Noch 2025 soll in Österreich die SMS-Firewall kommen
Die meisten Spam-SMS folgen einem ähnlichen Muster: „Sie haben 1 neue Voicemail“, „Ihr Paket ist angekommen“, „Ihr Zugriff auf Online-Banking endet“ oder „Ihre SIM-Karte wird deaktiviert“, gefolgt von einem Link. Wer unachtsam ist und darauf tippt, landet auf einer Phishing-Website oder installiert im schlimmsten Fall gleich Schadsoftware auf dem Smartphone.
SMS-Spam wie dieser ist nicht nur ärgerlich und potenziell teuer für Nutzerinnen und Nutzer, sondern stört auch die Mobilfunkanbieter. Abhilfe soll eine SMS-Firewall schaffen. Aufgrund der Gesetzeslage lässt sich die aber nicht ohne Weiteres in Österreich umsetzen.
Phishing-Fälle in Österreich
Durch Phishing-Attacken entsteht in Österreich ein enormer Schaden. Laut Bundeskriminalamt (BK) wurden 2023 etwa 11.000 Fälle mit einer Schadenssumme von rund 17 Millionen Euro angezeigt, das umfasst allerdings auch Phishing auf anderen Kanälen wie E-Mail. Die Fallzahlen seien für 2024 zwar rückläufig, gleichzeitig nehme der wirtschaftliche Schaden zu, so ein BK-Sprecher. Zudem gibt es eine Dunkelziffer, weil sich Opfer schämen, in die Falle getappt zu sein und deshalb keine Anzeige erstatten.
Flubot
Vor 4 Jahren geriet der Trojaner Flubot in die Schlagzeilen, weil er sich über befallene Android-Geräte, die den Betrugslink per SMS weiterschickten, rasend schnell selbst vervielfachte. Flubot zielte vor allem darauf ab, Login-Daten von Banking-Apps abzugreifen. Um ihn wieder loszuwerden, muss jedes betroffene Smartphone auf Werkseinstellungen zurückgesetzt werden. Fälle wie dieser waren in einigen europäischen Ländern der Auslöser dafür, dass SMS-Firewalls für alle Provider gefordert wurden.
➤ Mehr lesen: Fake-Paket-SMS: Polizei gelingt Schlag gegen Flubot
Unverschlüsselte SMS vs. Telekommunikationsgesetz
SMS sind im Gegensatz zu Messenger-Nachrichtendiensten wie WhatsApp oder Signal nicht verschlüsselt. Technisch wäre es damit ohne Probleme möglich, sie automatisch zu analysieren und verdächtige Nachrichten herauszufiltern.
➤ Mehr lesen: Bundestrojaner: So funktioniert die Chat-Überwachung
Doch die Inhalte von SMS unterliegen in Österreich dem Telekommunikationsgeheimnis. Das „Mithören, Abhören, Aufzeichnen, Abfangen oder sonstige Überwachen“ ist im Gesetz explizit untersagt. Die Rundfunk und Telekom Regulierungs-GmbH (RTR) schreibt auf futurezone-Anfrage, dass es ihrer unverbindlichen Rechtsansicht nach eine Ausnahme brauche, um SMS durchleuchten zu können.
Laufende Gespräche für baldige Gesetzesänderung
Von der RTR heißt es weiter: „Inwieweit es wünschenswert ist, dass Anbieter von elektronischen Kommunikationsdiensten zur Betrugsbekämpfung in die Inhalte von SMS hineinschauen dürfen, ist somit eine Abwägungsfrage, die in einem entsprechenden Gesetzgebungsprozess geklärt werden müsste.“
RTR und die österreichischen Netzbetreiber führen nach eigenen Angaben aktuell Gespräche, wie das Telekommunikationsgesetz entsprechend novelliert werden könnte. Das soll noch 2025 passieren.
Datenschutzbehörde weiß von nichts
Doch es ist ein schmaler Grat zwischen Schutz vor SMS-Spam und Massenüberwachung. „Aus unserer Sicht sollte nicht ohne eine gründliche Folgenanalyse das Kommunikationsgeheimnis ‚aufgeweicht‘ werden“, warnt Daniela Andreasch von der RTR.
Die österreichische Datenschutzbehörde gibt auf futurezone-Anfrage an, in die Gespräche nicht eingebunden zu sein. Vom Vorhaben einer SMS-Firewall wisse man nichts. Eine Einschätzung sei erst möglich, wenn ein Gesetzesentwurf vorliege. Die Behörde wolle sich diesem dann im Rahmen der Begutachtung widmen und eine Einschätzung aus Datenschutz-Perspektive abgeben.
SMS-Firewall in Deutschland
Die Deutsche Telekom nimmt ihre SMS-Firewall ab 1. April in Betrieb. Die automatisierte SMS-Analyse zielt laut Telekom nicht auf den semantischen Wert der Worte ab, sondern vergleiche lediglich verdächtige Links mit bekannten Betrugslinks, wie netzpolitik.org berichtet.
Dem deutschen Onlinemedium gegenüber beschreibt ein Telekom-Unternehmenssprecher noch eine andere mögliche Lösung: „Wenn man etwa aus den Inhalten der SMS per Algorithmus Hashwerte bildet und diese vergleicht, ließe sich dadurch auch die im Text immer gleiche ,Hallo-Mama-Hallo-Papa-SMS' mit einer Warnung markieren oder herausfiltern.“ Kriminielle wollen mit Nachrichten nach diesem Schema Kontakt aufbauen, um ihre Opfer später um ihr Geld zu bringen.
Datenbank legitimer Dienste in Spanien
In Spanien muss nach einer Initiative des Ministers für digitale Transformation die zuständige Behörde eine Datenbank anlegen, die seriöse Absender, wie Banken und Behörden, auflistet. Spanische Netzbetreiber müssen zukünftig Anrufe und SMS von Diensten blockieren, die nicht durch die Datenbank legitimiert sind. Betrugs-SMS mit gefährlichen Links sollten die Opfer dadurch erst gar nicht erreichen.
Die Anordnung schreibt spanischen Mobilfunkbetreibern außerdem vor, sogenanntes Spoofing zu unterbinden. Das heißt Anrufe, die aus dem Ausland kommen, sich aber mit einer inländischen Nummer maskieren, werden grundsätzlich blockiert.
➤ Mehr lesen: Endlich: Maßnahme gegen Anrufe mit gefälschten Nummern tritt in Kraft
In Österreich wurde das mit der Anti-Spoofing-Verordnung bereits im September 2024 geregelt. Hierzulande ist es seither zumindest nicht mehr möglich, dass Spam-SMS einen vertrauenswürdigen Absender, z.B. die Service-Nummer des eigenen Netzanbieters oder eine Bank-Hotline, vortäuschen.
Technische Umsetzung in Österreich unklar
Wie genau die SMS-Firewall in Österreich technisch aussehen könnte, ist noch nicht klar. Die RTR meint dazu nur vage: „Man wird davon ausgehen können, dass sie ähnlich wie Viren- bzw. Spam-Filter bei E-Mail-Programmen funktioniert.“
Magenta besitze bereits eine technische Lösung für die Abwehr solcher Betrugsversuche, erklärt ein Unternehmenssprecher, ohne auf Details einzugehen. A1 äußert sich nicht. Drei gibt auf futurezone-Anfrage an, dass derzeit nicht geplant sei, eine technische Lösung wie jene von der Deutschen Telekom anzuwenden.
➤ Mehr lesen: Vorsicht: Diese Marken werden am meisten für Phishing missbraucht
Der Mobilfunker deutet jedoch eine Lösung ähnlich der in Spanien an: „Geplant ist, in Zukunft eine White/Blacklist von Geschäftskunden zu implementieren, die Massen-SMS versenden dürfen und damit eine eindeutige Absender-ID haben.“ Diese Lösung brauche jedoch eine Änderung im Telekommunikationsgesetz bzw. der Kommunikationsparameter-, Entgelt- und Mehrwertdiensteverordnung.
Spam-Filter in den SMS-Apps
Bis eine SMS-Firewall gesetzlich möglich und technisch umgesetzt ist, werden mindestens noch ein paar Monate vergehen. Es gibt aber jetzt schon Möglichkeiten, sich vor Spam-SMS zu schützen.
Einerseits bieten Netzanbieter kostenpflichtige Services zum Schutz vor Phishing und Malware. Der „A1 Onlineschutz“ blockiert für 2,50 Euro monatlich unsichere Webseiten netzseitig, sowohl im mobilen Internet als auch daheim. Der „Drei Internetschutz“ warnt Nutzerinnen und Nutzer vor gefährlichen Webseiten und kostet pro Rufnummer 1,50 Euro pro Monat. Der „Magenta Internetschutz“, ebenfalls für Smartphone oder Computer verfügbar, kostet je nach Umfang 1,90 Euro bis 3,40 Euro monatlich.
Andererseits verfügen viele SMS-Apps bereits über eingebaute Spam-Filter. Google Messages, die Standard-App, die auf vielen Android-Smartphones installiert ist, verschiebt verdächtige SMS von unbekannten Absendern direkt in einen Spam-Ordner. Beim iPhone gibt es keinen automatischen Spam-Filter, man kann aber in den Einstellungen unter „Nachrichtenfilter“ unbekannte Absender herausfiltern. Sie landen dann automatisch in einem eigenen Ordner.