SMS-Nachrichten abfangen und so WhatsApp-Konten übernehmen? Genaue Bewegungsprofile beliebiger Ziele im In- und Ausland? Anrufe abhören und Daten umleiten? All das ermöglichte das Unternehmen „First Wap International“ wohl seinen Kunden, wie eine gemeinsame Recherche von zahlreichen Medien – darunter der Spiegel und das ZDF – unter Federführung des Recherchekollektivs Lighthouse Reports ergab. Das Produkt mit dem mystischen Namen „Altamides“ nutzte das SS7-Protokoll (Signalling System 7), um sich in Mobilfunknetze einzuklinken. Alles nur ein Missverständnis, wiegelt das indonesisch-österreichische Unternehmen ab, doch die Fallzahlen gehen in die Tausende.
Weiterlesen nach der Anzeige
Auf der Spionage- und Sicherheitsmesse „ISS World“ präsentierte sich das Unternehmen – Eigenschreibweise „1stWAP“ – mit einem eigenen Stand. Der offensichtlich KI-generierte Standhintergrund stilisiert eine Hand, die nach Daten greift – davor führt der österreichische Vertriebsdirektor Günther R. ein offenes Gespräch mit einem Interessenten. Der direkte Zugriff auf Mobilgeräte, den der angeblich im Auftrag eines westafrikanischen Bergbauunternehmers Anfragende im Sinn hat, sei zu teuer, koste oft Zehntausende. Er sollte seine Vorgehensweise überdenken.
Dann kommt „Altamides“ ins Spiel. Das Produkt des Unternehmens – der Name stammt nicht aus dem griechischen Pantheon, sondern steht für „Advanced Location Tracking and Deception System“ – könne etwa selektiv Nachrichten wie OTP-Codes ausleiten und so die Übernahme beliebiger Messengerkonten erleichtern. Möglich sei das über Zugriff auf das sogenannte SS7-Netzwerk, mit dem sich Telefonnetzbetreiber weltweit miteinander verbinden. Man sei vermutlich das einzige Unternehmen, das mithilfe dieser Technologie das Vorhaben des Interessenten umsetzen könne. Der wollte nämlich im Auftrag eines unter internationalen Sanktionen stehenden Minenunternehmers Umweltschützer überwachen lassen, erklärte er den First-Wap-Vertrieblern.
Doch das war nur eine Legende, erdacht von einem internationalen Team investigativer Journalisten. Das war First Wap durch eine Sammlung von mehr als einer Million Überwachungsdatensätzen auf die Spur gekommen, mit mehr als 14.000 Betroffenen weltweit. Die meisten Überwachungsvorgänge datierten in die Frühzeit der Smartphone-Ära zwischen 2007 und 2014, doch First Wap ist noch immer aktiv. Auch interne E-Mails und Dokumente des Unternehmens fielen den Reportern in die Hände und zeigten: First Wap arbeitete offenbar mit autoritären Staaten und Auftraggebern aus der Industrie zusammen. Das widerspricht dem allgemeinen Narrativ der verschwiegenen Branche, das lautet: Nur zur Bekämpfung schwerer Kriminalität und ausschließlich für Regierungen stünden die Überwachungswerkzeuge zur Verfügung, in der Vergangenheit ans Licht gekommener Missbrauch sei eine unrühmliche Ausnahme.
Doch „Abdou“, der Auftraggeber aus dem westafrikanischen Niger, ist von den Technologie-Exportbeschränkungen gegen das Land betroffen, daher schlug der umtriebige Vertriebsdirektor den Undercover-Journalisten einen Kunstgriff vor. Bei derlei Geschäften, so der Österreicher, müsse er Vorsicht walten lassen, um nicht im Gefängnis zu landen. Daher könne man den Deal über die indonesische Hauptstelle abwickeln, der aus Indien stammende Geschäftsführer unterliege nicht denselben Beschränkungen und könne alles abzeichnen.
Offenbar hatte das Unternehmen Erfahrung in der Umgehung von Sanktionen und verkaufte seine Dienste nicht nur an Regierungen zum Kampf gegen organisiertes Verbrechen, Terrorismus und Korruption, sondern auch zu anderen Zwecken. Das internationale Journalistenteam identifizierte Zielpersonen in über 100 Ländern, auch in den Vereinigten Staaten. Erik Prince, Gründer der Söldnertruppe Blackwater, wurde ebenso zum Ziel unbekannter Überwacher wie die Gründerin des mittlerweile insolventen DNA-Startups 23andMe, die überdies im fraglichen Zeitraum mit Google-Gründer Sergei Brin verheiratet war.
Nicht nur Prominente, sondern auch nicht in der Öffentlichkeit stehende Personen gerieten ins Fadenkreuz: Das an der Recherche beteiligte Online-Magazin Mother Jones nennt einen Softball-Trainer auf Hawaii, einen Restaurantbesitzer in Connecticut und einen Veranstaltungsplaner in Chicago als Beispiele für tausende anonyme Altamides-Opfer.
Weiterlesen nach der Anzeige
Kern des Produktangebots von First Wap ist SS7. Das „Signalling System 7“ ist selbst IT-Experten eher unbekannt, existiert seit den Siebzigern. In Deutschland trägt es den sperrigen Namen „Zentraler Zeichengabekanal Nummer 7“ und ist, so Experte Karsten Nohl gegenüber ZDF Frontal, „eine Grundsäule der Mobilfunknetze“ und gleichzeitig seine Achillesferse. Doch Mobilfunkgeräte haben mit SS7 nichts direkt zu schaffen, sie bedienen sich zum Gesprächsaufbau und zur Datenübertragung der 5G-Protokollfamilie.
SS7 hingegen dient den Mobilfunkanbietern zur Übertragung von Routing- und Signalisierungsinformationen, vergleichbar etwa mit dem Border Gateway Protocol 4 (BGP4) in IP-Netzen. Unter den zwischen Mobilfunkanbietern per SS7 übertragenen Informationen ist auch der Standort eines Geräts und der Mobilfunkmast, in den es gerade eingebucht ist. Auch die Anzahl ein- und ausgehender Gespräche und Nachrichten kann jeder mit Zugang zum SS7-Netz ermitteln.
Die Protokollfamilie steht nicht zum ersten Mal im Zentrum eines Spionageskandals. Bereits 2014 warnte der CCC auf seinem Jahreskongress vor SS7-Schwachstellen, und die Washington Post machte auf kommerziellen Missbrauch durch Schnüffelfirmen aufmerksam. Und SS7-Experte Nohl entwickelte „SnoopSnitch„, eine bis heute erhältliche Android-App, die auch auf SS7-Angriffe aufmerksam machen sollte. Doch im Gespräch mit heise security warnt er: Praktisch sei es für Mobilfunknutzer derzeit nicht möglich, eine derartige Attacke zu erkennen. Und das Citizen Lab der Uni Toronto kritisierte vor zwei Jahren vehement die Untätigkeit der Netzbetreiber – getan hat sich offenbar wenig.
Um im SS7-Netz herumschnüffeln zu können, muss man jedoch Zugang dazu haben – also selbst Netzbetreiber sein oder SS7-Zugang von einem solchen einkaufen. Im Fall von First Wap führt die Spur nach Liechtenstein. Die Telekom des Kleinstaats bestätigte dem ZDF, seit über zwanzig Jahren mit dem Unternehmen zusammenzuarbeiten. Sie habe zwar keinerlei Anzeichen für missbräuchliche Nutzung der zur Verfügung gestellten Dienstleistungen, die Geschäftsbeziehung jedoch bis zur Klärung aller Vorwürfe auf Eis gelegt.
Mit Ihrer Zustimmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Die Journalisten von „Mother Jones“ erzählen die Geschichte als Videoreportage.
Doch wer steckt hinter der Schnüffelei in internationalen Telefonnetzen? Das Unternehmen „First Wap“ war zuvor gänzlich unbekannt, ist jedoch Teil eines auf Verschwiegenheit bedachten Ökosystems. Die Ausstellerliste der „ISS World“ – jener Messe, auf der das Gespräch mit dem Undercover-Journalisten stattfand – offenbart dem interessierten Leser das „Who is who“ der Spyware- und Schnüffelindustrie. Hauptsponsor ist der Spyware-Hersteller NSO Group, mittlerweile in der Hand von US-Investoren.
Auch Cellebrite und Magnet Forensics, deren Geräte inner- und bisweilen auch außerhalb des Gesetzes Zugriff auf Mobilgeräte verschaffen, tummelten sich im Prager Konferenzhotel. Andere Namen in der Branche erinnern hingegen eher an Cybercrime-Gruppen – zum Aussteller namens „DragonForce“ etwa findet man nur die gleichnamige Ransomware-Gang und eine Metalband. Diese ist zwar für sehr technische Musik bekannt, wird aber kaum ein Gastspiel in Prag gegeben haben. Derlei Diskretion ist symptomatisch für eine höchst verschwiegene Branche, die stets in einer ethischen Grauzone arbeitet und diese offenbar häufig verlässt.
Einige der mehreren Dutzend Opfer, mit denen die Journalisten sprachen, meldeten sich selbst zu Wort. Der italienische Investigativreporter Gianluigi Nuzzi etwa, Experte für Enthüllungen rund um den Vatikan, zeigte sich verstört. „Wir sollten Feinde überwachen, nicht Journalisten“, sagt Nuzzi, dessen Hauptquelle – ein Kammerdiener des Papstes – womöglich auch aufgrund der von First Wap ermöglichten Überwachung verhaftet wurde.
Auch Andreas Gall, ehedem CTO des Red Bull Media House, findet es „unheimlich und schockierend“, von Unbekannten an seinem Arbeitsort und in seinem persönlichen Umfeld ausgespäht worden zu sein. Allein über zwanzig Angestellte des österreichischen Getränkeherstellers finden sich in der Überwachungsdatenbank.
Als der vorgebliche Spionage-Interessent, der Investigativreporter Emmanuel Freudenthal, sich im Videogespräch mit Vertretern von First Wap offenbart, mauern diese. Die Recherchen zur Überwachung Nuzzis und Galls seien „Fantasie“, „absolut falsch“ und man könne gar nichts selbst tracken. Man habe keinen eigenen Zugang, so die Unternehmensvertreter, sondern installiert diesen beim Kunden und dieser nutzt ihn dann.
Auch bei dem Vorschlag, Sanktionen gegen den nigerianischen Interessenten zu umgehen, handele es sich um Missverständnisse. Man habe in Prag lediglich von einer theoretischen technischen Machbarkeit gesprochen, handele stets im Einklang mit internationalen Sanktionen, auch entgegen mündlichen Zusagen auf der Messe. Gegenüber dem ZDF erklärte First Wap zudem schriftlich, man betreibe ein legales Geschäft und habe seine Kunden und Wiederverkäufer zur Einhaltung gesetzlicher Vorschriften verpflichtet.
Derlei Erklärungsversuche sind sattsam bekannt: Ähnlich argumentieren auch NSO, Cellebrite, Magnet Forensics und Co., die stets beteuern, auf „verantwortungsvollen Einsatz“ ihrer Soft- und Hardware zu pochen. Man stelle lediglich eine technische Plattform zur Verfügung, für deren Ge- oder Missbrauch sei allein der Kunde verantwortlich. Das sehen Gerichte hingegen anders: Wegen widerrechtlichen Zugriffs auf Whatsapp-Server hatte der Konzern Meta im Mai 2025 von NSO fast 170 Millionen Dollar Schadenersatz erstritten. Ob Betroffene, Mobilfunkanbieter oder Bürgerrechtsorganisationen nun First Wap verklagen werden, ist hingegen noch offen.
(cku)
Liebe Leser:innen,
das Wort des Jahres ist „KI-Ära“. Das Thema Künstliche Intelligenz „ist aus dem Elfenbeinturm der wissenschaftlichen Forschung herausgetreten und hat die Mitte der Gesellschaft erreicht“, begründet die Gesellschaft für deutsche Sprache ihre Wahl.
Die Bundesdruckerei hockt derweil in ihrer ganz eigenen Abgeschiedenheit. Sie setzt den Datenatlas um, der „souveräne Datenkatalog für die Bundesverwaltung“. Mitarbeitende verschiedener Ministerien und Behörden sollen hier nachschlagen können, wo welche Daten liegen.
Eigentlich eine gute Sache. Doch das Projekt ist offenbar Lichtjahre von der technischen Gegenwart, geschweige denn von irgendeiner „KI-Ära“ entfernt. Zu diesem Schluss kommt zumindest der Wissenschaftler David Zellhöfer in einem Gutachten, über das meine Kollegin Esther diese Woche berichtet hat. Demnach biete der Datenatlas weniger Funktionen als Datenbanken aus dem Jahr 1986, so das markige Urteil. Damals war das Wort des Jahres übrigens „Tschernobyl“. So lange ist das her.
Auf Platz 2 kam vor knapp vierzig Jahren das Wort „Havarie“, was so viel wie Fehler oder Schaden bedeutet. Den will die Bundesdruckerei nun offenbar noch vergrößern. Als wir sie mit den Ergebnissen des Gutachtens konfrontieren, schrieb die bundeseigene GmbH zurück, gegebenenfalls rechtliche Schritte gegen Zellhöfer einzuleiten.
Zellhöfer nahm sein Gutachten daraufhin offline, um sich rechtlich abzusichern. „Ich war unmittelbar eingeschüchtert“, sagte er gegenüber netzpolitik.org, „obwohl die Antwort der Bundesdruckerei in keiner Weise sachlich nachvollziehbar ist.“
Inzwischen ist das Gutachten wieder abrufbar. Und Zellhöfer kann mit mehr Humor auf die Sache schauen. Positiv gesehen könne der Datenatlas auch „als Projekt eines Retro-Computing-Enthusiasten“ durchgehen, sagt er.
Ein bisschen mehr Humor wünsche ich auch der Bundesdruckerei. Dann trägt sich die Atlas-Last gleich leichter.
Habt ein schönes Wochenende!
Daniel
Am Freitagvormittag gibt es offenbar erneut Probleme beim CDN-Anbieter Cloudflare. Verschiedene Webseiten sind nicht verfügbar – sie liefern lediglich einen HTTP-Fehler 500 aus. Die Ursache ist unklar, der Anbieter spricht von „API-Problemen“.
Weiterlesen nach der Anzeige
Fehler 500 beim Besuch von cloudflare.com
Stichproben einiger Webseiten wie cloudflare.com, aber auch die beliebten Störungsmelder downdetector.com und allestoerungen.de sind fehlerhaft oder komplett defekt: Mal fehlt die Startseite komplett, in anderen Fällen lediglich die per Cloudflare-CDN ausgelieferten Assets wie Bilder und Stylesheets
Cloudflares Statusseite hingegen ist, anders als beim vorherigen Ausfall im November, noch immer verfügbar. Sie spricht von Fehlern bei der Cloudflare API und dem Dashboard. „Customers using the Dashboard / Cloudflare APIs are impacted as requests might fail and/or errors may be displayed.“
Wie Cloudflare nun erläuterte, handelte es sich beim Ausfall um eine Auswirkung der kürzlich bekannt gewordenen kritischen „React2Shell“-Sicherheitslücke im React-Framework. Das Unternehmen habe für die Web Application Firewall, die neben Kundendomains offenbar auch die eigene Webseite schützt, eine Änderung eingespielt, um vor CVE-2025-55182 zu schützen. Was genau schiefgegangen sei, werde man später bekanntgeben, so das Unternehmen. Ein Cyberangriff liege nicht vor.
Weiterlesen nach der Anzeige
Der Cloudflare-eigene DNS-Resolver 1.1.1.1 war für viele Telekom-Kunden offenbar am Abend des 3. Dezember nicht erreichbar. Wie Betroffene auf Reddit beklagten, führte das zu Internetausfällen – weil auch die Alternative 1.0.0.1 nicht funktionierte. Mittlerweile scheint diese Störung jedoch behoben, die Ursache ist unklar.
Am Abend des 3. Dezember erreichte keiner der 150 Messpunkte des Monitoringnetzes „RIPE Atlas“ im Netz der Telekom den DNS-Server 1.1.1.1.
(Bild: Reddit-User lordgurke)
Update
05.12.2025,
10:16
Uhr
Cloudflare hat laut eigenen Angaben Problembehebungen vorgenommen und beobachtet die Störung weiter.
Update
05.12.2025,
11:08
Uhr
Erste Fehleranalyse seitens Cloudflare ergänzt.
(cku)
Kaum ist öffentlicher Exploitcode in Umlauf, gibt es erste Berichte zu Angriffen auf React-Server. Sicherheitspatches sind verfügbar.
Weiterlesen nach der Anzeige
Die „kritische“ Lücke (CVE-2025-55182 CVSS Score 10 von 10) ist erst seit wenigen Tagen bekannt und betrifft ausschließlich React-Server. Attacken sollen aus der Ferne und ohne Authentifizierung möglich sein. Durch das Versenden von präparierten HTTP-Anfragen können Angreifer Schadcode auf Systeme schieben und diese so vollständig kompromittieren.
Die Entwickler versichern, die Schwachstelle in den React-Ausgaben 19.0.1, 19.1.2 und 19.2.1 geschlossen zu haben.
Wie aus einem Beitrag eines Sicherheitsforschers auf X hervorgeht, ist mittlerweile Exploitcode in Umlauf. Im gleichen Zeitraum meldet das IT-Sicherheitsteam von Amazon AWS bereits die ersten Attacken. Sie geben in einem Beitrag an, dass ihre AWS-Services von der Lücke nicht betroffen sind.
Die AWS-Sicherheitsforscher ordnen die Attacken staatlichen-chinesischen beziehungsweise chinafreundlichen Bedrohungsakteuren wie Earth Lamia und Jackpot Panda zu. Diese Gruppen haben weltweit primär staatliche Einrichtungen und kritische Infrastrukturen aus dem Energiesektor im Visier.
Dabei sollen die Gruppen äußerst professionell und zügig vorgehen. Dafür nutzen sie den Forschern zufolge unter anderem automatisierte Scan- und Angriffstools. Außerdem verfeinern sie ihre Angriffstechniken stetig, um die Erfolgsquote ihrer Attacken zu steigern. In welchem Umfang die Angriffe ablaufen und ob sie territorial begrenzt sind, ist derzeit nicht bekannt.
Weiterlesen nach der Anzeige
Admins sollten umgehend handeln und ihre React-Server durch die Sicherheitspatches schützen. In ihrem Beitrag führen die Sicherheitsforscher Parameter (Indicators of Compromise, IoC) auf, an denen Admins bereits attackierte Systeme erkennen können.
(des)
Illustrierte Reise nach New York City › PAGE online
Jetzt patchen! Erneut Attacken auf SonicWall-Firewalls beobachtet
Aus Softwarefehlern lernen – Teil 3: Eine Marssonde gerät außer Kontrolle
Top 10: Die beste kabellose Überwachungskamera im Test
Fake It Untlil You Make It? Trifft diese Kampagne den Nerv der Zeit? › PAGE online
Kommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
SK Rapid Wien erneuert visuelle Identität
Schluss mit FOMO im Social Media Marketing – Welche Trends und Features sind für Social Media Manager*innen wirklich relevant?
