Handy-Spionage mit SS7: Tausende Opfer wurden wohl ausgespäht - Comretix Blog

SMS-Nachrichten abfangen und so WhatsApp-Konten übernehmen? Genaue Bewegungsprofile beliebiger Ziele im In- und Ausland? Anrufe abhören und Daten umleiten? All das ermöglichte das Unternehmen "First Wap International" wohl seinen Kunden, wie eine gemeinsame Recherche von zahlreichen Medien – darunter der Spiegel und das ZDF – unter Federführung des Recherchekollektivs Lighthouse Reports ergab. Das Produkt mit dem mystischen Namen "Altamides" nutzte das SS7-Protokoll (Signalling System 7), um sich in Mobilfunknetze einzuklinken. Alles nur ein Missverständnis, wiegelt das indonesisch-österreichische Unternehmen ab, doch die Fallzahlen gehen in die Tausende.

Auf der Spionage- und Sicherheitsmesse "ISS World" präsentierte sich das Unternehmen – Eigenschreibweise "1stWAP" – mit einem eigenen Stand. Der offensichtlich KI-generierte Standhintergrund stilisiert eine Hand, die nach Daten greift – davor führt der österreichische Vertriebsdirektor Günther R. ein offenes Gespräch mit einem Interessenten. Der direkte Zugriff auf Mobilgeräte, den der angeblich im Auftrag eines westafrikanischen Bergbauunternehmers Anfragende im Sinn hat, sei zu teuer, koste oft Zehntausende. Er sollte seine Vorgehensweise überdenken.

Dann kommt "Altamides" ins Spiel. Das Produkt des Unternehmens – der Name stammt nicht aus dem griechischen Pantheon, sondern steht für "Advanced Location Tracking and Deception System" – könne etwa selektiv Nachrichten wie OTP-Codes ausleiten und so die Übernahme beliebiger Messengerkonten erleichtern. Möglich sei das über Zugriff auf das sogenannte SS7-Netzwerk, mit dem sich Telefonnetzbetreiber weltweit miteinander verbinden. Man sei vermutlich das einzige Unternehmen, das mithilfe dieser Technologie das Vorhaben des Interessenten umsetzen könne. Der wollte nämlich im Auftrag eines unter internationalen Sanktionen stehenden Minenunternehmers Umweltschützer überwachen lassen, erklärte er den First-Wap-Vertrieblern.

Doch das war nur eine Legende, erdacht von einem internationalen Team investigativer Journalisten. Das war First Wap durch eine Sammlung von mehr als einer Million Überwachungsdatensätzen auf die Spur gekommen, mit mehr als 14.000 Betroffenen weltweit. Die meisten Überwachungsvorgänge datierten in die Frühzeit der Smartphone-Ära zwischen 2007 und 2014, doch First Wap ist noch immer aktiv. Auch interne E-Mails und Dokumente des Unternehmens fielen den Reportern in die Hände und zeigten: First Wap arbeitete offenbar mit autoritären Staaten und Auftraggebern aus der Industrie zusammen. Das widerspricht dem allgemeinen Narrativ der verschwiegenen Branche, das lautet: Nur zur Bekämpfung schwerer Kriminalität und ausschließlich für Regierungen stünden die Überwachungswerkzeuge zur Verfügung, in der Vergangenheit ans Licht gekommener Missbrauch sei eine unrühmliche Ausnahme.

Doch "Abdou", der Auftraggeber aus dem westafrikanischen Niger, ist von den Technologie-Exportbeschränkungen gegen das Land betroffen, daher schlug der umtriebige Vertriebsdirektor den Undercover-Journalisten einen Kunstgriff vor. Bei derlei Geschäften, so der Österreicher, müsse er Vorsicht walten lassen, um nicht im Gefängnis zu landen. Daher könne man den Deal über die indonesische Hauptstelle abwickeln, der aus Indien stammende Geschäftsführer unterliege nicht denselben Beschränkungen und könne alles abzeichnen.

Offenbar hatte das Unternehmen Erfahrung in der Umgehung von Sanktionen und verkaufte seine Dienste nicht nur an Regierungen zum Kampf gegen organisiertes Verbrechen, Terrorismus und Korruption, sondern auch zu anderen Zwecken. Das internationale Journalistenteam identifizierte Zielpersonen in über 100 Ländern, auch in den Vereinigten Staaten. Erik Prince, Gründer der Söldnertruppe Blackwater, wurde ebenso zum Ziel unbekannter Überwacher wie die Gründerin des mittlerweile insolventen DNA-Startups 23andMe, die überdies im fraglichen Zeitraum mit Google-Gründer Sergei Brin verheiratet war.

Nicht nur Prominente, sondern auch nicht in der Öffentlichkeit stehende Personen gerieten ins Fadenkreuz: Das an der Recherche beteiligte Online-Magazin Mother Jones nennt einen Softball-Trainer auf Hawaii, einen Restaurantbesitzer in Connecticut und einen Veranstaltungsplaner in Chicago als Beispiele für tausende anonyme Altamides-Opfer.

Kern des Produktangebots von First Wap ist SS7. Das "Signalling System 7" ist selbst IT-Experten eher unbekannt, existiert seit den Siebzigern. In Deutschland trägt es den sperrigen Namen "Zentraler Zeichengabekanal Nummer 7" und ist, so Experte Karsten Nohl gegenüber ZDF Frontal, "eine Grundsäule der Mobilfunknetze" und gleichzeitig seine Achillesferse. Doch Mobilfunkgeräte haben mit SS7 nichts direkt zu schaffen, sie bedienen sich zum Gesprächsaufbau und zur Datenübertragung der 5G-Protokollfamilie.

SS7 hingegen dient den Mobilfunkanbietern zur Übertragung von Routing- und Signalisierungsinformationen, vergleichbar etwa mit dem Border Gateway Protocol 4 (BGP4) in IP-Netzen. Unter den zwischen Mobilfunkanbietern per SS7 übertragenen Informationen ist auch der Standort eines Geräts und der Mobilfunkmast, in den es gerade eingebucht ist. Auch die Anzahl ein- und ausgehender Gespräche und Nachrichten kann jeder mit Zugang zum SS7-Netz ermitteln.

Die Protokollfamilie steht nicht zum ersten Mal im Zentrum eines Spionageskandals. Bereits 2014 warnte der CCC auf seinem Jahreskongress vor SS7-Schwachstellen, und die Washington Post machte auf kommerziellen Missbrauch durch Schnüffelfirmen aufmerksam. Und SS7-Experte Nohl entwickelte "SnoopSnitch", eine bis heute erhältliche Android-App, die auch auf SS7-Angriffe aufmerksam machen sollte. Doch im Gespräch mit heise security warnt er: Praktisch sei es für Mobilfunknutzer derzeit nicht möglich, eine derartige Attacke zu erkennen. Und das Citizen Lab der Uni Toronto kritisierte vor zwei Jahren vehement die Untätigkeit der Netzbetreiber – getan hat sich offenbar wenig.

Um im SS7-Netz herumschnüffeln zu können, muss man jedoch Zugang dazu haben – also selbst Netzbetreiber sein oder SS7-Zugang von einem solchen einkaufen. Im Fall von First Wap führt die Spur nach Liechtenstein. Die Telekom des Kleinstaats bestätigte dem ZDF, seit über zwanzig Jahren mit dem Unternehmen zusammenzuarbeiten. Sie habe zwar keinerlei Anzeichen für missbräuchliche Nutzung der zur Verfügung gestellten Dienstleistungen, die Geschäftsbeziehung jedoch bis zur Klärung aller Vorwürfe auf Eis gelegt.

Mit Ihrer Zustimmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen. YouTube-Video immer laden Die Journalisten von "Mother Jones" erzählen die Geschichte als Videoreportage.

Doch wer steckt hinter der Schnüffelei in internationalen Telefonnetzen? Das Unternehmen "First Wap" war zuvor gänzlich unbekannt, ist jedoch Teil eines auf Verschwiegenheit bedachten Ökosystems. Die Ausstellerliste der "ISS World" – jener Messe, auf der das Gespräch mit dem Undercover-Journalisten stattfand – offenbart dem interessierten Leser das "Who is who" der Spyware- und Schnüffelindustrie. Hauptsponsor ist der Spyware-Hersteller NSO Group, mittlerweile in der Hand von US-Investoren.

Auch Cellebrite und Magnet Forensics, deren Geräte inner- und bisweilen auch außerhalb des Gesetzes Zugriff auf Mobilgeräte verschaffen, tummelten sich im Prager Konferenzhotel. Andere Namen in der Branche erinnern hingegen eher an Cybercrime-Gruppen – zum Aussteller namens "DragonForce" etwa findet man nur die gleichnamige Ransomware-Gang und eine Metalband. Diese ist zwar für sehr technische Musik bekannt, wird aber kaum ein Gastspiel in Prag gegeben haben. Derlei Diskretion ist symptomatisch für eine höchst verschwiegene Branche, die stets in einer ethischen Grauzone arbeitet und diese offenbar häufig verlässt.

Einige der mehreren Dutzend Opfer, mit denen die Journalisten sprachen, meldeten sich selbst zu Wort. Der italienische Investigativreporter Gianluigi Nuzzi etwa, Experte für Enthüllungen rund um den Vatikan, zeigte sich verstört. "Wir sollten Feinde überwachen, nicht Journalisten", sagt Nuzzi, dessen Hauptquelle – ein Kammerdiener des Papstes – womöglich auch aufgrund der von First Wap ermöglichten Überwachung verhaftet wurde.

Auch Andreas Gall, ehedem CTO des Red Bull Media House, findet es "unheimlich und schockierend", von Unbekannten an seinem Arbeitsort und in seinem persönlichen Umfeld ausgespäht worden zu sein. Allein über zwanzig Angestellte des österreichischen Getränkeherstellers finden sich in der Überwachungsdatenbank.

Als der vorgebliche Spionage-Interessent, der Investigativreporter Emmanuel Freudenthal, sich im Videogespräch mit Vertretern von First Wap offenbart, mauern diese. Die Recherchen zur Überwachung Nuzzis und Galls seien "Fantasie", "absolut falsch" und man könne gar nichts selbst tracken. Man habe keinen eigenen Zugang, so die Unternehmensvertreter, sondern installiert diesen beim Kunden und dieser nutzt ihn dann.

Auch bei dem Vorschlag, Sanktionen gegen den nigerianischen Interessenten zu umgehen, handele es sich um Missverständnisse. Man habe in Prag lediglich von einer theoretischen technischen Machbarkeit gesprochen, handele stets im Einklang mit internationalen Sanktionen, auch entgegen mündlichen Zusagen auf der Messe. Gegenüber dem ZDF erklärte First Wap zudem schriftlich, man betreibe ein legales Geschäft und habe seine Kunden und Wiederverkäufer zur Einhaltung gesetzlicher Vorschriften verpflichtet.

Derlei Erklärungsversuche sind sattsam bekannt: Ähnlich argumentieren auch NSO, Cellebrite, Magnet Forensics und Co., die stets beteuern, auf "verantwortungsvollen Einsatz" ihrer Soft- und Hardware zu pochen. Man stelle lediglich eine technische Plattform zur Verfügung, für deren Ge- oder Missbrauch sei allein der Kunde verantwortlich. Das sehen Gerichte hingegen anders: Wegen widerrechtlichen Zugriffs auf Whatsapp-Server hatte der Konzern Meta im Mai 2025 von NSO fast 170 Millionen Dollar Schadenersatz erstritten. Ob Betroffene, Mobilfunkanbieter oder Bürgerrechtsorganisationen nun First Wap verklagen werden, ist hingegen noch offen.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)