Die NSA ist nicht die einzige Behörde, die zur globalen Überwachung fähig ist. Unternehmen wie Verint verkaufen Programme, mit deren Hilfe der Käufer jedes Handy überall auf der Welt orten kann, unabhängig vom eigenen Standort. Die Washington Post hat eine Verkaufsbroschüre von Verint bekommen, in der die Technik angepriesen wird. Sie basiert auf lange bekannten Schwachpunkten im GSM-Netz, bietet also technisch nichts Neues. Aber solche Verkaufsbroschüren verdeutlichen immer wieder, dass sich jede Behörde mit dem nötigen Budget ein mächtiges Überwachungswerkzeug kaufen kann, gegen dessen Einsatz sich die Bürger nicht wehren können.

In diesem Fall geht es um ein Programm namens SkyLock. Damit können Käufer sehen, in welche Funkzelle sich ein beliebiges Handy gerade eingebucht hat. Mehr als die Handynummer braucht SkyLock dazu nicht. Die Menschenrechtsorganisation Privacy International hatte bereits im vergangenen Jahr eine andere Broschüre von Verint veröffentlicht. Darin wird das Programm SkyLock als Lösung für Global Cellular Location angepriesen. Darum geht es hier: um globale Überwachung.

Programme wie SkyLock nutzen die Schwächen des weit verbreiteten GSM-Standards aus. GSM (Global System for Mobile Communications) ist bis heute der weltweit führende Mobilfunkstandard. Mehr als fünf Milliarden Menschen telefonieren über das GSM-Netzwerk. Die Schwäche von GSM ist seine Betagtheit. Der Standard wurde in den siebziger Jahren entwickelt und 1992 veröffentlicht. Damals gab es nur wenige Mobilfunkanbieter. Die vertrauten sich untereinander weitestgehend – heute ist die Situation eine völlig andere. Außerdem waren die Algorithmen, die die Kommunikation verschlüsseln sollten, zu schwach für heutige Maßstäbe. An diesen beiden Schwachpunkten setzen Programme wie SkyLock an.

Der Angriffspunkt ist das sogenannte SS7-Protokoll. SS7 regelt die Vermittlung von Anrufen, SMS und Datenverbindungen in Telekommunikationsnetzwerken. Es vermittelt die Metadaten, also etwa Adressat und Empfänger einer SMS, zwischen Vermittlungsstellen und Datenbanken. Inhalte selbst werden über das Netz nicht vermittelt. Anders als vor 25 Jahren haben mittlerweile Tausende Firmen Zugriff auf das SS7-Netzwerk. Manche davon verkaufen einzelne Anfragen oder gleich den ganzen SS7-Zugang weiter.

Schwachpunkt spätestens seit 2008 bekannt

Auf diesem Weg verschaffte sich der deutsche IT-Sicherheitsexperte Tobias Engel schon vor sechs Jahren Zugang zu dem SS7-Netzwerk. 2008 hatte er in einem Vortrag auf dem fünfundzwanzigsten Chaos Computer Congress die Schwächen von SS7 dargestellt. Während seines Vortrags in Berlin ortete er das Handy eines britischen Zuschauers und erkannte dessen Berliner Position. Dabei nutzte er den Zugang einer der vielen Firmen im SS7-Netzwerk.

Engel schickte eine Anfrage an eine Datenbank im GSM-Netzwerk, welche daraufhin die Adresse der Vermittlungsstelle preisgab. Engel sagt: "Das Ergebnis war damals relativ ungenau, da es nur einige wenige Vermittlungsstellen im GSM-Netzwerk gibt. Die Vermittlungsstelle von Telefonica in Berlin ist etwa auch für Leipzig zuständig."     

Seinen Ansatz entwickelten Don Bailey und Nick DePetrillo im Jahr 2010 weiter. Sie kombinierten die Angaben der Datenbank im GSM-Netzwerk mit Daten von anderen Anbietern, die ihre Daten ihrerseits von Mobilfunkanbietern wie Verizon bezogen.