Admin-Zugang gekapert: Insasse hackt Gefängnis-IT und macht Mithäftlinge reich
In Rumänien haben Gefängnisinsassen in unerlaubtem Ausmaß auf IT-Systeme ihrer Haftanstalt zugegriffen und sich dadurch unter anderem finanzielle Vorteile verschafft. Wie Risky Business News(öffnet im neuen Fenster) unter Verweis auf rumänische Medien(öffnet im neuen Fenster) berichtet, ereignete sich der Vorfall in den Monaten August bis Oktober 2025. Seinen Ursprung nahm er in der rumänischen Stadt Dej, die rund 30.000 Einwohner hat.
Der Erstzugriff erfolgte den Angaben nach in einem Gefängniskrankenhaus, in dem Insassen zum Zwecke medizinischer Behandlungen vorübergehend untergebracht werden. Dort gibt es spezielle Tablets und Computer, mit denen Gefangene auf ein System der regionalen Strafvollzugsbehörde ANP (National Penitentiary Administration) zugreifen können.
Besagte Geräte werden in einem Kiosk-Modus betrieben und sind bezüglich ihrer Verwendung auf bestimmte Aktionen beschränkt. Insassen können darüber Anträge einreichen, sich durch bestimmte Tätigkeiten ein paar Tage Haftverkürzung verdienen oder Geld auf ein Konto einzahlen, um damit später verschiedene Waren oder Dienstleistungen zu erwerben.
Admin-Zugangsdaten gekapert
Ein Insasse merkte jedoch, dass er die App der ANP auf einem Tablet durch bestimmte Aktionen in den Hintergrund verschieben konnte. Daraufhin erhielt er Zugriff auf andere Apps und Funktionen. Von dort aus arbeitete er sich in ein Druckersystem vor, wo Anmeldevorgänge protokolliert wurden. Darüber gelangte er schließlich an Zugangsdaten eines ehemaligen Direktors des Krankenhauses – mit Adminrechten für die ANP-App.
Ein anderer Häftling, dem der ursprüngliche Entdecker offenbar von der Sicherheitslücke erzählt hatte, ging später noch weiter. Zwar wurde er in ein anderes Gefängnis verlegt, da die ANP-App aber in Rumänien landesweit genutzt wird, konnte er die erbeuteten Zugangsdaten auch dort nutzen.
Auf diesem Wege soll der zweite Häftling insgesamt 15 seiner Mitinsassen Zugang zu pornografischen Inhalten verschafft und deren Kontostände innerhalb der ANP-App manipuliert haben – etwa durch das Löschen von Ausgaben oder das Hinzufügen zusätzlicher Nullen bei Einzahlungen. Teilweise soll er Gefangenen auch einige Tage für eine vorzeitige Entlassung gutgeschrieben haben.
Vom Häftling zum Millionär
Entdeckt wurde der Vorfall aufgrund der Gier der Inhaftierten. Dem Konto eines Mitinsassen soll der Häftling umgerechnet rund eine Million Euro gutgeschrieben haben. Auf seinem eigenen Konto stiegen die Ausgaben auf bis zu 2.000 Euro pro Monat – äußerst viel für einen Gefängnisinsassen in Rumänien. Ein Bankmitarbeiter stellte daraufhin Unstimmigkeiten zwischen den Ein- und Auszahlungen im System fest.
Offenkundig sprach sich die Sicherheitslücke aber auch in anderen Gefängnissen herum. Vergleichbare Zugriffe soll es auch noch in zwei weiteren Haftanstalten gegeben haben. Allein ein einzelner Akteur soll mehr als 300 Stunden lang unentdeckt als Administrator am System angemeldet gewesen sein.
Rumänischen Medienberichten zufolge(öffnet im neuen Fenster) verschwieg die ANP den Vorfall für mehrere Wochen, nachdem sie von Informanten darauf aufmerksam gemacht wurde. Der Behörde wird nun vorgeworfen, rumänische Haftanstalten damit wissentlich dem Risiko weiterer Angriffe ausgesetzt zu haben, die unter anderem zu einer unrechtmäßigen Freilassung von Häftlingen hätte führen können.