EDÖB lässt Mitto vom Haken
Es gibt keine Hinweise dafür, dass die Zuger Firma Mitto die Datenschutzbestimmungen verletzt hat. Zu diesem Schluss kommt der EDÖB und schliesst seine Untersuchungen ohne weitere Handlungsempfehlungen ab.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat seine Vorabklärung zum Zuger Unternehmen Mitto abgeschlossen. Es liegen keine Hinweise auf eine Verletzung der Datenschutzbestimmungen vor, wie es in einer Mitteilung heisst. Daher gebe der EDÖB auch keine Empfehlungen zum Fall ab.
Der Mitto-Mitgründer und Verwaltungsrat stand im Verdacht, den von Mobilfunk-Betreibern zum SMS-Versand gewährten Zugang auf ihre Netze zur Gewinnung von Informationen zu anderen Zwecken missbraucht zu haben. Der EDÖB habe daraufhin weitgehende Angaben zu den technischen und organisatorischen Schutzmassnahmen der Firma angefordert. "Die Mitto AG hat allen Aufforderungen des EDÖB Folge geleistet und eigene externe Untersuchungen veranlasst, deren Ergebnisse dem EDÖB zur Verfügung gestellt wurden", heisst es dazu.
Mitto-Mitarbeitenden sei es nicht möglich, ohne eine Veränderung der Systeme respektive der Software Zugriff auf Lokalisierungsangaben von SMS-Empfängerinnen und -Empfängern zu erlangen. Das bestätigten laut EDÖB auch die zur Stellungnahme eingeladenen Mobilfunkanbieter.
Februar 2022 hatte Twitter aufgrund der Vorwürfe noch die Verbindungen zu Mitto gekappt, wie Sie hier nachlesen können.
Zur Vorgeschichte:
EDÖB nimmt Mitto ins Visier
Die NPO "Bureau of Investigative Journalism" und "Bloomberg" haben schwere Vorwürfe gegen Mitgründer und Verwaltungsrat Ilja Gorelik der Zuger Firma Mitto erhoben. Nun ergreift der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Initiative und eröffnet eine Vorabklärung. Wie der EDÖB mitteilt, wird Mitto erst zur Stellungnahme aufgefordert. Ausserdem werden die Mobilfunkbetreiber der Schweiz kontaktiert.
Originalmeldung vom 07.12.2021:
Mitto AG im schweizerischen Zug: SMS-Versand für weltweite Überwachung missbraucht
Die Kurzmitteilungen bzw. SMS verschickt die Mitto AG mit Sitz in Zug für fast alle grossen Tech-Unternehmen. Zur Kundschaft zählen amerikanische Anbieter wie Facebook, Google, Microsoft und Twitter, aber auch Anbieter aus anderen Ländern wie Alibaba, Telegram, Tencent und TikTok. Wer Online-Dienste nutzt, hat vermutlich bereits Mitteilungen erhalten, die von der Mitto AG verschickt wurden.
Die Mitto AG unterstützt auch den SMS-Nachfolger Rich Communication Services (RCS) sowie die Instant Messaging-Dienste von Facebook, Google Business, Instagram, Twitter und WhatsApp.
Für den SMS-Versand arbeitet die Mitto AG mit Telekommunikationsunternehmen in über 100 Ländern zusammen. Dazu zählen unter anderem die Deutsche Telekom, MTN, Telefónica und Vodafone. In der Schweiz arbeitet die Mitto AG mit allen Mobilfunk-Betreibern zusammen, also auch mit Salt, Sunrise (UPC) und Swisscom.
Signalling System 7: Missbrauch für Cybercrime und Überwachung
Die SMS werden insbesondere verschickt, um den Zugang zu Online-Diensten abzusichern (Zwei-Faktor-Authentisierung, 2FA). Die Nutzung von SMS als zweiter Faktor – auch als Mobile TAN oder mTAN bezeichnet – gilt schon lange als unsicher. Viele Anbieter setzen mTAN dennoch weiterhin ein, weil sie ihren Nutzern damit ersparen, 2FA über einen anderen Weg einzurichten. Häufig ist es für Nutzerinnen nicht möglich, den SMS-Versand zu deaktivieren.
Bei MobileTAN ist gefährlich, dass der Versand per SMS erfolgt und SMS sehr einfach überwacht werden kann. Das dafür verwendete Signalling System 7 (SS7) wurde 1981 standardisiert und ist immer noch weit verbreitet. SS7 dient eigentlich dazu, Telekommunikationsnetze zu verwalten. Die Sicherheit von SS7 hängt im Wesentlichen davon ab, dass kein Missbrauch durch beteiligte Unternehmen erfolgt.
Im Rahmen von SS7 wird unter anderen ermittelt werden, wo auf der Welt ein Mobilfunk-Nutzer mit seinem Smartphone eingebucht ist, aber es können auch SMS abgefangen werden. Kriminelle missbrauchen SS7, um die Passwörter für Online-Konten zurücksetzen zu lassen oder Online-Konten gar direkt zu übernehmen.
Ilja Gorelik: Schwere Vorwürfe gegen Mitgründer und Verwaltungsrat der Mitto AG
Nun erhebt das Bureau of Investigative Journalism, ein britischer Verein für investigativen Journalismus, schwere Vorwürfe gegen Ilja Gorelik.
Ilja Gorelik, Mitgründer und unter anderem Verwaltungsratsmitglied mit Einzelunterschrift, soll über die Infrastruktur der Mitto AG die Ortung bzw. Überwachung von Mobilfunk-Nutzerinnern ermöglicht haben:
"[…] an investigation by the Bureau of Investigative Journalism, carried out in collaboration with Bloomberg News, indicated that the company’s co-founder and chief operating officer, Ilja Gorelik, was also providing another service: selling access to Mitto’s networks to secretly locate people via their mobile phones."
Gorelik verkaufte demnach den Zugriff auf die Mitto AG-Infrastruktur an private Überwachungsunternehmen, welche wiederum staatliche Sicherheitsbehörden als Kunden hatten:
"The existence of the alternate service was only known to a small number of people within the company, these former employees said. Gorelik sold the service to surveillance companies which in turn contracted with government agencies, according to the employees."
Eine solche Kundin war anscheinend TRG Research and Development in Zypern:
"Four former employees of Cyprus-based firm TRG Research and Development said Mitto’s network was used by their company to provide surveillance services to customers from 2019 to 2021. […] TRG provides a software platform to governments and law enforcement agencies that they can use to track mobile phones and gather intelligence from social media websites. […]
Two of the former TRG employees said staff at the company had worked directly with Gorelik, using Mitto’s access to global mobile phone networks to obtain location data on targeted mobile phones and in some cases call logs showing who particular people were contacting and when. […] TRG confirmed it sold a system named ‹Intellectus›, which uses third-party applications to provide information requested by government agencies. […] Images on TRG’s website show the ‹Intellectus› system can be used to track people’s locations, monitor their call and text message records and identify their connections on Facebook."
Gemäss dem Bureau of Investigative Journalism nahm das Ganze zwischen 2017 und 2018 seinen Anfang:
"Between 2017 and 2018, Gorelik started giving surveillance companies access to Mitto’s networks, which were then used to locate and track people via their mobile phones, according to four former employees."
Zeitweise nutzte Gorelik das Pseudonym "Ingo Gross" und zwar "for legal reasons that were never explained". Die Mitto AG bestreit, von den Aktivitäten von Gorelik zu wissen und kündigt eine interne Untersuchung an.
Hingegen gab die Mitta AG einen Hinweis, dass tatsächlich die eigenen Mitarbeiterinnen und Mitarbeiter überwacht worden waren:
"Shortly after that, they alleged that Gorelik began to spy on some colleagues, using the company’s access to telecommunication networks sometimes to check his employees’ locations […]. It later became clear how he knew what websites they were visiting. In the summer of 2019, a group of developers at Mitto’s office in Berlin discovered that Gorelik had installed a spy tool on work computers, which would take a screenshot every two minutes. […] Mitto said in a statement that it 'uses customary and legal techniques' to monitor such things as who is accessing its computer network and internet activity on a random basis or based on concrete suspicions."
Die meisten betroffenen Tech- und Telekommunikations-Unternehmen wollten gegenüber dem Bureau of Investigative Journalism keinen Kommentar abgeben.
Wenn sich die Vorwürfe bestätigen sollten, würde nach der Crypto AG (und der Infoguard AG) ein weiteres Unternehmen in der Schweiz bei einem weltweiten Überwachungsskandal im Zentrum stehen.
Trend Micro hat übrigens eine Studie zur undurchsichtigen Lieferkette der Cyberkriminalität veröffentlicht. Sie zeigt, dass viele cyberkriminelle Märkte unterdessen ihre eigene "Access-as-a-Service"-Sparte aufweisen. Hier können Sie mehr darüber lesen.
Dieser Beitrag erschien zuerst auf steigerlegal.ch.