Spionage-Vorwürfe gegen Schweizer Firma

7. Dezember 2021 um 14:02
  • datenschutz
  • regulierung
  • international
image

Die Zuger Firma Mitto bietet SMS-Dienste für Unternehmen. Nun werden schwere Vorwürfe erhoben: Sie soll die Überwachung von Personen ermöglicht haben. Der Edöb will Antworten.

Die in Zug beheimatete Firma Mitto ist Dienstleister vieler grosser Unternehmen und bietet den Versand automatisierter Textnachrichten für Marketing-Kampagnen, 2-Faktor-Authentifizierungen oder Terminerinnerungen. Neben diesem legitimen Geschäft steht nun aber der Verdacht auf "alternative Services" im Raum. Es werden nämlich schwere Vorwürfe gegen einen Mitgründer des Unternehmens erhoben: Er soll die Überwachung von Geräten ermöglicht haben.
Die Vorwürfe gegen Mitto-Mitgründer Ilja Gorelik werden in einem Bericht nach Recherchen von 'Bloomberg' und dem in London ansässigen Bureau of Investigative Journalism erhoben.
Mitto zähle praktisch alle der grossen Tech-Konzerne zu seinen Kunden und unterhalte Beziehungen mit Telcos weltweit, auch mit den drei Schweizer Mobilfunkbetreibern. Für den Versand von Massen-SMS habe Mitto Verträge mit Providern in mehr als 100 Staaten. Das Unternehmen erhalte so Zugänge zu den Mobilfunknetzen, so der Bericht.

Schwächen im SS7-Protokoll

Dies habe Gorelik ausgenutzt und einen "alternativen Service" geboten, wie es heisst. Zu diesen Kunden hätten Unternehmen für Überwachungstechnologien gehört, die ihrerseits Verträge mit Regierungsbehörden abgeschlossen hätten, erklären die Quellen im Bericht.
Gorelik habe eigene Software installiert, mit der Mobilfunkgeräte überwacht werden konnten. Dazu seien Schwächen des Mobilfunk-Protokolls SS7 ausgenutzt worden, wird im Bericht ausgeführt. Das Protokoll gilt seit Jahren als missbrauchsanfällig, insbesondere weil es auf einem veralteten Vertrauensmodell basiert.  Security-Forscher in Deutschland konnten bereits 2014 nachweisen, dass Angreifer über SS7 die Aufenthaltsorte von Mobilfunknutzern überwachen und die Kommunikation belauschen könnten.

Mitto: "nicht an einem Überwachungsgeschäft beteiligt"

Die Mitto-Kunden und die Provider hätten nichts davon gewusst, heisst es im Bericht. In einem Statement erklärt Mitto gegenüber 'Bloomberg', dass man "nicht an einem Überwachungsgeschäft" beteiligt sei. Es sei eine interne Untersuchung eingeleitet worden, "um festzustellen, ob unsere Technologie und unser Geschäft kompromittiert wurden". "Wir sind schockiert über die Behauptungen gegen Ilja Gorelik und unser Unternehmen", fügt Mitto an.
Gorelik, COO und VR-Mitglied, selbst hat laut ‘Bloomberg’ nicht auf Anfragen reagiert. Er hat Mitto 2013 mit Andrea Giacomini gegründet. Der Hauptsitz befindet sich zwar in Zug, doch die meisten der rund 250 Mitarbeitenden sind laut dem Bericht in Deutschland und seit kurzem auch in Serbien tätig.

Regierungen und Strafverfolgungsbehörden

Der Bericht beruft sich weiter auf zwei Quellen, die sagten, ihr früherer Arbeitgeber habe mit Gorelik zusammengearbeitet, um Überwachungsmassnahmen für Regierungen durchzuführen. Sie fügen an, dass er eine spezielle Software installiert habe, die dazu verwendet werden kann, bestimmte Personen ins Visier zu nehmen.
So sei es möglich gewesen, den Standort von Mobiltelefonen zu verfolgen und in einigen Fällen auch Anrufprotokolle abzurufen. Zu den Zielen soll ein hochrangiger US-Diplomat gehört haben. Die Autoren berichten auch von einer unbekannten Person in Südostasien. Beide Versuche seien allerdings als Angriffe erkannt und blockiert worden.

Edöb aktiv

Der Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) hat am 7. Dezember 2021 eine Vorabklärung in dieser Sache eröffnet. In einem ersten Schritt wird er laut einer Mitteilung Mitto zur Stellungnahme auffordern. Ausserdem will er die Mobilfunkbetreiber der Schweiz kontaktieren.

"Ohne Rechenschaft und Transparenz"

Die Enthüllungen von 'Bloomberg' und dem Bureau of Investigative Journalism stützen sich eigenen Angaben zufolge auf Interviews mit mehr als zwei Dutzend Personen, darunter ehemalige Mitto-Mitarbeiter, Insider der Überwachungsbranche und Cybersicherheitsexperten sowie auf E-Mails und Dokumente, die die Überwachungsarbeit beschreiben. Die Berichte seien ein weiteres Beispiel dafür, wie Regierungen und private Auftragnehmer Schwachstellen in Kommunikationssystemen angeblich ausgenutzt haben, um Menschen auszuspionieren, heisst es im Artikel.
"Die privatwirtschaftliche Überwachungsindustrie wächst rasant, aber sie operiert im Dunkeln, ohne jegliche Rechenschaftspflicht oder Transparenz, und das hat echte Auswirkungen auf die Menschenrechte", kommentiert Jonathon Penney, Mitarbeiter des Forschungszentrums Citizen Lab der Universität Toronto. Firmen wie die israelische NSO Group sowie deren Regierungskunden betonen stets, die Technologien werden für die Verbrechensbekämpfung eingesetzt. Doch in den vergangenen Jahren gab es immer wieder Fälle, in denen Regierungen Spyware eingesetzt haben, um Journalisten oder Menschenrechtler auszuspionieren. 
Update 18.30 Uhr: Der Artikel wurde um die Stellungnahme des Edöb ergänzt. 

Loading

Mehr zum Thema

image

Behörden fürchten goldenen Microsoft-Käfig

Durch deutsche Amtsstuben tönt der Aufschrei: Wir sind gefangen im goldenen Microsoft-Käfig! Denn bei der Büro-Software haben sie oftmals keine Wahl. In der Schweiz ist die Situation vergleichbar.

publiziert am 5.11.2024
image

Spar Schweiz hat Projekt mit Gesichtserkennung gestoppt

Der Detailhändler wollte ein Analysesystem für personalisierte Werbung nutzen. Doch nach negativem Kundenfeedback verzichtet Spar.

publiziert am 4.11.2024
image

Daten müssen nicht zur KI, sondern die KI zu den Daten

Am Rande des Dell Technologies Forum in Zürich haben wir mit Todd Lieb, VP of Cloud Partnerships, und Schweiz-Chef Frank Thonüs über die Herausforderungen von KI-Projekten und die Vorteile der "Late Follower" gesprochen.

publiziert am 31.10.2024
image

Geheimbericht lässt kein gutes Haar an Datenbeschaffung des NDB

Eigentlich sollte der Untersuchungsbericht zu den illegalen Praktiken des Nachrichtendienstes unter Verschluss bleiben. Teile daraus sind jetzt trotzdem bekannt geworden.

publiziert am 28.10.2024