Boris Pistorius blickt direkt in die Kamera. Der deutsche Verteidigungsminister richtet sich an die Nation, spricht von „rasantem Wandel, neuen Arbeitsplätzen und fortschrittlichen Technologien“. Sie sollen Deutschland an die Spitze der Weltwirtschaft bringen. Am Ende des Clips verspricht er dem Facebook-Publikum, ein neues Regierungsprogramm werde „Gewinne für jeden Bürger sichern“.

Auch die derzeitige Präsidentschaftskandidatin Irlands, Heather Humphreys, spricht in einem vielgeklickten Facebook-Video zu ihren potenziellen Wählern: „Ich freue mich, Ihnen Quantum AI vorzustellen“, sagt sie. Eine Plattform, die irischen Familien den Weg in die finanzielle Unabhängigkeit ebnen würde. Wer dort einen kleinen Betrag investiere, könne „wöchentliche Zahlungen von bis 4.500 Euro erhalten.“ Humphreys versichert, die irische Regierung habe gemeinsam mit Finanzinstitutionen des Landes das Programm „zugänglich und sicher gemacht“.

Der Weg in den Investment-Betrug

Humphreys und Pistorius haben all das nie gesagt. Die Clips sind täuschend echte Fälschungen, die mit KI-Tools erstellt wurden. Über Plattformen wie Facebook, Instagram oder TikTok verbreiten sich die Deepfakes mit den prominenten Finanztipps als bezahlte Werbeanzeigen. Von den Videos führt ein Link zu einer Plattform, auf denen Nutzer ihre Kontaktdaten hinterlassen. Es folgen Anrufe eines vermeintlichen Finanzberaters, der um eine kleine erste Einzahlung bittet. Der Investment-Betrug beginnt.

Geschulte Callcenter-Agenten führen ihren Opfern auf angeblichen Investment-Plattformen vor, wie sich deren Einzahlungen rasant vermehren. Darauf hoffend ihre Gewinne zu steigern, investieren manche Menschen Tausende oder gar Zehntausende Euro. Bis sie versuchen, sich das Geld auszahlen zu lassen. Erst dann erkennen sie meist: Es gab nie eine echte Investition. Sie stecken tief in einem System, das von Anfang an gegen sie gerichtet war.

Europäische Ermittler sowie Computerkriminalitätsfachtleute warnen zunehmend vor dem enormen Ausmaß der Betrugsmasche, die meist mit einem Social-Media-Inserat beginnt. Im September erklärte die EU-Digitalkommissarin Henna Virkkunen, dass Europäerinnen und Europäer durch Werbung für Finanzbetrug jährlich mehr als vier Milliarden Euro verlieren würden.

Die Spur eines Millionenbetrugs

Befeuert durch KI-Tools

Investigate Europe kann nun zeigen, wie sich der Betrug mit vermeintlichen Online-Investments nahezu ungehemmt in Europa ausbreitet, betrieben in mutmaßlich illegalen Callcentern und nun potenziert durch den Einsatz von KI-Systemen. Die Auswertung privater E-Mails und Chatnachrichten zwischen Betrügern und ihren Opfern sowie Interviews mit Dutzenden Betroffenen zeigen, wie zahllose Europäerinnen und Europäer unablässig mit täuschenden Annoncen für Anlageoptionen überzogen werden, die sich in den sozialen Netzwerken rasant verbreiten.

Reporterinnen und Reporter führten mehr als hundert Gespräche mit Staatsanwälten, Content-Moderatoren, EU-Beamten, Cybercrime-Experten und Bankangestellten. Sie zeigen, wie Europas Institutionen es nicht schaffen, Bürgerinnen und Bürger vor dem Risiko des finanziellen Ruins zu schützen.

Meldestellen für betrügerische Anzeigen

Valentine Auer kennt das Drehbuch der Betrüger in- und auswendig. Sie leitet beim Wiener Institut für angewandte Telekommunikation (ÖIAT) ein Team zur Betrugserkennung. Seit vergangenem Jahr ist das ÖIAT ein sogenannter Trusted Flagger. Die Europäische Kommission führte den Begriff im Rahmen ihres wegweisenden Gesetzes zur Regulierung digitaler Inhalte, dem Digital Services Act (DSA), ein.

Zu den Trusted Flaggern zählen Finanzinstitute, NGOs oder Unternehmen, die von den nationalen Behörden aufgrund ihrer Expertise zugelassen werden, etwa in den Bereichen Kinderschutz, Hassrede oder Betrug. Meldungen dieser Stellen sollen von den großen Plattformen wie Facebook oder Instagram mit besonderer Priorität bearbeitet werden. Trusted Flagger arbeiten unabhängig von den internen Moderationsteams der Plattformen. Bisher gibt es 46 solcher Stellen in 17 der 27 EU-Mitgliedstaaten.

In Österreich durchforstet Auer gemeinsam mit drei Kolleginnen und Kollegen große Plattformen und Suchmaschinen wie Facebook, Instagram und Google. Ihr Team spürt gezielt illegale Inhalte auf, von betrügerischen Finanzanzeigen über Darstellungen sexualisierter Gewalt an Kindern bis hin zu Hassrede, und beantragt deren Löschung bei den Plattformen.

Wenige Menschen gegen eine Flut von Inhalten

Ein Blick in die Werbebibliothek von Meta, das Archiv des Konzerns für alle Anzeigen auf seinen Plattformen wie Facebook und Instagram, zeigt: Mit nur wenigen Dutzend Suchbegriffen stoßen Auer und ihr Team auf eine Flut betrügerischer Finanzanzeigen. Viele Annoncen ähneln sich sehr. Veränderungen sind nur minimal, um automatischen Filtern zu entgehen.

„Wir sehen immer wieder dieselben Tricks: Videos, die nur für ein paar Stunden geschaltet werden, gehackte Promi-Accounts, die für Anzeigen missbraucht werden“, sagt Auer. „In kurzer Zeit haben wir Zehntausende solcher Anzeigen gefunden, darunter das Video mit Boris Pistorius, offensichtlich KI-generiert.“

Auers Recherchen zeigen, wie einfach es ist, solche Anzeigen zu finden, und wie schwer es ist, Meta dazu zu bewegen, sie zu löschen. „Wenn wir nur eine Handvoll Anzeigen melden, werden sie oft innerhalb weniger Tage entfernt“, sagt sie. „Doch sobald wir größere Mengen einreichen, reagiert Meta plötzlich nicht mehr oder behauptet, das Material sei derzeit nicht verfügbar, obwohl wir wissen, dass es noch online ist.“

Neben dem DSA sind betrügerische Anzeigen auch laut Metas Werberichtlinien verboten. Denn die schließen ausdrücklich Inhalte aus, die Personen oder Organisationen falsch darstellen, ebenso wie „irreführende oder täuschende Behauptungen“ zu Finanzprodukten. Als Werbebotschafter fungieren häufig Deepfakes von Prominenten und Politikern. Die sind laut Metas Regeln ebenfalls untersagt.

Betrügerische Anzeigen und der Digital Services Act

Die EU-Kommission bezeichnete betrügerische Investmentanzeigen unlängst als „systemisches Risiko“ für den Verbraucherschutz und forderte die Plattformen zu besseren Schutzmaßnahmen auf. Europol warnte in einem Lagebericht aus diesem Frühjahr, Online-Finanzbetrug habe „durch Fortschritte in Automatisierung und Künstlicher Intelligenz ein beispielloses Ausmaß erreicht, und dürfte weiter zunehmen“. Allein die Anzeigen aus dem Netz zu nehmen – selbst wenn das gelingen würde – ändert nichts an den kriminellen Strukturen dahinter.

Als Reaktion starteten Polizeibehörden in Deutschland, Großbritannien, Serbien, Bulgarien, Rumänien, Georgien und Israel groß angelegte Einsätze. Sie zerschlugen Netzwerke, die mit aufwendigen Betrugssystemen über den gesamten Kontinent hinweg operierten, mit Opfern in Europa und weit darüber hinaus.

Angesichts von Metas globaler Reichweite und der Leichtigkeit, mit der Anzeigen geschaltet werden können, sind Facebook und Instagram zu bevorzugten Plattformen für Betrüger geworden, die Nutzer ausnehmen wollen. Auf den Plattformen haben EU-Bürgerinnen und Bürger knapp 530 Millionen Accounts. Unlängst warb der Konzern damit, dass sein Geschäft mit personalisierter Werbung in Zusammenhang mit einem Wirtschaftsertrag von 213 Milliarden Euro und 1,44 Millionen Jobs stünde.

Wer zahlt für die Betrugsanzeigen?

Laut mehreren Trusted Flaggern ist in der Werbebibliothek von Meta bei Anzeigen häufig nicht klar ersichtlich, wer sie tatsächlich veröffentlicht und bezahlt hat, obwohl der Digital Services Act genau das vorschreibt. „Eigentlich ist es verpflichtend anzugeben, wer die Anzeige bezahlt hat“, sagt Auer. „Aber meist steht dort nur ein bedeutungsloser Name.“

Auch betrügerische Werbekunden können die automatischen Erkennungssysteme der Plattformen leicht umgehen, erklärt der Leiter der Sicherheitsabteilung der Bank of Ireland, Paul O’Brien. „Man klickt auf eine Anzeige für eine Irlandreise durch Connemara und in Wahrheit ist es eine Finanzbetrugsanzeige.“ Solche Anzeigen herauszufiltern, sei eine Vollzeitaufgabe.

Im Vergleich zum rasanten Anstieg des Finanzbetrugs in Europa verläuft der Aufbau der Trusted-Flagger-Strukturen schleppend. Von den derzeit 46 offiziell anerkannten Organisationen hat nur knapp ein Drittel als Fachgebiet auch „Betrug“ angegeben.

Im Mai dieses Jahres erhielt auch die litauische Organisation Debunk EU den Trusted-Flagger-Status. In einem Videogespräch zeigt der Chef der Organisation Viktoras Daukšas die Software, die sein Team nutzt, um Betrugsnetzwerke auf Facebook nachzuzeichnen. „Wir beobachten, dass in immer mehr Anzeigen Deepfakes und KI-generierte Inhalte verwendet werden“, sagt er. Ende September hatte seine kleine Organisation bereits mehr als eine Million Anzeigen gemeldet, die von etwa 1,4 Milliarden Nutzern angesehen worden waren. Er schätzt, dass die Personen hinter den Anzeigen mehr als 20 Millionen Euro an Meta für die Werbeplatzierung gezahlt haben dürften.

Wie seine österreichische Kollegin Auer kann auch Daukšas nur 20 URLs pro Bericht an Meta melden. Es variiere stark, wie lange die Plattformen benötigen, um die Inhalte zu löschen. So habe Meta mitunter Monate und schriftliche Erinnerungen benötigt, bevor eine Anzeige verschwand. Häufig würden Inhalte aber deutlich schneller gelöscht, bestätigen auch Trusted Flagger aus anderen EU-Staaten wie Italien und Griechenland.

Meta ließ Anfragen nach einer Stellungnahme zu den Ergebnissen dieser Recherche unbeantwortet.

Das ungleiche Verhältnis zwischen den Betrügern und den Plattformbeobachtern wird nun durch den Einsatz von Künstlicher Intelligenz weiter potenziert.

Wenige Stunden Werbung, mehrere Jahre Ermittlungen

Der Sicherheitsexperte der Bank of Ireland, Paul O’Brien, beobachtet, dass KI-generierte Anlagebetrügereien von Woche zu Woche raffinierter werden. „Innerhalb einer einzigen Anzeige gibt es inzwischen oft über 50 verschiedene Varianten desselben Werbetreibenden, leicht verändert, aber im Kern identisch oder mit demselben Ziel“, sagt er. Die mutmaßlichen Betrüger würden ihre Anzeigen bewusst nur für wenige Stunden schalten. Hat er die erste Version deaktiviert, aktiviert er eine neue Anzeige. „Sie nutzen die Funktionen der Plattformen einzig dazu, an die Kontaktdaten der Nutzer zu kommen, danach verlagert sich alles auf außerhalb der Plattform.“

Vom nordbayerischen Bamberg aus jagt der deutsche Staatsanwalt Nino Goldbeck die Betreiber hinter betrügerischen Online-Handelsplattformen. Als die Zentralstelle Cybercrime Bayern 2018 eine eigene Abteilung für Wirtschaftskriminalität gründete, ahnte er nicht, welches Ausmaß das Problem annehmen würde. Pro Jahr, schätzt er, würden Menschen in Deutschland mittels vermeintlicher Online-Investmentplattformen um mehr als eine Milliarde Euro gebracht.

Heute leitet Goldbeck gemeinsam mit einem Kollegen zwei Abteilungen, mit insgesamt einem Dutzend Staatsanwälten, die täglich bis zu 40 neue Anzeigen erhalten. Doch einen Fall vor Gericht zu bringen, dauere mitunter viele Jahre.

„Wir konzentrieren uns auf bestimmte Personen, bei denen die Beweislage stark ist. In diesen Fällen sind die nachweisbaren Schäden besonders hoch – da haben wir wirklich belastbares Material.“ Gemeinsam mit seinem Team hat Goldbeck bereits zahlreiche Netzwerke zerschlagen.

Ähnlich klingt es aus Norwegen und Irland: Die Zahl digitaler Finanzdelikte wächst rasant, Ermittler sprechen von Hunderten Fällen pro Woche. Der norwegische Staatsanwalt Andre Hvoslef-Eide berichtet, dass er inzwischen davon ausgehe, dass in kriminellen Netzwerken inzwischen „die Einnahmen aus Betrugsdelikten jene aus Drogenverkäufen“ ersetzen. In Irland berichtet der leitende Kriminalbeamte Michael Cryan: „Wir melden betrügerische Anzeigen jeden Tag, doch von Meta gibt es keinerlei Kooperation.“

Ein Kampf an vielen Fronten

Irland schlug im Frühjahr dieses Jahres deshalb vor, mittels der sogenannten Payment Service Regulation, große Plattformen gesetzlich zu verpflichten, die Identität ihrer Werbekunden vor der Veröffentlichung von Annoncen zu prüfen. Doch der Vorschlag erhielt in einer Arbeitsgruppe des EU-Rats keine Mehrheit. Google etwa führt solche Überprüfungen bereits durch. Doch wer auf den Meta-Plattformen in der EU für Finanzprodukte werben möchte, muss sich vorher nicht verifizieren.

Der Konzern bleibt im Fokus. Die EU-Kommission eröffnete im April 2024 ein Verfahren, um zu prüfen, ob Meta gegen den Digital Services Act verstoßen habe, unter anderem gegen die Vorgaben im Zusammenhang mit irreführender Werbung. Eine abschließende Entscheidung steht noch aus.

Während Ermittler in Bamberg Aktenordner wälzen und in Brüssel über Vertragsstrafen beraten wird, spielt sich ein entscheidender Kampf gegen den Betrug mit vermeintlichen Online-Investments längst woanders ab: in einem Büroraum im dritten Wiener Bezirk.

Dort sitzt Valentine Auer vor drei Bildschirmen, umgeben vom Summen der Computerlüfter. Seit einem Jahr durchforstet sie das Internet nach betrügerischen Anzeigen, Videos, Deepfakes, falschen Versprechen. Seit Meta sein System externer Faktenprüfer eingestellt hat, sei das Problem astronomisch, sagt sie. Trusted Flagger allein können es nicht richten, aber was macht Meta? Auer lächelt kurz und sagt fast resigniert: „Am Ende ist klar, was zählt: das Geschäft.“

Dieser Artikel ist der zweite Teil der Recherche „Scam Europe“, die vom Balkan Investigative Network (BIRN) geleitet wurde sowie von Investigate Europe, einem Journalistenteam, das länderübergreifend arbeitet. Diese Geschichte wird mit Medienpartnern in acht Ländern veröffentlicht, darunter Der Standard, Altreconomia, Balkan Insight, EU Observer, The Irish Times, La Libre, netzpolitik.org und Público. Die Recherche wurde unterstützt von IJ4EU (Investigative Journalism for Europe).

SMS-Nachrichten abfangen und so WhatsApp-Konten übernehmen? Genaue Bewegungsprofile beliebiger Ziele im In- und Ausland? Anrufe abhören und Daten umleiten? All das ermöglichte das Unternehmen „First Wap International“ wohl seinen Kunden, wie eine gemeinsame Recherche von zahlreichen Medien – darunter der Spiegel und das ZDF – unter Federführung des Recherchekollektivs Lighthouse Reports ergab. Das Produkt mit dem mystischen Namen „Altamides“ nutzte das SS7-Protokoll (Signalling System 7), um sich in Mobilfunknetze einzuklinken. Alles nur ein Missverständnis, wiegelt das indonesisch-österreichische Unternehmen ab, doch die Fallzahlen gehen in die Tausende.

Auf der Spionage- und Sicherheitsmesse „ISS World“ präsentierte sich das Unternehmen – Eigenschreibweise „1stWAP“ – mit einem eigenen Stand. Der offensichtlich KI-generierte Standhintergrund stilisiert eine Hand, die nach Daten greift – davor führt der österreichische Vertriebsdirektor Günther R. ein offenes Gespräch mit einem Interessenten. Der direkte Zugriff auf Mobilgeräte, den der angeblich im Auftrag eines westafrikanischen Bergbauunternehmers Anfragende im Sinn hat, sei zu teuer, koste oft Zehntausende. Er sollte seine Vorgehensweise überdenken.

Direkter Zugriff „zu teuer“

Dann kommt „Altamides“ ins Spiel. Das Produkt des Unternehmens – der Name stammt nicht aus dem griechischen Pantheon, sondern steht für „Advanced Location Tracking and Deception System“ – könne etwa selektiv Nachrichten wie OTP-Codes ausleiten und so die Übernahme beliebiger Messengerkonten erleichtern. Möglich sei das über Zugriff auf das sogenannte SS7-Netzwerk, mit dem sich Telefonnetzbetreiber weltweit miteinander verbinden. Man sei vermutlich das einzige Unternehmen, das mithilfe dieser Technologie das Vorhaben des Interessenten umsetzen könne. Der wollte nämlich im Auftrag eines unter internationalen Sanktionen stehenden Minenunternehmers Umweltschützer überwachen lassen, erklärte er den First-Wap-Vertrieblern.

Doch das war nur eine Legende, erdacht von einem internationalen Team investigativer Journalisten. Das war First Wap durch eine Sammlung von mehr als einer Million Überwachungsdatensätzen auf die Spur gekommen, mit mehr als 14.000 Betroffenen weltweit. Die meisten Überwachungsvorgänge datierten in die Frühzeit der Smartphone-Ära zwischen 2007 und 2014, doch First Wap ist noch immer aktiv. Auch interne E-Mails und Dokumente des Unternehmens fielen den Reportern in die Hände und zeigten: First Wap arbeitete offenbar mit autoritären Staaten und Auftraggebern aus der Industrie zusammen. Das widerspricht dem allgemeinen Narrativ der verschwiegenen Branche, das lautet: Nur zur Bekämpfung schwerer Kriminalität und ausschließlich für Regierungen stünden die Überwachungswerkzeuge zur Verfügung, in der Vergangenheit ans Licht gekommener Missbrauch sei eine unrühmliche Ausnahme.

Doch „Abdou“, der Auftraggeber aus dem westafrikanischen Niger, ist von den Technologie-Exportbeschränkungen gegen das Land betroffen, daher schlug der umtriebige Vertriebsdirektor den Undercover-Journalisten einen Kunstgriff vor. Bei derlei Geschäften, so der Österreicher, müsse er Vorsicht walten lassen, um nicht im Gefängnis zu landen. Daher könne man den Deal über die indonesische Hauptstelle abwickeln, der aus Indien stammende Geschäftsführer unterliege nicht denselben Beschränkungen und könne alles abzeichnen.

Offenbar hatte das Unternehmen Erfahrung in der Umgehung von Sanktionen und verkaufte seine Dienste nicht nur an Regierungen zum Kampf gegen organisiertes Verbrechen, Terrorismus und Korruption, sondern auch zu anderen Zwecken. Das internationale Journalistenteam identifizierte Zielpersonen in über 100 Ländern, auch in den Vereinigten Staaten. Erik Prince, Gründer der Söldnertruppe Blackwater, wurde ebenso zum Ziel unbekannter Überwacher wie die Gründerin des mittlerweile insolventen DNA-Startups 23andMe, die überdies im fraglichen Zeitraum mit Google-Gründer Sergei Brin verheiratet war.

Nicht nur Prominente, sondern auch nicht in der Öffentlichkeit stehende Personen gerieten ins Fadenkreuz: Das an der Recherche beteiligte Online-Magazin Mother Jones nennt einen Softball-Trainer auf Hawaii, einen Restaurantbesitzer in Connecticut und einen Veranstaltungsplaner in Chicago als Beispiele für tausende anonyme Altamides-Opfer.

Signalling System 7 arbeitet im Hintergrund

Kern des Produktangebots von First Wap ist SS7. Das „Signalling System 7“ ist selbst IT-Experten eher unbekannt, existiert seit den Siebzigern. In Deutschland trägt es den sperrigen Namen „Zentraler Zeichengabekanal Nummer 7“ und ist, so Experte Karsten Nohl gegenüber ZDF Frontal, „eine Grundsäule der Mobilfunknetze“ und gleichzeitig seine Achillesferse. Doch Mobilfunkgeräte haben mit SS7 nichts direkt zu schaffen, sie bedienen sich zum Gesprächsaufbau und zur Datenübertragung der 5G-Protokollfamilie.

SS7 hingegen dient den Mobilfunkanbietern zur Übertragung von Routing- und Signalisierungsinformationen, vergleichbar etwa mit dem Border Gateway Protocol 4 (BGP4) in IP-Netzen. Unter den zwischen Mobilfunkanbietern per SS7 übertragenen Informationen ist auch der Standort eines Geräts und der Mobilfunkmast, in den es gerade eingebucht ist. Auch die Anzahl ein- und ausgehender Gespräche und Nachrichten kann jeder mit Zugang zum SS7-Netz ermitteln.

Die Protokollfamilie steht nicht zum ersten Mal im Zentrum eines Spionageskandals. Bereits 2014 warnte der CCC auf seinem Jahreskongress vor SS7-Schwachstellen, und die Washington Post machte auf kommerziellen Missbrauch durch Schnüffelfirmen aufmerksam. Und SS7-Experte Nohl entwickelte „SnoopSnitch„, eine bis heute erhältliche Android-App, die auch auf SS7-Angriffe aufmerksam machen sollte. Doch im Gespräch mit heise security warnt er: Praktisch sei es für Mobilfunknutzer derzeit nicht möglich, eine derartige Attacke zu erkennen. Und das Citizen Lab der Uni Toronto kritisierte vor zwei Jahren vehement die Untätigkeit der Netzbetreiber – getan hat sich offenbar wenig.

Um im SS7-Netz herumschnüffeln zu können, muss man jedoch Zugang dazu haben – also selbst Netzbetreiber sein oder SS7-Zugang von einem solchen einkaufen. Im Fall von First Wap führt die Spur nach Liechtenstein. Die Telekom des Kleinstaats bestätigte dem ZDF, seit über zwanzig Jahren mit dem Unternehmen zusammenzuarbeiten. Sie habe zwar keinerlei Anzeichen für missbräuchliche Nutzung der zur Verfügung gestellten Dienstleistungen, die Geschäftsbeziehung jedoch bis zur Klärung aller Vorwürfe auf Eis gelegt.

Verschwiegene Branche in der Grauzone

Doch wer steckt hinter der Schnüffelei in internationalen Telefonnetzen? Das Unternehmen „First Wap“ war zuvor gänzlich unbekannt, ist jedoch Teil eines auf Verschwiegenheit bedachten Ökosystems. Die Ausstellerliste der „ISS World“ – jener Messe, auf der das Gespräch mit dem Undercover-Journalisten stattfand – offenbart dem interessierten Leser das „Who is who“ der Spyware- und Schnüffelindustrie. Hauptsponsor ist der Spyware-Hersteller NSO Group, mittlerweile in der Hand von US-Investoren.

Auch Cellebrite und Magnet Forensics, deren Geräte inner- und bisweilen auch außerhalb des Gesetzes Zugriff auf Mobilgeräte verschaffen, tummelten sich im Prager Konferenzhotel. Andere Namen in der Branche erinnern hingegen eher an Cybercrime-Gruppen – zum Aussteller namens „DragonForce“ etwa findet man nur die gleichnamige Ransomware-Gang und eine Metalband. Diese ist zwar für sehr technische Musik bekannt, wird aber kaum ein Gastspiel in Prag gegeben haben. Derlei Diskretion ist symptomatisch für eine höchst verschwiegene Branche, die stets in einer ethischen Grauzone arbeitet und diese offenbar häufig verlässt.

Betroffene sind fassungslos, First Wap spricht von Missverständnis

Einige der mehreren Dutzend Opfer, mit denen die Journalisten sprachen, meldeten sich selbst zu Wort. Der italienische Investigativreporter Gianluigi Nuzzi etwa, Experte für Enthüllungen rund um den Vatikan, zeigte sich verstört. „Wir sollten Feinde überwachen, nicht Journalisten“, sagt Nuzzi, dessen Hauptquelle – ein Kammerdiener des Papstes – womöglich auch aufgrund der von First Wap ermöglichten Überwachung verhaftet wurde.

Auch Andreas Gall, ehedem CTO des Red Bull Media House, findet es „unheimlich und schockierend“, von Unbekannten an seinem Arbeitsort und in seinem persönlichen Umfeld ausgespäht worden zu sein. Allein über zwanzig Angestellte des österreichischen Getränkeherstellers finden sich in der Überwachungsdatenbank.

Als der vorgebliche Spionage-Interessent, der Investigativreporter Emmanuel Freudenthal, sich im Videogespräch mit Vertretern von First Wap offenbart, mauern diese. Die Recherchen zur Überwachung Nuzzis und Galls seien „Fantasie“, „absolut falsch“ und man könne gar nichts selbst tracken. Man habe keinen eigenen Zugang, so die Unternehmensvertreter, sondern installiert diesen beim Kunden und dieser nutzt ihn dann.

Auch bei dem Vorschlag, Sanktionen gegen den nigerianischen Interessenten zu umgehen, handele es sich um Missverständnisse. Man habe in Prag lediglich von einer theoretischen technischen Machbarkeit gesprochen, handele stets im Einklang mit internationalen Sanktionen, auch entgegen mündlichen Zusagen auf der Messe. Gegenüber dem ZDF erklärte First Wap zudem schriftlich, man betreibe ein legales Geschäft und habe seine Kunden und Wiederverkäufer zur Einhaltung gesetzlicher Vorschriften verpflichtet.

Derlei Erklärungsversuche sind sattsam bekannt: Ähnlich argumentieren auch NSO, Cellebrite, Magnet Forensics und Co., die stets beteuern, auf „verantwortungsvollen Einsatz“ ihrer Soft- und Hardware zu pochen. Man stelle lediglich eine technische Plattform zur Verfügung, für deren Ge- oder Missbrauch sei allein der Kunde verantwortlich. Das sehen Gerichte hingegen anders: Wegen widerrechtlichen Zugriffs auf Whatsapp-Server hatte der Konzern Meta im Mai 2025 von NSO fast 170 Millionen Dollar Schadenersatz erstritten. Ob Betroffene, Mobilfunkanbieter oder Bürgerrechtsorganisationen nun First Wap verklagen werden, ist hingegen noch offen.

(cku)

Die Kommunikation über Satelliten ist weiterhin unsicher: Für eine aktuelle Studie haben Forscher aus den USA die Daten abgehört, die über geostationäre Satelliten verbreitet werden. Ein großer Teil davon sei unverschlüsselt, das gelte auch für sicherheitsrelevante Kommunikation.

„Ein erschreckend großer Teil des Datenverkehrs wird unverschlüsselt übertragen“, schreibt das Team der University of California in San Diego (UCSD) und der University of Maryland in College Park auf seiner Website. Darunter seien die Daten von kritischen Infrastrukturen, die interne Kommunikation von Unternehmen und Regierungsstellen sowie Telefonate, SMS oder Internet-Traffic aus Flugzeug-WLANs und Mobilfunknetzen gewesen.

Für die Studie installierte das Team um Wenyi Morty Zhang auf einem UCSD-Gebäude eine handelsübliche Satellitenschlüssel; die gesamte Ausrüstung kostete rund 800 US-Dollar. Die Schüssel richteten die Forscher jeweils auf einen der 39 von ihrem Standpunkt aus sichtbaren, geostationären Satelliten und analysierten die aufgefangenen Daten. Das Projekt lief über drei Jahre.

Etwa die Hälfte der abgefangenen Daten seien unverschlüsselt übertragen worden, teilt das Team mit. Dazu gehörten Telefonate, Textnachrichten oder normaler Internet-Traffic über Mobilfunknetze, inklusive Hardware-Daten wie etwa der IMSI. Ebenfalls über Satelliten laufen Bord-WLANs von Flugzeugen, die sich entsprechend ebenfalls belauschen lassen. Viele Voice-Over-IP-Anbieter (VoIP) wickeln ihre Kommunikation über Satelliten ab und ermöglichen es, mitzuhören.

Daten von Banken, Energieversorgern und dem Militär

Besonders bedenklich sei, dass auch sicherheitsrelevante Kommunikation unverschlüsselt sei. So konnten die Forscher die Daten von Banken und anderen Finanzunternehmen abfangen, darunter Login-Daten, Mails und Daten von Geldautomaten. Auch Daten von Energieversorgern oder Infrastrukturen wie Pipelines werden unverschlüsselt über geostationäre Satelliten übertragen. Offizielle Stellen waren nicht ausgenommen: Das Team konnte die Kommunikation von Militär und Polizei aus den USA und Mexiko belauschen.

„Das hat uns völlig schockiert“, sagt Aaron Schulman, Teammitglied und Professor an der UCSD, dem US-Technologiemagazin Wired. „Einige wirklich wichtige Teile unserer Infrastruktur sind auf dieses Satelliten-Ökosystem angewiesen, und wir sind davon ausgegangen, dass alles verschlüsselt ist.“ Stattdessen hätten sie immer mehr nicht verschlüsselte Daten gefunden.

Stellten sie eine Schwachstelle fest, kontaktierten die Forscher die betroffene Stelle und wiesen darauf hin. Einige haben inzwischen reagiert und Maßnahmen ergriffen. Bei T-Mobile, Walmart und KPU konnten die Forscher das verifizieren, nachdem sie mit Zustimmung der drei Anbieter die Kommunikation erneut untersuchten. Andere Stellen sind demnach noch dabei, ihre Systeme abzusichern. Das Team stellt die Studie, die den Titel Don’t Look Up: There Are Sensitive Internal Links in the Clear on GEO Satellites trägt, auf der ACM Conference on Computer and Communications Security vor, die derzeit in Taipei, stattfindet.

Neu ist das nicht: 2020 wies ein Team um James Pavur vom Systems Security Lab der Oxford University darauf hin, dass ein großer Teil der Kommunikation über geostationäre Satelliten unverschlüsselt abgewickelt wird.

(wpl)