Kein Zugriff auf SIM-Karten
Whatsapp, E-Banking und Co: Die Handynummer ist für viele Onlinedienste essenziell. Die Korneuburger Staatsanwaltschaft wollte, dass ein Mobilfunker die SIM-Karte eines Kunden klont – und blitzte vor Gericht ab.
Die Korneuburger Staatsanwaltschaft scheiterte vor Gericht mit dem Vorhaben, via SIM-KartenKlon Handydaten auszulesen.
Wie kann eine Behörde auf ein Handy zugreifen? Eine Methode soll der Bundestrojaner, eine staatliche Überwachungssoftware, ab 2020 bieten. Schon jetzt wollte die Staatsanwaltschaft eine weitere etablieren: das sogenannte SIMSwapping, bei dem eine SIM-Karte dupliziert wird. Sie ist aber vor dem Oberlandesgericht Wien (OLG Wien) abgeblitzt.
Ein solcher Zugang würde einen massiven Eingriff in die digitale Identität bedeuten: Beim Onlinebanking etwa wird die Transaktionsnummer zumeist per SMS versandt. Viele User verwenden eine Zwei-Faktor-Authentifizierung, um sich bei unterschiedlichsten Diensten einzuloggen, einen zweiten Schritt zum Log-in neben dem Passwort. Verlieren Nutzer den Zugang zu Accounts, zum Beispiel bei sozialen Medien oder E-Mail-Diensten, ist oft die Handynummer als Notfallmethode zur Rücksetzung angegeben. Und viele Messengerdienste wie Whatsapp können aufgerufen werden, ohne dass man sich neben der Handynummer weiter verifizieren muss. Das heißt: Wer Ihre Telefonnummer hat, kann in Ihrem Namen mit allen Kontakten kommunizieren. Und wenn man Backups bei Whatsapp aktiviert hat, könnten sämtliche alte Chats ausspioniert werden.
Genau ein solcher Zugriff wird durch sogenanntes SIM-Swapping eingeräumt – ohne dass der jeweilige Angreifer die SIM-Karte physisch entwenden und PIN oder PUK herausfinden muss. Entscheidend dafür ist der jeweilige Mobilfunker: Dieser kann nämlich die Telefonnummer einfach auf eine neue SIM-Karte portieren. In den meisten Fällen bieten dies Telekomanbieter für jene Nutzer an, die ein verlorenes oder gestohlenes Gerät haben.
Auch Österreichs Behörden wollten die Methode anwenden. Laut den Informationen, die dem
STANDARD vorliegen, hatte die Staatsanwaltschaft die Bewilligung einer Anordnung an einen Mobilfunker erbeten. Sie wollte eine Auskunft verlangen sowie sämtliche Nachrichten für einen bestimmten Zeitraum überwachen – auch jene, die in einem Messengerdienst verfasst werden. Da der Verdächtige zudem seine SIM-Karte zerstört hatte, wurde ein Umweg gesucht, um auf jene Daten zugreifen zu können, die sich auf dem Smartphone befanden. Daher wurde der Telekomanbieter dazu aufgefordert,
die SIM-Karte zu duplizieren. Dieser beschwerte sich daraufhin vor Gericht – und bekam recht. Dennoch musste der Telekomanbieter der Aufforderung Folge leisten, da die Beschwerde keine aufschiebende Wirkung hatte.
Laut OLG Wien würde keine der gesetzlichen Grundlagen, auf die sich die Staatsanwaltschaft stützen wollte, eine Anordnung zur Duplizierung einer SIM-Karte ermöglichen. Zudem könnten Telekomanbieter nicht dazu verpflichtet werden, Zugriff auf Daten eines Drittanbieters – wie einem Messengerdienst – zu gewähren. Dazu kommt, dass ein Betreiber zwar zur Überwachung von Nachrichten aufgefordert werden kann, dies aber nicht für vor dem angegeben Zeitraum versandte Nachdie richten gilt. Daher könne die Staatsanwaltschaft entweder durch Sicherstellung des Mobiltelefons oder durch eine Anordnung an den Betreiber des Messengerdienstes auf die Daten zugreifen, nicht aber durch SIMSwapping. Der Beschluss kann nicht angefochten werden, die zuvor eingeholten Daten dürfen nicht weiterverwendet werden.
Maximilian Schubert, Generalsekretär des Providerverbands ISPA, begrüßt die Entscheidung – sie würde zeigen, dass sich Provider für die Privatsphäre ihrer Kunden einsetzen. „Es herrscht hier ganz klar Rechtsunsicherheit, und es bedarf jedenfalls eines breiten Diskurses, wie die bisherigen Ermittlungsbefugnisse unter Wahrung der Verhältnismäßigkeit an Gegebenheiten des 21. Jahrhundert angepasst werden können“, sagt er. In Ländern wie den Niederlanden werde derzeit das Strafprozessrecht überarbeitet, da der Eingriff ins Smartphone unter bestimmten Umständen sogar sensiblere Details offenbare als eine Hausdurchsuchung.
„Universalschlüssel“
„Die Entscheidung des OLG Wien ist richtig, und es ist wichtig, dass sich Netzbetreiber nicht darauf einlassen, solchen Vorstößen und Befugnisüberschreitungen vonseiten der Staatsanwaltschaft nachzugeben“, sagt Angelika Adensamer von der Datenschutz-NGO Epicenter Works.
Rechtsinformatiker Nikolaus Forgó sagt, dass die von der Staatsanwaltschaft genannten Gesetzesparagrafen keine Grundlage bieten würden, um einen Telekomanbieter zu verpflichten, eine Art „Universalschlüssel“zur Verfügung zu stellen, mit dem auch auf Daten eines Drittanbieters zugegriffen werden kann. „Die Verpflichtung zur Herstellung eines solchen wäre nicht nur im Gesetz nicht vorgesehen, sondern in weiterer Folge datenschutzrechtlich – aufgrund einer Datenerhebung ohne gesetzliche Grundlage – und grundrechtlich fragwürdig“, sagt Forgó.
Vor allem gebe es aber auch sicherheitsrechtliche Bedenken, weil eine Funktionalität, die hauptsächlich zum Portieren einer Nummer dienen soll, für einen anderen Zweck, nämlich der Rekonstruktion von Inhalten bei einem fremden Anbieter, genutzt werde. „Das wäre ein weiteres Beispiel staatlichen ‚Hackings‘ mit schwer vorhersehbaren Folgen für die IT-Sicherheitsinfrastruktur der Telekomdiensteanbieter, das nicht auf Zuruf erfolgen sollte“, sagt Forgó.
SIM-Swapping wird häufig von Kriminellen angewandt, um Daten von Nutzern zu stehlen. Immer wieder werden Horrorgeschichten, vor allem aus dem USamerikanischen Raum, ans Licht gebracht – etwa jene des ZDNetJournalisten Matthew Miller: Er war Opfer eines Verbrechers geworden, der sich per Telefon bei T-Mobile US als Miller ausgegeben hatte.
Der Unbekannte konnte den Mitarbeiter des Mobilfunkers davon überzeugen, dass es sich um Miller handle, weswegen die Telefonnummer auf eine andere SIMKarte transferiert wurde. Durch die Daten und Konten, die er auf diese Weise vereinnahmen konnte, war es für ihn möglich, den Google- und Twitter-Account des Redakteurs zu stehlen und über sein Bankkonto Bitcoins im Wert von 25.000 US-Dollar zu kaufen.
In Österreich wird das Thema bei den Mobilfunkern unterschiedlich gehandhabt. Bei A1 heißt es, dass eine telefonische Beantragung zwar möglich sei, jedoch müsste man das Kundenkennwort angeben. Bei T-Mobile ist es auch so, E-SIM-Karten könnten online aus Sicherheitsgründen gar nicht aktiviert werden. Bei „3“sei der SIM-Swap nur persönlich mit Ausweis im Shop bzw. Fachhandel möglich. Ein telefonischer Tausch sei weder haptisch noch über E-SIM möglich.