Die schweizerische Mitto AG verschickt SMS und sonstige Mitteilungen für viele grosse Tech-Unternehmen. Gleichzeitig ermöglichte Mitgründer Ilja Gorelik, so die Vorwürfe, die Überwachung von Mobilfunk-Nutzerinnen in aller Welt mit Hilfe der Infrastruktur der Mitto AG.
Die Kurzmitteilungen bzw. SMS verschickt die Mitto AG mit Sitz in Zug für fast alle grossen Tech-Unternehmen. Zur Kundschaft zählen amerikanische Anbieter wie Facebook, Google, Microsoft und Twitter, aber auch Anbieter aus anderen Ländern wie Alibaba, Telegram, Tencent und TikTok. Wer Online-Dienste nutzt, hat vermutlich bereits Mitteilungen erhalten, die von der Mitto AG verschickt wurden.
Die Mitto AG unterstützt auch den SMS-Nachfolger Rich Communication Services (RCS) sowie die Instant Messaging-Dienste von Facebook, Google Business, Instagram, Twitter und WhatsApp.
Für den SMS-Versand arbeitet die Mitto AG mit Telekommunikationsunternehmen in über 100 Ländern zusammen. Dazu zählen unter anderem die Deutsche Telekom, MTN, Telefónica und Vodafone. In der Schweiz arbeitet die Mitto AG mit allen Mobilfunk-Betreibern zusammen, also auch mit Salt, Sunrise (UPC) und Swisscom.
Signalling System 7: Missbrauch für Cybercrime und Überwachung
Die SMS werden insbesondere verschickt, um den Zugang zu Online-Diensten abzusichern (Zwei-Faktor-Authentisierung, 2FA).
Die Nutzung von SMS als zweiter Faktor – auch als Mobile TAN oder mTAN bezeichnet – gilt schon lange als unsicher. Viele Anbieter setzen mTAN dennoch weiterhin ein, weil sie ihren Nutzern damit ersparen, 2FA über einen anderen Weg einzurichten. Häufig ist es für Nutzerinnen nicht möglich, den SMS-Versand zu deaktivieren.
Bei MobileTAN ist gefährlich, dass der Versand per SMS erfolgt und SMS sehr einfach überwacht werden kann. Das dafür verwendete Signalling System 7 (SS7) wurde 1981 standardisiert und ist immer noch weit verbreitet. SS7 dient eigentlich dazu, Telekommunikationsnetze zu verwalten. Die Sicherheit von SS7 hängt im Wesentlichen davon ab, dass kein Missbrauch durch beteiligte Unternehmen erfolgt.
Im Rahmen von SS7 wird unter anderen ermittelt werden, wo auf der Welt ein Mobilfunk-Nutzer mit seinem Smartphone eingebucht ist, aber es können auch SMS abgefangen werden. Kriminelle missbrauchen SS7, um die Passwörter für Online-Konten zurücksetzen zu lassen oder Online-Konten gar direkt zu übernehmen.
Siehe auch:
- Betrüger tricksen das mTAN-Verfahren aus (ZEIT)
- A Step by Step Guide to SS7 Attacks (FirstPoint)
Ilja Gorelik: Schwere Vorwürfe gegen Mitgründer und Verwaltungsrat der Mitto AG
Nun erhebt das Bureau of Investigative Journalism, ein britischer Verein für investigativen Journalismus, schwere Vorwürfe gegen Ilja Gorelik.
Ilja Gorelik, Mitgründer und unter anderem Verwaltungsratsmitglied mit Einzelunterschrift, soll über die Infrastruktur der Mitto AG die Ortung bzw. Überwachung von Mobilfunk-Nutzerinnern ermöglicht haben:
«[…] an investigation by the Bureau of Investigative Journalism, carried out in collaboration with Bloomberg News, indicated that the company’s co-founder and chief operating officer, Ilja Gorelik, was also providing another service: selling access to Mitto’s networks to secretly locate people via their mobile phones.»
Gorelik verkaufte demnach den Zugriff auf die Mitto AG-Infrastruktur an private Überwachungsunternehmen, welche wiederum staatliche Sicherheitsbehörden als Kunden hatten:
«The existence of the alternate service was only known to a small number of people within the company, these former employees said. Gorelik sold the service to surveillance companies which in turn contracted with government agencies, according to the employees.»
Eine solche Kundin war anscheinend TRG Research and Development in Zypern:
«Four former employees of Cyprus-based firm TRG Research and Development said Mitto’s network was used by their company to provide surveillance services to customers from 2019 to 2021. […] TRG provides a software platform to governments and law enforcement agencies that they can use to track mobile phones and gather intelligence from social media websites. […]
Two of the former TRG employees said staff at the company had worked directly with Gorelik, using Mitto’s access to global mobile phone networks to obtain location data on targeted mobile phones and in some cases call logs showing who particular people were contacting and when. […] TRG confirmed it sold a system named ‹Intellectus›, which uses third-party applications to provide information requested by government agencies. […] Images on TRG’s website show the ‹Intellectus› system can be used to track people’s locations, monitor their call and text message records and identify their connections on Facebook.»
Gemäss dem Bureau of Investigative Journalism nahm das Ganze zwischen 2017 und 2018 seinen Anfang:
«Between 2017 and 2018, Gorelik started giving surveillance companies access to Mitto’s networks, which were then used to locate and track people via their mobile phones, according to four former employees.»
Zeitweise nutzte Gorelik das Pseudonym «Ingo Gross» und zwar «for legal reasons that were never explained».
Die Mitto AG bestreitet, von den Aktivitäten von Gorelik zu wissen und kündigt eine interne Untersuchung an.
Hingegen gab die Mitto AG einen Hinweis, dass tatsächlich die eigenen Mitarbeiterinnen und Mitarbeiter überwacht worden waren:
«Shortly after that, they alleged that Gorelik began to spy on some colleagues, using the company’s access to telecommunication networks sometimes to check his employees’ locations […]. It later became clear how he knew what websites they were visiting. In the summer of 2019, a group of developers at Mitto’s office in Berlin discovered that Gorelik had installed a spy tool on work computers, which would take a screenshot every two minutes. […]
Mitto said in a statement that it ‹uses customary and legal techniques› to monitor such things as who is accessing its computer network and internet activity on a random basis or based on concrete suspicions.»
Die meisten betroffenen Tech- und Telekommunikations-Unternehmen wollten gegenüber dem Bureau of Investigative Journalism keinen Kommentar abgeben.
Wenn sich die Vorwürfe bestätigen sollten, würde nach der Crypto AG (und der Infoguard AG) ein weiteres Unternehmen in der Schweiz bei einem weltweiten Überwachungsskandal im Zentrum stehen.
Am 3. Dezember 2021 kündigte der Schweizerische Bundesrat übrigens an, mit neuen Massnahmen die Sicherheit von Fernmeldenetzen erhöhen zu wollen.
Siehe auch:
- Spam, Spies, SMS – How it Works (Bureau of Investigative Journalism)
- Executive at Swiss Tech Company Said to Operate Secret Surveillance Operation (Bloomberg)
Bild: Pixabay / TheDigitalArtist, Public Domain-ähnlich.
Nachtrag I
Der Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), die schweizerische Datenschutz-Aufsichtsbehörden über private Unternehmen, hat mitgeteilt, eine Vorabklärung eröffnet zu haben:
«In einem am 6. Dezember 2021 veröffentlichten Bericht erhob das Bureau of Investigative Journalism, eine Non Profit Organisation in London, schwere Vorwürfe gegen einen Mitarbeiter der Firma Mitto AG mit Sitz in Zug. Das eine weltweite Kundschaft bedienende Unternehmen soll für diverse Grossunternehmen einen SMS-Versand tätigen. Der Mitarbeiter soll dabei den von den Mobilfunk-Betreibern gewährten Zugang auf ihre Netze zur Gewinnung von Informationen missbraucht haben. Gemäss dem Bericht soll er insbesondere den Signalling System (SS7)-Zugang genutzt haben, um Dritten gegen Entgelt unerlaubte Überwachungen von Personen zu ermöglichen.
Der EDÖB hat am 7. Dezember 2021 eine Vorabklärung in dieser Sache eröffnet. In einem ersten Schritt wird er die Mitto AG zur Stellungnahme auffordern und auch die Mobilfunkbetreiber der Schweiz kontaktieren.»
Gemäss Art. 29 Abs. 1 lit. DSG kann der EDÖB «von sich» aus einen «Sachverhalt näher abklären, wenn» unter anderem «Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler).»
Im Ergebnis kann der EDÖB «aufgrund seiner Abklärungen empfehlen, das Bearbeiten zu ändern oder zu unterlassen.» (Art. 29 Abs. 3 DSG). «Wird eine solche Empfehlung des Beauftragten nicht befolgt oder abgelehnt, so kann er die Angelegenheit dem Bundesverwaltungsgericht zum Entscheid vorlegen. Er ist berechtigt, gegen diesen Entscheid Beschwerde zu führen.» (Art. 29 Abs. 4 DSG)
Nachtrag II
Wie swissinfo.ch schreibt, hat die Mitto AG ihre Kunden informiert, dass Mitgründer Ilja Gorelik nicht mehr für das Unternehmen tätig ist:
«(Bloomberg) — Representatives of Mitto AG have told clients that co-founder and Chief Operating Officer Ilja Gorelik is no longer involved at the company, following allegations that he operated a secret surveillance service that helped governments track mobile phones, according to three people familiar with the matter.»
Allerdings erscheint Gorelik per Ende Januar 2022 im Handelsregistereintrag der Mitto AG immer noch als Mitglied des Verwaltungsrates mit Einzelunterschrift und wird auf der Mitto AG-Website in der Rubrik «Meet the Leadership Team!» geführt.
Gemäss swissinfo.ch haben Gorelik und die Mitto AG nicht auf Anfragen reagiert.
Es gibt noch viele Firmen & Dienstleistungen in der Schweiz, die 2FA über SMS versenden (Viseca, Versicherungen, Kanton/Steuer/Bundesplattormen usw.) sogar Impfplattformen wie VacMe.ch verschicken SMS statt z.B Pushbenachrichtigungen oder Google Authenticator fürs Login etc.
Warum wird das vom Datenschützer nicht generell Verboten oder sanktioniert, wenn man «bewusst» wie im Beitrag verständlich erklärt, auf unsichere technische Mittel setzt?
Der EDÖB hat nach heutigem Recht keine entsprechenden Kompetenzen.
Weisst du warum z.B. beim Impfportal vom Kanton Bern (https://be.vacme.ch) die Zwei-Faktor-Authentifizierung über das SMS Mobilfunknetz stattfindet, statt über das freie & kostenlose OATH (Initiative For Open Authentication) für ua. Einmalkennwörtern?
Ich frage mich, weil technisch und vertraglich müssen ja mehrere Parteien/Partner kostenpflichtig & bewusst involviert sein, wie SMS-Privider, Swisscom/Salt/Sunrise, Endkunde, Mitto AG etc.
Also warum das ganze 2021 über Mobilfunkmasten (Signalling System 7) machen?
Statt A->B wählt man A>A1>A2>A3>B (Datenveredelung?)
SMS hat den grossen Vorteil, bei allen Nutzerinnen und Nutzern standardmässig vorhanden zu sein.
Herr Steiger, wie wärs mal mit eigene Recherche? Kopieren kann jeder die Fake News!
@«Aus Zug!»:
Wie wäre es mit sachdienlichen Hinweisen, insbesondere zu Ihrer «Fake News»-Behauptung?