Überwachung

Vorratsdatenspeicherung: Zehn Mobilfunkanbieter gehackt und jahrelang Verbindungsdaten kopiert

Wo ein Trog ist, kommen die Schweine: So könnte man den Hack zusammenfassen, bei dem Angreifer die Kommunikationsdaten von zehn Providern auf der ganzen Welt ausspähten. Sobald Daten vorliegen, werden sie zum Ziel. Die Vorratsdatenspeicherung macht dieses Risiko nur größer.

Schweineherde
Sichere Daten gibt es nicht, es sei denn man speichert sie nicht. Gemeinfrei-ähnlich freigegeben durch unsplash.com Pascal Debrunner

Laut Sicherheitsforschern gab es eine großangelegte Spionagekampagne gegen Telekommunikationsanbieter. TechCrunch berichtet, dass Hacker sich seit sieben Jahren Zugriff auf weltweite Mobilfunknetze verschaffen, um Metadaten abzugreifen. Die Anbieter speichern diese Daten unterschiedlich lange: für eigene Zwecke, aber auch für Behörden – etwa wenn sie zur Vorratsdatenspeicherung verpflichtet sind.

Zu den gespeicherten Verbindungsdaten gehören Informationen, wer wen wann anruft. Zusätzlich ist vermerkt, in welche Mobilfunkzellen die Geräte einwählen. So lassen sich umfangreiche Bewegungsprofile erstellen und die Standorte von Personen in der Vergangenheit nachvollziehen.

„Nur nicht gespeicherte Daten sind sichere Daten.“

Der EU-Abgeordnete Patrick Breyer von der Piratenpartei sieht in dem Hack einen langjährigen Kritikpunkt von Datenschützern bestätigt: „Das Bekanntwerden von Kontakten und Bewegungen kann höchste Amtsträger erpressbar machen oder sogar ihr Leben gefährden.“ Auch für Bürgerinnen, Medien und Wirtschaftsvertreter sei eine vertrauliche Kommunikation essenziell. Er sagt:

Dieser Hack belegt: Nur nicht gespeicherte Daten sind sichere Daten.

Je mehr Daten an einer Stelle zusammenlaufen und je prominenter die Ziele, desto attraktiver wird das Ziel für böswillige Hacker. Seien es die Daten von 21,5 Millionen US-Bürgern oder Informationen aus den E-Mail-Postfächern und Netzen des Bundestags.

Deutsche Provider speichern Metadaten bis zu sechs Monate

Laut einer Erhebung der Bundesnetzagentur im Jahr 2018 speichern Provider in Deutschland Vorratsdaten teilweise bis zu sechs Monate lang. Ein Leitfaden von Bundesnetzagentur und Bundesdatenschutzbeauftragtem empfiehlt hingegen, die nicht mehr benötigten Daten nach sieben Tagen zu löschen.

Auf EU-Ebene überlegt der Rat, wie man eine Vorratsdatenspeicherung im Einklang mit Urteilen des Europäischen Gerichtshofs gestalten könnte. Immer wieder fordern Ermittlungsbehörden und Regierungen das Instrument, obwohl das oberste EU-Gericht die Praxis mehrmals einkassierte und obwohl nicht belegt wurde, dass es zur Strafverfolgung überhaupt notwendig ist.

Von wem der Angriff ausging, ist nicht eindeutig bestimmbar

Die Sicherheitsforscher berichten, dass einer der Angriffspunkte ein Webserver war, von dem aus sich die Angreifer Zugriff auf das interne Netz eines Anbieters verschafften. Welche Anbieter betroffen sind, verraten die Forscher nicht, es seien jedoch sowohl größere als auch kleinere Anbieter in einzelnen „interessanten“ Regionen dabei.

Zuverlässige Aussagen, von wem ein digitaler Angriff ausgeht, ist kaum möglich. Die Entdecker der Hacking-Kampagne äußern sich daher nur vorsichtig zu den möglichen Urhebern. Sie halten es für „sehr wahrscheinlich“, dass die Angriffe von einer staatlich assoziierten Hackereinheit ausgeben. Ein ähnliches Vorgehen habe man in China beobachtet. Aber es könnte genauso gut sein, dass jemand bekannte chinesische Hacking-Methoden vorgibt, um die Öffentlichkeit in die Irre zu führen.

5 Ergänzungen
  1. Laut dem letzten Tätigkeitsbericht des Bundesbeauftragten für Datenschutz gibt es in Deutschland noch zwei Unternehmen, die die Vorratsdatenapeicherung aktuell umsetzen. Diese speichern die Daten bei einem externen Dienstleister. Die Namen der Unternehmen hat der BfDI aber leider nicht veröffentlicht.

  2. Nur zur Gesetzeslage in der Schweiz.

    Hier sind Dienstanbieter verpflichtet – Verbindungsdaten mindestens 12 Monate aufzubewahren… für Polizei und Geheimdienst.

    ALLE Kommunikationsdienste fallen hier drunter. Auch das „sicher verschlüsselte “ Protonmail z.B..

  3. Spannend. Danke, anna.

    Cybereason hat eine ziemlich detaillierte Beschreibung auf ihrer Website [1]. Dort sagen sie: „The data exfiltrated by this threat actor, in conjunction with the TTPs and tools used, allowed us to determine with a very high probability that the threat actor behind these malicious operations is backed by a nation state, and is affiliated with China.“ Sie haben ein gute Datenlage und eine (zumindest in der Theorie) nachvollziehbare Methode der Zuschreibung. Aus den Daten die sie uns geben, geht aber ihre Zuschreibung nicht hervor — no way. (Kann ich im Detail begründen, wenn’s jemanden interessiert.) Wenn man Cybereason keinen ideologischen Bias unterstellen will, dann kann man daraus nur schließen: Die Zuschreibung beruht im wesentlichen auf den spezifischen Personen, für die sich die Angreifer interessiert haben, sowie auf dem Inhalt der extfiltrierten Daten. Beides wird uns nicht mitgeteilt.

    Sorry, wollte nicht von dem wichtigen Them der Vorratsdatenspeicherung ablenken. :)

    [1] https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers

    1. @Eric
      Danke, ich hab gestern schon auf Twttr rumgemeckert, dass die gelieferten Infos dürftig sind, hätte mir auch gewünscht, dass diese Analyse im Artikel auftaucht, also sprich „Im Grunde sind die Informationen dürftig, aber wir wollen euch nicht vorenthalten, dass irgendwelche Mobilfunkanbieter irgendwo auf der Welt von irgendwelchen Akteuren gehackt wurden.“

      Es ist ja auch gut das zu erfahren, aber die Einordnung, dass die Originalquelle nur unzureichende Informationen liefert und die gezogenen Schlüsse nicht belegbar sind, dass würde ich mit von Netzpolitik.org wünschen.

  4. „Ein Leitfaden von Bundesnetzagentur und Bundesdatenschutzbeauftragtem empfiehlt hingegen, die nicht mehr benötigten Daten nach sieben Tagen zu löschen.“

    An dieser Stelle möchte ich ergänzen, dass der Leitfaden die Speicherdauer differenzierter betrachtet, in dem er für verschiedene Zwecke unterschiedliche Aufbewahrungsfristen unterscheidet. Beispielsweise ist es für die Abrechnung mit Teilnehmern erforderlich, Verkehrsdaten alleine aufgrund von Einspruchsfristen länger als sieben Tage aufzubewahren aus (Entgeltnachweis, § 45i TKG) – in diesem konkreten Fall A-, B-Rufnummer, Beginn, Ende, Dauer, Cell-ID und ggf. IMSI. Ohne diese Verpflichtung könnten Telekommunikationsdiensteanbieter Positionen abrechnen, die keiner mehr kontrollieren und gegen die keine Einwände erhoben werden könnten.

    Bei anderen Verkehrsdaten bin ich absolut dabei, diese nach spätestens 7 Tagen zu löschen (bspw. zur Erkennung, Eingrenzung und Beseitigung von Störungen nach § 100 Abs. 1 TKG); oder gar sofort, wie bei Verbindungsversuchen (§ 88 TKG).

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.