heise Video
Mein heise Video heise Video mobile Website heise Video Newsletter heise Video RSS-Feeds

Völlig anonym: Terrorisieren - verunglimpfen - mobben - Anderen zu schaden ist leichter als man glauben mag

Video merken

Der Gesetzgeber hat klar geregelt, dass Mobilfunkanbieter genau erfassen müssen, wem sie eine SIM-Karte aushändigen. Supermarktketten und Elektronikmärkte sparen sich aber die aufwendige und teure Prüfung der persönlichen Daten. Unter falschem Namen lassen sich SIM-Karten von Mediamarkt, Saturn, Aldi, Netto Marken-Discount, Penny, Lidl und REWE per Internet oder telefonisch freischalten. Die Discounter leisten damit Straftaten wie dem Identitätsdiebstahl Vorschub.

Wer eine SIM-Karte kauft, muss sich namentlich registrieren. Üblicherweise ist dazu die Vorlage eines Ausweises erforderlich, selbst für Prepaid-Verträge. Die Firmen machen das nicht freiwillig, denn die manuelle Erfassung und Prüfung ist zeitaufwendig und damit teuer. Die gesetzliche Regelung findet sich in § 111 Telekommunikationsgesetz (TKG). Auf diese Daten können Ermittlungsbehörden unter bestimmten Umständen zugreifen, um Straftaten aufzuklären.

Die Lebensmittel-Discounter verkaufen auch SIM-Karten – und schlampen bei der vorgeschriebenen Identitätsprüfung des Kunden. In einer inzwischen zwei Jahre alten Mitteilung klagt die Bundesnetzagentur über Nachlässigkeiten: Zunehmende Beschwerden der Strafverfolgungs- und Sicherheitsbehörden seien Anlass, die Verpflichtung zum Erheben und Speichern von Daten bei Prepaid-Produkten „zu erläutern“: Die Erhebung richtiger Daten sei sicherzustellen. Die Praxis, auch erfundene, gestohlene oder veränderte falsche Daten zu erheben, sei „nicht duldbar“. Auch vor dem Hintergrund chancengleichen Wettbewerbs „erscheint es nicht hinnehmbar, dass sich einige Unternehmen den zur Gewährleistung richtiger Daten notwendigen Aufwand sparen.“

Der Hinweis lässt keine Fragen offen, die Adressaten haben ihn aber offenbar vollkommen ignoriert, wie wir diversen Foren im Internet entnahmen, wo Tipps für den Erwerb anonym oder falsch registrierter Prepaid-SIM-Karten ausgetauscht werden. Wir probierten das praktisch aus und gingen auf Einkaufstour. Gleich unser erster Versuch bei Aldi Nord war erfolgreich: Eine per Barzahlung, also anonym, erworbene SIM-Karte der Aldi Talk für das E-Plus-Netz schalteten wir per Internet-Registrierung auf Kato vom Wachhög frei, einen dreijährigen Deutschen Pinscher, den wir indes für die Anmeldung ein wenig älter machten, um die Altersbeschränkung auf 16 Jahre auszutricksen. Um nicht aufzufallen, verwendeten wir für diesen ersten Versuch den existierenden Nachnamen Mansmann.

Aldi Talk monierte im ersten Anlauf die angegebene Adresse in einem Neubauviertel als ungültig, obwohl Kato dort bereits seit 2006 wohnt. Eine falsche, dem System aber offenbar bekannte Adresse nahm es danach ohne Murren an und registrierte den Vierbeiner als Karteninhaber. Geprüft wird offenbar nur, ob die Adresse existiert; eine Gegenprüfung der nicht vorhandenen Kombination aus Vor- und Nachnamen mit einem beliebigen Geburtsdatum erfolgt aber offensichtlich nicht. Die fehlende Erkennung einer eigentlich korrekten Adresse verleitet ehrliche Kunden sogar noch dazu, eine gefälschte einzugeben, um die Registrierung erfolgreich abzuschließen.

Als nächstes verlangten wir in einer Lidl-Filiale an der Kasse eine Fonic-Karte. Die Verkäuferin setzte einen Azubi in Marsch, der die zwar vorrätige, aber offenbar selten verlangte SIM-Karte binnen Minuten herbeibrachte. Wir bezahlten bar und verließen das Geschäft, ohne irgendwelche Daten anzugeben. Anschließend aktivierten wir die Karte im Internet – diesmal auf den kompletten Hundenamen inklusive einer nicht existierenden Anschrift. Zwar verlangt Fonic bei Online-Bestellungen zwecks Bezahlung die Angabe eines Bankkontos, das auf den Kunden lautet, was die Hürde für Falschregistrierer erheblich hoch setzt, verzichtet darauf aber, wenn die Karte bereits bezahlt ist. Pinscher Kato hatte damit schon die zweite Mobilfunkkarte.

Nun probierten wir es bei REWE. Dort gibt es Prepaid-Karten von Jamobil. Diese werden über den Provider Simply im T-Mobile-Netz geschaltet. Auch hier musste die SIM-Karte erst aus dem Lager beschafft werden. Die Verkäuferin überlegte noch kurz, ob sie nun Daten erheben müsse, händigte uns dann das Paket aber ohne jede Prüfung der Personalien und gegen Barzahlung aus. Anschließend aktivierten wir die Karte im Internet, wiederum auf Kato vom Wachhög und wieder auf eine nicht existente Adresse. Zwar fordert Simply auf, die Daten wie im Personalausweis aufgeführt einzutragen, nimmt aber offenbar auch gerne kreativ veränderte Daten aus EU-Heimtierausweisen entgegen. Hunde-Karte Nummer drei.

Anschließend war Netto Marken-Discount an der Reihe. Die NettoKOM-Karten gab es im Markt in Hannover-Nord nicht an der Kasse, sondern an einem eigenen Aufsteller. Dabei hat sich Netto einen cleveren Diebstahlschutz einfallen lassen: Zur Freischaltung der Karte ist ein Code nötig, der sich auf dem Kassenzettel befindet. Die Bezahlung stellt Netto damit sicher; persönliche Daten mussten wir indes nicht angeben. Diesmal verpassten wir Kato bei der Internetregistrierung einen Doktortitel und gaben an, dass er in der Phantasiestraße in Musterstadt wohne. Das war zu viel des Guten, denn offenbar werden Straßennamen, Postleitzahl und Wohnort bei der Eingabe geprüft. Eine nicht existierende Hausnummer einer ansonsten plausiblen Adresse erkennt das System von Blau Mobilfunk jedoch nicht als fehlerhaft. SIM-Karte Nummer vier für Kato war nach wenigen Minuten freigeschaltet.

Bei einer Penny-Filiale kauften wir eine weitere SIM-Karte. Hier mussten wir wieder einige Minuten warten, bis eine Kassiererin eine Penny-Mobil-Karte aus dem Lager aufgetrieben hatte. Auch hier verlief die Registrierung über Simply problemlos. Diesmal verwendeten wir zur Abwechslung eine nicht existierende Adresse in Berlin, die Freischaltung erfolgte umgehend. Anonyme SIM-Karte Nummer fünf für den Hund.

Professor aus der Antarktis

Der Elektronikmarkt Saturn verkauft Klarmobil-Karten, gegen Barzahlung und ohne Vorlage eines Ausweises. Auf eine Beratung des Verkäufers mussten wir allerdings ein wenig warten: Dieser war lange Minuten damit beschäftigt, die Daten einer Kundin für einen Postpaid-Mobilfunkvertrag zu erfassen. Anders als die Lebensmittel-Discounter haben die Elektronikmärkte die Infrastruktur, um Kundendaten aufzunehmen. Die Frage, ob wir die Karte registrieren lassen müssten, verneinte der Verkäufer: „Das können Sie ganz bequem zu Hause im Internet machen“.

Bei Klarmobil ist die Hürde für die Freischaltung im Internet scheinbar ein wenig höher: Das Unternehmen verlangt die Eingabe einer Ausweisnummer. Wir verpassten Kato diesmal einen Professorentitel und gaben in einer existierenden Straße eine vierstellige Hausnummer an. Freundlicherweise stellte uns das System nach Eingabe der Postleitzahl gleich eine gültige Auswahl an Straßennamen zur Verfügung, was ein wenig Recherche spart. Als Nationalität von Kato gaben wir „Antarctica“ an, die geforderte zehnstellige Ausweisnummer tippten wir nach Gutdünken als zufällige Ziffernfolge ein – und erhielten trotz der vielen Ungereimtheiten bei den Anmeldedaten prompt eine Freischaltung für die SIM-Karte Nummer sechs.

Beim Mediamarkt ist die Auswahl an Prepaid-Produkten größer als beim Konkurrenten Saturn. Wir versuchten nun unser Glück mit einem Mobilcom-Debitel-CallYa-Paket, denn einen Vertrag im Vodafone-Netz hatten wir bislang nicht anonym erstehen können. Die Kassiererin an der Kasse war zunächst unsicher, ob hier eine Freischaltung erforderlich sei, händigte uns das Paket aber dann ohne Erfassung von Daten aus. Offenbar hatte sie aber falsch entschieden, unser Versuch einer Internetregistrierung schlug nämlich fehl. Mobilkom-Debitel verlangt ein ausgefülltes und unterschriebenes Formular inklusive Ausweiskopie per Post oder Fax, das auf der Internetseite obendrein schwer zu finden ist. Da der Provider solche Anträge offenbar manuell prüft, starteten wir erst gar keinen Versuch mit dem EU-Heimtierausweis. Aber auch bei Mediamarkt sind Produkte im Angebot, bei denen nach unseren Recherchen keine Überprüfung der Daten bei Freischaltung erfolgt, etwa die Klarmobil-Pakete.

Anschließend machten wir die Gegenprobe. Wir suchten in der Innenstadt von Hannover zahlreiche dort rund um den Kröpcke ansässige Ladengeschäfte der Mobilfunkfirmen auf und versuchten, dort eine Prepaid-Karte ohne Angabe von persönlichen Daten zu erstehen und freischalten zu lassen. Bei E-Plus, T-Mobile, O2, Vodafone und Mobilkom-Debitel mussten wir den Laden wieder mit leeren Händen verlassen. Ohne Vorlage eines Ausweises gibt es dort keine SIM-Karte.

Alles Bitten und Betteln half nicht. „Kommen Sie doch einfach mit Ihrem Ausweis wieder“, riet uns der Mitarbeiter bei O2. Im Mobilcom-Debitel-Shop am Hauptbahnhof direkt neben Saturn griff auch das Argument nicht, dass es eine Tür weiter doch SIM-Karten ohne Vorlage eines Ausweises gebe. „Wenn ich so was mache, stehe ich mit einem Bein im Gefängnis“, fürchtete der junge Verkäufer. Im Vodafone-Shop in der Niki-de-Saint-Phalle-Promenade erklärte man uns, dass man die Karte nur ausbuchen könne, wenn man gültige Daten ins System eingebe. Ein Verkauf ohne solche sei deshalb nicht möglich. Nicht jeder Prepaid-Anbieter schlampt also bei der Datenerhebung, sondern vor allem die Discounter, die sich damit einen nicht unerheblichen Wettbewerbsvorteil verschaffen. Eine Identitätsprüfung bei DHL durch den Zusteller beispielsweise kostet über 7 Euro, stellt aber durch eine Ausweisprüfung sicher, dass korrekte Daten erfasst werden.

Erhebliche Gefahren

Der laxe Umgang mit der Erfassung bei den Discountern birgt ein erhebliches Risiko für Unbeteiligte: Registriert jemand eine SIM-Karte nicht auf einen Phantasienamen, sondern den einer realen Person mit korrekter Adresse und fällt der Mobilfunkanschluss im Rahmen einer Straftat auf, gerät diese erst einmal unter dringenden Tatverdacht. Denn Ermittlungsbehörden gehen davon aus, dass die Datenerfassung sorgfältig erfolgt, wie es das Gesetz vorschreibt. Ein erfahrener Ermittler der Kriminalpolizei bestätigte uns: „Wenn die erfassten Daten plausibel sind, erhalte ich auf dieser Grundlage auch einen Hausdurchsuchungsbeschluss, wenn es um entsprechend schwere Straftaten geht.“ Solche anonymen SIM-Karten ermöglichen auch den Zugriff aufs Internet – und bieten damit zusätzliche Möglichkeiten für illegale Machenschaften.

Zwar ist es kein Geheimnis, dass sich auf Trödelmärkten auch auf Strohmänner registrierte Prepaid-SIM-Karten erstehen lassen – es macht aber einen gewaltigen Unterschied, ob der Betroffene eine Registrierung unter Vorlage seines Ausweises vornimmt und anschließend die Karte leichtfertig aus der Hand gibt oder ob er niemals einer Registrierung zugestimmt hat und gar nichts davon weiß.

Andernorts herrscht in Deutschland lückenlose Überwachung: Festnetzanschlüsse fürs Internet und das Telefonnetz werden ausnahmslos mit korrekten Daten erfasst, penibel werden Inhaber- und Nutzungsdaten festgehalten, schon alleine deswegen, weil es hier keine Prepaid-Produkte gibt und die Anbieter ihr Geld sehen wollen. Auch einen Handy-Postpaid-Vertrag erhält man nur nach sorgfältiger Prüfung der persönlichen Daten, denn sonst blieben die Anbieter auf ihrer Rechnung womöglich am Ende sitzen. Bei den Einzelhandels-Discountern klafft hingegen eine Sicherheitslücke, groß wie ein Scheunentor. Wer sich Kinderpornos, Bombenbauanleitungen oder Raubkopien aus dem Internet beschaffen will, kann das dank der Discounter diskret und anonym per UMTS erledigen. Eventuelle Ermittlungen verlaufen im Sande oder treffen – noch schlimmer – den Falschen.

Viele Falschregistrierer haben indes nichts Böses im Sinn, sondern wollen lediglich der zunehmenden Speicher- und Überwachungswut des Staates entgehen und beim Telefonieren und Surfen ihre Privatsphäre nicht aufgeben. Eine derart auf dem silbernen Tablett dargebotene Gelegenheit nehmen sie gerne wahr und verhindern damit die Erfassung ihrer persönlichen Daten. Journalisten etwa können so trotz Vorratsdatenspeicherung den Informantenschutz sicherstellen, da Anrufe auf eine anonym registrierte Rufnummer niemandem zugeordnet werden können.

Reaktionen

Wir konfrontierten die betroffenen Mobilfunk-Provider mit unseren Rechercheergebnissen und baten sie um eine Stellungnahme. Klarmobil fand an der jetzigen Praxis nichts auszusetzen. Pressesprecherin Stefanie Polster erklärte, das Unternehmen komme seinen Pflichten nach, indem man die geforderten Daten abfrage und auch speichere. Laut § 111 TKG sei man nicht verpflichtet, „die Richtigkeit der Daten zu überprüfen“. Man werde intern mit den Datenschutzbeauftragten diskutieren „ob wir zukünftig die Personalausweisnummer als zusätzliche Plausibilitätsprüfung der Daten zwingend verlangen“ werden. Kunden von Klarmobil hätten keinerlei Nachteil oder Schaden aus der jetzigen Praxis zu erwarten.

Fonic führt ebenfalls an, dass es keine gesetzliche Verpflichtung gebe, sich den Ausweis vorlegen zu lassen. Dennoch nehme man Plausibilitätskontrollen vor, indem man die Angaben des Kunden mit verschiedenen Datenquellen abgleiche. Stelle sich dabei oder zu einem späteren Zeitpunkt heraus, dass falsche Daten vorliegen, werde die Karte gesperrt, wenn die Berichtigung nicht innerhalb von drei Tagen erfolge.

Auch der E-Plus-Pressesprecher Klaus Schulze-Löwenberg widerspricht für Aldi Talk und NettoKOM dem amtlichen Vorwurf, das Registrierungsverfahren ohne Identitätsprüfung verstoße gegen § 111 TKG. Alle dort geforderten Daten würden „zutreffend bereits bei der Registrierung erhoben und wie vorgeschrieben gespeichert“. Man habe die Registrierung „im Sinne des Kunden so komfortabel und einfach wie möglich“ gehalten. Die Schilderung von c’t, dass es problemlos möglich war, eine Karte auf einen falschen Namen zu registrieren, „ist natürlich nichts, was wir auf die leichte Schulter nehmen“. Der Registrierungsvorgang werde kontinuierlich weiterentwickelt und optimiert. Er möchte indes nicht offen legen, wie E-Plus die Registrierungen prüft, denn das würde die Verhinderung des Missbrauchs erschweren. Die Abläufe gingen jedoch deutlich über eine rudimentäre Prüfung hinaus und seien sehr zuverlässig, versichert Schulze-Löwenberg.

Keine Stellungnahme erhielten wir von Simply; das Unternehmen vertreibt Produkte unter den Markennamen Penny Mobil und Jamobil.

Viele Karten falsch erfasst

Die anonyme Freischaltung von SIM-Karten ist schon seit Jahren möglich. Möglicherweise sind bereits Hunderttausende oder gar Millionen von Prepaid-SIMKarten mit falschen oder obsoleten Daten erfasst, verlässliche oder gar offizielle Zahlen darüber gibt es naturgemäß aber nicht. Wenn davon wirklich eine konkrete Gefahr für die innere Sicherheit ausginge, stünde es damit hierzulande nicht zum Besten.

Dieser Geist ist nur schwer wieder in die Flasche zu bekommen. Wie das gehen kann, hat O2 mit dem Prepaid-Produkt LOOP vor einigen Jahren vorexerziert: Die Inhaber nicht korrekt registrierter SIM-Karten bekamen eine SMS mit der Aufforderung, die Karten innerhalb von zwei Wochen unter Vorlage eines Ausweises nachzuregistrieren. Erfolge das nicht, werde die Karte gesperrt. Auf Anfrage erhielten Betroffene die Auskunft, die Bundesnetzagentur habe auf dieser Nacherfassung bestanden.

Wenn die Behörde gegenüber den Discountern konsequent ist, werden dort Sonderschichten fällig. Ob sie allerdings gegen die Einzelhandelsketten und deren Mobilfunkpartner wirklich die Daumenschrauben anzieht und eine schmerzhaft teure Nachregistrierung für alle bisher offensichtlich ohne jeden Nachweis verkauften Mobilfunkkarten anordnet, ist in Anbetracht des damit verbundenen Aufwands sehr fraglich. Ein Druckmittel hätte die Behörde: Der angedrohte Bußgeldrahmen für einen Verstoß gegen § 111 TKG reicht bis 300 000 Euro. Ist der wirtschaftliche Vorteil, den der Anbieter daraus gezogen hat, größer, kann die Buße noch höher ausfallen.

Falls das Verhalten der Prepaid-Anbieter folgenlos bleibt, ist das Wasser auf die Mühlen der Kritiker an der gängigen Speicherpraxis: Wenn ein derartiges Loch im Deich klafft, ist das Aufschichten von zusätzlichen Sandsäcken andernorts sinnlos. Und selbst wenn dieses Schlupfloch geschlossen wird, bleibt für Kriminelle, Terroristen und gesetzestreue Bürger, die Wert auf anonyme Kommunikation legen, immer noch der Kartenhandel über die Trödelmärkte, der Einsatz ausländischer Karten, der Besuch im Internetcafé, die Nutzung eines ungesicherten WLAN, ein Hotspot mit anonymer Guthabenkarte oder die gute alte Telefonzelle.

Den Aufwand, jede SIM-Karte mit immensem Aufwand zu registrieren, könnte man sich angesichts dieser Lücken im Überwachungsnetz eigentlich von vornherein sparen. Das wäre auch für die Bürger von Vorteil: Wäre jedem Beteiligten klar, dass die Angabe von Daten bei der Registrierung freiwillig ist und dass diese Daten deshalb möglicherweise unrichtig sind, gerieten Unbeteiligte im Rahmen von Ermittlungen nicht so leicht unter dringenden Verdacht. (Urs Mansmann) / (gs)

Mehr zu:

Im Themenforum Vorsicht, Kunde! diskutieren.

mehr ausklappen weniger einklappen

Videos dieser Serie (5)

  • Völlig anonym: Terrorisieren - verunglimpfen - mobben - Anderen zu schaden ist leichter als man glauben mag

    Den ungeliebten Nachbarn zum Terroristen erklären, die Polizei in Atem halten, groben Unfug anstellen - all das ist leichter als man denkt. Eine schon fast fahrlässige Lücke ermöglicht das jedermann,...

  • Probleme mit der Technik? - Schnurer hilft! - Qualifizierter Sendebereicht

    Was tun, wenn der Drucker nicht mehr drucken will und der Computer streikt? Dann ist guter Rat teuer und stundenlange Reparaturversuche zermürben den Benutzer.Schafft es Ihre Anfrage in die Sendung,...

  • Scharfe Skispringer, brillante Biathleten - Das hochaufgelöste Fernsehen ist am Start

    Nach jahrelangen Vorbereitungen ist es soweit: Pünktlich zum Start der Olympischen Spiele in Vancouver starten ARD und ZDF ihr HDTV-Programm. Die Zuschauer können ab sofort also ihr Fernsehprogramm...

  • Was ist eigentlich? - Das c’t magazin Computer ABC - Multi-Touch

    Was gibt es auf einer LAN-Party so für Musik zu hören und wie viel "Shared Memory" kann ich mir leisten? Ist ein Cookie auf dem Rechner eine sinnvolle Einrichtung, und was ist eigentlich ein Cokkie?...

  • Die größte Datenkrake der Welt - Was weiß Google über jeden von uns?

    Die meisten kennen und nutzen Google als Suchmaschine im Internet. Das allerdings ist nur ein kleiner Teil des Betätigungsfeldes des Konzerns. Denn Google bietet auch eine Vielzahl personalisierter...

Anzeige

Das war c't TV – das komplette Archiv