c't 26/2016
S. 42
News
Internet

Studie zu WAP-Billing-Betrug: Jeder achte Handynutzer ist Opfer

Laut einer neuen Verbraucherbefragung sind 13 Prozent der Mobilfunkkunden bereits Opfer vom sogenannten WAP-Billing geworden. Wie man sich davor schützt, wussten viele der Befragten nicht.

Mobilfunkkunden werden immer wieder Opfer von Abrechnungsbetrug mit dem sogenannten WAP-Billing: Jeder achte war bereits einmal von unzulässigen Abbuchungen betroffen. Das hat die erste systematische Abschätzung zu dem Thema ergeben, die das Bundesjustizministerium für Justiz und für Verbraucherschutz beim Meinungsforschungsinstitut YouGov in Auftrag gegeben hat. Beim WAP-Billing ermitteln Website-Betreiber (Drittanbieter) die Mobilfunknummer jedes Seitenbesuchers über die veraltete WAP-Technologie, die ursprünglich etwa zur Abrechnung von Seitenabrufen diente. Der Netzbetreiber schickt daraufhin die MSISDN des Besuchers an den Drittanbieter, der dann betrügerische Summen über die Mobilfunkrechnung abrechnet. Das Geld leitet der Telefonanbieter an den Betrüger weiter.

Für die Studie sind im August 2016 mehr als 2000 Deutsche online repräsentativ befragt worden. Jeder zweite von ihnen war sich nicht bewusst, dass fremde Firmen direkt über die Mobilfunkrechnung Zahlungen einziehen können, auch ohne dass sie diesen zuvor explizit Abrechnungsdaten übermittelt hatten. Den Betroffenen, denen Kosten für nicht bestellte Leistungen entstanden sind, war zumeist nicht ersichtlich, für welche konkrete Leistung sie bezahlen sollten. Häufig behaupteten Drittanbieter, es sei ein Abo abgeschlossen worden.

Vorwiegend sind Männer zwischen 18 und 44 Jahren betroffen, so die Studie. Diese seien oft Vielnutzer von Telekommunikationsleistungen, nutzten technische Geräte umfassender als der Bevölkerungsschnitt – wiesen aber die gleichen Wissenslücken auf. Vielen Befragten war beispielsweise nicht klar, dass man bei seinem Mobilfunkanbieter eine dauerhafte Sperrung solcher Zahlungsforderungen verlangen kann (Drittanbietersperre).

YouGov fragte auch, wie die Mobilfunkanbieter mit dem Problem umgehen. Zitat aus der Auswertung: „Es fällt zwar auf, dass im Verhältnis zum Marktanteil überproportional viele Fälle bei Vodafone vorkommen. Dies liegt jedoch daran, dass Vielnutzer – die auch häufiger betroffen sind – Vodafone als Anbieter stärker präferieren als andere.“ O2 erstatte laut Befragung „deutlich häufiger als andere den vollen Betrag“ und liefere den Kunden Unterstützung. Abschließend urteilt YouGov, dass es Handlungsbedarf hinsichtlich WAP-Billings gebe. Das Problem habe ein Ausmaß erreicht, das sich „ohne kontrollierende Eingriffe noch deutlich vergrößern wird“. (Kai Rüsberg/dbe@ct.de)

Rechtliches zur Daten-Treuhänderschaft

Microsofts Cloud-Plattform Azure Deutschland wird exklusiv auf deutschen Rechenzentren gehostet und ausschließlich durch Mitarbeiter von T-Systems betreut. Um das zu regeln, wird der normale Nutzungsvertrag des Kunden mit Microsoft um eine Zusatzvereinbarung zur Datentreuhänderschaft durch T-Systems ergänzt.

Letztendlich soll dieser Treuhandvertrag die gehosteten Kundendaten vor dem Zugriff durch US-Behörden schützen. Wir befragten dazu Datenschutz-Experten, darunter Stephan Hansen-Oest, Fachanwalt für IT-Recht und anerkannter Sachverständiger für IT-Produkte seitens des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD). Nach Auffassung dieser Fachleute erfüllt der Vertrag sein Ziel, auch wenn er bislang für keinerlei Datenschutz-Gütesiegel zertifiziert ist. Trotzdem gibt es ein datenschutzrechtliches Problem, erklärt Hansen-Oest: „Der Treuhänder hat Zugriffsrechte auf die Daten der deutschen Online-Dienste von Microsoft, also auf personenbezogene Daten. Deshalb ist nach § 11 Abs. 5 BDSG ein Auftragsdatenverarbeitungsvertrag abzuschließen. Der Treuhandvertrag greift zwar die entsprechenden Begriffe auf, genügt aber nicht ganz den Anforderungen des deutschen Rechts zur Auftragsdatenverarbeitung. So fehlt eine Konkretisierung der von der Verarbeitung Betroffenen. Das ist im vorliegenden Fall zwar nachvollziehbar, weil diese Konkretisierung bei zig Excel-Dateien kaum möglich ist. Allerdings hätte dieses Thema wenigstens aufgegriffen werden müssen.

Außerdem müssten die technischen und organisatorischen Maßnahmen zur Datensicherheit aufgeführt werden, die sogenannten acht Gebote im Sinne der Anlage zu § 9 Satz 1 BDSG. Hier verweist der Vertrag nur auf Microsofts Datensicherheitsmaßnahmen. Das ist zu wenig. Hieraus müsste zum Beispiel hervorgehen, welche Maßnahmen der Zugangskontrolle T-Systems im Hinblick auf die Zugangsdaten der Kunden zu ihren Online-Diensten getroffen hat.

Es wäre gar nicht schwer gewesen, aus der Treuhändervereinbarung einen ‚runden’ Vertrag zu machen, der auch den Anforderungen an eine Auftragsdatenverarbeitung nach deutschem Recht genügt. In der aktuellen Fassung müsste der Kunde aber ergänzend einen Auftragsdatenverarbeitungsvertrag mit T-Systems schließen. Fraglich ist, ob Kunden dies tun werden und ob T-Systems in der Masse dazu bereit ist.“ (hps@ct.de)

Kommentieren