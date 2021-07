Mit digitalen Signaturen kämpfen Netzbetreiber in Kanada und den Vereinigten Staaten gegen Spam-Anrufe mit gefälschten Rufnummern über VoIP-Netze (Voice over IP). Seit Mittwoch müssen alle Telecom-Anbieter in Kanada sowie die größeren Anbieter in den USA dafür das Framework STIR/SHAKEN einsetzen. VoIP-Netzbetreiber in den USA mit weniger als 100.000 Kunden haben noch zwei Jahre Zeit dafür.

STIR steht für Secure Telephony Identity Revisited. Dabei wird beim VoIP-Verbindungsaufbau nach dem Session Initiation Protocol (SIP) ein digitales Zertifikat mitgeschickt. Damit bestätigt der Netzbetreiber, in dessen Netz das Telefonat ausgelöst wurde ("originierender Netzbetreiber"), dass er die angezeigte Rufnummer tatsächlich dem fraglichen Teilnehmer zugeteilt hat. Der terminierende Netzbetreiber kann dann die Echtheit des Zertifikats verifizieren, indem er es mit dem öffentlichen Schlüssel des originierenden Netzbetreiber entschlüsselt.

Schlägt das fehl, kann der Netzbetreiber seinen Kunden warnen oder den Anruf ganz ablehnen. Hunderte Netzbetreiber haben STIR in ihren VoIP-Netzen bereits aktiviert und diesen Umstand in einer Datenbank hinterlegt. Im Herbst wird es ernst: Ab Ende September dürfen US-Netzbetreiber keine VoIP-Anrufe aus Netzen ohne entsprechenden Datenbankeintrag mehr annehmen oder weitervermitteln. Kanadische Netzbetreiber ohne STIR verlieren Ende November sogar ihre Zulassung.

Umsetzung im analogen Netz optional

200 US-Netzbetreiber haben zusätzlich SHAKEN (Signature-based Handling of Asserted information using toKENs) installiert. Das hat die US-Regulierungsbehörde FCC am Donnerstag mitgeteilt. SHAKEN verfolgt den gleichen Zweck wie STIR, aber statt für VoIP-Verbindungen für klassische Telefonnetze, die Telefonate mit SS7 (Signalling System 7) schalten. Eine Pflicht, die Maßnahmen in SS7-Netzen zu ergreifen, besteht in Nordamerika nicht.

Automatisierte Spamanrufe sind in Nordamerika eine Landplage. Dabei sind Robocall-Kampagnen nicht grundsätzlich verboten. Verboten ist allerdings, gefälschte Absenderrufnummern zu übermitteln, sowie Rufnummern anzurufen, die auf "Do Not Call"-Listen stehen. So einen Eintrag muss jeder Rufnummerninhaber allerdings aktiv veranlassen.

Millionenstrafen verhängt

Eine US-weite Kampagne der Behörden hat Telefon-Spam den Kampf angesagt. 2019 haben 45 Behörden rund 90 Verfahren gegen eine Reihe an Unternehmen und Einzelpersonen eingeleitet. Sie haben dieses Jahr zu zwei aufsehenerregenden Geldbußen geführt: Anfang des Jahres hat die FCC über einen Telefonspam-Nazi eine Strafe von fast zehn Millionen US-Dollar verhängt.

Im März folgte die bisherige Rekordstrafe für Spam-Anrufe über 225 Millionen Dollar. In beiden Fällen waren nicht die Anrufe an sich oder deren Inhalt, sondern die Fälschung der Absendernummern der Grund für die Bestrafung. Bei der Rekordstrafe kam erschwerend hinzu, dass die beiden Täter gezielt Nummern von "Do Not Call"-Listen gewählt hatten. Genau bei diesen Angerufenen haben die Spammer nach eigenen Angaben besonders viel Geld durch Verkauf kurzfristiger Krankenversicherungen abgezockt.

(ds)