen.“