Die Sicherheitsforscherin Lilith Wittmann hat eine Sicherheitslücke bei TELIO aufgedeckt. Die ZEIT- Online konnte die Daten sichten und berichtete am 26.6.2024 darüber. Demnach waren Daten von mehr als 14.000 Inhaftierten im Internet frei zugänglich.
Details dazu gibt es auf der Medium-Seite von Lilith Wittmann [externer Link].
Darunter seien der volle Name und die Haftanstalt, vermutlich über Jahre, offen im Internet zu finden. Aus den Daten von mehr als 500.000 Gesprächen gehe sowohl hervor, wer wann mit wem telefoniert hat, als auch das „Verhältnis“ des Inhaftierten zum Gesprächspartner (etwa: Mutter, Freund, Anwalt, Therapeut). Zudem seien Gespräche abgehört und aufgezeichnet worden. Die Mitschnitte fänden sich ebenfalls im Internet.
Die Betreiberin von TELIO, die Gerdes Communications GmbH, hat die Sicherheitslücke gegenüber ZEIT-Online eingeräumt.
Dass die für die Justizvollzugsanstalten zuständigen Justizbehörden offenbar das Telekommunikationssystem TELIO und die dazugehörige Datenverarbeitung nicht auf Sicherheit geprüft haben, ist erschütternd.
Erschütternd ist gleichermaßen, dass Gerdes Communication laut ZEIT-Online die betroffenen Justizvollzugsanstalten und Behörden nur zögerlich informiert.
Dieses, von uns datenschutzwidrig eingeordnete, Verhalten der Gerdes Communications GmbH wird sicherlich nicht unerheblich durch die Quasimonopolstellung von TELIO ermöglicht. Der Strafvollzug ist eine sog. Kritische Infrastruktur (KRITIS). Damit einhergehend sind besondere Regelungen und Verpflichtungen qua Gesetz, nicht nur bezüglich der Energieversorgung bei einem Blackout, sondern gerade auch bezüglich der IT-Sicherheit und des Datenschutzes der Betroffenen. Die Daten sind sensibel. Verstöße gegen den Datenschutz sind schwere Eingriffe in die Grundrechte der Betroffenen.
Die schweren Grundrechtseingriffe durch die Verfügbarkeit der Daten im Internet gehen bei Inhaftierten und bei im Maßregelvollzug Untergebrachten mit einer ins persönliche Umfeld reichenden Stigmatisierung einher. Im frei zugänglichen TELIO-Datenmeer versinkt dabei die Unschuldsvermutung aller betroffenen Untersuchungshäftlinge aus Art 6 Abs. 2 EMRK gleich mit.
Uns Strafverteidiger*innen betreffend wird der Schutz des Mandatsverhältnisses verletzt und unsere Berufsgeheimnispflicht ad absurdum geführt. Dasselbe gilt für Ärzt*innen und Therapeut*innen.
Ganz gleich, ob die Sicherheitslücke durch Cyberkriminelle oder Geheimdienste ausgenutzt wurde oder nicht, muss dem unverantwortlichen Verhalten von Gerdes Communications GmbH als Betreiberin von TELIO im Sinne unserer Mandant*innen, deren Familien, deren Therapeut*innen und deren Rechtsanwält*innen ein Ende gesetzt werden. Laut Lilith Wittmann sind Berliner Anstalten wohl nicht betroffen.
Gleichwohl fordern wir im Sinne unserer Mandant*innen und unserer Mitglieder die Gerdes Communications GmbH dazu auf, der Datenschutzbeauftragten des Landes Berlin alle relevanten Informationen zur Verfügung zu stellen, damit diese selbst eine Überprüfung durchführen kann. Außerdem fordern wir die Senatsverwaltung für Justiz auf, eine datenschutzkonforme und sichere Telekommunikation der Inhaftierten und im Maßregelvollzug Untergebrachten zu ermöglichen und sicherzustellen.