Hvem undersøger mobilspionage i Danmark?

I takt med at falske basestationer til overvågning af mobiltrafik bliver opdaget i Norge, Sverige og Finland er det let at spørge: Hvad med Danmark? Men det er svært at få et svar.

Efterretningstjenesterne i henholdsvis Norge, Sverige og Finland er ordknappe i forbindelse med optrævlingen af sagerne om såkaldte falske basestationer, der kan opsnappe mobiltrafik. I Oslo er der fundet udstyr i det centrale finansdistrikt, i Stockholm har en Cryptophone vist spor efter overvågningsudstyret tæt på parlamentsbygningen, mens det ikke er helt klart, hvad der er fundet i Finland. Blot oplyser den lokale finske efterretningstjeneste Supo, at finske mobiltelefoner muligvis også har været mål for sporing ved hjælp af falske basestationer.

I Danmark er der endnu ikke offentliggjort fund. Så vidt vi ved.

For ringer man til myndighederne, er det svært at få svar på, hvem der har ansvaret for sikkerheden i telesektoren, og hvem der kan udtale sig om, hvad der bliver gjort. Det tog Version2 tre dages ihærdig indsats overhovedet at fange den rigtige myndighed. Og da vi endelig fik fat i PET var svaret pr. mail lukket og kryptisk:

»PET følger naturligvis sagerne i Norge, Sverige og Finland tæt. Såfremt aflytning som gengivet i pressen har fundet sted, er det naturligvis en meget alvorlig sag. Der forestår nu et opklaringsarbejde i både Norge og Sverige. Derfor er der på nuværende tidspunkt ikke grundlag for nærmere udtalelser om sagen.«

Inden du læser videre skal du vide, at der stadig er huller i vores forståelse af sagen på Version2. Faktisk forstår vi ikke helt, hvordan denne sag overhovedet er blevet PET's. Men her er, hvad vi ved:

Erhvervsstyrelsen tager sig kun af ikke-spionagerelaterede forstyrrelser

Da vi først forsøgte at finde ud af, hvem der undersøger, om der er falske basestationer i Danmark, kontaktede vi Erhvervsstyrelsen, da de har med teleområdet og mobilmaster at gøre.

Men selvom ulovlig anvendelse af frekvensbåndet i udgangspunktet hører under Erhvervsstyrelsen, så sorterer falske basestationer af den type, som har været beskrevet fra Norge, under Forsvarets Efterretningstjeneste og Center for Cybersikkerhed. Det fortæller kontorchef ved styrelsens frekvenskontor Per Christensen til Version2.

»Center for Cybersikkerhed er ansvarlig for informationssikkerheden i telesektoren. Så det er der, det ligger.«

Han fortæller, at disse opgaver blev overført til Forsvarets Efterretningstjeneste og Center for Cybersikkerhed i forbindelse med ressortomlægningen i 2011, hvor It- og Telestyrelsen blev nedlagt.

Hvis der derimod er tale om en radiosender, der uretmæssigt sender i frekvensbåndet og dermed forstyrrer dem, der ellers har tilladelse til at bruge båndet, så hører det til hos Erhvervsstyrelsen. Men altså ikke, hvis der er tale om aflytning, forklarer Per Christensen:

»Vi fører selvfølgelig tilsyn med de tilladelser, der er udstedt. Så hvis det er en forstyrrelsessag, så er det vores ansvar. Med afsæt i sagen fra Norge, så er det jo i sådan et tilfælde et andet formål, der ligger bag,« siger han med henvisning til mistanken om forsøg på overvågning af mobilnettet, som beskrevet fra Oslo.

Og selvom de falske basestationer i princippet også kan skabe forstyrrelser i frekvensbåndet til mobiltelefoni, så ligger sagen alligevel hos Center for Cybersikkerhed, da der kan være tale om forsøg på overvågning, fastslår Per Christensen.

»Vi fører tilsyn med helt banale forstyrrelsessager, og vi fører tilsyn med de frekvenstilladelser, der er udstedt. Men jeg er nødt til at gentage, at lige her, der skal du have fat i Center for Cybersikkerhed.«

Har Erhvervsstyrelsen fået nogen anmeldelser om frekvensforstyrrelser - eventuelt fra teleoperatørerne - der kunne indikere, at der er stillet falske basestationer op i Danmark?

»Der er svaret helt klart nej.«

Scanner Erhvervsstyrelsen aktivt efter eventuelle kilder til frekvensforstyrrelser på eget initiativ?

»Typisk foregår det sådan, at vi får en anmeldelse om en forstyrrelse fra den part, der har tilladelsen til at anvende frekvensområdet. Og så kører vi ud og ser, om vi kan være behjælpelige med at finde frem til forstyrrelsen.«

Så langt Erhvervsstyrelsen. De næste kontakter bliver ikke så lange at læse.

Center for Cybersikkerhed peger på PET

Hos Center for Cybersikkerhed modtager man vores henvendelse pr. telefon og e-mail for tre dage siden umiddelbart efter Erhvervsstyrelsens ret klare henvisning.

Vi kontakter Maria i kommunikationsafdelingen, der bestyrer presse-indgangen hos Center for Cybersikkerhed og stiller vores spørgsmål: Scanner CFCS efter den form for mobil-overvågningsudstyr i Danmark? I så fald hvornår? Har man fundet noget? Hvor stor sikkerhedsrisiko mener CSFS, den form for overvågning udgør i Danmark? Osv.

Der går én dag og to dage uden svar, men på tredjedagen ringer telefonen. Det er Maria:

»Nu skal du høre. Vi kommenterer ikke sagen yderligere. Men jeg synes, du skal prøve at ringe til PET.«

Så det ligger ikke hos jer?

»Jeg synes du skal prøve at ringe til PET.«

Men det ligger ikke hos jer?

»Jeg synes du skal prøve at ringe til PET.«

Når du svarer på den måde, så lyder det jo som, I mener, Erhvervsstyrelsen tager fejl?

»Men det kan jeg ikke kommentere på. Det kan jeg ikke kommentere på. Men prøv at ring til PET og spørg.«

PET kan ikke gå i detaljer med afdækning af spionage

Det gjorde vi så. Resultatet er den samtale vi allerede har løftet sløret for i begyndelsen. PET vil ikke svare direkte på vores spørgsmål. PET svarer ikke på, om de undersøger, hvorvidt der er falske basestationer i Danmark. PET skriver dog i sit e-mail-svar:

»Generelt er det dog ingen hemmelighed, at der fortsat er lande og virksomheder, der på ulovlig vis forsøger at indsamle fortrolige og sensitive oplysninger også i Danmark.«

Det fremgår af mailen, at PET naturligvis løbende arbejder på at forebygge og afdække forsøg på spionage og andre trusler mod statens sikkerhed her i Danmark.

Endelig slutter mailen med nedlukningen:

»PET har af operative årsager ikke mulighed for at gå i nærmere detaljer om, præcis hvordan danske myndigheder arbejder for at imødegå spionagetruslen.«

Hermed fik Version2 heller ikke svar på følgende spørgsmål:

Hvordan anbefaler PET, at danske borgere, politikere og virksomheder beskytter sig mod den form for overvågning, der ser ud til at have været anvendt i Norge?

Anvender PET selv de såkaldte IMSI-catchere i Danmark?

Eller hvordan PET har fået ansvaret for dette afsnit af teleområdet som Erhvervsstyrelsen mener hører under Center for Cybersikkerhed.

Version2 følger op på spørgsmålene og bringer desuden en guide til, hvordan du selv kan søge efter falske basestationer med en app til Android.