Rund 5.000 Handybesitzer in den Vereinten Arabischen Emiraten staunten wohl nicht schlecht, als sie im vergangenen April plötzlich eine sehr eindeutige Nachricht auf ihren Geräten einging. "Unser Motto lautet für immer: Tod für Amerika, Tod den Juden" stand in der Botschaft unbekannten Absenders.

Der Empfängerkreis hätte allerdings deutlich größer ausfallen können. Wie Recherchen des Guardian ergaben, wären eigentlich rund vier Millionen Nummern adressiert gewesen. Doch der australische Nachrichtendienstbetreiber, SMSGlobal, konnte ihre Zustellung größtenteils verhindern. Aber was war passiert?

Alte Passwörter und Sicherheitsprobleme

SMSGlobal betreibt nach eigenen Angaben den Versand von Kurznachrichten für einige der "weltweit bekanntesten Marken", darunter etwa Microsoft, Samsung, Dell oder die Fluglinien Etihad und Emirates. Auch im staatlichen Bereich ist man tätig und wickelt den SMS-Versand für das E-Health-System des australischen Verteidigungsministeriums ab. Insgesamt zählt man eine Million Kunden.

Ursache für den Versand der antisemitischen und antiamerikanischen Botschaft soll ein Leck aus 2013 gewesen sein. Damals war es Unbekannten offenbar gelungen, an verschiedene Daten zu kommen. Das Unternehmen bekräftigt allerdings, dass dabei keine persönlichen Informationen entwendet worden seien.

Laut Schilderung von SMSGlobal gelang den Unbekannten der Einbruch in verschiedene Konten durch ein Brute Force-Attacke (das automatisierte Durchprobieren von Login-Daten) und das Ausnutzen von Schwächen wie die unverschlüsselte Hinterlegung von Kundenpasswörtern in der Datenbank. Dabei habe sich herausgestellt, dass die Passwörter mancher Kunden offenbar nicht besonders sicher ausgestaltet waren und einige ihre Kennwörter seit 2013 nicht geändert hatten.

Weiterer Einbruch

Im vergangenen September gab es einen weiteren Einbruch. Diesmal hatten Unbekannte versucht, Nachrichten zu verbreiten, die die Regierung Saudi-Arabiens für "Missmanagement" im Zusammenhang mit dem Tod von etwa 2.000 Pilgern auf der Hadsch verantwortlich macht.

Es sei versucht worden, mittels der Zugangsdaten zu einem einzelnen Konto über eine Schnittstelle Nachrichten zu verschicken, erklärt SMSGlobal dazu. Es soll zu keinem Versand von Nachrichten im Namen eines Kunden gekommen sein.

Seit dem Vorfall von 2013 habe man alle Kundenkonten auf eine neue Sicherheitsplattform migriert, heißt es weiter – inkusive Verpflichtung, neue Loginnamen und Passwörter anzulegen. Diese werde regelmäßig unabhängig überprüft und solle alle internationalen Standards erfüllen oder gar übertreffen.

Zusammenarbeit mit Behörden

SMSGlobal betont im Zusammenhang mit den Vorfällen, dass man fallweise von nationalen und internationalen Ermittlungsbehörden um Zusammenarbeit gebeten werde, um etwa unautorisiertem SMS-Versand nachzuspüren. Im Rahmen dieser Kooperatioon würden keinerlei Kundendaten oder persönliche Informationen preisgegeben, außer man sei gesetzlich dazu verpflichtet.

In einem Briefwechsel mit dem Dubaier Telekombetreiber DU hatte man 2013 erklärt, dass man bereit sei, sämtliche vier Millionen Adressaten, IP-Adressen der Nutzer, die den Versand veranlasst hatten und auch andere Daten den emiratischen Behörden zu übermitteln, um den Vorfall aufzuklären. (gpi, 01.12.2015)