Der Überwachungsfall der Mitto AG - oder warum wir niemals das Aufbrechen der Verschlüsselung durch Hintertüren zulassen dürfen.

Ein einzelner Mitarbeiter hat sensible Daten an Geheimdienste weitergegeben, möglicherweise auch an Russland.

Die Überwachung bei der Mitto AG zeigt, warum Verschlüsselung niemals gebrochen werden darf.

Die Mitto AG, ein Schweizer Unternehmen, soll bei der Handyüberwachung im großen Stil geholfen haben. Die Ermittlungen dauern an, aber aktuelle Leaks deuten auf einen Mitarbeiter hin, der mit Geheimdiensten auf der ganzen Welt kooperiert hat, indem er freiwillig und ohne jegliche Kontrolle Standortdaten weitergegeben hat.


Überwachung durch die Mitto AG

Ilja Gorelik, Mitbegründer und Chief Operating Officer der Mitto AG, soll privaten Überwachungsfirmen und Regierungsbehörden geholfen haben, Menschen über ihre Mobiltelefone zu orten.

Der vom Bureau of Investigative Journalism und Bloomberg News veröffentlichte Leck beschuldigt das Schweizer Unternehmen Mitto AG, bei der Ortung von Mobiltelefonen und der Beschaffung von Informationen in weltweiten Überwachungsaktionen geholfen zu haben.

Technologie für mehr Sicherheit

Das Paradoxe am Überwachungsfall bei der Mitto AG ist, dass die bereitgestellte Technologie eigentlich dem Schutz geheimer Daten dienen soll - und nicht der Überwachung.

Die Mitto AG bietet weltweit SMS-Dienste an, über die Online-Dienste bei der Anmeldung eine Verifizierung per SMS durchführen können. Um sich zum Beispiel in ein Online-Konto einzuloggen, braucht man nicht nur ein Passwort, sondern auch einen Code, der per SMS verschickt wird.

Die Mitto AG hat Verträge mit Providern auf der ganzen Welt, um Textnachrichten in großen Mengen zu versenden. Große Tech-Unternehmen wie Google, WhatsApp, Microsoft und Twitter waren Kunden der Mitto AG. Twitter hat vor kurzem die Zusammenarbeit mit der Mitto AG wegen der laufenden Ermittlungen im Zusammenhang mit der angeblichen Überwachung durch die Mitto AG eingestellt.

Aufgrund ihrer Geschäftstätigkeit arbeitet die Mitto AG mit Telekommunikationsunternehmen in über hundert Ländern zusammen und hat Zugriff auf die Mobilfunkinfrastruktur in zahlreichen Ländern der Welt, auch in Ländern wie Afghanistan und Iran.

Technologie zur Überwachung eingesetzt

Doch seit Ende letzten Jahres steht die Mitto AG unter schwerem Verdacht: Statt die Sicherheit für die Nutzer zu erhöhen, soll Mitgründer Gorelik den Zugang zur Mobilfunkinfrastruktur genutzt haben, um Dritten die Überwachung von Handynutzern zu ermöglichen.

Ab 2017 verkaufte er laut Bloomberg den Zugang zum Firmennetz an private Überwachungsfirmen, die ihn für Spionageaktionen im Auftrag staatlicher Stellen genutzt haben sollen.

Mittos Partnerschaften mit Telekommunikationsanbietern ermöglichten es ihm, einige seit langem bekannte Schwachstellen im Protokoll (Signaling System 7, oder SS7) zu nutzen, das einem Großteil der internationalen Kommunikation zugrunde liegt. Über SS7 können Personen geortet und Informationen wie der Anrufverlauf aus ihren Telefonen ausgelesen werden.

In einem Bericht des US-Ministeriums für Heimatschutz aus dem Jahr 2017 wurde festgestellt, wie schwerwiegend die Sicherheitslücken in SS7 sind: Dritte können aufgrund von Schwachstellen in SS7 den physischen Standort von Mobilgeräten ermitteln oder Textnachrichten und Gespräche abfangen oder umleiten.

Diese Probleme sind seit langem bekannt, aber aufgrund des Alters von SS7 - es wurde in den 1970er Jahren eingeführt - ist es kompliziert, wenn nicht sogar unmöglich, die Probleme zu beheben.

Dies ist auch einer der Gründe, warum Tutanota keine Textnachrichten für die Zwei-Faktor-Authentifizierung unterstützt. Stattdessen empfehlen wir die Verwendung von U2F (Hardware-Token) als Best Practice, um die Anmeldesicherheit zu erhöhen.

Spionage für viele Länder

In einem konkreten Fall im Jahr 2019 wurden die Systeme von Mitto laut Bloomberg angeblich genutzt, um das Telefon eines hochrangigen Beamten des US-Außenministeriums zu orten. Es ist nicht klar, wer hinter der Operation steckte. Darüber hinaus wird in dem Bericht der Fall einer Person in Südostasien erwähnt, deren Überwachung angeblich das Senden von Systembefehlen zum Lesen von Textnachrichten beinhaltete.

Das gesamte Spektrum der Überwachungsfirmen und Geheimdienste, mit denen die Mitto AG zusammenarbeitete, ist noch unklar. Allerdings ist auch eine brisante Verbindung nach Russland ans Licht gekommen.

Der Schweizer Tages-Anzeiger hatte Geschäftsverbindungen nach Russland veröffentlicht. Dem Bericht zufolge ist Mitto die hundertprozentige Muttergesellschaft einer mutmaßlichen Briefkastenfirma in Moskau, die genau im Jahr des Beginns der Überwachungsaktivitäten gegründet wurde: 2017.

Laut Tages-Anzeiger ist die Mitto AG die vollständige Eigentümerin der Moskauer Firma namens Tigokom. Der Zweck des Unternehmens ist im russischen Handelsregister für “Aktivitäten im Bereich der drahtlosen Kommunikation” eingetragen. Der Sitz von Tigokom ist ein einziger Raum in einem zentral gelegenen, kleinen Bürogebäude in Moskau.

Für den Nachrichtendienstexperten Erich Schmidt-Eenboom weckt die Enthüllung Verdacht: “Es drängt sich der Verdacht auf, dass russische Dienste von Mitto mit Informationen versorgt wurden”, sagt Schmidt-Eenboom gegenüber dem Tages-Anzeiger, “jetzt müssen die Schweizer Behörden handeln, um diesen Verdacht abzuklären.”

Mitto AG bestreitet Spionage

Die Mitto AG bestreitet, dass sie im Spionage- und Überwachungsgeschäft tätig ist. Mitto betreibe keine Abteilung, die Überwachungsfirmen Zugang zur Telekom-Infrastruktur verschaffe, um Personen zu überwachen, und werde dies auch nicht tun, heißt es. Zur Klärung der Vorwürfe ist eine interne Untersuchung eingeleitet worden.

Laut Bloomberg sagte die Mitto AG in einer Erklärung:

“Wir sind schockiert über die Behauptungen gegen Ilja Gorelik und unser Unternehmen. Um es ganz klar zu sagen: Mitto organisiert und betreibt kein separates Geschäft, keine Abteilung oder Einheit, die Überwachungsfirmen Zugang zur Telekommunikationsinfrastruktur verschafft, um Menschen heimlich über ihre Mobiltelefone zu orten oder andere illegale Handlungen zu begehen, und hat dies auch in Zukunft nicht vor zu tun. Mitto duldet, unterstützt und ermöglicht auch nicht den Missbrauch von Telekommunikationsnetzen, mit denen das Unternehmen zusammenarbeitet, um seinen weltweiten Kunden Dienste anzubieten.”

Lektion gelernt

Der Überwachungsfall der Mitto AG zeigt, wie gefährlich es ist, wenn Unternehmen Zugriff auf sensible Daten haben.

Es brauchte nur einen Mann - zugegebenermaßen war dieser Mann der Mitgründer des Unternehmens, aber dennoch nur einen Mann - um Standortdaten von Bürger*innen an private Ermittlungsunternehmen weiterzugeben. Diese Form der Überwachung könnte einem Spionage-Bestseller entnommen sein, ist aber angeblich in der Realität passiert.

Der Grund, warum dieses sensible Datenleck überhaupt möglich war, sind Sicherheitslücken im SS7-Protokoll.

Dies zeigt deutlich, dass wir Daten schützen müssen, wann immer dies möglich ist, auch und gerade vor den Unternehmen, die mit diesen Daten umgehen.

Alles verschlüsseln

Der Fall Mitto AG ist ein weiteres Beispiel dafür, warum wir niemals eine Verschlüsselungs-Hintertür erlauben dürfen.

Die Ende-zu-Ende-Verschlüsselung ist das beste Mittel, um sensible Daten zu schützen. Nicht nur vor den Behörden, sondern auch vor böswilligen Akteuren, die versuchen könnten, sich Zugang zu unseren persönlichen Daten zu verschaffen.

Auch hier zeigt der Mitto AG-Fall, dass eine “Hintertür nur für die Guten” - wie sie von den Behörden regelmäßig gefordert wird - einfach nicht möglich ist. Sobald es eine Hintertür gibt, wird ein böswilliger Akteur kommen und sie missbrauchen.

Eine Ende-zu-Ende-Verschlüsselung darf niemals geknackt werden.