Geheime Nebengeschäfte: Firma für automatische SMS ermöglichte Spionage

Eine wenig bekannte Schweizer Firma erlaubt es Kunden, massig SMS zu verschicken, etwa zur Verifikation. Gleichzeitig hat sie angeblich Überwachung ermöglicht.

In Pocket speichern vorlesen Druckansicht 68 Kommentare lesen

(Bild: Mr.Whiskey/Shutterstock.com)

Lesezeit: 4 Min.

Der Mitgründer eines Schweizer Unternehmens, das Kunden den massenhaften Versand von SMS etwa mit Verifikations-PINs ermöglicht, hat nebenher angeblich die Überwachung von Mobilfunkgeräten ermöglicht. Diese Vorwürfe gegen Ilja Gorelik von der Mitto AG erheben das Bureau of Investigative Journalism und Bloomberg.

Goreliks Firma hat Verträge mit Providern in aller Welt, um SMS in großen Mengen und auch in schwer erreichbare Staaten wie etwa Afghanistan und den Iran zu schicken. Dafür zahlen unter anderem IT-Riesen wie Google, Twitter, WhatsApp und Microsoft, die über Mitto etwa SMS mit Verifikationsnummern verschicken. Gorelik war das aber wohl nicht einträglich genug: Den Recherchen zufolge verkaufte er die Zugänge zu den Mobilfunknetzen an Kunden, die das etwa für die Standortüberwachung von Mobilfunkgeräten nutzen konnten.

Mitto wirbt damit, seit 2013 "rund um den Globus, Kommunikation möglich zu machen". Das Unternehmen erklärt, den besten Service für A2P-Nachrichten ("application-to-person messaging") zu bieten, also Inhalte automatisch – und ohne Rückkanal – auf Mobilfunkgeräte zu bringen. Dabei bezieht sich das Unternehmen unter anderem auf Massen-SMS für Werbezwecke und auf Verifikationscodes, die etwa als zweiter Faktor zur Authentifizierung verschickt werden. Mitto hat dafür Verträge mit Providern in mehr als 100 Staaten, erklärt das Bureau of Investigative Journalism. Im Gegenzug bekommt Mitto exklusive Zugänge zu den Mobilfunknetzen und kann weitgehend unkontrolliert seinen Geschäften nachgehen. Das hat Gorelik den Berichten zufolge ausgenutzt, um Geschäfte mit dubioseren Kunden zu machen.

Den Recherchen und Aussagen von Eingeweihten zufolge hat Gorelik, der bei Mitto als verantwortlich fürs operative Geschäft (COO) geführt wird, eigene Software installiert, mit der Mobilfunkgeräte überwacht werden konnten. Die Kunden des Unternehmens und die Provider hätten davon nichts gewusst, auch Mitto selbst habe inzwischen versichert, nicht eingeweiht gewesen zu sein. Die Firma habe eine interne Untersuchung eingeleitet. Gorelik hat demnach dafür gesorgt, dass bestimmte Mobilfunknummern gezielt überwacht werden konnten. Wieder seien Schwächen des Mobilfunk-Protokolls SS7 ausgenutzt worden, das seit Jahren als missbrauchsanfällig gilt. Die Lücken haben ihren Ursprung in der Kernannahme, dass prinzipiell nur berechtigte Firmen auf das System Zugriff haben und es nur für reguläre Zwecke nutzen. Dass das nicht der Praxis entspricht, ist längst bekannt.

Zugang zu den heimlichen Seitengeschäften von Gorelik haben den Recherchen zufolge etwa Regierungen und Strafverfolgungsbehörden über eine zypriotische Firma namens TRG Research buchen können. Das jedenfalls behaupten ehemalige Angestellte, das Unternehmen weist die Vorwürfe von sich. Software von TGR sei bei Mitto von Gorelik persönlich installiert worden, versichern die anonymen Insider. Um welche Kunden es sich genau gehandelt habe, konnten die Journalisten nach eigener Aussage nicht herausfinden. Sie berichten von einem Fall, in dem im November 2019 das Mobiltelefon eines hochrangigen US-Diplomaten ins Visier genommen worden sei. Auch eine unbekannte Person in Südostasien habe über die Netze von Mitto ausspioniert werden sollen. Beide Versuche seien bei Providern als Angriffe erkannt und blockiert worden.

Die Recherchen beruhen unter anderem auf Gesprächen mit mehr als zwei Dutzend Menschen, heißt es noch. Ganz unbemerkt liefen die angeblichen Machenschaften Goreliks bei Mitto demnach nicht ab, mehrere Angestellte hätten unter anderem auch deswegen gekündigt. Der soll auch die Angestellten seines eigenen Unternehmens überwacht haben, nicht nur über die Zugänge zu den Mobilfunknetzen. In Büros der Firma in Berlin seien Überwachungsprogramme auf den Arbeitsplatzrechnern installiert worden. Inzwischen habe das Unternehmen seine Präsenz in Deutschland heruntergefahren und viele Arbeitsplätze in die serbische Hauptstadt Belgrad verlegt.

(mho)