Konzept für eine umfassendere gesetzgeberische Lösung des Missbrauchs von Dialern für "premium rate"-Nummern

Version 1.0, 02.09.2002, Hauke Laging, hauke@laging.de, Tel.: 030/32603660

Prämisse

Das Ziel des Gesetzgebers muss es sein, einen umfassenden sowohl rechtlichen als auch technischen Schutz für die in der Masse unbedarften Computerbenutzer vor dem Missbrauch ihrer Rechner für den Aufbau hochpreisiger Telefonverbindungen zu schaffen. Die technisch-politische Herausforderung liegt dabei in der minimalen Beschneidung der wirtschaflichen Möglichkeiten der Branche.

Das Grundproblem

technisch

Das technische Grundproblem ist darin zu sehen, dass auf Grund der Funktionsweise (man könnte sagen: der Mängel) vor allem bei technisch unbedarften Benutzern weit verbreiteter Betriebssysteme ein Computer leicht für Zwecke missbraucht werden kann, die der Besitzer oder Benutzer des Geräts weder billigt noch bemerkt. Daran wird sich in absehbarer Zeit nichts ändern (weil dies vor allem ein soziales Problem ist) und es ist auch kein politisches Problem.

Der folgenschwere Missbrauch wird erst durch die Kombination dieses Zustands mit einem weiteren erreicht: Die von den Diensteanbietern genutzten Einwahlzugänge (hinter "premium rate"-Nummern) lassen sich ohne jede technische Hürde nutzen. Dies ist für den Benutzer zwar (geradezu ungewohnt) komfortabel, eröffnet aber missbräuchlich eingesetzter Software alle Möglichkeiten.

rechtlich

Das große rechtliche Problem ist, dass die Missbrauchskette bei SPAM beginnt, also illegaler Massenwerbung per E-Mail. Diese ermöglicht nicht nur, eine große Zahl von Leuten auf Umwegen zur Installation der misbrauchten Software zu locken, sondern auch noch die Verschleierung der eigenen Identität (vor allem auf Grund der technischen Inkompetenz ausländischer, meist asiatischer, Mailserverbetreiber). Das SPAM-Problem wird sich in absehbarer Zeit nicht lösen lassen, da man der Urheber nicht habhaft wird.

Die Betreiber der kostenpflichtigen "Dienste" und die Hersteller der "Abrechnungssoftware" machen sich ihrerseits nicht strafbar, da beides - theoretisch - auch legal genutzt werden könnte. Zwar ist offensichtlich, dass genau diese Leute hinter der SPAM-Flut stehen, aber dies ist kaum beweisbar.

Lösungsansatz

Es handelt sich glücklicherweise zunächst einmal (technisch) um ein rein deutsches Problem: Sowohl die Hersteller der Software als auch die Anbieter der Dienste (oder wenigstens der Telefonnummern) sind Deutsche, auch wenn ersteres nicht zwingend so bleiben muss. Damit hat der Gesetzgeber alle Möglichkeiten in der Hand, das Problem technisch elegant zu entschärfen, ohne dabei wirtschaftliche Kollateralschäden in der Branche anzurichten (die einer Gesetzesänderung erfahrungsgemäß erhebliche Widerstände entgegenstellte).

neue rechtliche Rahmenbedingungen

für die Software

Ich schlage vor, den Anbietern derartiger Software vorzuschreiben, dass die Software in einer Weise gestaltet sein muss, die Missbrauch ausschließt. Dies muss keine nennenswerte Beeinträchtigung in der Benutzung zur Folge haben. Insbesondere wären folgende Vorgaben wünschenswert:

  1. Die Software darf weder die zugehörige(n) "premium rate"-Nummern beinhalten noch sie nach Eingabe auf dem Rechner in einer Weise speichern, die die Beendigung des Programms (oder alternativ: den Abbruch der Verbindung) überdauert.

  2. Die Software muss sich die anzuwählende Nummer erst von einem Server holen, den sie über eine kostenlose (Missbrauchsgefahr durch radikale Gegner dieser Dienste) oder zumindest normal tarifierte Telefonnummer erreicht, sodass durch diesen Verbindungsaufbau kein wirtschaftlicher Vorteil beim Betreiber entsteht.

  3. Der Server darf die "premium rate"-Nummer nur nach Authentifizierung herausgeben. Das heißt, dass der Benutzer bzw. die Software sich gegenüber dem Server als berechtigt und in ihrer (verschleierten aber individuellen) Identität ausweisen muss. Dies wäre derselbe technische Vorgang, der etwa beim Abrufen von E-Mail oder dem Aufbau einer typischen Internetverbindung (die nicht Internet-by-call ist) stattfindet.

  4. Diese Zugangsdaten darf die Software nicht (komplett) speichern. Zumindest das Passwort müsste vom Benutzer bei jedem Verbindungsaufbau neu eingegeben werden. Das Passwort dürfte nicht auf andere Weise als die Eingabe über die Tastatur an das Programm übermittelt werden können (etwa als Parameter beim Aufruf oder über eine Steuerdatei).

  5. Die Zugangsdaten müssen per E-Mail an den Kunden übermittelt werden. Denkbar wäre die Einschränkung, nur E-Mail-Adressen im Namensraum .de zuzulassen, um den Zugriff der Strafverfolger auf Kriminelle, die irgendwie versuchen, das System auszutricksen, zu erleichtern.

für die Diensteanbieter

Für die Anbieter von Datenzugängen über "premium rate"-Nummern müssten ebenfalls Vorschriften erlassen werden, um keine Lücken im System zu lassen, die leicht von Kriminellen ausgenutzt werden könnten:

  1. Der Zugang zu einem Dienst darf nur gewährt werden, falls der Einwählende sich authentifiziert.

  2. Optimal wäre die Festlegung einer "Login-Zeit" von ein paar Sekunden, während der die Verbindung kostenlos oder aber normal tarifiert ist. Dies stellte allerdings einen erheblichen, wenn auch wünschenswerten Eingriff in die Abrechnungs-Infrastruktur dar.

  3. Der "letzte Deutsche" in der Kette der Weitervermieter haftet für diese technischen Maßnahmen. Hier ist natürlich mit Widerstand zu rechnen. Es ist aber nicht einzusehen, warum Firmen in einem hoch kriminellen Milleu ohne jede Aufwendungen zum Schutz der Verbraucher, wie die anderswo selbstverständlich sind, verdienen dürften. Wer meint, mit zweielichtigen Leuten Geschäfte machen zu müssen, soll auch das Risiko tragen, nicht der ehrliche Verbraucher.

Bewertung

technische Verbesserungen

In der aufgezeigten Konstallation, die für die Betroffenen technisch ausgesprochen leicht umsetzbar wäre, bestünde keine technische Möglichkeit mehr, durch den heute üblichen Missbrauch wirtschaftliche Vorteile zu erlangen, ohne sich bereits im Ansatz strafbar zu machen. Es wäre zwecklos, eine legale Software irgendwie auf den Rechner eines Nichtsahnenden zu schmuggeln, da diese keinen Schaden mehr zugunsten des Kriminellen anrichten könnte.

Auch ausländische Dialer, gegen die nicht leicht vorgegangen werden kann, wäreb vergleichsweise harmlos, da sie nur noch sher kurzzeitige Verbindungen aufbauen könnten. Die Festlegung einer Maximalzeit, innerhalb der die Authentifizierung entweder erfolgreich abgeschlossen oder die Verbindung seitens des Dienstanbieters abgebrochen worden sein muss, und einer etwas größeren Zeitspanne, innerhalb derer die Verbindung noch nicht als "premium rate" tarifiert sein darf (was auch den bei Gesprächen vorgeschriebenen ansagetexten sehr entgegenkäme), wäre sehr vorteilhaft, weil dann auch nicht mehr mit massenhaften Verbindungsaufbauten entsprechend kurzer Verbindungen (bis zum Misserfolg der Authentifizierung) aber demselben finanziellen Ergebnis "gearbeitet" werden könnte.

rechtliche Verbesserungen

Ein Missbrauch, der sich nicht verhindern ließe, wäre die (vordergründig sinnlose) Anwahl von Gesprächsnummern mit "premium rate"-Tarifen. Dies würde ja genauso abgerechnet und einem illegalen Programm oder der "Dame am Telefon" (und erst recht dem Tonband) vorzuschreiben, dass es innerhalb einer auch hier eingeführten kostenlosen Anfangsphase aufzulegen habe, erscheint zwecklos. Auch wenn dies in den meisten Fällen so geschähe, wäre ein wirtschaftlicher Schaden durch massenhafte Anrufe denkbar.

Der Fortschritt läge hier darin, dass bereits das In-Umlauf-Bringen einer derartigen Software als Straftat anzusehen wäre, da diese ausschließlich zu kriminellen Zwecken eingesetzt werden könnte. Die ernüchternden Erfahrungen der Praxis einmal ausgeblendet, könnte man davon ausgehen, dass die Strafverfolger in solchen Fällen wesentlich bessere Karten hätten.

Aufwand-Nutzen-Verhältnis

Das eigentlich Schöne an diesem Konzept ist, dass nur die (unbewiesenen) Kriminellen einen Mehraufwand haben. Die übrigen Nutzer dieses Abrechnungsverfahrens wären nicht betroffen. Zu denken ist dabei etwa an die Anbieter von Klingeltönen usw., die an Mobiltelefone geschickt werden. Diese Firmen hätten lediglich sicherzustellen, dass die Anrufe aus einem Funknetz kommen: Mobiltelefone lassen sich (in der Praxis) nicht in der fraglichen Weise missbrauchen, jedenfalls heute noch nicht. Der Widerstand der Profiteure von in der Masse kriminellen Machenschaften sollte politisch überwindbar sein. Da die Maßnahme derart eng wäre, dürften sich die nicht direkt davon betroffenen Funktionäre mit Einwänden zurückhalten, wollen sie nicht riskieren, zu den Fürsprechern von Kriminellen abgestempelt zu werden.

Grenzen des Machbaren

Natürlich ist mit "Gegenmaßnahmen" zu rechnen. Ob diese in releventem Maße kommen (überhaupt möglich sind) und wie genau sie aussehen, weiß man natürlich immer erst hinterher.

Vorstellbar erscheint die Konstellation, dass ausländische Firmen Software für ausländische Telefonnummern anbieten. Dagegen wäre das Konzept machtlos. Hier wären weitergehende Maßnahmen erforderlich:

  1. Ausweitung der entsprechenden Vorschriften auf die restliche EU (das Problem betrifft sicher nicht nur Deutschland)

  2. Sperrung ausländischer "premium rate"-Nummern für die Anwahl von Deutschland aus (falls dies heute überhaupt möglich ist). Opt-in-Verfahren lassen sich immer leicht einrichten. Hier stünde ein irrelevanter Mehraufwand einer verschwindend geringen Minderheit legitimer Interessenten dem Schutzbedürfnis einer großen Menge an Menschen gegenüber.

  3. Sperrung der Anwählbarkeit bestimmter Staaten ohne Freischaltung. Das Anrufen normaler ausländischer Nummern schadet zwar dem Betroffenen, nützt aber dem Kriminellen nicht. Es gibt aber Telefongesellschaften im Ausland, die mit zwielichtigen Gestalten Geschäfte der Art machen, dass der Anschlussbesitzer einen Teil der horrenden Auslandsgebühren erhält. Staaten, in denen dies nicht verboten ist, könnten standardmäßig für die anwahl aus Deutschland gesperrt werden, falls das Problem in diese Richtung eskalieren sollte.

  4. Die Politik müsste sich endlich aufraffen, das Problem an der Wurzel zu packen und gegen die SPAM-Exzesse und Microsoft-Monokultur vorgehen. Die Rücksichtnahme auf Lobbyisten zum Schaden aller ist stellenweise unerträglich.