Eine Schweizer Firma soll in einen Spionage-Skandal verwickelt worden sein: Diese Schlagzeile machte Anfang Woche weltweit die Runde. Ausgelöst wurden sie von einer gemeinsamen Recherche von Bloomberg und dem Bureau of Investigative Journalism. Es soll um SMS-Dienste gehen, die von ausländischen Spionagediensten missbraucht werden – ermöglicht durch eine Firma im Kanton Zug.
Der Fall ist komplex und die Vorwürfe wiegen schwer. Wir versuchen hier, das bisher Bekannte einzuordnen.
Die Schlagzeile der beiden Medien hatte es in sich: «Chef eines Schweizer IT-Unternehmens wird beschuldigt, Zugänge zum Mobilfunk-Netzwerk für Spionage verkauft zu haben.» Die Recherche dreht sich um zwei zentrale Personen: Es geht um den deutschen Staatsbürger Ilja G. und die Zuger Firma Mitto AG, die vom Deutschen 2013 mitgegründet wurde.
Das Geschäftsmodell der Firma ist alles andere als verwerflich: Mitto bietet den weltweiten Versand von SMS-Codes an, die im Rahmen der Zweifaktorauthentifizierung genutzt werden. Das klingt kompliziert, dürfte aber vielen aus dem Alltag bekannt sein: Es sind die Codes, die man fürs Login bei Facebook, Instagram, Google oder E-Bankings aufs Handy via SMS geschickt erhält, um sich «sicherer» auf einer Webseite einloggen zu können.
Um diesen Dienst anbieten zu können, arbeitete die Mitto AG mit diversen Mobilfunkanbietern zusammen. Diese Partnerschaft kann unterschiedlicher Natur sein: Um solche SMS verschicken zu können, braucht man in mehreren Ländern den Zugang zum Mobilfunknetz (etwa über Schnittstellen oder eine einfache SIM-Karte). Der Recherche zufolge soll aber der Geschäftsmann Ilja G. einen ganz besonderen Zugang erhalten haben – jenen auf das sogenannte SS7-System (dazu später).
Wichtig zu wissen ist aber: Wer Zugang auf das SS7-System hat, kann damit viel Nützliches und viel Unfug betreiben. So kann aufgrund eines hohen Vertrauensverhältnisses ein bestimmter Handynutzer lokal geortet werden. Zudem ist das Abhören und Abfangen von Anrufen und SMS-Texten möglich. Diesen Zugang soll der Geschäftsmann an Spionage-Firmen und Staaten verkauft haben.
In den Berichten wird auch Ilja G.s Firma erwähnt: Die Mitto AG hat ihren Sitz in Zug, betreibt aber Büros in Berlin und Serbien. Was genau am Schweizer Firmensitz gemacht wird, ist unklar: Fakt ist lediglich, dass sie dort laut Handelsregister ihren Briefkasten hat – gemeinsam mit über 300 anderen Firmen. Ilja G. selbst hatte oder hat seinen Lebensmittelpunkt in der Schweiz: Er heiratete eine Zürcher Bestseller-Autorin und landete im Zusammenhang mit ihr mehrmals in der Schweizer Boulevardpresse.
Die Vorwürfe richten sich in erster Linie gegen diesen Geschäftsmann, indirekt soll aber auch die Firma selbst involviert gewesen sein: Die Recherche berichtet, dass Ilja G. zwischen 2017 und 2018 Überwachungsfirmen Zugang zu den Mitto-Netzwerken gewährt haben soll, um via SS7-System Menschen orten und verfolgen zu können. Aufgeworfen werden diese Vorwürfe von vier ehemaligen Mitarbeitenden der Mitto AG. Die Firma bestreitet in einer Stellungnahme gegenüber «Bureau of Investigative Journalism» und «Bloomberg», in einem Zusammenhang mit dem Überwachungsgeschäft zu stehen.
Sie kündigt jedoch an, die Vorwürfe intern untersuchen. Es soll überprüft werden, ob die eigene Technologie und das eigene Geschäft missbraucht wurden. Eine Anfrage von watson blieb zunächst unbeantwortet. Aufgrund des Schweizer Firmensitzes sah sich der Eidgenössische Datenschützer des Bundes (Edöb) gezwungen, eine Voruntersuchung gegen die Firma zu eröffnen. Diese läuft derzeit, weshalb es keine weitere Stellungnahme dazu gibt. Der Datenschützer selbst stand für ein Interview nicht zur Verfügung.
Signalling System 7 (oder kurz SS7) ist – vereinfacht gesagt – der Überbau im Mobilfunknetz: Es ist ein Standard, der beispielsweise regelt, wie ein Anruf eines Swisscom-Natels zu einem Sunrise-Handy technisch abgewickelt wird. Es ist sozusagen die Brücke zwischen den einzelnen Handyanbietern weltweit.
SS7 ist vergleichsweise mit anderen Systemen eine uralte Lösung. Sie funktioniert jedoch enorm effizient und das noch dazu länderübergreifend: Das System gewährleistet, dass ein SMS aus dem hintersten Bündner Tal in Sekundenschnelle den Weg zu einem Handy im Iran findet. Unter den Handyanbietern herrscht dabei ein grosses Vertrauensverhältnis: Wer Zugang zum System hat, muss keine zusätzlichen Sicherheitsmassnahmen einhalten.
Vor 40 Jahren brachte das grosse Vorteile, heute hingegen grosse Risiken: Es ist bekannt, dass einzelne dubiose Mobilfunkanbieter die Zugänge zum SS7-System verkaufen. Damit ist weltweiter Datendiebstahl, Ortung von Zielpersonen und Mitlesen von SMS möglich. Die Probleme sind seit Jahren bekannt und werden von vielen Anbietern angegangen.
Die Swisscom sagte zum Beispiel gegenüber der Nachrichtenagentur Keystone, man habe eine Vielzahl von Sicherheitsvorkehrungen getroffen: «Wir überwachen den Verkehr und sperren aktiv bei Anzeichen von Missbrauch.» In anderen Ländern ist man aber noch nicht so weit, was ein erhebliches Missbrauchspotential für Kriminelle darstellt.
Eine klare Antwort ist darauf nicht möglich. Die Schwachstelle bei SS7-Systemen ist seit Jahren bekannt und wird hierzulande auch aktiv angegangen. So gibt es kaum noch Banken, die für ihr E-Banking Login-Codes per SMS verschicken. Zudem konnten sich mittlerweile modernere (aber teilweise ebenfalls unsichere) Nachrichtensysteme wie WhatsApp, Telegram, Signal, iMessage durchsetzen, weshalb die Überwachungsgefahr ein bisschen verringert ist.
Heikler kann es aber werden, wenn man in Ländern mit ungesicherten Handynetzen unterwegs ist und sensible Informationen ungesichert telefonisch oder per SMS mitteilen will. Im Visier des Spionagerisikos stehen deshalb vor allem Personen, die von bestimmten Organisationen überwacht werden wollen – sprich: Politikerinnen, Journalisten, Aktivistinnen und staatliche Stellen. Dem Risiko sind grundsätzlich aber alle Menschen ausgesetzt, die mit dem Handy kommunizieren – was eigentlich mittlerweile zum Grundwissen gehören sollte.
Weil alle Menschen durch illegale Überwachungstechnologien etwas zu verlieren haben, wurden nun auch erste Untersuchungen von staatlicher Seite eröffnet: Der Schweizer Datenschützer hat die Mitto AG sowie die Schweizer Mobilfunkanbieter zu einer Stellungnahme aufgefordert. Die Ergebnisse stehen aus.
