Worum geht es? Das Zuger Unternehmen Mitto AG, das SMS-Dienste für grosse Tech-Firmen wie Google, Facebook und Alibaba anbietet, soll ins weltweite Spionagegeschäft verwickelt sein. Das Bureau of Investigative Journalism in London und die Nachrichtenagentur Bloomberg haben am Montag in einem Bericht schwere Vorwürfe gegen einen Mitgründer des Unternehmens erhoben. Sie berufen sich auf Angaben von ehemaligen Mitarbeitern und Kunden der Mitto. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte hat deshalb eine Vorabklärung gegen Mitto eröffnet und von der Firma eine Stellungnahme gefordert.
Was macht die Mitto AG in Zug genau? Das 2013 gegründete Unternehmen verschickt unter anderem SMS und andere Mitteilungen für grosse Tech-Unternehmen, wie sie für den Zugang zu Online-Diensten über die sogenannte Zwei-Faktor-Authentifizierung verwendet werden. «Sie verschicken SMS mit Sicherheitscodes wie beim Online-Banking», erklärt Jürg Tschirren, SRF-Digitalredaktor.
Was wird der Firma vorgeworfen? Gemäss dem Bericht soll der Mitgründer im System von Mitto Software installiert haben, welche sich eine Schwäche des «Signalling System 7/SS7» zunutze macht und die Überwachung von Personen ermöglicht. Den Zugang zu den so erfassten Standort-Daten soll er ab 2017 Dritten gegen Bezahlung angeboten haben.
Offenbar sind in diesem Fall die Identifikationsdaten zurück an Mitto geflossen.
Was ist das «Signalling System 7/SS7»? Das ist ein globaler Standard, der seit den 70er-Jahren dazu dient, jemanden in einem Mobilfunk-Netzwerk zu identifizieren, das heisst festzustellen, wo sich ein Mobiltelefon gerade befindet. Es sei bekannt, dass der Standard Sicherheitslücken aufweise, sagt Tschirren. Das System sei auch schon früher von anderen für Überwachungszwecke ausgenutzt worden. «Offenbar sind in diesem Fall die Identifikationsdaten zurück an Mitto geflossen», sagt Tschirren.
Wie gross ist das Schadenspotential? Zu den Kunden der Mitto AG gehören wie erwähnt grosse Unternehmen wie Google, Twitter, Whatsapp, Linkedin oder Telegram und viele mehr. Alle diese Firmen haben Millionen von Nutzerinnen und Nutzern. Potenziell könnten Milliarden von Leute überwacht worden sein. Es gilt die Unschuldsvermutung.
Was sagt Mitto selbst dazu? Gegenüber SRF hat die Firma selbst keine Stellungnahme abgegeben. Laut dem erwähnten Recherche-Netzwerk schreibt sie aber, sie sei nicht in Überwachungsgeschäfte verwickelt und sie habe eine interne Untersuchung eingeleitet, um festzustellen, ob ihre Firmentechnologie benutzt worden sei.
