Ruf doch mal an – hör doch mal ab

Haarsträubende Lücken im Datenschutz von Anrufbeantwortern ermöglichen den Großen Lauschangriff für jedermann / Datenschützer nennt Sicherheit „völlig unzureichend“  ■ Aus Bonn Bernd Neubacher

Martin ist gewöhnlicher Besitzer eines gewöhnlichen Anrufbeantworters, der wie die meisten Fabrikate die Möglichkeit der Fernabfrage bietet. Alles, was Ingo benötigt, um die gespeicherten Nachrichten auf Martins Gerät abzuhören, ist ein Telefon und ein Tonwähler, den jede Elektrohandlung für zehn Mark verkauft. Martins Nummer gewählt, und los geht's mit dem Lauschangriff: Nach dem „Piep“ legt Ingo den Tonwähler an die Muschel und gibt nacheinander die Zahlen von Null bis Neun ein. Bafög-Empfänger Martin konnte seinerzeit nur rund 100 Mark investieren für ein Billigmodell mit einstelligem Sicherheitscode. Spätestens beim zehnten Versuch piepst es daher abermals, die Maschine spult das Band zurück und leiert die gespeicherten Nachrichten herunter. Vielleicht zählen Martins Beziehungsprobleme zu den Dingen, die Ingo schon immer wissen wollte, jedoch nie zu fragen wagte.

Oder Udo. Dessen Gerät mit dem dreistelligen Sicherheitscode gehört ebenfalls zu den leichteren Übungen. Als angehender Jurist kann Udo zwar sämtliche Urteile des Bundesverfassungsgerichts zum Datenschutz aufsagen, einen Sicherheitscode zur Fernabfrage freilich hat er nicht eingegeben. Ihm genügt es, abends nach Hause zu kommen und die Anrufe abzuhören. Ingo genügt zum Abhören somit die Ziffernfolge 000, die bei dem Fabrikat „Code-a-phone 2760“ ab Werk eingegeben ist. Dankenswerterweise verfügt das Gerät, wie fast alle anderen erhältlichen Fabrikate, auch über die Funktion „Raumüberwachung“. So können alle Unbefugten live verfolgen, was Udo denn so alles treibt. „Hör doch mal ab“ statt „Ruf doch mal an“.

Auf den möglichen Mißbrauch der Geräte weist der Hersteller „Code-a-phone“ in seiner Bedienungsanleitung nicht hin, er klärt vielmehr über die sogenannte „Notfallsicherung“ auf: Fällt der Strom mal aus und ist der Sicherheitscode, wenn überhaupt eingegeben, gelöscht, macht ebenfalls die Ziffernfolge 000 den Zugang zu den Nachrichten möglich. „Code- a-phone“-Werbeslogan: „Damit Sie in guter Verbindung bleiben.“

Die Firma ist nicht irgendeine Klitsche, sondern zählt zu den Marktführern in der Bundesrepublik. Zehn Millionen Geräte des Unternehmens, so die Selbstdarstellung, sind „weltweit erfolgreich im täglichen harten Einsatz“. Das Firmen-Modell 1920 mit dem einstelligen Code und der Datensicherheit eines Schweizer Käses wurde noch letzten Monat von der Stiftung Warentest zum Testsieger gekürt, gleichfalls das Fabrikat 2760. Geprüft wurden allerdings allein Technik, Handhabung und Funktion der Fabrikate. Datenschutz? Welcher Datenschutz?

Diese Frage stellt man sich nun beim Bundesbeauftragten für den Datenschutz. Mitarbeiter Horst Ahlke über Geräte mit ein- und zweistelligen Zahlencodes: „Das sollte man eigentlich verbieten.“ Sein Vorgesetzter Joachim Jacob bezeichnet auch Produkte mit dreistelligem Sicherheitscode als „völlig unzureichend“. Wo ein Wille zum Abhören, ist nämlich auch hier ein Weg: Ein Telefon- Modem und ein entsprechendes Computer-Programm können binnen Minuten die verschiedenen Kombinationen durchspielen und Unbefugten den Zugang zu den aufgezeichneten Anrufen verschaffen. Nur wenige Anrufbeantworter verfügen wie Geldautomaten über eine Einrichtung, die nach einer bestimmten Anzahl von Fehlversuchen unterbricht. Doch selbst solche Exemplare stellen keine unüberwindbare Hürde dar: Hartnäckige Geister rufen einfach mehrmals an. Spezialisten müssen in Routinefällen nicht einmal des öfteren probieren, sie knacken bei einfach strukturierten Modellen bereits nach wenigen Versuchen ihren Plastik-Gesprächspartner: „Ein Fachmann hört im Regelfall, um welche Geräteart es sich handelt und wieviel Stellen der Code besitzt“, so ein Fachverkäufer gegenüber der taz. Bei Geräten mit einstelligem Sicherheitscode vermag mancher Produzent sogar den ohnehin lachhaften Schutz noch zu unterbieten: Die betreffenden Billigdosen, im Fachjargon „Idiotenanrufbeantworter“ genannt, reagieren nicht nur auf die korrekte, sondern auch auf die nächsthöhere und -niedrigere Ziffer: Mit 258 ist man auf jeden Fall dabei.

Das ist Ingrid Köppe, Abgeordnete von Bündnis 90/Die Grünen, zu wenig. Vor kurzem stellte sie an die Bundesregierung die kleine Anfrage, ob man dort dem möglichen Mißbrauch der Fernabfrage begegnen will.

Ministerien und Behörden bleiben gelassen oder fühlen sich nicht zuständig. Das „Bundesamt für Zulassungen in der Telekommunikation“ sieht seine Aufgaben auf technische Dinge wie Netzverträglichkeit und Sendepegel der Geräte beschränkt. Der Sicherheitscode, ist dort zu vernehmen, sei Privatvergnügen des Entwicklers. Bei den Mainzer Kollegen vom „Bundesamt für Post und Telekommunikation“ ist man ähnlicher Ansicht: „Uns interessieren nur die Einflüsse auf das Netz, das wir kontrollieren.“ Die Generaldirektion der Telekom samt ihres Forschungs- und Technologiezentrums verweist an das Postministerium. Dort verschanzen sich die Beamten hinter den Richtlinien der Europäischen Union, die keinerlei Vorgaben hinsichtlich der Sicherheitscodes aufstellt. Datenschutz hin oder her – das Ministerium sorgt sich um den freien Warenverkehr der meist im Ausland produzierten Geräte. Sprecher Harald Dörr: „Mit Vorgaben bauen wir Handelshemmnisse auf. Wir müßten es uns dann von den Herstellern gefallen lassen, daß sie uns beim Europäischen Gerichtshof verklagen.“ Dörr verweist an das Justizministerium. Im Haus von Ministerin Sabine Leutheusser-Schnarrenberger reicht man den Schwarzen Peter an das Postministerium zurück und will lediglich klären, ob das unbefugte Abhören von Anrufbeantwortern strafbar nach Paragraph 202 ist. Der stellt das „Ausspähen von Daten“ unter Strafe. „Die Tendenz geht zu der Annahme“, so ein Sprecher, „daß eine solche Handlung vom Strafgesetzbuch abgedeckt ist“, will sagen: wahrscheinlich strafbar ist. Die Bundesregierung hat zumindest an sich selber gedacht. Die „Dienstanschlußvorschriften“ des Finanzministeriums geben Standards für alle Telefonanlagen des Bundes vor.

Jetzt fordern der Bundesbeauftragte für den Datenschutz und die Verbraucherinitiative eine gesetzliche Verpflichtung der Hersteller, die Konsumenten über die Risiken der Fernabfrage bei Anrufbeantwortern aufzuklären. Bernhard Kühnle von der Verbraucherinitiative: „Die Leute müssen die Gefahren kennen und eine Alternative haben.“ Ins selbe Horn stößt Datenschützer Horst Alke. In seinen Augen wäre das Umrüsten undichter Dosen zwar „wünschenswert, aber nicht durchzusetzen. Viele Geräte kosten doch gerade einmal 100 Mark. Allein wenn ein Techniker so ein Ding in die Hand nimmt, kostet das doch schon 50 Mark.“ Alke setzt auf die Anbieter: „Zwei große Vertriebsfirmen haben mir bereits signalisiert: Wenn wir denn Druck bekommen, dann werden wir mit unseren Lieferanten reden und auch vierstellige Codes liefern.“ Den absoluten Schutz aber böten auch diese Modelle nicht: „Nur Modelle ab 400 Mark, deren Fernabfrage abschaltbar ist, sind hundertprozentig sicher“, so ein Fachverkäufer.