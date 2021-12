Neuer Spionageskandal? Schwere Vorwürfe gegen die Zuger Technologiefirma Mitto – Manager Radomir K. ist abgetaucht Einer der Gründer der Technologiefirma Mitto aus Zug soll privaten Überwachungsfirmen und Behörden geholfen haben, Personen über ihr Mobiltelefon zu orten. Der Schweizer Datenschützer ist aktiv geworden. Kilian Küttel Jetzt kommentieren 08.12.2021, 17.15 Uhr

Die Zuger Technologiefirma Mitto steht im Verdacht, die Überwachung von Personen über via Smartphone ermöglicht zu haben. Gaetan Bally / KEYSTONE

Hat die Mitto AG Überwachungsfirmen geholfen, Handys von unbescholtenen Bürgerinnen und Bürgern zu orten? Genau das werfen zwei Investigativjournalisten der Zuger Firma vor, die Weltkonzerne wie Facebook zu ihren Kunden zählt. Im Zentrum der Kritik steht ein 39-jähriger Deutscher aus dem Kanton Zug. Und dieser macht sich rar.

«Ja, er wohnt unter uns. Aber im Moment ist er nicht da. Soll ich ihm etwas ausrichten?», fragt die Frauenstimme aus der Gegensprechanlage. Ein Dienstagmorgen im Dezember in einem Wohnquartier, wie es sie ausserhalb von Zug zu Dutzenden gibt. So austausch- und unscheinbar die Gegend ist, so sehr steht sie im Kontrast zu dem Mann, der die Wohnung mit heruntergelassenen Rollläden im ersten Stock des Zweifamilienhauses bewohnt: Radomir K.* hat die Aufmerksamkeit der halben Medienschweiz auf sich gezogen, nachdem am Montag das Bureau of Investigative Journalism aus London und das Nachrichtenportal Bloomberg News von den mutmasslichen Geschäften des 39-jährigen Deutschen berichtet haben: Die Journalisten Ryan Gallagher und Crofton Black werfen K. vor, ab 2017 Überwachungsfirmen ermöglicht zu haben, heimlich Handynutzerinnen und -Nutzer zu lokalisieren.

Mitto ist in über 100 Ländern aktiv

Getan haben soll das K. in seiner Funktion als Kader-Mitarbeiter und Verwaltungsrat der Mitto mit Sitz in Zug. Das 2013 gegründete Unternehmen ist laut Eigenangaben der Weltmarktführer für sogenannte Omnichannel-Kommunikation. Wichtiges Geschäftsfeld sind automatische Nachrichten, wie man sie bei der Zwei-Faktor-Authentifizierung kennt – jene Codes, die einem geschickt werden, nachdem man sein Passwort etwa bei einem Online-Login eingegeben hat.

0,6 Cent berechnet die Mitto Kundinnen und Kunden in den USA, wenn sie in deren Auftrag ein SMS verschickt, 0,5 Cent sind es bei Nachrichten über den Messengerdienst Whatsapp. Mitto ist in über 100 Ländern aktiv, arbeitet für Tech-Giganten wie Facebook oder Tiktok. Mit ihren automatischen Nachrichten käme sie die hintersten Winkel der Welt und mit dem Iran oder Afghanistan auch in Staaten, die für die westliche Welt schwer zu erreichen seien, schreiben Gallagher und Black. Ihren Vorwurf, K. habe Privatkunden (die wiederum auch für staatliche Behörden arbeiten würden) Zugang zur Mitto-Infrastruktur und damit die heimliche Überwachung unzähliger Handys ermöglicht, stützten sie auf die Aussagen mehrerer ehemaliger Angestellter, Kunden und auf firmeninterne Unterlagen.

Mitto streitet in einer Stellungnahme alles ab

Dass der Service auch für Überwachungszwecke genutzt worden sei, hätten Auftraggeber nicht gewusst, heisst es im Bericht. Nur eine Handvoll Leute sei eingeweiht gewesen, schreiben die Journalisten, während die Mitto-Pressestelle gegenüber dem Bureau of Investigative Journalism und Bloomberg sämtliche Vorwürfe bestreitet. In der Stellungnahme schreibt Mitto, sie sei schockiert über die Vorwürfe. Sie unterhalte kein separates Geschäftsmodell, das Überwachungsfirmen Zugang zu Kommunikationsinfrastruktur gebe, um Personen über deren Handy im Geheimen zu lokalisieren. Zudem sei man schockiert über die Behauptungen, wolle die Sache intern aber untersuchen. Eine Anfrage unserer Zeitung liess die Mitto bis anhin unbeantwortet.

Für Martin Steiger, Zürcher Anwalt und in der Schweiz eine Kapazität in Rechtsfragen für den digitalen Raum, kommt die Enthüllung nur bedingt überraschend. Es sei bekannt, dass das System unsicher sei und missbraucht werde. Steiger spricht vom sogenannten SS7, dem Signalisierungssystem Nummer 7: einer Sammlung von Protokollen, ursprünglich aus den späten 1970er-Jahren, unter anderem für den Versand von SMS im Einsatz, wie ihn die Mitto AG anbietet. Die Technologie wird weltweit verwendet und bildet die Grundlage für Fernmeldenetze, das Protokoll gilt als etabliert und leistungsstark.

Schwachstellen im SMS-Verkehr sind schon lange bekannt

Faktisch gäbe es für Telekommunikationsanbieter keine Alternativen, sagt Steiger. Aber: «Es ist anfällig für Missbrauch, da alles vom Vertrauen in beteiligte Unternehmen wie etwa der Mitto AG abhängt.» Gleichzeitig betont der Anwalt, dass noch nicht abschliessend geklärt sei, ob die Vorwürfe zutreffen. Die Journalisten beziehen sich in ihrem Bericht auf keine Gerichtsunterlagen oder Urteile, und wie die Zuger Staatsanwaltschaft auf Anfrage erklärt, führt sie weder ein Strafverfahren noch sei sie «bis anhin von Dritten oder Behörden» kontaktiert worden.

Gefragt, ob die Angelegenheit mit dem Fall der Steinhauser Crypto vergleichbar sei, sagt Steiger: «Bei der Crypto waren Geheimdienste als Eigentümer involviert. Dafür gibt es bei der Mitto bislang keine Anzeichen. Der Fall hat dennoch eine grosse Tragweite, denn er betrifft alle grossen Tech-Unternehmen.» Auch sei die Mitto in über 100 Ländern aktiv, und das als bis vor wenigen Tagen praktisch unbekannte Firma: «Eigentlich wäre das eine tolle Erfolgsgeschichte, von den aktuellen schweren Vorwürfen abgesehen», so Steiger.

Radomir K. reagiert nicht auf Kontaktaufnahme

Massgeblich an dieser Geschichte dürfte Radomir K. beteiligt gewesen sein. Auch wenn er erst seit Dezember letzten Jahres im Verwaltungsrat der Aktiengesellschaft sitzt, so ist er laut seinem Linkedin-Profil Teil des Unternehmens, seit es am 8. August 2013 in Luzern gegründet wurde. Seither amtet ein heute 43-Jähriger aus San Marino als Präsident des Verwaltungsrats; in den letzten acht Jahren hatte das Unternehmen seinen Sitz durchgehend an der gleichen Adresse an der Bahnhofstrasse mitten in Zug. Und zwar bei einer Treuhandfirma, die ihren Briefkasten mit über 120 Gesellschaften teilt und deren Büro im zweiten Stock über eine rote Wendeltreppe zu erreichen ist.

Bei einem Besuch vor Ort lachen die zwei Damen am Empfang verlegen auf die Frage, ob jemand von Mitto zu sprechen sei. Ein Herr mit weiss-grauen Haaren entgegnet, von denen sei heute niemand hier und er bezweifle ganz ehrlich, ob sie mit der Presse sprechen wollten. Diesen Eindruck bekommt auch, wer Radomir K. über Telegram zu erreichen versucht; auf eine Antwort wartet man ebenso vergebens wie auf einen Rückruf, nachdem man seine Telefonnummer bei K.’s Nachbarin hinterlassen hat.

Der Eidgenössische Datenschützer hat sich eingeschaltet

Auch mit den beiden Journalisten von Bloomberg und dem Bureau of Investigative Jouranlism wollte K. nicht sprechen. Was sagt Radomir K. zu den Vorwürfen gegen ihn und seine Firma? Vorderhand bleibt das unklar, zumindest für die Öffentlichkeit. Allerdings regen sich die Behörden: Nach den Enthüllungen hat sich der Eidgenössische Datenschutzbeauftragte eingeschaltet und Vorabklärungen eingeleitet, wie dieser am Dienstagabend mitteilte. Gemäss einer Medienmitteilung wird der Datenschützer die Schweizer Mobilfunkanbieter kontaktieren und die Mitto um eine Stellungnahme bitten. Womöglich spricht Radomir K. bald früher als später.

*Namen geändert

