In Mexiko wird der Journalist Fredid Román auf offener Strasse erschossen. Er hat zuvor über ein Massaker an Studentinnen und Studenten berichtet, in das die Mafia, Polizisten und Militärs verwickelt gewesen sein sollen. Der kritische Journalist ist am Tag zuvor über sein Handy ausgespäht worden. Das war im Sommer 2022. Knapp ein Jahr später macht die Geschichte in der Schweiz Schlagzeilen: Die Ausspähung könnte nämlich ein Schweizer Unternehmen ermöglicht haben, wie ein internationales Rechercheteam schreibt. Zumindest findet es Hinweise auf die Firma Fink Telecom Services, die ein System anbietet, mit dem sich genau solche Handy-Überwachung betreiben lässt.

Die Nachforschungen führen ins Basler Wohngebiet Neubad. Hier hat Fink Telecom Services ihren Sitz, erkennbar bloss an einem schlichten Kleber am Briefkasten eines roten Reihenhäuschens in einer unscheinbare Seitenstrasse. Firmengründer Andreas Fink ist nach den Veröffentlichungen im 'Spiegel' (Paywall) und im 'Tagesanzeiger' (Paywall) abgetaucht. Nun ist er erstmals bereit, über die Vorwürfe und die Recherche zu sprechen. Es geht dabei nicht nur um die Ausspähung von SMS und Anrufen, sondern auch von E-Mailaccounts, Telegram-Chats und Airbnb-Profilen über sein System, das Schwächen im Mobilfunkprotokoll SS7 ausnutzt.

Fink empfängt uns in seinem Wohnzimmer. Er setzt sich vor einen schwarzen Laptop, das Arbeitsinstrument für die Entwicklung und Steuerung seiner globalen Späh-Plattform. Der Telecom-Ingenieur sieht sich ungerecht behandelt, die Medienberichte hatten bereits Folgen für ihn: Die Basler Kantonalbank (BKB) und die Bank Cler hätten ohne Angabe von Gründen private Konten von ihm aufgelöst, sagt Fink. Auch sein wichtigster Draht ins Netz wurde abgeklemmt: Der Provider Telecom Italia Sparkle hat ihm die Leitung gekappt. Mit grossem Aufwand könne er einen Ersatzprovider etablieren, sagt Fink.

Ich habe mein gesamtes System auf den Kopf gestellt und keinen Hinweis darauf gefunden. Zum Zeitpunkt des Mordes war mir der "Global Titel" – die virtuelle Adresse, die für Abfragen nötig ist – bereits gekündigt worden. Aber es ist schon eigenartig, dass diese bloss zwei, drei Wochen nach der Kündigung offenbar von jemand anderem benutzt wurde.

Nein, ehrlich gesagt nicht, ich habe in meinen Logs und Statistiken geforscht und keine Hinweise gefunden, dass jemand den Global Titel in meinem System temporär wieder genutzt hat. Überhaupt konnte ich in Mexiko nie erfolgreiche Abfragen durchführen. Die israelische Firma Circles hatte sich damit vor Jahren eine goldene Nase verdient, dann haben die Netzbetreiber im mafiageplagten Land den Zugang aber abgeklemmt. Ich wurde immer wieder gefragt, ob ich Mexiko "machen" könne, doch das war mir nicht möglich.

Ehrlich gesagt kann ich das nicht klar verneinen. Mit den heutigen Informationen aber sicher nicht mehr. Ich habe kürzlich eine Anfrage von der Polizei in Mexiko erhalten. Ich habe gesagt: Wenn sie es offiziell mit den Telekom-Anbietern machen, ist es denkbar. Die wollten es aber durchs Hintertürchen.

Ja, die haben die Dienste einer meiner Kunden in Anspruch genommen. Zumindest habe ich Nummern in meiner Datenbank gefunden, die mir die Journalisten des 'Spiegel' vorgelegt hatten. Ich habe da erst realisiert, was die eigentlich treiben. Dabei ging es aber um gängige Abfragen, die zeigen, über welche Vermittlungsstelle eine Nachricht gesendet wurde. Damit lassen sich Personen ungefähr lokalisieren, aber nur sehr grob. Meinem Kunden habe ich trotzdem umgehend den Zugang gesperrt.

Den Zugang gesperrt heisst: Fink hat dem Kunden seine API abgeklemmt. Die Programmierschnittstelle stellt er zur Verfügung, damit User Abfragen im Signaling System 7 (SS7) stellen können. Das Protokoll vermittelt weltweit Anrufe und SMS zwischen mobilen Telefonen. Es wurde bereits in den 1970ern entwickelt, als erst wenige Provider auf das System zugriffen und jedes Signal darum als legitim vorausgesetzt wurde. Entsprechend schlecht gesichert war das System – und ist es bis heute in weiten Teilen, obwohl hunderte kleine und grosse Firmen Zugriff darauf haben. Spionage-Firmen, Regierungen und kriminelle Banden nutzen dies, um Menschen zu lokalisieren, auszuhorchen oder ihre Geräte zu manipulieren.

Fink bietet ein Tool über das seine Kunden Signale in das System senden können und Antworten aus dem System erhalten: Er zeigt auf seinem Laptop ein Online-Formular, in das man eine Telefonnummer und einige Parameter eingeben kann. Es gibt laut Fink rund 120 Befehle, mit denen man teilweise aktiv Geräte manipulieren kann. Seine Plattform biete aber "nur" noch Leseabfragen und Lokalisierung, beteuert er.

Fink war Lokalpolitiker der Piratenpartei und wickelte für Wikileaks mit einer Firma die digitalen Spenden ab. Es ist ihm wichtig zu betonen, dass er Gutes im Schilde führt. Auf Twitter teilte Fink zuletzt Beiträge gegen Überwachung, Sicherheitslücken und für den dezentralen Social-Media-Dienst Mastodon. Finks rotes Reihenhäuschen wirkt geradezu wie der Gegenentwurf zu den gesicherten Hochhäusern und Bunkern der Techindustrie und der Geheimdienste.

Unbedarft kann man wohl schon sagen. Wenn die Spiegel-Informationen stimmen, muss ich eingestehen, dass meine API vom Kunden eines Kunden missbraucht wurde. Damit wurden Informationen gesammelt, die später zu einer tieferen Attacke geführt haben, die jedoch nicht über mein System lief. Skrupellos bin ich aber nicht. Ich habe jenen Kunden gesperrt und die Überprüfung verschärft – ohne End-User-Zertifikate geht bei mir gar nichts mehr.

Die kann ich nicht nennen, aber es fängt bei Security-Forschern und Dienstleistern für Regierungen an und geht bis zu Nachrichtendiensten. Ein Kunde von mir bedient die Drogenbehörden in Malaysia. Er hat mir ein Endkundenzertifikat gezeigt. Es war für mich immer entscheidend, dass Kunden vor Ort legal handeln und dass mein Geschäft von der Schweiz aus legitim ist.

Es ist extrem schwierig, die Legitimität zu prüfen, ja. Wenn man aber anfragt, was sie mit meinem Zugang wollen, merkt man schnell, dass illegale Dinge geplant werden. Ich habe sicher 20 bis 30 solcher Anfragen abgelehnt, auch Gesuche von Privatpersonen habe ich immer abgewiesen.

Ich würde nie Datenmanipulation oder Exploits zulassen, um ein Handy zu hacken. Und ich würde meine Dienste keiner Diktatur anbieten. Das ist aber nicht immer einfach, etwa, wenn man in Afrika Geschäfte betreibt. Für einen Export nach Mali für die Terrorbekämpfung hat das Staatssekretariat für Wirtschaft (Seco) bereits Abklärungen begonnen, als das Militär geputscht hat. Das Geschäft war damit passé.

Nein, ich hatte nie über ein Dutzend Kunden, die mir einen Umsatz von etwa 20'000 Franken im Monat beschert haben – das ist auch ungefähr der heutige Stand. Heute verdiene ich mit SMS-Dienstleistungen wieder deutlich mehr. Mit dem Application-to-Person-Versands, etwa für 2-Faktor-Authentifizierung, setze ich rund 300'000 Franken im Monat um.

Über lange Zeit habe ich mein Geld mit SMS-Diensten verdient, das änderte sich vor rund 10 Jahren, als der Preis für einen SMS-Versand von 9 Rappen auf noch 0,05 Rappen abstürzte. Da musste ich meine Firma schliessen. Nach einem Abstecher als IT-Ingenieur bei Postauto habe ich dann 2018 Fink Telecom Services gegründet, um für einen griechischen Kunden eine SMS-Firewall zu entwickeln. Aus dem Projekt ist die API für das SS7-Geschäft entstanden, das nun in den Medien kritisiert wird.

Ich erfülle meine bestehenden Verträge, neue Kunden nehme ich nicht mehr auf. Aber ich könnte noch immer das ganze System verkaufen, was allerdings erst durch das Seco geprüft werden müsste.

Bei Fink sind Briefe des Bundesamtes für Kommunikation (Bakom), des Staatssekretariats für Wirtschaft (Seco) und des internationalen Verbands der Mobilfunkunternehmen (GSMA) ins Haus geflattert – allesamt mit schwerwiegendem Inhalt. Das Bakom will wissen, welche Kunden welche Zugriffe haben. Das Seco will Informationen zu Exportbestimmungen. Die GSMA behauptet, dass Fink Netzbetreiber gehackt habe. Er bestreitet das vehement. Über seine Schnittstelle seien nur Anfragen gemäss Standard an ein System geschickt worden. Das könne seit Jahrzehnten jeder, der Zugang zu SS7 habe, wobei die Netzbetreiber die Anfragen auch gar nicht beantworten müssten.

"Der GSMA war es einfach unangenehm, dass an mir die katastrophale Situation aufgezeigt wurde", sagt Fink. Tatsächlich sind die Schwachstellen im Protokoll schon lange bekannt. Tobias Engel vom Chaos Computer Club (CCC) zeigte schon vor 15 Jahren an einer Präsentation (PDF), wie sich Personen auf bis zu 50 Meter genau lokalisieren lassen. Und bereits eine etwas verfeinerte Google-Suche bringt mehrere Anleitungen für SS7-Attacken und Broschüren von Firmen ans Tageslicht, die darauf basierende Spionage-Tools anbieten. Eine wirbt mit: "Locate. Track. Manipulate." Die Unternehmen sitzen in den USA, den Arabischen Emiraten, Singapur und Israel.

Wenn man weiter zurückschaut, haben auch Telekom-Anbieter wie AT&T dies in den USA angeboten. Das war vor allem bei sogenannten Bounty Hunters beliebt, die flüchtige Straftäter suchten. Das Geschäft wurde aber nach politischen Debatten unterbunden. Sehr bekannt ist heute die Firma Verint Systems, die ursprünglich aus Israel stammt und enge Kontakte zum dortigen Geheimdienst pflegte. Im Land ist der Spionage-Komplex riesig und die Methoden sind skrupelloser, ich will mit den Firmen, wenn möglich, keine Geschäfte machen. Auch "Team Jorge" hätte ich selbst nie als Kunden angenommen.

Ja, das war einer meiner ersten Kunden. Ich brauchte damals dringend Geld und wollte meine API-Plattform etablieren. Rayzone hat aber weitere SS7-Zugänge und bezieht Services für verschiedene Länder von unterschiedlichen Anbietern.

Ich weiss es nicht. Vermutlich weil ich einfach zu finden bin und mich nicht verstecke wie die dubioseren Anbieter. Ich habe den Eindruck, dass man an mir nun ein Exempel statuieren will. Der Mobilfunkverband GSMA will mich aus dem Markt drängen. Mein Fall hat erneut aufgedeckt, wie lasch die Sicherheit in der Industrie gehandhabt wird.

Die Situation von SS7 ist in verschiedenen Ländern aber auch bei den verschiedene Telcos sehr unterschiedlich. In der Schweiz funktionieren meine Dienste nicht. Swisscom etwa hat sich dem Problem schon vor langem angenommen und eine ausgeklügelte Firewall implementiert. Aber man könnte schon mit einem einfachen Paketfilter 99% der Probleme lösen – wer keinen Roaming-Vertrag hat, wird geblockt. Wenn man das mit der Sperrung bestimmter Länder und Regionen kombiniert, wird’s für illegitime Angriffe wirklich schwierig.

Ich hatte mal eine Diskussion mit einem Netzbetreiber in Burkina Faso, dem ich eine Firewall angeboten habe. Der Technologie-Chef und der CEO wurden bleich, als ich ihnen gezeigt habe, was man auf ihrem System alles anstellen kann. Dann haben sie aber gefragt: "Was ist unser Risiko als Telekom-Anbieter"? Das gibt es kaum, weder finanziell noch wegen drohender Schäden. Die Investitionen hingegen wären erheblich. Zudem haben viele Netzbetreiber ihre Technik ausgelagert.

Ich finde es wichtig, dass darüber berichtet wird, damit die Allgemeinheit weiss, was überhaupt möglich ist. Ich mag sicher nicht ganz unbeteiligt sein, aber man hat mich nun zum Sündenbock für ein viel grösseres Problem gemacht.