Wie kann eine Behörde auf ein Handy zugreifen? Eine Methode soll der Bundestrojaner, eine staatliche Überwachungssoftware, ab 2020 bieten. Schon jetzt wollte die Staatsanwaltschaft eine weitere etablieren: das sogenannte SIM-Swapping, bei dem eine SIM-Karte dupliziert wird. Sie ist aber vor dem Oberlandesgericht Wien (OLG Wien) abgeblitzt.

Ein solcher Zugang würde einen massiven Eingriff in die digitale Identität bedeuten: Beim Onlinebanking etwa wird die Transaktionsnummer zumeist per SMS versandt. Viele User verwenden eine Zwei-Faktor-Authentifizierung, um sich bei unterschiedlichsten Diensten einzuloggen, einen zweiten Schritt zum Log-in neben dem Passwort. Verlieren Nutzer den Zugang zu Accounts, zum Beispiel bei sozialen Medien oder E-Mail-Diensten, ist oft die Handynummer als Notfallmethode zur Rücksetzung angegeben. Und viele Messengerdienste wie Whatsapp können aufgerufen werden, ohne dass man sich neben der Handynummer weiter verifizieren muss. Das heißt: Wer Ihre Telefonnummer hat, kann in Ihrem Namen mit allen Kontakten kommunizieren. Und wenn man Backups bei Whatsapp aktiviert hat, könnten sämtliche alte Chats ausspioniert werden.

SIM-Karte portieren

Genau ein solcher Zugriff wird durch sogenanntes SIM-Swapping gewährt – ohne dass der jeweilige Angreifer die SIM-Karte physisch entwenden und PIN beziehungsweise PUK herausfinden muss. Entscheidend dafür ist der jeweilige Mobilfunker: Dieser kann nämlich die Telefonnummer einfach auf eine neue SIM-Karte portieren. In den meisten Fällen bieten Telekomanbieter das für jene Nutzer an, die ein verlorenes oder gestohlenes Gerät melden.

Auch Österreichs Behörden wollten die Methode anwenden. Laut Informationen, die dem STANDARD vorliegen, hatte die Staatsanwaltschaft die Bewilligung einer Anordnung an einen Mobilfunker erbeten. Sie wollte eine Auskunft verlangen sowie sämtliche Nachrichten für einen bestimmten Zeitraum überwachen – auch jene, die in einem Messengerdienst verfasst werden.

Da der Verdächtige zudem seine SIM-Karte zerstört hatte, wurde ein Umweg gesucht, um auf jene Daten zugreifen zu können, die sich auf dem Smartphone befanden. Daher wurde der Telekomanbieter dazu aufgefordert, die SIM-Karte zu duplizieren. Dieser beschwerte sich daraufhin vor Gericht – und bekam recht. Dennoch musste der Telekomanbieter der Aufforderung Folge leisten, da die Beschwerde keine aufschiebende Wirkung hatte.

Keine rechtliche Grundlage

Laut OLG Wien würde keine der gesetzlichen Grundlagen, auf die sich die Staatsanwaltschaft stützen wollte, eine Anordnung zur Duplizierung einer SIM-Karte ermöglichen. Zudem könnten Telekomanbieter nicht dazu verpflichtet werden, Zugriff auf Daten eines Drittanbieters – wie einem Messenger-Dienst – zu gewähren.

Dazu kommt, dass ein Betreiber zwar zur Überwachung von Nachrichten aufgefordert werden kann, dies aber nicht für vor dem angegebenen Zeitraum versandte Nachrichten gilt. Daher könne die Staatsanwaltschaft entweder durch Sicherstellung des Mobiltelefons oder durch eine Anordnung an den Betreiber des Messenger-Dienstes auf die Daten zugreifen, nicht aber durch SIM-Swapping. Der Beschluss kann nicht angefochten werden, die zuvor eingeholten Daten dürfen nicht weiter verwendet werden.

Maximilian Schubert, Generalsekretär des Providerverbands ISPA, begrüßt die Entscheidung – sie würde zeigen, dass sich Provider für die Privatsphäre ihrer Kunden einsetzen. "Es herrscht hier ganz klar Rechtsunsicherheit, und es bedarf jedenfalls eines breiten Diskurses, wie die bisherigen Ermittlungsbefugnisse unter Wahrung der Verhältnismäßigkeit an die Gegebenheiten des 21. Jahrhundert angepasst werden können", sagt er. In Ländern wie den Niederlanden werde derzeit das Strafprozessrecht überarbeitet, da der Eingriff ins Smartphone unter bestimmten Umständen sogar sensiblere Details offenbare als eine Hausdurchsuchung.

Sicherheitsrechtliche Gefahr

"Die Entscheidung des OLG Wien ist richtig, und es ist wichtig, dass Netzbetreiber sich nicht darauf einlassen, solchen Vorstößen und Befugnisüberschreitungen vonseiten der Staatsanwaltschaft nachzugeben", sagt Angelika Adensamer von der Datenschutz-NGO Epicenter Works.

Rechtsinformatiker Nikolaus Forgó sagt, dass die von der Staatsanwaltschaft genannten Gesetzesparagrafen keine Grundlage bieten würden, um einen Telekomanbieter zu verpflichten, eine Art "Universalschlüssel" zur Verfügung zu stellen, mit dem auch auf Daten eines Drittanbieters zugegriffen werden kann. "Die Verpflichtung zur Herstellung eines solchen wäre nicht nur im Gesetz nicht vorgesehen, sondern in weiterer Folge datenschutzrechtlich – aufgrund einer Datenerhebung ohne gesetzlicher Grundlage – und grundrechtlich fragwürdig", sagt er.

Vor allem gebe es aber auch sicherheitsrechtliche Bedenken, weil eine Funktionalität, die hauptsächlich zum Portieren einer Nummer dienen soll, für einen anderen Zweck, nämlich der Rekonstruktion von Inhalten bei einem fremden Anbieter, genutzt werde. "Das wäre ein weiteres Beispiel staatlichen 'Hackings' mit schwer vorhersehbaren Folgen für die IT-Sicherheitsinfrastruktur der Telekomdiensteanbieter, das nicht auf Zuruf erfolgen sollte", sagt Forgó.

Methode von Cyberkriminellen

SIM-Swapping wird häufig von Kriminellen angewandt, um Daten von Nutzern zu stehlen. Immer wieder gelangen Horrorgeschichten, vor allem aus dem US-amerikanischen Raum, an die Öffentlichkeit. Zuletzt berichtete etwa der "ZDNet"-Journalist Matthew Miller von seinen Erfahrungen: Er war Opfer eines Verbrechers geworden, der sich per Telefon bei T-Mobile US als Miller ausgegeben hatte.

Der Unbekannte konnte den Mitarbeiter des Mobilfunkers davon überzeugen, dass es sich um Miller handle, weswegen die Telefonnummer auf eine andere SIM-Karte transferiert wurde. Durch die Daten und Konten, die er auf diese Weise vereinnahmen konnte, war es für ihn möglich, den Google- und Twitter-Account des Redakteurs zu stehlen und über sein Bankkonto Bitcoins im Wert von 25.000 US-Dollar zu kaufen.

In Österreich wird das Thema bei den Mobilfunkern unterschiedlich gehandhabt, wie Pressesprecher des Unternehmens auf Anfrage sagen. Bei A1 heißt es, dass eine telefonische Beantragung zwar möglich sei, jedoch müsste man das Kundenkennwort angeben. Bei T-Mobile ist es auch so, E-SIM-Karten könnten online aus Sicherheitsgründen gar nicht aktiviert werden. Bei "3" sei der SIM-Swap nur persönlich mit Ausweis im Shop beziehungsweise Fachhandel möglich. Ein telefonischer Tausch sei weder haptisch noch über E-SIM möglich. (Muzayen Al-Youssef, 23.7.2019)