Datenabfluss aus dem Knast
Kommunikationsdaten von über 14.000 Insass*innen aus 20 Gefängnissen und forensischen Kliniken standen frei zugänglich im Internet. Weil der Telefonieanbieter Gerdes Communications (Teil von telio) seine Programmierschnittstellen nicht schützte.
In Deutschland sitzen momentan rund 44.000 Menschen in verschiedenen Arten von Knästen. Viele davon sind ziemlich abgeschnitten vom Rest der Welt — insbesondere wenn es um Kommunikation nach draußen geht. In Bundesländern wie Bayern gibt es erst seit kurzem überhaupt die rechtliche Möglichkeit, Menschen im Knast regelmäßig Zugang zu Telefonen zu geben. In anderen Bundesländern gibt es Telefone auf dem Zellenflur mit wenigen (zwischen 10 und 30) freigeschalteten Rufnummern, die dann von den Gefangenen für teils horrende Gebühren angerufen werden können. An modernere Kommunikationsmittel wie Videotelefonie oder E-Mails ist abgesehen von Einzelfällen quasi noch nicht zu denken.
Bei den Technologien für Knastkommunikation gibt es allerdings bereits ein Quasi-Monopol. Die Firma telio aus Hamburg. Sie betreibt in sehr vielen JVAs in Deutschland sowie in 20 weiteren Ländern (darunter Türkei und UAE) die Telekommunikationsinfrastruktur. Entweder unter ihrem eigenen Namen oder unter dem Namen einer Firma, die sie übernommen hat, wie z.B. der Gerdes Communications GmbH. Dabei wird die von der Gerdes Communications GmbH genutzte Software zwar weiterhin von der ehemaligen Mutterfirma Gerdes AG entwickelt, allerdings von der Gerdes Communications GmbH (also telio) an die Anstalten verkauft und betrieben.
Dabei stellen sie Anstalten meistens kostenlos Telefone und Server bereit und betreiben die Infrastruktur gemeinsam mit den JVAs über sogenannte Konzessionen. Die Anstalten pflegen dann nur die Inhaftierten und deren erlaubte Gesprächspartner in das telio System ein — den Rest übernimmt telio unter Aufsicht der Anstalt.
Das tun sie über das Prison Control Center. Eine Webapplikation, die praktischerweise aus dem Internet erreichbar ist. So kann der Knast auch aus dem Homeoffice gemanagt werden. Toll, was dank Zusammenarbeit mit dem privaten Sektor alles möglich ist!
Diese Systeme stehen größtenteils direkt in den Gefängnissen und sind von außen über dyndns und einen Proxy erreichbar. Unter URLS wie z.B.
- https://fuhlsbuettel.hamburg.jva.gerdescom.de
- https://stadtroda.jva.gerdescom.de
- https://erding.jva.gerdescom.de
Unpraktisch an diesem Control Center ist, dass die Entwickler von Gerdescom bzw. der Gerdes AG leider ihre API nicht geschützt haben. Jeder, der die URL kannte, konnte zum Beispiel auf https://stadtroda.jva.gerdescom.de/graphql/ gehen und von dort aus den Knast managen kann. Oder zumindest auf die Daten aller Insass*innen zugreifen kann. Ganz bequem über ein User-Interface mit Schnittstellendokumentation.
Über diese Programmierschnittstelle ließen sich um genau zu sein auf die folgenden Informationen aller Insass*innen zugreifen:
- Vorname
- Nachname
- Haftnummer
- PIN/Gerdes-Nummer (zum Login am Telefon benötigt)
- Notizen (z.B. “Verlegt aus der U-Haft”)
- Datum letzte Nutzung/Schließung des Accounts
- Guthaben
Für alle Telefonate aus einem Zeitraum X (idR. 10 Tage):
- Wer wurde angerufen (Nummer, Name, Beschreibung des Kontakts z.B. “Ehefrau” oder “Rechtsanwalt”)
- Dauer des Anrufes
- Genaue Zeitstempel Beginn/Ende des Telefonats
- Ob das Telefonat aufgezeichnet wurde und falls es aufgezeichnet wurde, die Pfade zu den Dateien. Ob diese Aufzeichnungen abrufbar waren, wurde aus ethischen gründen nicht geprüft, den Ordner /media/recordings/ gibt es auf dem Server aber.
- Ob die Aufzeichnung von der Polizei initiiert wurde
- Freizeitaktivitäten des Gefangenen (nicht in allen Knästen genutzt)
- Hinweise auf die Unterbringung (wo das Telefon ist) und das Entlassungsdatum (Datum an dem Account geschlossen wird)
Also Zugriff auf alle Daten, die man sich nur wünschen kann, um zu verstehen, wer wo auf welcher Station im Knast sitzt. Und natürlich mit wem diejenige kommuniziert. Besonders kritisch sind dabei Informationen wie Metadaten der Anrufe mit Anwälten oder Psychologen, aber auch alleine die Information, dass man einsitzt, in der Vergangenheit einsaß oder zu jemandem im Knast Kontakt hält, kann zur gesellschaftlichen Stigmatisierung führen.
Auch für die Ermittlungsbehörden ist es vermutlich nicht gerade erfreulich, dass öffentlich abrufbar ist, wen sie denn gerade abhören oder schnell ersichtlich ist, wer wann wohin verlegt wurde.
Weitere Lücken
Neben der API, die Zugang zu allen Informationen gibt, gab es noch weitere “kleinere” Sicherheitslücken:
- Über die Schnittstelle auf der Webseite https://gerdescom.de/ lassen sich mit gerade mal 100 Millionen Aufrufen (dauert etwa so 7 Tage) alle vorhandenen Accounts sowie das verfügbare Guthaben bei Gerdescom herausfinden.
- Über eine Sicherheitslücke im Videokonferenzsystem “VideoVisit” von Gerdescom lassen sich zu diesen IDs in vielen Fällen Vorname, Nachname, Haftnummer und Anstalt, in der die Person untergebracht ist, abrufen. Dazu muss nur eine Kontaktanfrage gestellt werden und schon liefert die Programmierschnittstelle die Daten als Kontaktliste aus.
- Im Videokonferenzsystem “VideoVisit” von Gerdescom gibt es zwar einen Login, für den Aufruf der Programmierschnittstelle im Namen eines anderen Users ist allerdings nur dessen E-Mail-Adresse notwendig.
Die in Gefängnissen eingesetzten digitalen Systeme sind eine Unverschämtheit. Sie sind schlecht, wirklich sehr sehr teuer (vgl. z.B. der Lichtblick, 2023–00 — extra, S9ff) und bieten nur einen sehr eingeschränkten Zugang zur Kommunikation mit der Außenwelt. Fast so, als möchten wir die Menschen im Gefängnis nochmal zusätzlich mit Abschottung von der Gesellschaft sowie Entkopplung von der technologischen Entwicklung draußen bestrafen.
Rechtliche Situation
Dass man aber bei der eingesetzt Technologie nicht einmal auf die grundlegenden Rechte der Menschen im Knast achtet und der Staat seiner Verantwortung nach § 183 (2) StVollzG nicht nachkommt und anscheinend dieses System auch noch nie von irgendeiner Behörde geprüft wurden, ist wirklich unvorstellbar.
(2) Akten und Dateisysteme mit personenbezogenen Daten sind nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 durch die erforderlichen technischen und organisatorischen Maßnahmen gegen unbefugten Zugang und unbefugten Gebrauch zu schützen. Gesundheitsakten und Krankenblätter sind getrennt von anderen Unterlagen zu führen und besonders zu sichern.
— Gesetz über den Vollzug der Freiheitsstrafe und der freiheitsentziehenden Maßregeln der Besserung und Sicherung (Strafvollzugsgesetz — StVollzG)
§ 183 Schutz der Daten in Akten und Dateisystemen
Das Datenschutzrecht fordert, dass die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln nur unter behördlicher Aufsicht vorgenommen werden darf. Im Regelfall bedeutet dies, dass die Justizvollzugsanstalten verantwortlich sind und jedweder Dienstleister als Auftragsverarbeiter agiert. Telio wird insofern vertragsbrüchig geworden sein, als dass sie technische und organisatorische Maßnahmen zugesichert haben dürfte, welche die Sicherheit der personenbezogenen Daten gewährleisten. Zuzurechnen ist dieser Verstoß letztlich aber der bzw. den Verantwortlichen.
Was hier aus datenschutzrechtlicher Sicht passiert ist: Es wurden keine Maßnahmen getroffen, die eine unbefugte Kenntnisnahme von gespeicherten personenbezogenen Daten verhindern. Die Vertraulichkeit der Daten war also nicht sichergestellt.
Spannend ist darüber hinaus die Frage, ob auch gegen § 9 (1) TDDDG verstoßen wurde. Diese Vorschrift legt fest, welche Metadaten bei einem Anruf verarbeitet werden dürfen. Insbesondere Daten des Angerufen (z.B. Name) sind kein erlaubtes Merkmale und unterliegen somit wahrscheinlich einem Verarbeitungsverbot. Hierüber führt die Bundesnetzagentur Aufsicht und sollte die Zulässigkeit in diesem besonderen Fall prüfen.
Durch den entstandenen immateriellen und ggf. auch materiellen Schaden dürfte den Insassen und den Angerufenen außerdem ein Schadenersatz zustehen.
Soziale Situation
Zugang zur digitalen Welt für Menschen, die eingeknastet wurden, sollte nicht durch ein monopolistisches Unternehmen geregelt werden, insbesondere nicht von einem, dass mit den Daten einer vulnerablen Gruppe so umgeht. Es sollte besser überhaupt nicht von einem Unternehmen geregelt werden.
Ich gehe davon aus, dass Gerdes und vermutlich auch telio die Schwachstellen in ihrem System bekannt waren. Da sie nicht nur in Deutschland Infrastruktur betreiben, sondern auch in Finnland ein “Smart Prison” Projekt umsetzten. Und dort wurde zumindest mit — was ich eine “Weiterentwicklung der Schnittstellen, die sie in Deutschland einsetzen” nennen würde — etwas auf die IT-Sicherheit geachtet. Die APIs benötigen eine Authentifizierung und zumindest die absoluten grundlegenden Sicherheitsstandards wurden eingehalten. (Siehe z.B. https://visitor.gerdescom.fi/)
Weil telio in den Knästen die einzige Option ist, um mit der Außenwelt zu kommunizieren, wird der Service trotzdem rege genutzt. Gefangene telefonieren im Schnitt für geschätzt 36€ im Monat. Im Knast kostet ein Telefonat pro Minute durchschnittlich 6 Cent und ein Call dauert 7 Minuten. Außerhalb des Knastes gibt es für 36€ schon eine Flatrate inklusive Internet. Im Knast muss mit den dortigen Gehältern für die durchschnittliche telio Rechnung zwischen zwei und vier Tage gearbeitet werden. Vier Tage arbeiten, um durchschnittlich 20 Minuten am Tag (10 Stunden im Monat) den Kontakt nach draußen zu halten.
Für Menschen, die während ihres Gefängnisaufenthaltes noch nicht ihr Überbrückungsgeld angespart haben, entsprechen diese 36€ sogar fast der Hälfte des Geldes, dass sie pro Monat zur Verfügung haben.
Mit telio wird auch die Frage, wer den Knast früher verlassen darf, umso mehr zur Klassenfrage. Denn bei der Bewertung eines Antrags zur vorzeitigen Haftentlassung spielt natürlich auch eine Rolle, ob der Mensch aktuell ein soziales Netz draußen hat. Dieses zu erhalten ist deutlich einfacher, wenn da jemand ist, der jeden Monat 200€ auf das telio Konto einzahlen kann.
Wie hoch die Preise in einzelnen Anstalten liegen, ist allerdings unterschiedlich. Je nachdem wie gut eine einzelne JVA/Justizbehörde für die Insass*innen verhandelt haben.
Die Justizbehörden sollten dringend prüfen, ob es nicht angebracht wäre, telio und Gerdescom aufgrund ihres unverantwortlichen Verhaltens die Konzessionen zu entziehen. Es gibt durchaus Anstalten, in denen die Telefonie ohne ein externes Unternehmen umgesetzt wurde. Mit dem Nebeneffekt, dass Kommunikation in Knästen für alle zugänglicher wird.
Während die deutschen Verwaltungen mit ihren Ideen zu new Public Management weiterhin in den frühen 2000ern hängen geblieben ist, zeigen insbesondere Fälle im JVA-Bereich, das die Gesamtkosten solcher Maßnahmen für die Gesellschaft eigentlich immer höher ausfallen, als wenn der Staat die Daseinsfürsorge selbst organisiert hätte. Und es ist völlig offensichtlich, dass eine Reduktion der “Pains of Imprisonment“ die Erfolgschancen einer Resozialisierung erhöht.
Im hier aufgezeigten Fall würde vermutlich schon ein einziger echter Datenabfluss zu höheren Folgekosten für die Gesellschaft führen, als eine echte Telefonieflatrate für Gefangene in einem Jahrzehnt gekostet hätte. Ganz zu schweigen von einem potenziellen Nutzen.
Betroffene Anstalten
- Justizvollzugsanstalt Billwerder (Hamburg)
- Justizvollzugsanstalt Fuhlsbüttel (Hamburg)
- Untersuchungshaftanstalt Hamburg (Hamburg)
- Justizvollzugsanstalt Hof (Bayern)
- Justizvollzugsanstalt Gießen (Hessen)
- Justizvollzugsanstalt Wuppertal-Ronsdorf (NRW)
- Forensische Psychiatrie — Asklepios Fachklinikum Stadtroda (Thüringen)
- Forensische Psychiatrie Schloss Werneck (Bayern)
- Justizvollzugsanstalt Schwerte (NRW)
- Justizvollzugsanstalt Attendorn (NRW)
- Justizvollzug Sozialtherapeutische Anstalt Hamburg (Hamburg)
- Justizvollzugsanstalt Dresden (Sachsen)
- Zweiganstalt Kaufungen — Kassel (Hessen)
- Justizvollzugsanstalt Limburg a. d. Lahn (Hessen)
- Justizvollzugsanstalt Erding (Bayern)
- Forensische Psychiatrie — Bezirkskrankenhaus Lohr (Bayern)
- Justizvollzugsanstalt Eichstätt — Einrichtung für Abschiebungshaft (Bayern)
- Justizvollzugsanstalt Gelsenkirchen (NRW)
- Justizvollzugsanstalt Fulda (Hessen)
- Justizvollzugsanstalt Kassel I (Hessen)
- Justizvollzugsanstalt Herford (NRW)
- Justizvollzugsanstalt Hünfeld (Hessen)
Vermutlich waren noch weitere Knäste betroffen. Deren Infrastruktur hatte zu dem Zeitpunkt der Überprüfung aber andere Probleme.
Timeline
- 24.06.2024–14:00 — Report geht an die Firma, das Cert Bund sowie die Landes und den Bundesdatenschutzbeauftragten
- 24.06.2024–22:00 — 18 der 20 Schnittstellen sind repariert
- 25.06.2024–10:30 — Alle 20 Schnittstellen sind repariert oder abgeschaltet
- 25.06.2024–18:00 — Gerdescom hat bestätigt, dass das VideoVisit System, nachdem es erst heruntergefahren, dann wieder gestartet wurde und jetzt endgültig abgeschaltet ist.
- 26.06.2024–15:00 — Koordinierte Veröffentlichung nachdem laut Aussagen mehrerer Datenschutzbeauftragten alle gemeldeten Lücken geschlossen wurden.
- 28.06.2024 — Telio/Gerdes und die Stadt Hamburg veröffentlichen eine PM. Daraus geht hervor, dass die Lücke mindestens 1.5 Jahre bestand und die offene API aktiv genutzt wurde. Bei telio glaubt man, dass man zum Aufrufen eine URL Fachkenntnisse benötigt.
- 01.07.2024 — Gerdescom hat seine Webseite aktualisiert. Und auch eine ausführliche Information für Betroffene veröffentlicht.
Auf Basis dieser Recherche erscheinen parallel auch Artikel bei Zeit Online und dem NDR.
Telio, die Gerdes Communications GmbH sowie die Gerdes AG bekamen die Möglichkeit zur Stellungnahme. Bis zum Verstreichen der Frist äußerten sie sich allerdings nicht.
Vielen Dank an alle Menschen, die mich im Rahmen dieses Projektes juristisch sowie ethisch beraten haben.
Wenn ihr meine zivilgesellschaftliche Arbeit zu Themen wie z.B. Verwaltungsdigitalisierung, Sicherheitsforschung und Open Data unterstützen wollt, dann könnt ihr das via 💸Patreon💸 tun. Und wenn ihr bei meiner nächsten Recherche live dabei sein wollt, dann folgt mir auf Twitter oder Mastodon.
Wenn ihr Hinweise zu Technik in Kontexten von Gefängnissen für mich habt, könnt ihr mich sehr gerne via Threema erreichen: K4K2Z2P8.
Wenn Du bis hier unten gelesen hast, interessiert Dich das Thema Knäste und Digitalisierung vielleicht so sehr wie mich, hier einige Empfehlungen zum Weiterlesen:
- Fraunhofer Fokus: Resozialisierung durch Digitalisierung
- Ausschreibung des Landes Berlin zu telio (Haftraummediensystem)
- How an Illicit Cell Phone Helped Me Take College Courses from Prison
- Writing Is My Main Freedom. One Day My Work Disappeared.
- Außerdem spricht telio öffentlich darüber, dass sie die durch Insassen gewonnen Daten gerne für das Training von Gefängnis-Spezifischen-AI-Modellen einsetzen würden. Es ist schon lange bekannt, dass es keine gute Idee ist, Bias-Maschinen auf marginalisierte Gruppen loszulassen, telio findet es aber super.