Datenschutzgerechte Spam-Abwehr bei Voice-over-IP

Der Kieler Provider TNG und das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) wollen im Herbst einen Test mit 1000 Nutzern für eine staatlich geförderte Open-Source-Software zur Abwehr von Spam via Internet-Telefonie (Spit) starten. Dies kündigte Markus Hansen vom ULD auf dem Symposium des Berliner Datenschutzbeauftragten zu Datenschutz und Datensicherheit bei der Internet-Telefonie am Rande der IFA in Berlin an. Das auf den Titel Spit-Abwehr-Lösung (Spit-AL) getaufte Projekt will ein rechtskonformes Vorgehen gegen unerwünschte Anrufe von Direktmarketern und anderen missliebigen Personen oder Automaten ermöglichen. Experten gehen davon aus, dass derlei Belästigungen mit dem Vormarsch der kostengünstigen Internet-Telefonie rasant zunehmen und bald ein ähnliches Problem wie E-Mail-Spam darstellen.

Gesetze gegen Spit hält Hansen für größtenteils ineffektiv, solange die nervenden und zeitraubenden Anrufe aus dem Ausland kommen. "Wir brauchen einen technischen Ansatz", ist er sich daher sicher. Bei solchen Filterlösungen gelte es aber auch Datenschutzregeln und andere Rechtsgrundlagen zu beachten. So habe die "Artikel 29"-Arbeitgruppe der EU-Datenschutzbeauftragten etwa eine allgemeine Analyse des Datenverkehrs durch Filter auf vorbestimmte Inhalte einschlägiger Art abgelehnt. Die klare automatische Zurückweisung eines Anrufs könne zudem der "Unterdrückung" einer Kommunikation gleichkommen, was hierzulande rechtlich heikel und eine entsprechende technische Lösung angesichts fehlender Gerichtsentscheidungen in eine juristische Grauzone bringen würde.

In einem Whitepaper (PDF-Datei) erarbeiteten die Projektpartner als Hauptvorgabe, dass der Nutzer die vollständige Kontrolle über die Abwehrlösung haben müsse. Dabei sollen ihm "feingranulare" Auswahloptionen an die Hand gegeben werden. Darüber hinaus sieht der Entwicklungsplan aber auch Voreinstellungen für verschiedene Nutzergruppen wie im privaten Bereich, Unternehmen oder öffentliche Stellen vor. Schon vorab stand zudem fest, dass eine Auswertung des Kommunikationsinhaltes von VoIP-Gesprächen nicht in Angriff genommen werden soll. Ein entsprechendes Verfahren könnte laut Hansen generell erst direkt zum Zeitpunkt eines Anrufs greifen, sei technisch sehr komplex und zudem bereits von Microsoft im Rahmen des Prototypen V-Priorities in den USA zum Patent angemeldet worden.

Um Belästigungen durch andere Menschen, in der EU eigentlich bereits verbotene automatische Anrufsysteme oder Klingelton-Spit mit Verweis auf Sound-Dateien zu verringern, setzt Spit-AL daher vor allem auf die Analyse von Informationen über einen Anruf. Eine verlässliche Rufnummernsperre sei dabei schwer zu implementieren, da bei VoIP die Anruferidentifikation nicht in jedem Fall zu gewährleisten sei, meinte Hansen. Festgestellt werden könne aber etwa die Herkunft des Anrufs, ob dieser also beispielsweise aus dem Festnetz oder von einem "vertrauenswürdigen" Server für Internet-Telefonie stamme und daher die Wahrscheinlichkeit für Spit nicht sonderlich hoch sei. Darüber hinaus sehe die Software gängige Funktionen wie weiße und schwarze Listen sowie ein Verzeichnis für Bekannte, Verwandte und Freunde vor, führte Hansen aus. Vorstellbar sei auch die Übernahme anderer "Whitelists" von Personen, denen man vertraue gemäß dem Prinzip des "Web of Trust". Diese Möglichkeit sei in das System aber noch nicht integriert worden, da die Entwickler noch die rechtlichen Ausmaße einer solchen Funktion prüfen.

In Betracht ziehen kann die Software nach Angaben Hansens bei der Prüfung der Spit-Wahrscheinlichkeit ferner die Zeit des Anrufs, da selbst freigestempelte Kontakte des Nutzers wohl kaum um fünf Uhr morgens durchklingeln würden. Die Abwehrlösung gebe dem Anwender schließlich eine Reihe von Optionen an die Hand, um mit Anrufen, die als Spit gekennzeichnet werden, umzugehen. So könne er etwa auf besetzt schalten, kleine Tests zum Beispiel in Form von einfachen Rechenaufgaben für den Kontaktsuchenden vorschalten, auf einen Anrufbeantworter umleiten oder eine andere Verfügbarkeit etwa über eine teurere Rufnummer angeben. Nicht berücksichtigt haben die Projektpartner Mittel zum Simulieren der Anrufentgegennahme, wie sie etwa die Lösung Telecrapper2000 bietet, oder die Anlage von "Honeyphones" zur Datensammlung über Spitversuche parallel zu den gegen E-Mail-Spam eingesetzten Honeypot-Servern.

Die Spit-Abwehrlösung soll sich laut Hansen sowohl bei einem Provider installieren und mit einem Routing der Anrufe über die damit verknüpften einzelnen Komponenten verbinden lassen als auch auf einzelnen Rechnern zum Einsatz kommen. Sie könnte damit einerseits von Telefonie-Anbietern als zusätzlicher Service eingebunden, andererseits innerhalb von Firmen oder Behörden sowie kleinen Privatnetzen direkt eingesetzt werden. Das System setzt auf die Open-Source-Software Asterisk auf und soll sich in weiten Bereichen an die eigenen Bedürfnisse anpassen lassen. (Stefan Krempl) / (jk)