Spionage-Vorwürfe gegen Schweizer Firma

7. Dezember 2021, 14:02
  • datenschutz
  • regulierung
  • international
image

Die Zuger Firma Mitto bietet SMS-Dienste für Unternehmen. Nun werden schwere Vorwürfe erhoben: Sie soll die Überwachung von Personen ermöglicht haben. Der Edöb will Antworten.

Die in Zug beheimatete Firma Mitto ist Dienstleister vieler grosser Unternehmen und bietet den Versand automatisierter Textnachrichten für Marketing-Kampagnen, 2-Faktor-Authentifizierungen oder Terminerinnerungen. Neben diesem legitimen Geschäft steht nun aber der Verdacht auf "alternative Services" im Raum. Es werden nämlich schwere Vorwürfe gegen einen Mitgründer des Unternehmens erhoben: Er soll die Überwachung von Geräten ermöglicht haben.
Die Vorwürfe gegen Mitto-Mitgründer Ilja Gorelik werden in einem Bericht nach Recherchen von 'Bloomberg' und dem in London ansässigen Bureau of Investigative Journalism erhoben.
Mitto zähle praktisch alle der grossen Tech-Konzerne zu seinen Kunden und unterhalte Beziehungen mit Telcos weltweit, auch mit den drei Schweizer Mobilfunkbetreibern. Für den Versand von Massen-SMS habe Mitto Verträge mit Providern in mehr als 100 Staaten. Das Unternehmen erhalte so Zugänge zu den Mobilfunknetzen, so der Bericht.

Schwächen im SS7-Protokoll

Dies habe Gorelik ausgenutzt und einen "alternativen Service" geboten, wie es heisst. Zu diesen Kunden hätten Unternehmen für Überwachungstechnologien gehört, die ihrerseits Verträge mit Regierungsbehörden abgeschlossen hätten, erklären die Quellen im Bericht.
Gorelik habe eigene Software installiert, mit der Mobilfunkgeräte überwacht werden konnten. Dazu seien Schwächen des Mobilfunk-Protokolls SS7 ausgenutzt worden, wird im Bericht ausgeführt. Das Protokoll gilt seit Jahren als missbrauchsanfällig, insbesondere weil es auf einem veralteten Vertrauensmodell basiert.  Security-Forscher in Deutschland konnten bereits 2014 nachweisen, dass Angreifer über SS7 die Aufenthaltsorte von Mobilfunknutzern überwachen und die Kommunikation belauschen könnten.

Mitto: "nicht an einem Überwachungsgeschäft beteiligt"

Die Mitto-Kunden und die Provider hätten nichts davon gewusst, heisst es im Bericht. In einem Statement erklärt Mitto gegenüber 'Bloomberg', dass man "nicht an einem Überwachungsgeschäft" beteiligt sei. Es sei eine interne Untersuchung eingeleitet worden, "um festzustellen, ob unsere Technologie und unser Geschäft kompromittiert wurden". "Wir sind schockiert über die Behauptungen gegen Ilja Gorelik und unser Unternehmen", fügt Mitto an.
Gorelik, COO und VR-Mitglied, selbst hat laut ‘Bloomberg’ nicht auf Anfragen reagiert. Er hat Mitto 2013 mit Andrea Giacomini gegründet. Der Hauptsitz befindet sich zwar in Zug, doch die meisten der rund 250 Mitarbeitenden sind laut dem Bericht in Deutschland und seit kurzem auch in Serbien tätig.

Regierungen und Strafverfolgungsbehörden

Der Bericht beruft sich weiter auf zwei Quellen, die sagten, ihr früherer Arbeitgeber habe mit Gorelik zusammengearbeitet, um Überwachungsmassnahmen für Regierungen durchzuführen. Sie fügen an, dass er eine spezielle Software installiert habe, die dazu verwendet werden kann, bestimmte Personen ins Visier zu nehmen.
So sei es möglich gewesen, den Standort von Mobiltelefonen zu verfolgen und in einigen Fällen auch Anrufprotokolle abzurufen. Zu den Zielen soll ein hochrangiger US-Diplomat gehört haben. Die Autoren berichten auch von einer unbekannten Person in Südostasien. Beide Versuche seien allerdings als Angriffe erkannt und blockiert worden.

Edöb aktiv

Der Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) hat am 7. Dezember 2021 eine Vorabklärung in dieser Sache eröffnet. In einem ersten Schritt wird er laut einer Mitteilung Mitto zur Stellungnahme auffordern. Ausserdem will er die Mobilfunkbetreiber der Schweiz kontaktieren.

"Ohne Rechenschaft und Transparenz"

Die Enthüllungen von 'Bloomberg' und dem Bureau of Investigative Journalism stützen sich eigenen Angaben zufolge auf Interviews mit mehr als zwei Dutzend Personen, darunter ehemalige Mitto-Mitarbeiter, Insider der Überwachungsbranche und Cybersicherheitsexperten sowie auf E-Mails und Dokumente, die die Überwachungsarbeit beschreiben. Die Berichte seien ein weiteres Beispiel dafür, wie Regierungen und private Auftragnehmer Schwachstellen in Kommunikationssystemen angeblich ausgenutzt haben, um Menschen auszuspionieren, heisst es im Artikel.
"Die privatwirtschaftliche Überwachungsindustrie wächst rasant, aber sie operiert im Dunkeln, ohne jegliche Rechenschaftspflicht oder Transparenz, und das hat echte Auswirkungen auf die Menschenrechte", kommentiert Jonathon Penney, Mitarbeiter des Forschungszentrums Citizen Lab der Universität Toronto. Firmen wie die israelische NSO Group sowie deren Regierungskunden betonen stets, die Technologien werden für die Verbrechensbekämpfung eingesetzt. Doch in den vergangenen Jahren gab es immer wieder Fälle, in denen Regierungen Spyware eingesetzt haben, um Journalisten oder Menschenrechtler auszuspionieren. 
Update 18.30 Uhr: Der Artikel wurde um die Stellungnahme des Edöb ergänzt. 

Loading

Mehr zum Thema

image

Ransomware-Bande meldet Angriff auf Ferrari

Die Gruppe Ransomexx hat angeblich erbeutete Dateien veröffentlicht. Der Automobilhersteller erklärt, keine Beweise für eine Verletzung seiner Systeme zu haben.

publiziert am 3.10.2022
image

Zürcher Datenschützerin zum Cloudeinsatz: "Der Regierungsratsbeschluss ändert gar nichts"

Bei Dominika Blonski häufen sich seit dem Frühling Anfragen von Behörden zur Cloudnutzung. Im Gespräch sagt die Datenschützerin: "Ich weiss nicht, was die Absicht der Zürcher Regierung war."

publiziert am 30.9.2022 7
image

IT-Woche: Datenschutz vs. Anwälte – wer gewinnt?

Es läuft die Schlussviertelstunde des Spiels. Aktuell steht es Unentschieden. Die Anwälte sind im Angriff, aber die Datenschützer haben eine starke Verteidigung im Aufgebot.

publiziert am 30.9.2022
image

Datenschützer äussern harsche Kritik an Cloud-Entscheiden von Behörden

Die Konferenz der schweizerischen Datenschutzbeauftragten (Privatim) fordert: Kein Freipass für Microsoft 365.

publiziert am 30.9.2022