Werbebanner-Abofallen für Smartphones: Abzocke mit Apps

Für moderne Smartphones gibt es zahllose kostenlose Anwendungen - vom Spiel bis zum Infoangebot. Um diese finanzieren zu können, setzen die Programmierer zunehmend auf Werbebanner. Das ist grundsätzlich nichts schlechtes, erhalten Nutzer doch gegen Reklameansicht eine Leistung. Wer auf einen solchen Banner klickt, landet dann beispielsweise auf der Website des Werbetreibenden.

Allerdings mehren sich in letzter Zeit Berichte von Nutzern, denen nach Einsatz einer kostenlosen "App" und dem (möglicherweise fehlerhaft durchgeführten) Besuch einer per Banner beworbenen Seite ein teures kostenpflichtiges Abo aufgedrückt wurde. Diese Seiten, die z.B. Klingeltöne oder Hintergrundbilder versprechen, sind aufgebaut wie typische Abofallen: Die Gebühren werden versteckt oder tauchen nur nach dem Durchlesen diverser Browserseiten auf.

Mancher Betroffener erhält kurze Zeit nach dem Klick noch eine SMS, die sehr werblich abgefasst ist und keinen genauen Hinweis darauf enthält, dass man gerade ein Abo abgeschlossen hat. Der Schock kommt dann mit der nächsten Mobilfunkrechnung, auf der der teure Dienst dann auftaucht: 4 Euro pro Woche können das sein, manchmal sogar 3 Euro pro Tag.

Besonders unheimlich an der Sache: Wie kommt ein Abofallen-Geschäftemacher an die Daten des Nutzers, um ihm überhaupt eine Rechnung stellen zu können? Schließlich haben die Opfer nirgendwo ihre Telefonnummer eingetippt und auch sonst keine Identifikationsmerkmale hinterlassen, wie sie stets beteuern.

Des Rätsels Lösung hört auf den Namen "WAP-Billing", wie das Computermagazin "c't" in seiner aktuellen Ausgabe schreibt. WAP, das "Wireless Application Protocol", ist eine speziell für Handys optimierte Variante der Web-Sprache HTML. Die Technik wurde ursprünglich entwickelt, weil Mobiltelefonen die Fähigkeit fehlte, Internet-Angebote vollständig darzustellen. Mittlerweile nutzt WAP fast niemand mehr, weil Smartphones sehr leistungsfähig geworden sind. Trotzdem unterstützen auch moderne Handys mit iPhone- oder Android-Betriebssystem die Uralt-Technik aus Kompatibilitätsgründen noch.

Und genau hier wird es nun interessant: WAP enthält eine Funktion, die es im Web so nicht gibt und die Abzocker für sich ausnutzen können. Mit der Abfrage einer WAP-Seite wird nämlich automatisch die sogenannte MSISDN mitgeschickt. Das ist eine weltweit eindeutige Nummer, die die SIM-Karte des Nutzers identifiziert. Aus dieser MSISDN lässt sich wiederum die Rufnummer des Nutzers machen - beziehungsweise über den Netzbetreiber sofort der Bezahlvorgang (auf Englisch: Billing) einleiten.

WAP-Billing funktioniert nur, wenn ein Content-Anbieter einen Vertrag mit einem Netzbetreiber geschlossen hat oder einen sogenannten Factoring-Dienstleister einsetzt, der über alle Netzbetreiber abrechnen kann und dafür dann einen Anteil nimmt. Und genau hier scheint es Unternehmen zu geben, die die Seriosität ihrer Kunden nicht intensiv genug prüfen.

Ist man einmal in eine solche Abofalle getappt, lässt sich das nur schwer wieder rückgängig machen. Wer sich weigert, den Betrag zu bezahlen, riskiert die Sperrung seines kompletten Telefonanschlusses. Die Netzbetreiber verweisen dabei stets auf die "Content-Anbieter", also die Hintermänner der Abofallen, mit denen man sich im Falle einer strittigen Zahlung auseinandersetzen soll.

T-Mobile & Co. verstehen sich also nur als reine Geldeinzieher, die WAP-Billing darüber hinaus auch noch als besonders zukunftsweisend ansehen. "Die Abrechnung von Inhalten und Diensten im mobilen Internet über die Rechnung des Netzbetreibers ist ein stark wachsender, innovativer Markt", so ein Konzernsprecher der Telekom gegenüber "c't". Dabei komme man nur "den Wünschen der Kunden nach werthaltigen, mobilen Services" entgegen.

Besonders problematisch bei alledem ist, dass sich WAP-Billing nicht grundsätzlich bei allen Netzbetreibern sperren lässt. Während T-Mobile und Vodafone dies auf Anfrage immerhin kostenlos durchführen, ist bei E-Plus laut "c't" nur möglich, einzelne Anbieter zu blockieren, die der Nutzer vorab aber wohl kaum kennen kann. Bei O2 fehlt laut dem Bericht die Möglichkeit der Sperrung derzeit noch komplett.

Unterdessen interessieren sich auch Datenschützer für WAP-Billing: Sie gehen davon aus, dass das Übertragen der höchst sensiblen MSISDN via WAP möglicherweise illegal sein könnte, also dem deutschen Datenschutzrecht widerspricht. Schließlich erteilt ein Nutzer an keiner Stelle seine explizite Einwilligung, dass derart persönliche Informationen an irgendwelche fremden Dienstleister übermittelt werden.