Schutz vor Betrug: Wo bleibt Österreichs SMS-Firewall?

Gerade in der Saison der Geschenke-Besorgungen können Spam-SMS besonders tückisch sein. Denn wenn man tatsächlich unzählige Pakete erwartet, fällt man möglicherweise noch leichter darauf herein: „Unser Zustellversuch ist fehlgeschlagen“, „Ihr Paket ist angekommen“, „Bitte begleichen Sie hier nicht bezahlte Importgebühren“, gefolgt von einem Link. 

Tippt man darauf, landet man auf einer Phishing-Website oder installiert im schlimmsten Fall gleich Schadsoftware auf dem Smartphone. Kein Wunder, dass in Österreich durch Phishing-Attacken jährlich ein Millionenschaden entsteht.

SMS-Firewall

Während E-Mail-Anbieter und E-Mail-Programme standardmäßig Spamfilter einsetzen, ist das bei SMS nicht üblich. Weil sich allerdings auch die großen österreichischen Mobilfunkanbieter an den betrügerischen Kurznachrichten stören, wollten sie noch dieses Jahr eine „SMS-Firewall“ umsetzen, wie die futurezone im März berichtete. 

➤ Mehr lesen: Noch 2025 soll in Österreich die SMS-Firewall kommen

Vorbild dafür ist die deutsche Telekom, die zum 1. April einen solchen Schutzmechanismus eingeführt hatte. Dabei werden Links in SMS mit einer Liste an bekannten Phishing-Seiten abgeglichen. 

Wird die Nachricht als schädlich eingestuft, wird sie Kundinnen und Kunden erst gar nicht zugestellt. Wie viele Spam-SMS seither blockiert wurden, wollte der Konzern auf Anfrage nicht verraten, denn Spam sei ein „Hase-Igel-Rennen“: „Auf jede neue Schutzfunktion folgen eine Reaktion oder ein Strategiewechsel“, betont ein Telekom-Sprecher.

SMS sind nicht verschlüsselt

SMS sind im Gegensatz zu Nachrichten, die über WhatsApp oder Signal verschickt werden, nicht verschlüsselt. Technisch ist es daher möglich, sie automatisiert zu analysieren und verdächtige Nachrichten herauszufiltern. 

In Österreich unterliegen die Inhalte von SMS allerdings dem Telekommunikationsgeheimnis: Das „Mithören, Abhören, Aufzeichnen, Abfangen oder sonstige Überwachen“ ist im Telekommunikationsgesetz (TKG) explizit untersagt. Die Rundfunk und Telekom Regulierungs-GmbH (RTR), erklärte daher bereits im März, dass es ihrer unverbindlichen Rechtsansicht nach eine Ausnahme bräuchte, um SMS auf schädliche Links durchleuchten zu können. 

„Inwieweit es wünschenswert ist, dass Anbieter von elektronischen Kommunikationsdiensten zur Betrugsbekämpfung in die Inhalte von SMS hineinschauen dürfen, ist somit eine Abwägungsfrage, die in einem entsprechenden Gesetzgebungsprozess geklärt werden müsste“, so die RTR.

„Keine Gesetzesänderung geplant“

Entgegen der Aussage der Mobilfunker, bis Ende des Jahres eine Lösung auf den Weg zu bringen, hat sich diesbezüglich offenbar noch nichts getan. Aus dem zuständigen Bundesministerium für Wohnen, Kunst, Kultur, Medien und Sport heißt es, dass aktuell keine Gesetzesänderung geplant sei, „weil die datenschutzrechtlichen Bedenken bis jetzt nicht restlos ausgeräumt werden können“. Das Ministerium sei jedoch in regelmäßigem Austausch mit Expertinnen und Experten aus der Branche.

Was aus den Gesprächen geworden ist, die RTR und die österreichischen Netzbetreiber im Frühjahr zu einer möglichen „SMS-Firewall“ geführt haben, ist unklar. Keine der beteiligten Parteien will derzeit dazu Auskunft geben. 

Datenschutzbehörde nicht beteiligt

Den schmalen Grat zwischen Schutz vor Spam und Massenüberwachung zu bewerten, also Datenschutzvorschriften auszulegen, fiele laut RTR der Datenschutzbehörde (DSB) zu. 

Dessen Leiter Matthias Schmidl betont auf futurezone-Anfrage wie schon im März, in einen allfälligen Prozess bis dato nicht eingebunden zu sein. „Weshalb die Auslegung von gesetzlichen Bestimmungen des TKG 2021 in die Zuständigkeit der DSB fallen sollen, ist nicht ersichtlich“, ergänzt Schmidl.

Technische Umsetzung weiterhin unklar

Wie genau die Netzanbieter die „SMS-Firewall“ technisch umsetzen würden, um Spam herauszufiltern und gleichzeitig die Privatsphäre ihrer Kundinnen und Kunden zu wahren, lassen sie derzeit ebenfalls im Dunkeln. Sie bieten allerdings bereits jetzt schon kostenpflichtige Zusatz-Services zum Schutz vor Phishing und Malware an.

Bei A1 heißt dieses „Onlineschutz“ und kostet 2,50 pro Monat, Drei bietet ab 1,50 Euro im Monat den „Internetschutz“ und der „Internetschutz“ von Magenta ist ab 1,90 Euro monatlich zu haben. Diese Zusatzpakete blockieren allerdings nicht SMS-Spam, sondern warnen Nutzerinnen und Nutzer nach dem Klick auf gefährliche Links. 

Bei SMS von unbekannten Absendern vorsichtig sein

Grundsätzlich sollte man sich aber bei SMS von unbekannten Absendern fragen, ob sie plausibel sind. Denn hat man z.B. nichts aus dem Ausland bestellt, kann es auch keine ausständigen Importgebühren geben. 

Links versuchen zwar häufig den Anschein zu erwecken, zur Webseite eines renommierten Anbieters zu führen, verraten sich aber manchmal durch vertauschte Zeichen oder Ähnliches – im Zweifel lieber nicht daraufklicken.

➤ Mehr lesen: Kriminelle verdienten eine Milliarde mit diesen Spam-SMS

SMS-Spamfilter auf Android

In vielen Smartphones sind bereits Spam-Filter für Kurznachrichten aktiv. „Google Messages“, die Standard-SMS-App auf Android, verschiebt verdächtige SMS von unbekannten Absendern direkt in einen Spam-Ordner. Über das Menü der App kann man Nachrichten bzw. Telefonnummern auch selbst „Blockieren und als Spam melden“. Diese Informationen werden dann zur Prüfung ggf. an Google und Mobilfunkanbieter weitergegeben. 

Bei iMessage auf dem iPhone kann man unter „Nachrichtenfilter“ lediglich unbekannte Absender herausfiltern, sie landen dann automatisch in einem eigenen Ordner. Auch hier kann man eine SMS als „Spam melden“.