Hvem undersøger mobilspionage i Danmark?

19. december 2014 kl. 14:1719
Hvem undersøger mobilspionage i Danmark?
Illustration: Javier Pierini / Digital Vision / Getty Images.
I takt med at falske basestationer til overvågning af mobiltrafik bliver opdaget i Norge, Sverige og Finland er det let at spørge: Hvad med Danmark? Men det er svært at få et svar.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Efterretningstjenesterne i henholdsvis Norge, Sverige og Finland er ordknappe i forbindelse med optrævlingen af sagerne om såkaldte falske basestationer, der kan opsnappe mobiltrafik. I Oslo er der fundet udstyr i det centrale finansdistrikt, i Stockholm har en Cryptophone vist spor efter overvågningsudstyret tæt på parlamentsbygningen, mens det ikke er helt klart, hvad der er fundet i Finland. Blot oplyser den lokale finske efterretningstjeneste Supo, at finske mobiltelefoner muligvis også har været mål for sporing ved hjælp af falske basestationer.

I Danmark er der endnu ikke offentliggjort fund. Så vidt vi ved.

For ringer man til myndighederne, er det svært at få svar på, hvem der har ansvaret for sikkerheden i telesektoren, og hvem der kan udtale sig om, hvad der bliver gjort. Det tog Version2 tre dages ihærdig indsats overhovedet at fange den rigtige myndighed. Og da vi endelig fik fat i PET var svaret pr. mail lukket og kryptisk:

»PET følger naturligvis sagerne i Norge, Sverige og Finland tæt. Såfremt aflytning som gengivet i pressen har fundet sted, er det naturligvis en meget alvorlig sag. Der forestår nu et opklaringsarbejde i både Norge og Sverige. Derfor er der på nuværende tidspunkt ikke grundlag for nærmere udtalelser om sagen.«

Artiklen fortsætter efter annoncen

Inden du læser videre skal du vide, at der stadig er huller i vores forståelse af sagen på Version2. Faktisk forstår vi ikke helt, hvordan denne sag overhovedet er blevet PET's. Men her er, hvad vi ved:

Erhvervsstyrelsen tager sig kun af ikke-spionagerelaterede forstyrrelser

Da vi først forsøgte at finde ud af, hvem der undersøger, om der er falske basestationer i Danmark, kontaktede vi Erhvervsstyrelsen, da de har med teleområdet og mobilmaster at gøre.

Men selvom ulovlig anvendelse af frekvensbåndet i udgangspunktet hører under Erhvervsstyrelsen, så sorterer falske basestationer af den type, som har været beskrevet fra Norge, under Forsvarets Efterretningstjeneste og Center for Cybersikkerhed. Det fortæller kontorchef ved styrelsens frekvenskontor Per Christensen til Version2.

»Center for Cybersikkerhed er ansvarlig for informationssikkerheden i telesektoren. Så det er der, det ligger.«

Han fortæller, at disse opgaver blev overført til Forsvarets Efterretningstjeneste og Center for Cybersikkerhed i forbindelse med ressortomlægningen i 2011, hvor It- og Telestyrelsen blev nedlagt.

Hvis der derimod er tale om en radiosender, der uretmæssigt sender i frekvensbåndet og dermed forstyrrer dem, der ellers har tilladelse til at bruge båndet, så hører det til hos Erhvervsstyrelsen. Men altså ikke, hvis der er tale om aflytning, forklarer Per Christensen:

»Vi fører selvfølgelig tilsyn med de tilladelser, der er udstedt. Så hvis det er en forstyrrelsessag, så er det vores ansvar. Med afsæt i sagen fra Norge, så er det jo i sådan et tilfælde et andet formål, der ligger bag,« siger han med henvisning til mistanken om forsøg på overvågning af mobilnettet, som beskrevet fra Oslo.

Og selvom de falske basestationer i princippet også kan skabe forstyrrelser i frekvensbåndet til mobiltelefoni, så ligger sagen alligevel hos Center for Cybersikkerhed, da der kan være tale om forsøg på overvågning, fastslår Per Christensen.

»Vi fører tilsyn med helt banale forstyrrelsessager, og vi fører tilsyn med de frekvenstilladelser, der er udstedt. Men jeg er nødt til at gentage, at lige her, der skal du have fat i Center for Cybersikkerhed.«

Har Erhvervsstyrelsen fået nogen anmeldelser om frekvensforstyrrelser - eventuelt fra teleoperatørerne - der kunne indikere, at der er stillet falske basestationer op i Danmark?

»Der er svaret helt klart nej.«

Scanner Erhvervsstyrelsen aktivt efter eventuelle kilder til frekvensforstyrrelser på eget initiativ?

»Typisk foregår det sådan, at vi får en anmeldelse om en forstyrrelse fra den part, der har tilladelsen til at anvende frekvensområdet. Og så kører vi ud og ser, om vi kan være behjælpelige med at finde frem til forstyrrelsen.«

Så langt Erhvervsstyrelsen. De næste kontakter bliver ikke så lange at læse.

Center for Cybersikkerhed peger på PET

Hos Center for Cybersikkerhed modtager man vores henvendelse pr. telefon og e-mail for tre dage siden umiddelbart efter Erhvervsstyrelsens ret klare henvisning.

Vi kontakter Maria i kommunikationsafdelingen, der bestyrer presse-indgangen hos Center for Cybersikkerhed og stiller vores spørgsmål: Scanner CFCS efter den form for mobil-overvågningsudstyr i Danmark? I så fald hvornår? Har man fundet noget? Hvor stor sikkerhedsrisiko mener CSFS, den form for overvågning udgør i Danmark? Osv.

Der går én dag og to dage uden svar, men på tredjedagen ringer telefonen. Det er Maria:

»Nu skal du høre. Vi kommenterer ikke sagen yderligere. Men jeg synes, du skal prøve at ringe til PET.«

Så det ligger ikke hos jer?

»Jeg synes du skal prøve at ringe til PET.«

Men det ligger ikke hos jer?

»Jeg synes du skal prøve at ringe til PET.«

Når du svarer på den måde, så lyder det jo som, I mener, Erhvervsstyrelsen tager fejl?

»Men det kan jeg ikke kommentere på. Det kan jeg ikke kommentere på. Men prøv at ring til PET og spørg.«

PET kan ikke gå i detaljer med afdækning af spionage

Det gjorde vi så. Resultatet er den samtale vi allerede har løftet sløret for i begyndelsen. PET vil ikke svare direkte på vores spørgsmål. PET svarer ikke på, om de undersøger, hvorvidt der er falske basestationer i Danmark. PET skriver dog i sit e-mail-svar:

»Generelt er det dog ingen hemmelighed, at der fortsat er lande og virksomheder, der på ulovlig vis forsøger at indsamle fortrolige og sensitive oplysninger også i Danmark.«

Det fremgår af mailen, at PET naturligvis løbende arbejder på at forebygge og afdække forsøg på spionage og andre trusler mod statens sikkerhed her i Danmark.

Endelig slutter mailen med nedlukningen:

»PET har af operative årsager ikke mulighed for at gå i nærmere detaljer om, præcis hvordan danske myndigheder arbejder for at imødegå spionagetruslen.«

Hermed fik Version2 heller ikke svar på følgende spørgsmål:

Hvordan anbefaler PET, at danske borgere, politikere og virksomheder beskytter sig mod den form for overvågning, der ser ud til at have været anvendt i Norge?

Anvender PET selv de såkaldte IMSI-catchere i Danmark?

Eller hvordan PET har fået ansvaret for dette afsnit af teleområdet som Erhvervsstyrelsen mener hører under Center for Cybersikkerhed.

Version2 følger op på spørgsmålene og bringer desuden en guide til, hvordan du selv kan søge efter falske basestationer med en app til Android.

19 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
19
16. marts 2015 kl. 19:05

Jeg synes at man kort og summarisk burde fyre massefyre skidtet og erstatte dem med retrievere - Golden og Flatcoats - de er i det mindste nuttede og de spilder ikke folks tid med deres ævl.

13
20. december 2014 kl. 12:45

Vi kunne jo splejse om en catcher og så se hvem der kommer for at bede os om at slukke den igen?

/Jan

14
20. december 2014 kl. 15:43

Det er under alle omstændigheder ulovlig aflytning og en sag for politiet. Og så er det lige meget om det PET, FE eller en udenlandsk tjeneste, der har gjort det uden dommerkendelse. Og alle myndigheder har selvfølgelig pligt til at anmelde ulovligheder, som de opdager.

Men den anden side af problemstillingen er, at teleselskaber er forpligtet til at sikre deres net mod uautoriseret aflytning og de skal indberette hændelser.

Og her mener jeg stadig, at Erhvervsstyrelsen har det generelle tilsyn hermed inkl. mulighed for at kræve tiltag, der gør det vanskeligere at aflytte uautoriseret. Og det er ligegyldigt, om det er et mobilnets kodning, der er svag, om det er let adgang til fordeleren i en etageejendom eller et lokalt net, hvor man kan aflytte sine naboer med enkle midler.

Det, der er overført til forsvarsministerens område er IT-sikkerhed og de særlige beredskabsmæssige krav (kaldes også sikring). Men netsikkerhed er ikke overført og det har de ingen forstand på under forsvarsministeriet.

10
20. december 2014 kl. 09:13

Efter It- og Telestyrelsens nedlæggelse i 2011 har der hersket total forvirring om hvem der har overtaget ansvaret for de opgaver, som It- og Telestyrelsen tidligere varetog. Det afslører sagen om de falske basestationer kun alt for tydeligt. Læg mærke til hvordan Version2 trækkes rundt i manegen af repræsentanter fra de forskellige myndigheder, der påstår, at " Det er ikke mig - der er kollegaen i en anden styrelse, der er ansvarlig". Hvis sagen ikke var så alvorlig kunne man blot grine ad disse embedsmænd, der ikke forstår, at de er til for samfundets og borgenes skyld. Når de udspørges om væsentlige spørgsmål giver de ingen svar og trækker "sikkerhedskortet", der i bund og grund fortæller, at de intet ved og hverken har kompetencer eller ekspertise på området.

I mandags udsendte Bjarne Corydon og Nicolaj Wammen en såkaldt national Cyber- og informationssikkerhedsstrategi, der er "warm luft" og på ingen måde kan sikre mod hverken hackerangreb eller falske basestationer. Udgivelsen af strategien blev fulgt af et hovent "Kom bare an Hackere" fra de to nævnte politikere. Det kan vist siges at være topmålet af hybris (hovmod), set i lyset af Sony hacker skadalen.

Når Danmark igen udsættes for et alvorligt cyberangreb eller ulovlig aflytning vil de selv samme myndigheder, der har sendt Version2's medarbejder på skovtur i stil med Kafkas "Processen", alle uden undtagelse - igen henvise til at nationens sikkerhed gør at vi ikke udtaler os og igen henvise til, at hvis der skulle gøres noget - er det ikke os. Sådan gøres der grin med befolkningen, der står undrende og sagesløse tilbage, og samtidig er til grin for egne skattepenge.

8
20. december 2014 kl. 08:16

Nu er det i sagens natur vanskeligt at kende omfanget af lovlig og ulovlig overvågning, men hvor ville jeg ønske at danske og især EU politikkere ville vågne op af deres tornerosesøvn og indføre tvunget kryptering på alt mobiltrafik i DK/EU!

Naturligvis fanger det danske politi idag for tid til anden en eller anden uforsigtig småkriminel via en telefonaflytning som de ikke ville kunne med kryptering, men i det store spil mister der danske samfund langt mere på den nuværende situation.

Som et lille land og teknologisk totalt afhængigt af større lande er det ikke i Danmark's interesse at føre overvågningskrig, for det slag har vi tabt!

Jeg er ikke i tvivl om at der sjæles arbejdspladser hver dag i Danmark via den overvågning som illegalt foregår. Det sig være kendskab til patenter, teknologisk viden, kendskab til internationale tilbud som så kan underbydes osv.

Hvad koster det samfundet at lade 100 småkriminelle slippe om året imod at bevarer f.eks. 5.000 til 15.000 arbejdepladser?

Igen vi kender ikke tallene fordi de i sagens natur er umulige at opgøre, men jeg tror at de småkriminelle nok skal blive fanget før eller siden, men de ca. DKK 300.000 (som er forskellen på at modtage ydelser fra samfundet versus at betale skat) som hver tabt arbejdsplads koster hver år - de kommer ikke sådan bare lige igen.

Som samfund taber vi mange milliarder hvert år på at politikkerne lytter til efterretningstjenesternes ammestuehistorier om terrorister, pædofile og lignende, når sandheden er at langt størstedelen af deres anstrengelser er rettet imod industrispionage og anden civil overvågning.

12
20. december 2014 kl. 12:21

Nu er det i sagens natur vanskeligt at kende omfanget af lovlig og ulovlig overvågning, men hvor ville jeg ønske at danske og især EU politikkere ville vågne op af deres tornerosesøvn og indføre tvunget kryptering på alt mobiltrafik i DK/EU!

Der burde være A3 på GSM i Danmark, og mere sikker kryptering på UMTS, men det hjælper ikke noget når du forbinder med en falsk basestation. Og i GSM skal telefonen ikke verificere basestationen (kun omvendt). Derfor laver disse falske basestationer downgrade til GSM. Nogle er endda så snedige, at de kan få din telefon til at tro at den stadig kører UMTS.

Problemet er designfejl i GSM. Og når vi er færdig med dem, er der SS7http://www.washingtonpost.com/blogs/the-switch/wp/2014/12/18/german-researchers-discover-a-flaw-that-could-let-anyone-listen-to-your-cell-calls-and-read-your-texts/

Som vil blive demonstreret i Hamburg senere på månedenhttp://events.ccc.de/congress/2014/Fahrplan/events/6249.html

7
20. december 2014 kl. 08:02

Hvorfor undersøger i det ikke selv. Er det ikke her journalister kommer ind i billedet. Det offentlige Danmark har jo lukket ned ligesom de gjorde tidligere?

6
20. december 2014 kl. 08:02

Hvorfor undersøger i det ikke selv. Er det ikke her journalister kommer ind i billedet. Det offentlige Danmark har jo lukket ned ligesom de gjorde tidligere?

15
21. december 2014 kl. 15:46

Jeg kender ikke Version2 økonomi, lige som jeg heller ikke kender deres forretnings koncept. Jeg ved at jeg bruger det gratis. Jeg bruger også Google tjenester gratis. Så det kommer vel mest an på om forretnings konceptet holder. Pointen er heller ikke økonomi, men Journalister. Journalister er kendt for at grave det frem andre vil skjule. Jeg tror ikke at der er nogen inden for det statslige der er interesseret i at grave eller fortælle noget. Det er her Journalisten kommer ind i billedet. Det trækker nok flere ind på version2.dk hvis det er dem der fortælle den rigtige historie, frem for at det bliver Ekstrabladet eller BT. Det er ikke noget megnin mand kan klare.

16
21. december 2014 kl. 17:20

Pointen er heller ikke økonomi, men Journalister.

Det er svært at vide hvor man skal starte her... Men først og fremmest er journalist en profession. Som så mange andre profesionelle kræver journalister løn for at udføre deres profession. De skal også betale husleje og mad.

Research er heller ikke gratis. En researcher skal også betales løn. Ingen arbejder gratis. De vil sikkert også bruge penge på netop at lave research. Finde specialister, tale med producenter, teste udstyr, etc... Research tager tid hvis det skal gøres korrekt og skaber ingen indtægter.

Hvis du tror du får Google gratis skal du nok tage et ekstra kig på den EULA du accepterede engang. Du betaler ved at lade Google hore dine mest personlige informationer ud til højestbydende.

Dansk er et ganske lille sprogområde. Det betyder at der er næsten ingen penge i at sælge hverken reklamer eller hore personlige information ud fra "gratis" websider/nyhedssider.

Pointen er ganske enkelt at der er ingen penge i journalisme. Der er derimod MASSER af penge i at sætte spionudstyr op. Jeg gætter på at de personlinge informationer en IMSI-catcher kan samle ind er meget mere værd end hvad Google kan lære ved at læse vores mails (og alt andet vi nu engang foretager os i deres annonce netværk).

Crowd-funded journalistik anyone?

/Jan

17
21. december 2014 kl. 21:13

Hvis vi skal holde historien på sporet, så har vi altså ikke nogen til at forsvare vores demokrati. Vi skal ikke forvente at staten bryder sammen og tilstår, at de godt ved hvem det er, hvis der er nogen der aflytter... Hvis der er nogen i de andre nordisk lande, så vil jeg mene at der er en god sansynlighed for at det også sker i Danmark. Det er så bare øv, at ingen kan tjekket det. Der er altså ingen grund til at forvente at en journalist på et eller andet nyhedsmedie vil løfte opgaven? Vi er altså lost...

3
19. december 2014 kl. 17:20

Netsikkerhed bør - som tidligere - henhøre under erhvervsstyrelsen.

Netsikkerhed er ikke blot et spørgsmål om tilstrækkelig sikker kodning af radiostrækningen i mobilnet (tidligere har styrelsen sikret sig en forbedring af kodningen pga. mistanke om aflytningsmuligheder). Det er også den fysiske sikring af fastnettet mod uautoriseret aflytning. Der har efter indgreb fra den tidligere Telestyrelse været et program for sikring af fordelerskabe.

Er dette tilsyn med mulighed for indgreb så også overført til Forsvarsministeren?

Når jeg lige slår op i gældende telelov ser det ud til, at det basale krav om sikring af net mod uautoriseret aflytning er faldet ud.

For Forsvarsministeren har kun fået ansvar for de regler, som han selv udstikker på området.

Så hvis der ingen regler er, er der heller ikke krav til sikkerhed.

Netsikkerhed kan ikke udsondres fra det øvrige tilsyn med tele. Det er nonsens.

nb. Jeg har ikke helt nærlæst love og bekendtgørelser. Men det ser sådan ud.

4
19. december 2014 kl. 17:48

Der står stadig således i Telelovens § 7:

"De nævnte ejere og udbydere skal træffe de foranstaltninger, der er nødvendige for at sikre, at oplysninger om andres brug af nettet eller tjenesten eller indholdet heraf ikke er tilgængelige for uvedkommende."

Og tilsynet med denne generelle pligt til netsikkerhed er for mig at se ikke overført til forsvarsministeren, som alene har fået tilsynet med de sikkerhedsregler, som forsvarsministeren selv har udstedt.

Så alt er nok ok. Branchen og myndighederne har bare ikke forstået det.

5
19. december 2014 kl. 20:05

Tjoe, det er nok fint. Man skal lige huske på at hvis Danmark har et formaliseret efterretningssamarbejde med andre lande, er disse lande vel ikke uvedkommende, men legitime parter i overvågningen.

1
19. december 2014 kl. 15:30

Man må huske på at Danmark også skal overholde sine forpligtelser over for efterretningssamarbejdet "nine eyes". Hvad der så prioriteres højest, dette samarbejde eller hensynet til dansk erhvervsliv og den danske offentligheds IT-sikkerhed, er så ikke klart.