Diskussion:Tauschbörse für Prepaid-Handykarten

Aus Freiheit statt Angst!
(Weitergeleitet von Diskussion:Kartentausch)
Zur Navigation springen Zur Suche springen

Diskussion des Textes

...

Modell

Durch den SIM-Kartentausch entstehen nicht unerhebliche Risiken. Bei unsachgemäßer Durchführung droht der Verlust persönlicher Daten an Unberechtigte, und gleichzeitig ist nicht einmal die Anonymität gegenüber dem Provider gewahrt. Dieses Wiki soll Mobilfunk-Techniker, Sicherheitsexperten, Juristen und weitere Interessierte zusammenbringen, um ein wirkungsvolles und sicheres Gesamtkonzept zum SIM-Kartentausch zu erarbeiten.

Anhand eines theoretischen Modells soll zunächst festgestellt werden, ob bei der aktuell verfügbaren Technologie ein SIM-Kartentausch überhaupt zu Anonymität der Teilnehmer führen kann, bzw. ob die Risiken eines Verlustes vertraulicher Daten mittels technischer und/oder organisatorischer Maßnahmen hinreichend vermieden werden können. Dabei darf der Aufwand des Modells durchaus unrealistisch sein (modellhafter Charakter). Konnten solche Modelle gefunden werden, so erfolgt in einem zweiten Schritt die Konkretisierung hin auf eine mögliche Umsetzung bei beschränkten finanziellen und technischen Mitteln.

Erklärung der Gliederung:

  • In Abschnitt 1 werden mittels einer Meta-Diskussion die Grundprobleme und Anforderungen beim SIM-Kartentausch erörtert.
  • In Abschnitt 2 wird ein möglichst optimales Modell entworfen, das Sicherheit und Benutzbarkeit gegeneinander abwägt, Kosten und Aufwand für eine konkrete Umsetzung aber außer Acht lässt.
  • In Abschnitt 3 sollen Möglichkeiten einer konkreten Umsetzung der Punkte des Modells aufgezeigt werden.


Zu lösende Grundprobleme möglicher Tausch-Modelle

Ein Tausch-Modell muss Untermodelle für jedes der folgenden Grundprobleme enthalten. Ist eines davon nicht gelöst, ist das gesamte Modell wertlos.

Bestandsdaten beim Provider, SIM-Karten und Telefone

Die Identifizierung bzw. Wiedererkennung von Benutzern ist sowohl über die IMSI (Nummer der SIM-Karte) als auch über die IMEI (Nummer des Mobiltelefons) möglich. Eine wirksame Anonymisierung durch Tausch muss also immer Verfahren zum Tausch der SIM-Karte UND des Mobiltelefons gleichzeitig vorsehen.

Der Provider, der die SIM-Karte bereitstellt, führt in der Regel den ursprünglichen Karteninhaber zusammen mit der aktuell verwendeten IMEI in seiner Kundendatenbank. Hierbei handelt es sich um personenbezogene Daten wie etwa Klarnamen, Meldeadresse und Geburtsdatum. Unabhängig davon, ob die Karte nur einmal (über einen einzelnen Treuhänder) oder mehrfach (über eine Art Mix-Netzwerk) getauscht wird, sind also in der Regel identifizierende Daten mit der SIM-Karte verknüpft (dies ist bei Mix-Netzwerken nicht der Fall). Es gibt zwei "worst cases":

  • ein Krimineller bekommt die Karte eines unbescholtenen Bürgers: Begeht der Kriminelle unter der Benutzung solch einer SIM-Karte eine Straftat, die Ermittlungsbehörden Zugriff auf die Bestandsdaten gewährt, gerät der Unbescholtene unter falschen Verdacht;
  • ein unbescholtener Bürger bekommt die Karte eines Kriminellen: Hat der Kriminelle eine Straftat begangen, nach der seine Telefonanschlüsse überwacht werden dürfen, so wird auch das Handy des unbescholtenen Bürgers abgehört, ohne dass er es weiß. Er wird es auch niemals erfahren, da die Bestandsdaten ja nicht korrekt sind und die Strafverfolgungsbehörden nicht über diese mit ihm in Kontakt treten können.

Solange also SIM-Karten mit Klardaten getauscht werden oder das Mobiltelefon/die IMEI beibehalten wird, ist eine Anonymisierung nicht möglich, und es findet effektiv eine Senkung der Privatsphäre unter einer unverhältnismäßigen Steigerung der Überwachungsgefahr dar.

Rechtskonformität und Strafverfolgung

Das gesamte Verfahren muss konform mit den geltenden Gesetzen in Deutschland sein. Ansonsten riskieren die Betreiber und eventuell auch die Nutzer strefrechtliche Verfahren. Andererseits könnte der gemeinschaftliche Kartentausch sogar Präzedenzfälle schaffen und einen besonderen Schutz der Nutzer zur Folge haben, beispielsweise vor einer Überwachung der Telefongespräche, da diese mit hoher Wahrscheinlichkeit den Falschen treffen würde.

Verutlich wäre es außerdem nicht falsch, eine Möglichekeit zur Rückverfolgbarkeit von Teilnehmern einzubauen. Im Fall von Straftaten, die unter Verwendung einer bestimmten IMSI begangen werden, wäre dann eine Aufdeckung des Täters möglich. Dies würde Verbrecher davon abhalten, diese Dienstleistung zu nutzen. Wichtig dabei ist aber, dass immer nur mehrere Personen/Organisationsn zusammen die Identität von Teilnehmern zu bestimmten Zeitpunkten aufdecken können. Dadurch werden auch auch einige Anforderungen an die technischen Möglichkeiten zum Auslesen der IMSI aus den SIM-Karten gestellt.

Verteiltes Vertrauen

Einzelpersonen ist in sicherheitskritischen Bereichen grundsätzlich zu misstrauen. Sie sind potentiell bestechlich, erpressbar, etc. Deshalb sollte das Konzept des Kartentausches auf einem Verfahren aufbauen, welches Vertrauen in einzelne Personen unnötig macht. Dabei kann eine bestimmte Gruppe identifizierbarer Einzelpersonen den Tausch durchführen ("Server"-Ansatz), oder der Tausch wird von allen Teilnehmern der Börse gemeinsam durchgeführt ("Peer-to-Peer"-Ansatz). Möglich sind auch Mischlösungen. Empfohlen wird dabei ein Mixing-Verfahren anzuwenden: jede tauschende Stelle sammelt mehrere Karten/Telefone, kodiert sie um (auspacken, Umschlag/Aussehen verändern), und vertauscht deren Reihenfolge (wild durchmischen). Der ganze Pool wird an die nächste Stelle weitergegeben, die gleiches tut usw. bis die Karten/Telefone an die eigentlichen Empfänger weitergeleitet werden. Das Modell ist dann optimal, wenn alle "Mixe" zusammenarbeiten müssen, um den Weg einzelner Karten/Telefone aufzudecken. Denkbar ist auch ein Schwellwertschema (x aus n, wobei n >= x > 1, müssen zusammenarbeiten).

Verschleierung von vertraulichen Daten

Ähnlich dem WWW, in dem Anonymisierungsdienste die IP-Adresse verschleiern um ihre Nutzer zu anonymisieren, verbleiben auch bei (theoretisch) perfekter Anonymisierung von IMSI und IMEI mittels Karten- und Handytausch Daten, die durch den Tausch nicht anonymisiert werden, aber den Nutzer enttarnen können. Im WWW sind das die Headerdaten, die der Browser sendet. Beim Kartentausch sind das auf der SIM-Karte bzw. im Handy verbliebene persönliche Daten bzw. sonstige individuelle Daten, die zu einer Wiedererkennung desselben Nutzers führen können (Adressen,Namen und Nummer von Bekannten, Termine,gespeicherte SMS,...).

Ein Tausch-Modell muss Methoden berücksichtigen, um auch diese Daten zu anonymisieren. Dies muss möglichst beim Nutzer selbst geschehen, da ansonsten Dritte in den Besitz dieser Daten gelangen könnten. Dritte sind in diesem Fall sowohl diejenigen, welche die Tauschbörse leiten, als auch andere Nutzer der Tauschbörse. Selbst wenn SIM und Handy im Tauschverfahren perfekt gemixt wurden, lässt sich über diese Daten sonst auf den Vorbesitzer schießen. Bei Web-Anonymisierung ist es genauso: die Verteilung der Anonymisierungsdienstleistung auf mehrere Server verschleiert zwar die IP, die Headerdaten des Browsers können aber vom letzten Glied in der Proxy-Kette dennoch gelesen werden. Diese müssen deshalb bereits vorher auf dem Rechner des Nutzers anonymisiert werden, und nicht von den Servern des Dienstes.

Anonymisierung des Bewegungsprofils

Anonymität gibt es ausschließlich innerhalb einer Anonymitätsgruppe, d.h. sie basiert auf der Ununterscheidbarkeit von anderen Teilnehmern einer Gruppe. Lässt sich die Identität eines bestimmten Nutzers auf eine spezielle Lokalität oder ein bestimmtes, erwartetes Verhalten eingrenzen, so entstehen unabhängige Teilgruppen und die Anonymität kann dramatisch sinken.

Ist einem Beobachter bekannt, wer am Tauschsystem teilnimmt, so kann er zunächst eine Partitionierung der Nutzer in verschiedene Ortsgruppen vornehmen (alle Tauscher in München, Nürnberg, etc.). Sofern die jeweiligen Ortsgruppen nur aus einer Person bestehen, könnte der Beobachter mit Sicherheit sagen, welche Person gerade welches Mobiltelefon besitzt. Sind die Ortgruppen größer, so sind immer noch statistische Methoden über das Bewegungsverhalten der Nutzer möglich. Wer sein Mobiltelefon immer eingeschaltet lässt, ermöglichst es dem Beobachter, detaillierte Bewegungsprofile zu erstellen und diese mit dem früheren Verhalten des Nutzers abzugleichen. Gar keine Bewegungsprofile würde ein Beobachter genau dann erhalten, wenn sich alle Nutzer einer Ortsgruppe jeweils zum telefonieren am selben Ort (Kneipe) treffen, und genau dort Ihre Mobiltelefone ein- und ausschalten.

Im Modell müssen für die Nutzer deshalb Empfehlungen im Rahmen einer Kompromisslösung abgeleitet werden, wie sie sich optimal zu bewegen bzw. zu Verhalten haben (Handy meist aus lassen), um in dieser Hinsicht Anonymität zu erreichen.

Anonymisierung des Telefonieverhaltens

Leider gibt es noch keine Anonymisierungssysteme für Mobiltelefone. Ansonsten müsste man auch seine Gespräche nur über verschiedene Zwischenstationen leiten, und erhielte dadurch eine gute Verschleierung des Telefonieverhaltens, also wann man mit wem telefoniert. Wenn man aber ganz normal seine Bekannten über ein getauschtes Telefon anruft, kann ein Beobachter darüber bald feststellen, wer man ist. Dies ist sowohl über die Rufnummer der angerufenen Personen möglich (damit ist ja die Identität verkettet), als auch über den Inhalt der Gespräche (Gesprächsmitschnitt).

Ziele, Anwendungszwecke und Grenzen der Nützlichkeit

Es ist klar, dass das Telefonieverhalten im Vergleich zur nicht-anonymen Kommunikation bei der gegebenen Technik eingeschränkt werden muss, um die Anonymität nicht sofort wieder zu verlieren (siehe "Anonymisierung des Telefonieverhaltens"). Dadurch ergeben sich aber auch direkte Auswirkungen auf die wahrgenommene Nützlichkeit der anonymisierten Mobiltelefonie. Muss man sich einschränken, mit wem man telefoniert? Muss man den Zeit oder den Ort der Telefonate einschränken? Darf man die aktuelle Rufnummer veröffentlichen? Sind die Einschränkungen so grenzwertig, dass die Verwendung öffentlicher Telefonzellen sinnvoller oder zumindest genauso sicher wäre? Gibt es Anwendungsszenarien, in denen der Kartentausch demgegenüber klare Vorteile bietet?

Wichtig ist auch, Ziele zu definieren: vor wem will man sich schützen (Angreifermodell)? Vor BKA / BND / Providern / weiteren Gruppen? Welche Mittel können diese Gruppen einsetzen, um die vorgeschlagenen Sicherheitsmaßnahmen zu brechen? Und vor was will man sich schützen? Der Erstellung von Bewegungsprofilen? Der Speicherung des Telefonieverhaltens (wann mit wem)? Oder etwas ganz anderem?

Theoretisches Modell

Anonymisierung des Telefonieverhaltens

Optimal wäre (bei Abwesenheit von Telefonie-Anonymisierungslösungen, die freilich nochmal deutlich besser wären), wenn die "Tauscher" nur untereinander telefonierten, und außerdem ihre Verbindungen verschlüsseln würden. Dadurch wäre es sehr schwer, die Teilnehmer zu identifizieren, da der Beobachter die Identität jeweils beider Gegenstellen ermitteln müsste, nicht nur einer (etwa durch Beschattung der Personen oder mittels Bewegungsprofilen).

Möglich ist auch eine Form von Dummy-Traffic zur Verschleierung der üblichen Kommunikationspartner: innerhalb der Nutzergruppe könnte Verbindungen auf- und abgebaut werden, um Gesprächspartner vorzutäuschen. Durch Analyse der Verbindungsdauer wäre es aber möglich, echte Gespräche relativ leicht von "künstlichen" zu unterscheiden.

Denkbar ist auch die Nutzung von Mobiltelefonen allein zum Versenden von SMS. Die eigentlichen Telefonate könnten über SMS verabredet und anschließend über Telefonzellen oder (Mobil)telefonen von Dritten geführt werden. SMS dieser Art könnten auch an Dummy-Gesprachspartner gesendet werden. Die SMS sollte jeweils eine implizite Adressierung beinhalten, so dass der Empfänger weiß, ob es sich um eine Dummy-nachricht handelt, oder ob er wirklich gemeint ist, aber Dritte dies nicht entscheiden können (etwa eine vorher vereinbarte lange Zahl). Optimal wären verschlüsselte SMS, da Beobachter dann keine Anhaltspunkte erhalten, über welche Telefone das eigentliche Gespräch geführt wird.

Anonymisierung des Bewegungsprofils

Optimal wäre, wenn alle Nutzer ihre Mobiltelefone immer gleichzeitig aktivieren/deaktivieren würden, und das auch noch am selben Ort. Dadurch würde aber das Prinzip des Mobiltelefons quasi ad absurdum geführt, da keine Mobilität mehr gegeben wäre (besser Telefonzellen verwenden...).

Deshalb wäre folgende Alternative als Kompromiss denbar: Um die Anonymitätsgruppen möglichst groß werden zu lassen, sollten die Nutzer Ihre Mobiltelefone möglichst nur an von vielen Menschen frequentierten öffentlichen Orten aktivieren: Lokale, Ausflugsziele, Bus und Bahn,... Von Vereinen, der eigenen Wohnung etc. ist abzuraten, da dies eine Identifizierung deutlich erleichtern würde. Wird das durchgehalten, könnte ein Beobachter zwar noch sagen, es ist ein Nutzer aus Nürnberg, Kiel, etc. würde aber nicht mehr über seinen Standort erfahren, vorausgesetzt es gibt nicht nur einen einzigen Tausch-Nutzer in dieser Stadt.

Man darf nicht vergessen das Mobiltelefon rechtzeitig auszuschalten. Ansonsten nimmt man es in seine Wohnung mit und enttarnt sich dadurch (individuelles Bewegungsprofil). Es wäre deshalb sinnvoll, per SMS einen Gesprächszeitpunkt zu vereinbaren, und das Mobiltelefon nur zur vereinbarten Zeit und an einem öffentlichen Ort zu aktivieren. Vergisst man es doch einmal ist ein erneuter Tausch angesagt, um die Tarnung zu erneuern.

Verteiltes Vertrauen

Da die Anonymität der meisten Teilnehmer ohnehin nur innerhalb der Anonymitätsgruppe eines Ortes (Stadt, Landkreis) gegeben ist (außer das Mobiltelefon wird hautpsächlich auf Reisen verwendet), geht hinsichtlich Anonymität qualitätiv kaum etwas verloren, wenn nur jeweils die Teilnehmer desselben Ortes Ihre Karten/Geräte untereinander austauschen. Dadurch, das beim Tausch alle anwesend sind, kann gemeinsam der korrekte, zufällige Tausch überprüft werden. Die Karten/Mobiltelefone müssen vor dem Tausch aber vor den anderen Teilnehmern verborgen werden, da sonst alleine durch "Erinnerung" eine Zuordnung bestimmter Karten/Geräte auf bestimmte Personen/Gesichter möglich wird.

Sofern sich die Personen durch häufige Treffen untereinander zu gut kennen und sich dadurch auch privat häufiger sehen, kann das zu einem Problem werden: zu anderen Gelegenheiten als den Tausch-Treffen können andere Teilnehmer zumindest das Handy (äußerlich) einem bestimmten Teilnehmer zuordnen. Abhilfe würde es schaffen, wenn alle Tausch-Teilnehmer jeweils äußerlich identische oder zumindest sehr ähnliche Geräte verwenden.

Frage: Wie wird sichergestellt, dass die Mixe korrekt mischen, d.h. keine Karten hinzufuegen bzw. entfernen? Bei verschluesselten Daten gibt es Verfahren, mit welchen gezeigt werden kann, dass wirklich eine Permutation angewendet wurde, ohne diese Permutation zu veroeffentlichen. Mir ist unklar, wie das hier funktionieren soll. Ein nicht-vertrauenswuerdiger Knoten koennte sonst viele "markierte" SIM-Karten einschleusen, die die Anonymitaet insgesamt gefaehrden. -- Verschluesselungsfanatiker.
Antwort: Es erscheint völlig unproblematisch, wenn "markierte" Karten hinzugefügt/entfernt werden. Denn was könnte jemand dadurch erreichen? "Markiert" sind die Karten so oder so, nämlich über die IMSI. Bei getauschten Telefonen dagegen könnte jemand eine Abhörfunktion einbauen, bzw. eine mögliche Verschlüsselungsfunktion anzapfen/deaktivieren. Eine Lösungsmöglichkeit wäre, nicht die Telefone, sondern nur die IMEIs zu tauschen (Telefone "patchen"), so dass jeder die Verfügungsgewalt über sein Gerät behält. Ist also auch kein Problem. Einwände?

Praktische Umsetzung und Organisation

Im Folgenden werden Möglichkeiten zur praktischen Umsetzung des Modells aufgezeigt.

SIM-Karten und Telefone / Bestandsdaten beim Provider

E-Bay

SIM-Prepaid-Karten können massenweise bei E-Bay ersteigert werden (unter 50 Cent pro Stück). Damit muss niemand privat gekaufte SIM-Karten in die Tauschbörse einführen. Das Problem, das eine auf einen selbst registrierte SIM-Karte in die Hände eines Kriminellen fällt, würde dadurch nicht auftreten. Gleiches ist natürlich auch mit Handy möglich.

  • Ein Kauf bei eBay ist jedoch alles andere als anonym. Es werden an vielen Stellen persönliche Datenspuren hinterlassen.

Verschleierung von vertraulichen Daten

IMEI-Ändern

  • Bei einigen Siemens-Geräten ist es möglich, die IMEI zu ändern. siehe hier.

Pragmatische Lösung

1. Vorschlag Online-Bestellung

  1. Registrierungsfreie SIM-Karten ( über AK-Vorrat nahen Shop zum Selbstkostenpreis anbieten (betreiben kann ihn nicht der AK-Vorrat direkt).
  2. Bestellung muss anonym möglich sein. Einfachste Lösung: Zahlung per Überweisung muss möglich sein, ein Kundenkonto darf keine Voraussetzung sein, die Zustellung per Brief an Postlagernd-Adresse muss möglich sein.
  3. Diese SIM-Karten eignen sich dann auch gut für die eigentliche Tauschaktion, da sie nicht mit Personendaten verknüpft sind.

2. Vorschlag Offline-Bestellung

Offline Vertrieb von anonymen SIM Karten:

  1. Es gibt nur eine Webseite mit Hinweisen zu folgendem Verfahren, aber kein Shop, keine Zahlungsfunktion etc.
  2. Auf dieser wird jedoch eine Kommentarfunktion / Gästebuch / Forum eingerichtet, in dem sich Besteller über Erfahrungen austauschen können.
  3. Interessenten die eine anonyme SIM-Karte erhalten möchten, senden in einem Briefumschlag einen 5 € Schein an die auf der Webseite veröffentlichte Adresse.
  4. An die Absenderadresse wird eine anonyme Karte zurückgeschickt. Dies kann auch eine Postlagernde Adresse sein.
  5. Es muss kein frankierter Rückumschlag etc. beigelegt werden.
  6. Von den 5 € sollte ein Spendenanteil an den AK weitergeleitet werden. Vorschlag: 3 €?

Vorteile:

  1. Es fallen gar keine Datenströme über Zahlungen an.
  2. Der Aufwand ist relativ gering, da es nicht komplizierte Bestellabläufe, Warenkörbe, Zahlungsausfälle etc. gibt. Ein Briefumschlag + einmal 5 € = 1 anonyme SIM-Karte.

Offene Fragen

  1. Es fehlt an einer zuverlässigen Quelle für die SIM-Karten. Hat jemand gute Kontakte zu einem Mobilfunkhändler?
  2. Dem AK wurden mehrere hundert Karten angeboten, Marcus wartet auf ihre Zusendung.