Hack bei Mobilfunk-Dienstleister Syniverse: Unbefugter Zugriff über fünf Jahre
Die Angreifer hatten seit Jahren Zugang zu Syniverse-Systemen – und vermutlich auch zu SMS und Metadaten von Handy-Kunden fast aller großer Provider der Welt.
- Fabian A. Scherschel
Die Firma Syniverse kennt hierzulande wohl fast niemand. Dabei routen die SMS-Spezialisten aus den USA mehrere Milliarden Textnachrichten pro Jahr für mehr als 200 Kunden, unter denen sich fast alle großen Mobilfunk-Provider der Welt befinden. Syniverse ist darauf spezialisiert, Nachrichten zwischen unterschiedlichen Mobilfunkprovidern auszutauschen – dazu gehören SMS, aber auch Meta-Informationen wie Kundendaten, Routing-Informationen und Service-Kosten. Jetzt hat diese Firma still und heimlich in einer Routine-Nachricht an die US-Börsenaufsicht SEC zugegeben, im Mai 2016 gehackt worden zu sein und dies erst im Mai 2021 bemerkt zu haben. Mit anderen Worten: Hacker hatten vermutlich fünf Jahre lang Zugang zu Milliarden und Abermilliarden von SMS-Nachrichten von Millionen, vielleicht sogar von Milliarden Mobilfunknutzern auf der ganzen Welt.
Was die Hacker in den Systemen der Firma angestellt haben, will man dort nicht sagen. Aber soviel ist sicher: Das kompromittierte System namens Electronic Data Transfer (EDT) ist unter anderem für Vodafone, die O2-Mutter Telefónica, T-Mobile, AT&T, Verizon, America Movil und China Mobile im Einsatz. Syniverse verarbeitet mehr als 740 Milliarden Text-Nachrichten pro Jahr. Laut der Firma sind 95 der weltweit Top-100-Mobilfunkanbieter Kunden der Firma; insgesamt sind 235 Carrier von dem Hack betroffen.
Keine Benachrichtigung der Betroffenen erforderlich
Aufgefallen war der Hack Journalisten der Webseite Vice, die darüber am vergangenen Montag berichteten. Da Syniverse an die Börse gehen will (der Wert des Konzerns wird auf 2,85 Milliarden US-Dollar geschätzt), hatte der Konzern ein Merger mit der Firma M3-Brigade Acquisition II Corporation eingeleitet. In den USA ist es üblich, dass Firmen in Vorbereitung eines Börsengangs mit solchen Special Purpose Companies (SPAC) zusammengehen, um das finanzielle Risiko eines solchen Manövers zu minimieren. Im Zuge dieser Vorgänge hatten die beiden Firmen in einem Routine-Filing mit der US Security and Exchange Commission (SEC) den Hack als Teil einer Risikoeinschätzung der Geschäftspraktiken von Syniverse offengelegt. In dem Dokument heißt es:
"Syniverse wurde im Mai 2021 auf den unbefugten Zugriff durch eine unbekannte Person oder Organisation auf seine Systeme aufmerksam. Unmittelbar nachdem Syniverse den unbefugten Zugriff entdeckt hatte, leitete das Unternehmen eine interne Untersuchung ein, benachrichtigte die Strafverfolgungsbehörden, leitete Abhilfemaßnahmen ein und beauftragte einen spezialisierten Rechtsbeistand und andere Fachleute mit der Behandlung des Vorfalls. Syniverse hat eine gründliche Untersuchung des Vorfalls durchgeführt. Die Ergebnisse der Untersuchung ergaben, dass der unbefugte Zugriff im Mai 2016 begann und dass sich die Person oder Organisation bei mehreren Gelegenheiten unbefugten Zugang zu Datenbanken innerhalb des Netzwerks verschafft hat und dass die Anmeldeinformationen, die den Zugang zu oder von der EDT-Umgebung (Electronic Data Transfer) ermöglichen, für etwa 235 Kunden des Unternehmens kompromittiert wurden. Syniverse hat alle betroffenen Kunden über den unbefugten Zugriff benachrichtigt, soweit dies vertraglich vorgeschrieben ist, und ist zu dem Schluss gekommen, dass zu diesem Zeitpunkt keine weiteren Maßnahmen, einschließlich einer Benachrichtigung der Kunden, erforderlich sind."
Eine "globale Privatsphäre-Katastrophe"
Die vertraglichen Vorschriften schlossen offensichtlich nicht ein, die eventuell betroffenen Mobilfunk-Kunden, deren Daten gegebenenfalls kompromittiert wurden, zu benachrichtigen. Außerdem hielt die Firma den Hack wohl auch für nicht wichtig genug, um die Öffentlichkeit zu informieren. Was doch recht erstaunlich ist, wenn man bedenkt, was Vice über den Datenschatz herausgefunden hat, den die unbekannten Hacker wohl geborgen haben. Das Magazin sprach mit mehreren Mitarbeitern von Mobilfunkanbietern, die Kunden von Syniverse sind und kommt zu dem Schluss, dass von dem Hack nicht nur der Inhalt von Milliarden von SMS betroffen ist, sondern auch die personengebundenen Daten von Absendern und Empfängern dieser Nachrichten. Dazu gehören, so die Insider, höchstwahrscheinlich detaillierte Verbindungsnachweise und andere Daten, die Provider zu Rechnungszwecken austauschen.
Im Gespräch mit Vice sagte Karsten Nohl, Sicherheitsforscher und weltweit anerkannter Experte für Mobilfunk-Sicherheit, dass es wahrscheinlich ist, dass die Kommunikations-Daten von Millionen oder sogar Milliarden von Menschen auf der ganzen Welt von dem Hack betroffen sind. Das sei eine "globale Privatsphäre-Katastrophe", so Nohl gegenüber dem Magazin. "Die Systeme von Syniverse haben direkten Zugang zu Telefonie-Daten und Text-Nachrichten und indirekten Zugang zu einer großen Anzahl von Internet-Konten, die mit Zwei-Faktor-Authentifizierung über SMS abgesichert sind. Der Hack bei Syniverse wird simultan den Zugang zu Konten bei Google, Microsoft, Facebook, Twitter, Amazon und allen möglichen anderen Konten erleichtert haben", so Nohl.
Andere Insider aus der Telco-Branche spekulieren, dass man mit den Informationen, die ein Hacker in fünf Jahren bei Syniverse gesammelt haben könnte, detaillierte Profile von Mobilfunk-Nutzern und deren Kommunikations- und Internet-Nutzungs-Verhalten erstellen könne. "Ich weiß dann mehr über dich als dein Arzt", so ein anonymer Insider gegenüber Vice.
Feuchter Traum staatlicher Hacker
Ehemalige Mitarbeiter des Konzerns hingegen sehen den Hack eher als peinliche Panne für Syniverse. "Wir haben in den letzten fünf Jahren nichts Schlimmes gesehen, was aus diesem Hack hervorging. Das hört sich an, als sei nichts Schlimmes passiert", sagte ein Ex-Mitarbeiter der Firma den Vice-Journalisten.
Ganz anders sieht das Sicherheitsforscher Adrian Sanabria, der gegenüber Vice den Hack als "feuchten Traum staatlicher Hacker" einstufte. Und auch die Politik in Washington schlägt in dieselbe Kerbe: US-Senator Ron Wyden rief die US-Kommunikationswächter der Federal Communications Commission (FCC) auf den Plan. "Die FCC muss rausfinden, was da passiert ist", forderte Wyden.
Syniverse hat bis jetzt keine hilfreichen Informationen dazu geliefert, wer in seine Systeme eingebrochen ist, welche Daten genau abgegriffen wurden und warum man den Hack ganze fünf Jahre lang nicht entdeckte. In einer Standard-Antwort des Unternehmens heißt es lediglich, man hätte eine Top-Sicherheitsfirma mit der Aufklärung beauftragt und würde mit den Strafverfolgungsbehörden zusammenarbeiten (angesichts der Bundesstaaten-übergreifenden Natur des Hacks ist hier vermutlich die Bundespolizei FBI gemeint). Außerdem habe man alle Zugangsdaten für Kunden zurückgesetzt. Was genau die "Top-Sicherheitsexperten" oder das FBI herausgefunden haben, ist zu diesem Zeitpunkt nicht bekannt.
(fab)