Die Centers for Disease Control and Prevention (CDC), die wichtigste Behörde der Vereinigten Staaten zur Bekämpfung großer Gesundheitsbedrohungen, erklärte, man habe sie in dem Glauben gelassen, Pushwoosh habe seinen Sitz in der amerikanischen Hauptstadt. Nachdem sie von Reuters von den russischen Wurzeln erfahren hatte, entfernte sie die Pushwoosh-Software aus sieben öffentlich zugänglichen Apps und begründete dies mit Sicherheitsbedenken.

Die US-Armee teilte mit, dass sie im März eine App, die Pushwoosh-Code enthielt, wegen der gleichen Bedenken entfernt hatte. Diese App wurde von Soldaten auf einem der wichtigsten Trainingsstützpunkte des Landes verwendet.

Nach Unternehmensunterlagen, die in Russland öffentlich eingereicht und von Reuters eingesehen wurden, hat Pushwoosh seinen Hauptsitz in der sibirischen Stadt Novosibirsk, wo es als Softwareunternehmen registriert ist, das auch Datenverarbeitung betreibt. Das Unternehmen beschäftigt etwa 40 Mitarbeiter und hat im vergangenen Jahr einen Umsatz von 143.270.000 Rubel (2,4 Mio. $) erzielt. Pushwoosh ist bei der russischen Regierung registriert, um in Russland Steuern zu zahlen.

In den sozialen Medien und in den US-Regulierungsunterlagen stellt sich Pushwoosh jedoch als US-Unternehmen mit Sitz in Kalifornien, Maryland und Washington, D.C. dar, wie Reuters herausfand.

Pushwoosh bietet Code und Datenverarbeitungsunterstützung für Softwareentwickler, die damit Profile der Online-Aktivitäten von Smartphone-App-Nutzern erstellen und maßgeschneiderte Push-Benachrichtigungen von Pushwoosh-Servern aus versenden können.

Auf seiner Website erklärt Pushwoosh, dass es keine sensiblen Informationen sammelt, und Reuters fand keine Beweise dafür, dass Pushwoosh Nutzerdaten falsch behandelt hat. Die russischen Behörden haben jedoch lokale Unternehmen gezwungen, Nutzerdaten an die nationalen Sicherheitsbehörden zu übermitteln.

Der Gründer von Pushwoosh, Max Konev, erklärte gegenüber Reuters in einer E-Mail im September, dass das Unternehmen nicht versucht habe, seine russische Herkunft zu verschleiern. "Ich bin stolz darauf, Russe zu sein und würde dies niemals verbergen.

Er sagte, das Unternehmen habe "keinerlei Verbindung zur russischen Regierung" und speichere seine Daten in den Vereinigten Staaten und Deutschland.

Cybersecurity-Experten sagten, dass die Speicherung von Daten im Ausland russische Geheimdienste nicht daran hindern würde, ein russisches Unternehmen zu zwingen, den Zugang zu diesen Daten zu gewähren.

Russland, dessen Beziehungen zum Westen sich seit der Übernahme der Halbinsel Krim im Jahr 2014 und dem Einmarsch in die Ukraine in diesem Jahr verschlechtert haben, ist nach Angaben westlicher Beamter weltweit führend im Hacken und in der Cyberspionage und spioniert ausländische Regierungen und Industrien aus, um Wettbewerbsvorteile zu erlangen.

RIESIGE DATENBANK

Der Code von Pushwoosh wurde in den Apps zahlreicher internationaler Unternehmen, einflussreicher gemeinnütziger Organisationen und Regierungsbehörden installiert, vom globalen Konsumgüterhersteller Unilever Plc und der Union of European Football Associations (UEFA) bis hin zur politisch mächtigen US-Waffenlobby National Rifle Association (NRA) und der britischen Labour Party.

Pushwooshs Geschäfte mit US-Regierungsbehörden und privaten Unternehmen könnten gegen Gesetze zur Auftragsvergabe und die US Federal Trade Commission (FTC) verstoßen oder Sanktionen auslösen, so 10 Rechtsexperten gegenüber Reuters. Das FBI, das US-Finanzministerium und die FTC lehnten eine Stellungnahme ab.

Jessica Rich, ehemalige Direktorin des Bureau of Consumer Protection der FTC, sagte: "Diese Art von Fällen fällt genau in die Zuständigkeit der FTC, die gegen unfaire oder betrügerische Praktiken vorgeht, die die Verbraucher in den USA betreffen.

Washington könnte Sanktionen gegen Pushwoosh verhängen und verfügt nach Ansicht von Sanktionsexperten über weitreichende Befugnisse, unter anderem durch eine Exekutivanordnung aus dem Jahr 2021, die den Vereinigten Staaten die Möglichkeit gibt, den russischen Technologiesektor wegen bösartiger Cyberaktivitäten ins Visier zu nehmen.

Nach Angaben von Appfigures, einer App-Intelligence-Website, wurde der Pushwoosh-Code in fast 8.000 Apps in den App-Stores von Google und Apple integriert. Auf der Website von Pushwoosh heißt es, dass mehr als 2,3 Milliarden Geräte in der Datenbank des Unternehmens verzeichnet sind.

"Pushwoosh sammelt bei sensiblen und behördlichen Apps Nutzerdaten, einschließlich genauer Geolokalisierung, was ein invasives Tracking in großem Umfang ermöglichen könnte", sagte Jerome Dangu, Mitbegründer von Confiant, einem Unternehmen, das den Missbrauch von Daten verfolgt, die in Online-Werbe-Lieferketten gesammelt werden.

"Wir haben bei den Aktivitäten von Pushwoosh keine eindeutigen Anzeichen für betrügerische oder böswillige Absichten gefunden, was das Risiko, dass App-Daten nach Russland durchsickern, sicherlich nicht mindert", fügte er hinzu.

Google sagte, dass der Datenschutz für das Unternehmen ein "großes Anliegen" sei, antwortete aber nicht auf Anfragen zu Pushwoosh. Apple sagte, es nehme das Vertrauen und die Sicherheit der Nutzer ernst, lehnte es aber ebenfalls ab, Fragen zu beantworten.

Keir Giles, ein Russland-Experte der Londoner Denkfabrik Chatham House, sagte, dass trotz der internationalen Sanktionen gegen Russland eine "beträchtliche Anzahl" russischer Unternehmen immer noch im Ausland tätig sei und persönliche Daten von Menschen sammle.

Angesichts der russischen Gesetze zur inneren Sicherheit "sollte es nicht überraschen, dass Firmen, die mit Daten umgehen, mit oder ohne direkte Verbindungen zu russischen Spionagekampagnen, ihre russischen Wurzeln herunterspielen wollen", sagte er.

'SICHERHEITSFRAGEN'

Nachdem Reuters die CDC auf die russischen Verbindungen von Pushwoosh aufmerksam gemacht hatte, entfernte die Gesundheitsbehörde den Code aus ihren Apps, weil "das Unternehmen ein potenzielles Sicherheitsproblem darstellt", so die Sprecherin Kristen Nordlund.

"Die CDC ging davon aus, dass Pushwoosh ein Unternehmen mit Sitz im Raum Washington, D.C. ist", sagte Nordlund in einer Erklärung. Diese Annahme basierte auf "Zusicherungen" des Unternehmens, sagte sie, ohne näher darauf einzugehen.

Zu den CDC-Apps, die Pushwoosh-Code enthielten, gehörten die Haupt-App der Behörde und andere, die für den Austausch von Informationen über eine breite Palette von Gesundheitsfragen eingerichtet wurden. Eine davon war für Ärzte, die sexuell übertragbare Krankheiten behandeln. Obwohl die CDC auch die Benachrichtigungen des Unternehmens zu Gesundheitsfragen wie COVID nutzte, sagte die Behörde, dass sie "keine Nutzerdaten mit Pushwoosh geteilt hat".

Die Armee teilte Reuters mit, dass sie eine App, die Pushwoosh enthielt, im März unter Berufung auf "Sicherheitsprobleme" entfernt hat. Sie sagte nicht, wie weit die App, die ein Informationsportal für das National Training Center (NTC) in Kalifornien war, von den Truppen genutzt wurde.

Das NTC ist ein großes Gefechtsausbildungszentrum in der Mojave-Wüste für Soldaten, die sich auf ihren Einsatz vorbereiten. Ein Datenbruch dort könnte also bevorstehende Truppenbewegungen in Übersee aufdecken.

Der Sprecher der US-Armee, Bryce Dubee, sagte, die Armee habe keinen "operativen Datenverlust" erlitten und fügte hinzu, dass sich die App nicht mit dem Netzwerk der Armee verbunden habe.

Einige große Unternehmen und Organisationen, darunter die UEFA und Unilever, sagten, dass Dritte die Apps für sie eingerichtet haben oder dass sie dachten, sie würden ein US-Unternehmen beauftragen.

"Wir haben keine direkte Beziehung zu Pushwoosh", sagte Unilever in einer Erklärung und fügte hinzu, dass Pushwoosh "vor einiger Zeit" aus einer seiner Apps entfernt wurde.

Die UEFA sagte, ihr Vertrag mit Pushwoosh sei "mit einem US-Unternehmen" geschlossen worden. Die UEFA lehnte es ab, zu sagen, ob sie von den russischen Verbindungen von Pushwoosh wusste, sagte aber, dass sie ihre Beziehung zu dem Unternehmen überprüfe, nachdem sie von Reuters kontaktiert wurde.

Die NRA sagte, ihr Vertrag mit dem Unternehmen sei im vergangenen Jahr ausgelaufen und sie habe "keine Kenntnis von irgendwelchen Problemen".

Die britische Labour-Partei reagierte nicht auf Bitten um einen Kommentar.

"Die Daten, die Pushwoosh sammelt, ähneln denen, die auch von Facebook, Google oder Amazon gesammelt werden könnten, aber der Unterschied ist, dass alle Pushwoosh-Daten in den USA an Server gesendet werden, die von einem Unternehmen (Pushwoosh) in Russland kontrolliert werden", sagte Zach Edwards, ein Sicherheitsforscher, der die Verbreitung des Pushwoosh-Codes zum ersten Mal entdeckte, als er für Internet Safety Labs, eine gemeinnützige Organisation, arbeitete.

Roskomnadzor, die staatliche russische Regulierungsbehörde für Kommunikation, reagierte nicht auf eine Anfrage von Reuters nach einem Kommentar.

GEFÄLSCHTE ADRESSE, GEFÄLSCHTE PROFILE

In den US-Regulierungsunterlagen und in den sozialen Medien erwähnt Pushwoosh nie seine russischen Verbindungen. Das Unternehmen gibt auf Twitter "Washington, D.C." als Standort an und gibt als Büroadresse ein Haus im Vorort Kensington, Maryland, an. Dies geht aus den letzten US-Unternehmensunterlagen hervor, die beim Staatssekretariat von Delaware eingereicht wurden. Das Unternehmen gibt die Adresse in Maryland auch auf seinen Facebook- und LinkedIn-Profilen an.

In dem Haus in Kensington wohnt ein russischer Freund von Konew, der unter der Bedingung der Anonymität mit einem Reuters-Journalisten sprach. Er sagte, er habe nichts mit Pushwoosh zu tun und habe nur zugestimmt, dass Konev seine Adresse für den Empfang von Post verwendet.

Konev sagte, Pushwoosh habe während der Coronavirus-Pandemie begonnen, die Adresse in Maryland zu nutzen, um "Geschäftskorrespondenz zu empfangen".

Er sagte, er betreibe Pushwoosh nun von Thailand aus, lieferte aber keine Beweise dafür, dass das Unternehmen dort registriert ist. Reuters konnte im thailändischen Firmenregister keine Firma mit diesem Namen finden.

Pushwoosh hat in den acht jährlichen Einreichungen im US-Bundesstaat Delaware, wo es registriert ist, nie erwähnt, dass es in Russland ansässig ist.

Stattdessen gab Pushwoosh von 2014 bis 2016 eine Adresse in Union City, Kalifornien, als Hauptgeschäftssitz an. Diese Adresse existiert jedoch nicht, wie die Behörden von Union City mitteilen.

Pushwoosh nutzte LinkedIn-Konten, die angeblich zwei in Washington, D.C., ansässigen Führungskräften namens Mary Brown und Noah O'Shea gehörten, um für Verkäufe zu werben. Aber weder Brown noch O'Shea sind echte Personen, wie Reuters herausfand.

Das Foto, das Brown gehörte, war das einer Tanzlehrerin aus Österreich. Es wurde von einer Fotografin in Moskau aufgenommen, die Reuters mitteilte, dass sie keine Ahnung habe, wie es auf der Website gelandet sei.

Konew gab zu, dass die Konten nicht echt waren. Er sagte, Pushwoosh habe 2018 eine Marketing-Agentur mit der Erstellung der Konten beauftragt, um die sozialen Medien für den Verkauf von Pushwoosh zu nutzen und nicht, um die russische Herkunft des Unternehmens zu verschleiern.

LinkedIn sagte, es habe die Konten entfernt, nachdem es von Reuters alarmiert wurde.