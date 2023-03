Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) hat die Vorabklärung gegen das Zuger Unternehmen Mitto abgeschlossen. Er sieht keine Hinweise auf eine Verletzung der Datenschutzbestimmungen.

Mitto ist Dienstleister vieler grosser Unternehmen und bietet den Versand automatisierter Textnachrichten für Marketing-Kampagnen, 2-Faktor-Authentifizierungen oder Terminerinnerungen. Unter anderem nutzen Google, Facebook und Alibaba den Dienst. Im Dezember 2021 geriet die Firma in die Schlagzeilen: Neben diesem legitimen Geschäft sollen auch "alternative Services" angeboten worden sein.

Schwere Vorwürfe gegen Firmen-Mitgründer

Der Vorwurf lautete, ein Mitto-Mitgründer habe eigene Software installiert, mit der Mobilfunkgeräte überwacht und bestimmte Personen ins Visier genommen werden können. Dazu seien Schwächen des Mobilfunk-Protokolls SS7 ausgenutzt worden, berichteten nach Recherchen 'Bloomberg' und das in London ansässige Bureau of Investigative Journalism.

Aufgrund dieser Berichte wurde der Edöb aktiv und eröffnete eine Vorabklärung. Diese ist nun abgeschlossen. "Ohne Erlass von Empfehlungen", wie es in einer Mitteilung heisst.

Der Edöb verlangte von Mitto in mehreren Schritten weitgehende Angaben zu Schutzmassnahmen in der Firma. Mitto habe allen Aufforderungen des Edöb Folge geleistet und eigene externe Untersuchungen veranlasst. Diese Ergebnisse seien dem Edöb zur Verfügung gestellt worden, so der Schlussbericht (PDF).

Protokolldaten ausgewertet, externes Sicherheits-Audit

"In den Ausführungen wurde auf die ISO-Zertifizierungen der Mitto AG verwiesen und darüber hinaus geltend gemacht, dass eine interne Prüfung der Service-Plattform keine Kompromittierung des Systems gezeigt habe", schreibt der Edöb. Es seien keine Anhaltspunkte für einen Missbrauch gefunden worden und die in den Medienberichten erwähnten Personen hätten keinen Zugriff auf Code-Repositories erlangt. "(Sie) konnten somit keine unrechtmässigen Änderungen vornehmen." Mitto habe Nachweise zu den organisatorischen Rahmenbedingungen des Systembetriebs erbracht. Die Firma habe dargelegt, mit welchen Massnahmen unerlaubte Änderungen an der Software verhindert und aufgedeckt werden können. Auch die Auswertung von Protokollierungsdaten hat laut Mitto keine Hinweise auf eine missbräuchliche Verwendung der Systeme in der vorgeworfenen Weise ergeben. Eine externe Prüfung im Rahmen eines Sicherheits-Audits der Service-Delivery-Plattform und der Telekommunikationssysteme hätten ebenfalls keine Auffälligkeiten zutage gefördert.

Schweizer Mobilfunkanbieter bestätigen Befund

Nach Angaben von Mitto ist es den Mitarbeitenden nicht möglich, ohne eine Veränderung der Systeme beziehungsweise der Software Zugriff auf Lokalisierungsangaben von SMS-Empfängerinnen und -Empfängern zu erlangen.

Dies sei durch die ebenfalls zur Stellungnahme eingeladenen Mobilfunkanbieter in der Schweiz bestätigt worden, schreibt der Datenschutzbeauftragte. "Der Edöb hat im Rahmen seiner ihm zur Verfügung stehenden Mittel die notwendigen und möglichen Prüfungen veranlasst und sieht keine Hinweise, die den Verdacht bestätigen würden, dass es zu einer Verletzung von Datenschutzbestimmungen gekommen ist."