Überwachungsdaten, die bisherige Vorstellungen von Standortverfolgung erschüttern

 (lighthousereports.com)
2 Punkte von GN⁺ 2025-10-15 | 2 Kommentare | Auf WhatsApp teilen
  • Das kaum bekannte Überwachungstechnik-Unternehmen First Wap verkaufte an private Firmen und andere Akteure die leistungsfähige Software Altamides, mit der sich der Standort von Personen weltweit verfolgen lässt
  • Durch die Analyse eines Datenarchivs mit mehr als 1,5 Millionen Einträgen, das Lighthouse Reports und Partnerjournalisten beschafft hatten, wurde aufgedeckt, dass Politiker, Unternehmer und gewöhnliche Menschen Ziel illegaler Überwachung wurden
  • Die Überwachungsbranche behauptete, ihre Werkzeuge nur für strafrechtliche Ermittlungen zu nutzen, doch tatsächlich zeigte sich, dass auch nichtstaatliche, private und unethische Zwecke toleriert werden
  • First Wap baute auf Basis von Sicherheitslücken im alten SS7-Telekommunikationsprotokoll ein globales Tracking-System auf und erweiterte es später um Funktionen wie Abhören von Telefonaten und Hacking verschlüsselter Messenger
  • Durch eine verdeckte Undercover-Recherche wurde deutlich, dass die Unternehmensführung trotz bekannter Risiken im Zusammenhang mit Umgehungsverkäufen zur Sanktionsvermeidung weiter über Geschäfte sprach

Das wahre Gesicht des Überwachungsgeschäfts: Altamides-Tracking in internationalem Ausmaß

Die Realität der Überwachungsindustrie in Prag

  • Im Juni 2024 erwähnte Günther Rudolph, Vertriebsmanager von First Wap, auf der geheim abgehaltenen Überwachungstechnik-Messe ISS World bei einem Gespräch über den Verkauf der Tracking-Software Altamides an ein privates Bergbauunternehmen, dass man „ins Gefängnis kommen könnte, wenn man den Deal vermittelt“
  • Die potenzielle Gegenpartei war ein Unternehmen im Besitz einer sanktionierten Person mit dem Ziel, Umweltaktivisten zu überwachen; Rudolph deutete mit den Worten „Nur wir können das“ eine exklusive technische Fähigkeit an
  • Doch der angebliche Geschäftspartner war in Wirklichkeit ein Undercover-Reporter von Lighthouse Reports

Umfangreiches Standortdaten-Archiv und internationale Gemeinschaftsrecherche

  • Ausgangspunkt war die Analyse eines Archivs mit mehr als 1,5 Millionen Standortverfolgungsdaten, das ein Lighthouse-Reporter im Dark Web entdeckt hatte
  • 14 Medienhäuser und mehr als 70 Journalisten beteiligten sich daran, Eigentümer einzelnen Telefonnummern zuzuordnen und durch die Klassifizierung von Zielgruppen (Clustern) die Struktur offenzulegen
  • Die Daten umfassten Personen aus 160 Ländern, darunter frühere und amtierende Spitzenpolitiker, Unternehmer und normale Bürger
  • Beispiele: der frühere Premierminister von Katar, die Ehefrau des ehemaligen syrischen Präsidenten Bashar al-Assad, ein Netflix-Produzent, der Gründer von Blackwater, die Gründerin von 23andMe, Führungskräfte von Red Bull und viele weitere Personen wurden umfassend verfolgt
  • Während der Datenanalyse und Recherche verfolgten Journalisten in verschiedenen Ländern Hinweise auf Überwachung im eigenen Land und identifizierten weitere Betroffene

Die Position von First Wap und die Selbstrechtfertigung der Branche

  • First Wap erklärte, man habe „nichts mit illegalen Handlungen oder Menschenrechtsverletzungen zu tun“, äußere sich aber wegen der konkreten Materie nicht näher, da sonst die Identität von Kunden offengelegt werden könnte
  • Das Unternehmen betonte die Standardposition, dass man nach der Installation nicht mehr in die Nutzung eingreife und Strafverfolgungsbehörden die Software zur Bekämpfung von „organisierter Kriminalität, Terrorismus und Korruption“ einsetzten
  • Die gesamte Überwachungsbranche hielt an der Erzählung fest, die Technik werde nur gegen Terror und Kriminalität eingesetzt; die Recherche zeigte jedoch, dass staatliche wie nichtstaatliche, kommerzielle wie private Zwecke gleichermaßen toleriert werden

Grenzüberschreitende Überwachungssoftware: eine Realität, in der jeder zum Opfer werden kann

Konkrete Opferfälle von Altamides

  • 2012 wurde „Sophia“ (Pseudonym), die an einem Strand in Goa in Indien Urlaub machte, von einem Mann mit persönlicher Obsession mithilfe eines staatlichen Überwachungssystems ortsverfolgt
  • Wie dieser Fall zeigt, verbreitete sich Altamides auch außerhalb staatlicher Stellen an private Akteure wie Stalker und Unternehmen, und unter den Opfern waren auch gewöhnliche Menschen wie Lehrer, Therapeuten und Tätowierer

Vertriebswege und Expansion der Software

  • First Wap verkaufte die Software weltweit über ein Netzwerk von Zwischenhändlern
  • Das britische Ermittlungs- und Beratungsunternehmen KCS Group versuchte, Altamides an Regierungen in Nordafrika und Asien zu verkaufen; Dokumente zeigen, dass man politische Instabilität (den Arabischen Frühling) als geschäftliche Chance nutzen wollte
  • KCS erklärte offiziell, man sei „nicht am Verkauf oder Einsatz unethischer Überwachungswerkzeuge beteiligt“ gewesen

Der stille Pionier, der die Branche beherrschte

Technische Ursprünge und Wachstum von Altamides

  • Josef Fuchs, zuvor bei Siemens, entdeckte Anfang der 2000er Jahre SS7-Schwachstellen in globalen Telekommunikationsnetzen und lenkte damit die Geschäftsausrichtung von First Wap von SMS-Marketing → Handy-Tracking-Software um
  • Schon in der Ära von Blackberry, Nokia und anderen Feature-Phones wurde ein System geschaffen, mit dem sich allein durch Eingabe einer Telefonnummer weltweit ein Standort ermitteln ließ
  • Später kamen Funktionen wie Abfangen von SMS, Abhören von Gesprächen und Hacking verschlüsselter Messenger wie WhatsApp hinzu

Dominanz auf dem Weltmarkt und Schattenmanagement

  • First Wap baute über mehr als 20 Jahre hinweg still und ohne Grenzen oder rechtliche Beschränkungen ein globales Überwachungsimperium auf und setzte den Kategorien und Grenzen des Überwachungsbereichs faktisch keine Schranken

Die Realität jenseits des Handbuchs, aufgedeckt durch Undercover-Recherche

Ethische Grenzen und Praxis von Umgehungsgeschäften

  • Bereits in frühen Kontakten und bei der Dokumentenanalyse wurden Fälle entdeckt, in denen Personen ohne Bezug zu gewöhnlicher Kriminalität überwacht wurden und autoritäre Staaten sowie nichtstaatliche Akteure die Technik nutzten
  • First Wap erklärte, Verträge mit Regierungskunden nur nach strikter Sanktionsprüfung und sorgfältiger Überprüfung abzuschließen
  • Ein Undercover-Reporter testete unter falscher Identität (als Leiter eines südafrikanischen Beratungsunternehmens), bei Teilnahme an der ISS World in Prag und bei Treffen mit realen Vertriebsmitarbeitern aus, ob Überwachungsprojekte für private Unternehmen und politische Zwecke möglich seien
  • Zu riskanten Fällen räumte Vertriebsleiter Rudolph ein, dass Geschäfte trotz europäischer Sanktionen gefährlich seien, aber über eine indonesische Gesellschaft und Briefkastenfirmen abgewickelt werden könnten, und erkannte damit Methoden zur Umgehung an
  • Nachdem Lighthouse die Undercover-Recherche später offengelegt hatte, erklärte First Wap, die tatsächlichen Äußerungen hätten sich nur auf technische Möglichkeiten bezogen und es habe ein Missverständnis gegeben

Verwandte Beiträge

2 Kommentare

 
crawler 2025-10-15

Ist das wirklich echt und nicht so etwas wie eine Verschwörungstheorie?
Selbst wenn es sich um eine Schwachstelle im Protokoll selbst handelt, müsste es doch Hunderte von Mobilfunkanbietern geben — daher fällt es mir schwer zu glauben, dass man damit die ganze Welt verfolgen kann.
Wie will man überhaupt die Telefonnummer des US-Präsidenten, von Jensen Huang oder von Chunsik, der nebenan wohnt, kennen und eindeutig zuordnen?
 
GN⁺ 2025-10-15
Hacker-News-Kommentare

  • Ich wünschte, Journalist:innen würden stärker untersuchen, warum solche Überwachungstechnologien und dieser Informationsaustausch überhaupt erlaubt sind und welche Motive ihre Existenz ermöglichen. Beim Lesen von Präsident Obamas Memoiren <A Promised Land> hatte ich den Eindruck, dass sich die Haltung zur Überwachung aus Sicht einer Führungsperson völlig verändert, sobald man direkt für die Sicherheit der Öffentlichkeit verantwortlich ist. Jedes Mal, wenn ich Flock-Kameras oder Überwachungsgeräte in Geschäften sehe, habe ich das Gefühl, dass Führungskräfte weniger von der vagen Möglichkeit des Missbrauchs als vielmehr von der Macht dieser Technologie selbst fasziniert sind. Das erinnert mich daran, wie Berichte über Brandgefahren in der Gesellschaft oft nicht die Notwendigkeit präventiver Systeme wie Brandschutzgesetze, Rauchmelder oder soziale Normen erwähnen. Ich würde gern Artikel lesen, die untersuchen, wer für die Installation von Flock-Kameras verantwortlich ist, warum sie installiert werden und wie sich positive Ergebnisse wie die Festnahme von Autodieben erzielen lassen, ohne negative Nebenwirkungen wie Profiling, Stalking oder die Verfolgung von Nichtkriminellen in Kauf zu nehmen

    • Jeder glaubt, dass Macht richtig eingesetzt würde, wenn nur die richtigen Leute sie hätten. Theoretisch hätte eine perfekte Regierung mit umfassenden Überwachungsbefugnissen Vorteile wie niedrigere Kriminalitätsraten, aber in der Praxis sind große Organisationen nicht gut darin, fein abgestufte Kontrolle auszuüben, und selbst wenn Führungspersonen mit guten Absichten anfangen, entstehen Probleme durch mittlere Managementebenen oder ungenaue Daten. Selbst gute Anführer wählen oft schlechte Nachfolger, und am Ende ist es sehr wahrscheinlich, dass korrupte Führungspersonen an die Macht kommen. Außerdem ist das ein Grund, warum Dezentralisierung oder Privatsphäre selbst dann, wenn sie nicht ideal erscheinen, als Absicherung erhalten bleiben müssen, falls ein zentralisiertes Überwachungssystem versagt

    • Ich halte die Aussage, Obama habe eine Reform der Massenüberwachung angestrebt, seine Haltung aber geändert, als er tatsächlich für die Sicherheit der Bürger verantwortlich wurde, nur für eine Ausrede. Wegen des politischen Risikos, für jedes Unglück nach einer Überwachungsreform verantwortlich gemacht zu werden, selbst wenn es nichts mit Überwachung zu tun hat, geben Politiker am Ende ihre als Kandidat noch richtige Position auf und vermeiden das Problem lieber. Verbrechensprävention ist auch ohne Massenüberwachung ausreichend möglich, und man kann schlechte Taten ebenso durch Maßnahmen wie Armutsbekämpfung verringern. Keine Politik kann die Quote auf 0 % senken; aus Angst vor Kritik die richtige Reform aufzugeben, ist schlicht ein Mangel an Mut

    • Ich bin nicht grundsätzlich gegen Überwachung an sich. Ich möchte nur, dass sie transparent ist und strikt auf das notwendige Minimum begrenzt wird. Wenn die Polizei zum Beispiel meinen Google-Suchverlauf haben will, sollte sie dafür zwingend einen richterlichen Beschluss benötigen, den Grund darlegen müssen und den Kontoinhaber nach einer gewissen Zeit benachrichtigen. Wenn Zugriff auf ein Mobiltelefon nötig ist, wäre es richtig, es über ein ordentliches Verfahren sicherzustellen und das Passwort direkt von der betroffenen Person zu verlangen, statt heimlich zu hacken. Das ist ein deutlich sichtbarer Eingriff, der Missbrauch eher verhindert, statt alle ständig zu verfolgen. Außerdem sollten Geschäftsdaten, die etwa zur Diebstahlprävention mithilfe von Gesichtserkennung erhoben werden, nicht für Marketing oder Analysen verwendet werden dürfen und gesetzlich nach einer bestimmten Frist gelöscht werden müssen

    • Es wird betont, dass die Ursache für die Zulassung solcher Überwachungstechnologien letztlich die „Gleichgültigkeit“ der Öffentlichkeit ist

    • Die Wahrnehmung, dass es „nichts kostet, das Problem einfach nicht anzugehen“, ist so verbreitet, weil man allen kleine, unklare Kosten aufzwingt und das damit rechtfertigt, dass dadurch irgendwann vielleicht einmal ein Leben gerettet werden könnte. Diese Methode wird überall auf der Welt von böswilligen Menschen und gewissenlosen Kommentarschreibern gern genutzt. Die Gesellschaft kann mit strukturellen Nachteilen schlecht umgehen, bei denen der Schaden für den Einzelnen gering erscheint, in der Summe aber enorm ist. Wenn die gesamten USA jeden Tag je eine Minute aufwenden würden, um pro Jahr ein einziges Leben zu retten, wäre der tatsächliche Verlust größer als der Nutzen der geretteten Person. Solange der Schaden subjektiv wirkt, spricht ihn niemand an

  • Eine Firma namens First Wap ermöglicht die Verfolgung von Personen. Das Kernprodukt des Unternehmens ist Software, die auf Ebene des Telekommunikationsnetzes arbeitet. Wichtig dabei ist, dass Telefongesellschaften noch immer das veraltete Protokoll Signalling System 7 (SS7) unterstützen. Damit ein Telefonnetz Nutzern standortbasiert SMS oder Anrufe zustellen kann, ist der Austausch von Standortanfragen unverzichtbar. Die grundlegende Schwachstelle besteht darin, dass Netzwerke solche Anfragen verarbeiten, ohne zu prüfen, wer sie sendet und zu welchem Zweck. Diese Signale (Signalling Messages) sind auf dem Telefon des Nutzers überhaupt nicht sichtbar und laufen nur zwischen Netzwerk-Knotenkennungen, den sogenannten „Global Titles (GT)“

    • Als „interessante Tatsache“ gilt dabei, dass zu den „anderen Netzwerken“ auch sämtliche ausländischen Roaming-Partnernetze gehören. Das heißt, durch Ausnutzung der SS7-Schwachstelle ist es sogar möglich, den Standort einer anderen Person von einem anderen Kontinent aus zu verfolgen

    • Ich vermute, dass Telekommunikationsanbieter die Nutzerdaten selbst einfach verkaufen. Es gab auch Nachrichten darüber, dass die FCC Unternehmen mit Geldbußen belegte, weil sie solche Informationen ohne Zustimmung der Nutzer verkauft hatten Referenzlink

  • Auch im Jahr 2025 bestehen die Schwachstellen von SS7-Netzwerken weiter fort. Angreifer können Femtozellen (kleine Relais-Basisstationen) oder IMSI-Catcher (gefälschte Basisstationen) einsetzen, um SS7-Verkehr abzufangen. Bei GSM authentifiziert sich das Endgerät gegenüber dem Netz, aber das Netz authentifiziert sich nicht gegenüber dem Endgerät, weshalb es leicht ist, Mobiltelefone mit einem IMSI-Catcher zur Verbindung zu bewegen. Sogar bei LTE wird versucht, über gefälschte Basisstationen Verbindungen herabzustufen, um Sicherheitsmechanismen zu umgehen. Mehr zur Funktionsweise des Angriffs

  • Es gibt einen Artikel mit dem Titel <i>Why the US still won’t require SS7 fixes that could secure your phone</i> (2019). Darin geht es darum, dass die US-FCC bei der Behebung der SS7-Schwachstellen zögert, sogar technische Empfehlungen des Department of Homeland Security (DHS) ignoriert und dass zwar Best Practices wie der Einsatz mehrerer Filtersysteme vorgeschlagen wurden, in der Praxis aber nur auf freiwillige Umsetzung gesetzt wird Artikellink

  • Ich finde es erstaunlich, dass solche „Geheimnisse“ heute in den Medien auftauchen. Die Quelle im Artikel wirkt absichtlich vage gehalten. Dort steht nur: „Lighthouse found a vast archive of data on the deep web“. Heißt das am Ende nicht einfach, dass eine Überwachungsfirma Daten von Tausenden Menschen wie in einem offenen S3-Bucket abgelegt hatte? Tatsächlich gibt es in dieser Branche viele Fälle, in denen Unternehmen die Sicherheitslücken anderer ausnutzen, um abzuhören und zu überwachen, während ihre eigenen Daten durch banale Fehler nach außen gelangen. Beim Leak von TM_Signal lag die Ursache ebenfalls darin, dass Archive mit hochrangigen US-Nachrichten einfach in einem offenen S3 gespeichert waren. Ironischerweise ist es ein bitterkomischer Sicherheitsfehler, wenn Sicherheitsfirmen, die von der Abschöpfung fremder Daten leben, ihre eigenen Daten für jedermann sichtbar liegen lassen

    • Vielleicht sind die Leute in dieser Branche so spezialisiert auf ihr eigenes Gebiet, dass ihnen Erfahrung im Cloud-Management fehlt. Möglich ist gut, dass sie die S3-Konfiguration mit Copy-and-paste von Stack Overflow zusammengebaut und dabei Fehler gemacht haben. Wenn man Bereiche, die nicht zum eigentlichen Kerngeschäft gehören, nur oberflächlich behandelt, passieren solche Vorfälle leicht. Wenn das Fachgebiet ein anderes ist, sind solche Fehler durchaus nachvollziehbar. Diese Leute halten dich vielleicht eher für dumm, weil du SMS benutzt

  • Für Interessierte gibt es bei Lighthouse Reports einen technisch detaillierten Beitrag zur Methodik ihrer Überwachungsrecherche Link zur technischen Erklärung

  • Das erinnert mich an den Vortrag „SS7: Locate. Track. Manipulate.“ von einem früheren CCC (Chaos Communication Congress) im Jahr 2014 Link zum Vortrag

    • Der erste Vortrag dazu war Tobias Engels Präsentation „Locating Mobile Phones using SS7“ auf dem 25C3 im Jahr 2008 Videolink

  • Im Artikel steht etwas von „1,5 Millionen Einträgen, mehr als 14.000 eindeutigen Nummern und Überwachungsaufzeichnungen aus rund 160 Ländern“. Es wäre gut, wenn es wie bei HIBP (Have I Been Pwned) eine Website gäbe, auf der man prüfen kann, ob die eigene Nummer enthalten ist

  • Stallman war ein ruppiger und eigenwilliger Mensch, hatte aber recht mit der Forderung, dass Geräte mit Risiken für die Privatsphäre bis hinunter zu sämtlichem Code und allen Transistoren vollständig offengelegt werden sollten