Tracking-Demo: Anomaly Six soll NSA- und CIA-Agenten ausspioniert haben

Inhaltsverzeichnis

Die weitgehend außerhalb der öffentlichen Wahrnehmung agierende Big-Data-Firma Anomaly Six (A6) aus dem US-Bundesstaat Virginia hat ihre Überwachungsfähigkeiten angeblich unter Beweis gestellt, indem sie Smartphones von Mitarbeitern der NSA und der CIA per Tracking verfolgt hat. Das Unternehmen verwendet dafür hochpräzise GPS-Daten, die es von mobilen Apps bezieht. Damit kann A6 herausfinden, wann und wo sich ein bestimmter Handynutzer zu einem bestimmten Zeitpunkt aufhält.

Zusammen mit anderen gesammelten Daten ermögliche dies der Firma, rund drei Milliarden Endgeräte in "Echtzeit" zu tracken. Dies berichten das Online-Magazin The Intercept und das Transparenzportal Tech Inquiry. Sie berufen sich dabei unter anderem auf Marketingbroschüren von A6 sowie auf einen nicht genannten Insider.

Zu Demozwecken: Telefon vom NSA-Hauptsitz bis nach Jordanien verfolgt

Die Enthüllungen über das Ausspionieren der beiden wichtigsten US-Geheimdienstbehörden erfolgten demnach während einer Produkt-Demo im Rahmen eines Treffens zwischen Anomaly Six und Zignal Labs, einem anderen auf Social-Media-Überwachung spezialisierten Start-up. Letzteres ist dafür bekannt, seinen "selten gewährten Zugang zum Firehose"-Datenstrom von Twitter zu nutzen, um Hunderte von Millionen Tweets pro Tag ohne Einschränkung zu durchsuchen.

Die beiden Unternehmen befanden sich dem Bericht nach in Gesprächen über eine potenzielle Partnerschaft. Um Zignal zu beeindrucken, präsentierte der A6-Vertreter Brendon Clark bei der Vorführung angeblich, wie sich mit der Technik ein Mobiltelefon vom Parkplatz der NSA an deren Hauptsitz in Fort Meade etwa bis zu einer militärischen Ausbildungsbasis in Jordanien verfolgen ließ, wo die USA unter anderem eine Drohnenflotte unterhalten sollen.

"Wenn ich ein ausländischer Geheimdienstoffizier bin und keinen Zugang zu Dingen wie der Behörde oder dem Fort habe, kann ich herausfinden, wo diese Leute leben", erläuterte Clark dem Bericht zufolge, während er auf eine angezeigte Person von der NSA zeigte. "Ich kann herausfinden, wohin sie reisen, ich kann sehen, wann sie das Land verlassen."

Aktivitäten im Vorfeld eines Einsatzes

Bei der Besprechung, die in den Monaten vor Russlands bewaffneten Angriff auf Ukraine erfolgt sein soll, ging es den beiden Portalen zufolge auch um eine potenzielle Kombination der hauseigenen Techniken mit online offen per Open Source Intelligence (OSINT) verfügbaren Informationen, um mühelos russische Streitkräfte oder chinesische Atom-U-Boote zu tracken. In einem Fall zeigte Clark demnach eine A6-Software, die Telefone russischer Truppenmitglieder von der ukrainischen Grenze bis zu einer Militäreinrichtung außerhalb von Jurga in Sibirien zurückverfolgte.

In einer weiteren Demo soll der A6-Mitarbeiter auf die Stadt Molkino in Südrussland herangezoomt haben, wo die berüchtigte Wagner-Söldnertruppe ihr Hauptquartier habe. Auf der Karte seien Dutzende von Punkten zu sehen, die auf Geräte in dem Lager hinwiesen, zusammen mit verstreuten Linien, die ihre jüngsten Bewegungen zeigten. "Man kann also einfach anfangen, diese Geräte zu beobachten", erklärte Clark laut dem Bericht. "Jedes Mal, wenn sie beginnen, das Gebiet zu verlassen, sehe ich mögliche russische Aktivitäten im Vorfeld eines Einsatzes für ihre nicht-standardisierten Mitstreiter, ihre nicht-uniformierten Leute." So ließen sich mögliche Einsätze etwa in Libyen oder Kongo besser verstehen.

Zuordnung von Milliarden Daten aus Smartphone-Apps

A6 behauptet, dass sein GPS-Schleppnetz zwischen 30 und 60 Standort-Pings pro Gerät pro Tag und 2,5 Billionen Standortdatenpunkte jährlich weltweit liefert. Dies summiere sich auf 280 Terabyte Standortdaten pro Jahr und viele Petabyte insgesamt. Dies deutet den Autoren zufolge darauf hin, dass das Unternehmen an einem durchschnittlichen Tag etwa 230 Millionen Geräte überwacht.

Der A6-Vertriebsmitarbeiter habe weiter ausgeführt, dass viele konkurrierende Firmen persönliche Standortdaten über die Bluetooth- und WLAN-Verbindungen eines Telefons sammelten. Anomaly Six verfügte nach eigenen Angaben jenseits der GPS-Ortsangaben über eine Bibliothek mit über zwei Milliarden E-Mail-Adressen und anderen persönlichen Daten, die Nutzer bei der Anmeldung für Smartphone-Apps angeben. Damit ließe sich herausfinden, zu wem ein GPS-Ping gehöre.

"Ernsthafte Bedrohung für die nationale Sicherheit"

"Es ist eine ernsthafte Bedrohung für die nationale Sicherheit, wenn ein Datenbroker ein paar hundert Geheimdienstmitarbeiter bis zu ihren Häusern und rund um die Welt verfolgen kann", warnte der US-Senator Ron Wyden gegenüber The Intercept. "Es braucht nicht viel Kreativität, um zu sehen, wie ausländische Agenten diese Informationen für Spionage, Erpressung und alle Arten von, wie man früher sagte, heimtückischen Taten nutzen können." Die Branche behaupte immer wieder, dass das Sammeln und Verkaufen von Handy-Standortdaten die Privatsphäre nicht verletze, weil diese "nur" an Geräte-IDs gebunden seien, monierte Nate Wessler von der American Civil Liberties Union (ACLU). Die vorgeführten, nicht verfassungskonformen Funktionen bewiesen, dass dies so nicht stimme

Ein Zignal-Sprecher unterstrich, dass das Unternehmen derzeit "in keiner Beziehung zu Anomaly 6" stehe. Weder habe man die Fähigkeiten des Dialogpartners in die eigene Plattform integriert, noch an einen eigenen Kunden geliefert. A6-Mitgründer Brendan Huff ließ wissen, dass man sich um "amerikanische Interessen" und die Sicherheit kümmere und die Gesetze kenne.

Das Wall Street Journal hatte schon vor zwei Jahren gemeldet, A6 erhebe heimlich Standortdaten von hunderten Millionen Mobilfunknutzern weltweit und verkaufe darauf basierende Bewegungsprofile etwa an US-Behörden und Firmen. Die sensiblen persönlichen Informationen stammten von über 500, nicht im Einzelnen bekannten Apps. Der im militärisch-industriellen Komplex verortete Betrieb habe dazu ein eigenes Software Development Kit (SDK) in einige der Mobilanwendungen integrieren können. App-Herausgeber erlauben es Drittanbietern oft gegen Gebühr, SDKs in ihre Anwendungen einzufügen. Der Hersteller verkauft dann die abgegriffenen Verbraucherdaten, der Herausgeber erhält meist einen Teil der Einnahmen. Für die Nutzer ist das Verfahren undurchsichtig.

(bme)