Mega-Panne: Häftlinge hacken Gefängnis-System und machen sich selbst reich

Mehrere Inhaftierte nutzten eine Schwachstelle im Computersystem aus und verschafften sich damit Vorteile, vor allem in Form von Geld. Erst als die Summen ungewöhnlich hoch wurden, fiel der Vorgang auf.

Zugang zu Systemen im Gefängniskrankenhaus

Der Fall nahm seinen Anfang in einem Gefängniskrankenhaus in der Stadt Dej (rund 30.000 Menschen leben dort). In diesem Krankenhaus waren Inhaftierte vorübergehend untergebracht, um medizinische Behandlung zu erhalten. Dort gab es Tablets und Computer, die eigentlich nur für bestimmte Abläufe gedacht waren. Damit konnten Anträge gestellt werden, Tage der Haftverkürzung erarbeitet werden oder Geld für Einkäufe innerhalb des Gefängnisses auf ein Konto eingezahlt werden. Die Geräte liefen in einem sogenannten eingeschränkten Modus. Eigentlich sollten damit nur ausgewählte Anwendungen funktionieren.

Schwachstelle entdeckt und ausgenutzt

Ein Inhaftierter bemerkte jedoch, dass er die vorgesehene App in den Hintergrund schieben konnte. Dadurch erhielt er Zugriff auf weitere Programme. So gelangte er schließlich zu einem Druckersystem, das Anmeldungen speicherte. Auf diesem Weg kam er an Daten eines früheren Direktors des Krankenhauses. Diese Zugangsdaten ermöglichten ihm den höchsten Zugriff auf das System. Ein zweiter Inhaftierter, der von der Schwachstelle erfahren hatte, wurde später in ein anderes Gefängnis verlegt. Da die gleiche App im ganzen Land genutzt wird, konnte er die erlangten Daten auch dort verwenden.

Über diesen Zugang konnte er unter anderem Kontostände innerhalb des Systems verändern, zusätzliche Nullen anhängen oder Ausgaben entfernen. Außerdem konnte er Tage einer möglichen früheren Entlassung anrechnen.

Hohe Summen führten zur Entdeckung

Der Vorgang flog auf, weil die Beträge irgendwann zu hoch wurden. Einem anderen Inhaftierten wurden rund eine Million Euro (Währung aus dem Raum der Europäischen Union) gutgeschrieben. Außerdem fielen bei dem Hauptakteur Ausgaben von bis zu 2.000 Euro pro Monat an – sehr viel für jemanden in Haft. Ein Bankangestellter bemerkte schließlich Unstimmigkeiten zwischen Einzahlungen und Ausgaben. So wurde der Vorfall untersucht. Es gab Hinweise, dass ähnliche Zugriffe auch in weiteren Gefängnissen im Land stattfanden. Teilweise war ein Inhaftierter mehr als 300 Stunden als Verwalter im System angemeldet, ohne entdeckt zu werden.

Vorwürfe gegen Behörden

Laut rumänischen Medien wurde der Fall zunächst mehrere Wochen lang nicht öffentlich genannt. Der zuständigen Behörde wird nun vorgeworfen, Haftanstalten im Land damit dem Risiko weiterer Computerzugriffe ausgesetzt zu haben, was auch zu einer ungerechtfertigten Entlassung von Inhaftierten hätte führen können.