Ansichten eines Informatikers

Die Innenminister, der Jurist und der Handy-Diebstahl

Hadmut
16.6.2014 19:26

Oder: Wenn „dagegen” zur Lebensphilosophie wird.

Mehrere Leser wiesen mich auf einen Blog-Artikel im Lawblog von Udo Vetter hin, der sich über den Vorschlag des (der?) Innenminister(s) aufregt, eine Sperrliste für geklaute Handys zu erstellen.

Vorab: Ich fände eine solche Liste gut und wichtig. Hatte ich vor 10 Jahren schon mal gerügt, dass man sowas nicht macht. Ich bin der Meinung, dass als gestohlen gemeldete Handys auf eine Liste und erkannt werden müssen. Allerdings nicht notwendigerweise zur Sperrung, sondern zur Erkennung und Anpeilung, wer geklaute Handys verwendet. Denn irgendwie muss man die Klauerei und die Hehlervertriebswege ja abdrehen können. Immerhin rennen wir heute mit Handys in Größenordnungen bis zu 800 Euro herum, und ich habe hier in Berlin schon einige sehr verzweifelte Leute erlebt, für die ein Handy- oder Tablet-Diebstahl ein schwerer und finanziell erst einmal unersetzbarer Verlust ist.

Insofern befürworte ich eine solche Liste sehr, sehe dabei nur zwei oder drei technische Probleme. Das erste ist, dass eine rein deutsche Liste nicht viel bringt. Dann werden die Dinger eben ins Ausland verkloppt. Mindestens europaweit muss sie schon sein. Das zweite Problem ist, dass es durch Firmware-Hacks bei vielen Geräten möglich ist, die IMEI zu ändern. Das sollte natürlich auch nicht möglich sein. Ein drittes Problem, von dem ich erst in Zusammenhang mit dem aktuellen Vorschlag gelesen habe, ist, dass die Hersteller es angeblich nicht auf die Reihe bekommen, die IMEIs eindeutig zu machen und es angeblich Dubletten gibt. Darf natürlich nicht sein.

Aber davon abgesehen fände ich sowas eine gute und wichtige Idee.

Ich habe überhaupt kein Verständnis dafür, dass ein geklautes Handy noch gefahrlos verwendbar sein sollte. Wenn’s technisch geht: Sperren oder den Nutzer erst mal befragen, woher er das Ding bekommen haben will. Zudem kann jemand, der ein gebrauchtes (oder scheinbar neues) Handy kauft, durch einfaches Ausprobieren die Wahrscheinlichkeit, dass es Hehlerware ist, drastisch reduzieren.

Warum aber regt sich dieser Udo Vetter so auf? Ich habe den Eindruck, dass er da ein paar Dinge nicht verstanden hat.

Er meint, das wäre nur ein Vorwand, damit der Staat die IMEIs sammeln und willkürlich Personen das Telefon abschalten kann. Das Argument erscheint mir aus mehreren Gründen falsch.

  • Der Staat braucht keinen Diebstahl und keine Diebstahl-Liste, um an die IMEI zu kommen. Wundert mich, dass Vetter das nicht weiß. Denn erstens weiß der Provider sowieso, wer welche IMEI hat, sobald man das das erste Mal benutzt, denn natürlich meldet sich das Handy mit IMSI und IMEI an. Und damit weiß der Provider, mit welcher (genauer: wessen) Mobilfunkkarte das Gerät betrieben wird. Zweitens: Die meisten Handys werden vom Provider verkauft und über den Vertrag subventioniert. Dann aber muss der Provider die IMEI-Nummer nach § 111 Abs. 1 Nr. 5 TKG erheben und speichern, und auf § 113 TKG-Anfragen herausgeben. Beides machen sie sowieso.
  • Prinzipiell würde ein Handy (bzw. dessen IMEI) erst nach einem Diebstahl auf der Liste landen. Wesen des Diebstahls ist, dass es der Eigentümer nicht mehr in seinem Besitz hat. Damit könnte die Speicherung nicht mehr dessen Datenschutz betreffen. Und um’s mal direkt zu sagen: Auf Datenschutz für Diebe und Hehler pfeif ich. Das fehlte gerade noch, dass wir Datenschutz für Diebe einführen, damit die in Ruhe klauen können.
  • Wenn der Staat irgendwem das Telefon abdrehen will, dann braucht er dazu nicht die IMEI, sondern kann das wirksamer über die IMSI machen, denn dann ist derjenige nicht mehr anrufbar. Geht aber rechtlich nicht. Genausowenig wie ein künstliches Abdrehen einer IMEI.
  • Wenn der Staat unbedingt an IMEIs kommen will, stellt er nen IMSI-Catcher auf.
  • Der zentralste Denkfehler dabei: Da steht ja nicht einmal, dass man zwangsweise in diese Datenbank kommt. Das muss man selbst wissen, ob man sein Handy als gestohlen meldet oder nicht. Wenn man nicht will, dann lässt man’s eben bleiben. Das ist aber doch kein Grund, es anderen zu verwehren. Ich persönlich würde mein Handy dort sperren (oder peilen) lassen, wenn es geklaut würde. Ich erinnere mal daran, dass die Öffentlichkeit sich gerade über die steigende Zahl von Wohnungseinbrüchen erregt und nach besseren Aufklärungsmethoden sucht, weil die Aufklärung eben so mäßig ist. Dann hätte man da mal einen Weg, dann wehren sich schon wieder welche dagegen.

    Es gibt ja inzwischen eine Menge Leute, die sich Peilsender ins Auto einbauen lassen. Nicht weil die den Diebstahl verhindern. Sondern weil sie zeigen, wo die Dinger hingehen und deshalb Fahndungsansätze erst eröffnen. Warum sollte man Handys so grundsätzlich anders behandeln als Autos?

Wenig Verständnis habe ich auch für Vetters Alternativvorschläge mit den Sperr-Apps.

Denn erstens sind die eine viel größere Datenschutz-Katastrophe, weil die ja regelmäßig nachfragen müssen, ob das Handy noch im legalen Zustand ist, und dazu ständig Daten übertragen. Der schlägt da so einen datenschutzmäßigen Selbstmord aus Angst vor dem Tod vor.

Zweitens kann man die rausputzen. Einmal das System auf Auslieferungszustand und die sind weg. Wer IMEIs ändern kann, der kann auch Apps putzen.

Insgesamt kommt mir das also ziemlich verfehlt vor. Irgendwo ist der Punkt, an dem man das Kind mit dem Bade ausschüttet und man aufpassen muss, dass das eigene Weltbild nicht mehr Schaden als Nutzen bringt.

Nachtrag: Die Bundesregierung hat doch extra eine auf das Bekleben von Handys mit Fell und Glitzerfolie spezialisierte Internet-Botschafterin. Warum zieht man die nicht zu Rate?

Nachtrag 2: Oder steckt da jetzt etwa so eine Piraten-Denke dahinter, die Handy-Diebstahl als legitimes Mittel ansieht, um allen Bevölkerungsschichten den Zugang zu gewähren, so nach dem Motto „Nehmt den Reichen und gebt den Armen”?

22 Kommentare (RSS-Feed)

Fry
16.6.2014 19:38
Kommentarlink

Danke für den Artikel.

Udo Vetters Reaktion kann ich aber emotional gut nachvollziehen. Nach den eklatanten und unverschämten Verfassungsbrüchen, die in den letzten Monaten rausgekommen ist, wer vertraut denn da noch unserer Regierung, dass sie im Interesse der Bürger handelt? Viel näher liegt doch die Annahme, dass man schon wieder verkauft wird.


Internet-Botschafterin
16.6.2014 19:57
Kommentarlink

Das Bekleben des Handys mit Fell und Glitzerfolie ist doch eine gute Sache, wenn das dem Diebstahl des Geräts vorbeugt.


splitcells
16.6.2014 20:51
Kommentarlink

Verfolge es nicht wirklich, aber
es stehen anscheinend mehrere Möglichkeiten zur Debatte:
http://www.heise.de/newsticker/meldung/Innenminister-fordern-Wegfahrsperre-gegen-Handy-Diebstahl-2221584.html?wt_mc=rss.ho.beitrag.rdf

Zum Beispiel ein (verbindlicher?) “Kill Switch” mit der Funktion
“entwendete Geräte aus der Ferne zu deaktivieren und darauf vorhandene Daten zu löschen”.

Bei dem “Kill Switch” bin ich sehr skeptisch.
An sich eine gute Idee, man kann aber auch viel Unsinn
damit treiben, wenn dass nicht richtig implementiert
(standardisiert) wird.


jck5000
16.6.2014 20:52
Kommentarlink

Mein Mitleid mit Leuten mit einem neuen iPhone / Galaxy S / etc., für die dessen Verlust ein “schwerer und finanziell erst einmal unersetzbarer Verlust ist”, hält sich in Grenzen.

Aber zum Thema: Ich verstehe die Bedenken von UV schon. Deine auch. Gegen eine “Blacklist” spricht überhaupt nichts. Das muss auch nicht “schnell gehen”. Ich frage mich eh, wieso die Polizei das nicht schon lange nutzt, um ihre Aufklärungsstatistik zu verbessern; kann ja nicht so schwer sein; Handyortung gibt’s ja nun eh schon; ich kann mir nicht vorstellen, dass es technisch problematisch ist, die nach IMEI statt nach IMSI durchzuführen.

Eine Whitelist hingegen nervt primär; vor allem, da die länderspezifisch sein wird. Also nicht mehr im Ausland schnell SIM-Karte tauschen, da musste erstmal in den Turkcell-Shop mit Ausweis und drumundran und 10 Euro abdrücken – für nix (ist so in TR). Sekundär finde ich, es geht den Staat gar nix an, wer wann was mit seinem Telefon macht.


Der große böse Wolf
16.6.2014 21:05
Kommentarlink

> Prinzipiell würde ein Handy (bzw. dessen IMEI) erst nach einem Diebstahl auf der Liste landen.
Würde es das? So viel Vertrauen in die Politik hätte ich Dir gar nicht zugetraut.
> Wenn der Staat irgendwem das Telefon abdrehen will […] Geht aber rechtlich nicht.
Dann wird halt eben an einem neuen Gesetz gemerkelt, damit es geht.


Noob
16.6.2014 21:18
Kommentarlink

Ich befürchte auch, daß die Telefone von “Gefährdern” dann einfach mal Gesperrt werden. Es steht ja nicht da, daß eine Nachricht kommt “Ihr Telefon wurde gesperrt” wenn man damit anrufen will.
Dann geht das halt mal nicht auf einer Demo/was auch immer, und später gehts wieder.

Und, daß jemand von den Behörden bestraft wird, weil Polizeisprecher:”Es war eine Doppelte,Typo,falsche Nummer”, das glauibt eh keiner mehr (siehe verschwundene Videos, oder zurechtgestutzte weil Kamera hatte Wackelkontakt, “ja alle 10”).

Und daß es evtl. bessere Möglichkeiten gibt bestreite ich nicht, aber Politiker haben Ideen, keine Kompetenz.


DerMike
16.6.2014 21:56
Kommentarlink

@splitcells

irgendwie meine ich mal gelesen zu haben
dass Einwände gegen diese KillSwitch Geschichte
von Polizei selber kochen kommen.
Kriminelle deren Handy beschlagnahmt wurde
könnten so einfach aus der Ferne alle eventuell
strafrechtlich relevanten Daten löschen.


TR
16.6.2014 23:03
Kommentarlink

>Immerhin rennen wir heute mit Handys in Größenordnungen bis zu 800
>Euro herum, und ich habe hier in Berlin schon einige sehr verzweifelte
>Leute erlebt, für die ein Handy- oder Tablet-Diebstahl ein schwerer
>und finanziell erst einmal unersetzbarer Verlust ist.

da gibt’s eine ganz einfache grundregel: wenn man den verlust von 800,- nicht verkraftet, kauft man sich eben ein phone für 400,-. oder eins für 300,-


Emil
16.6.2014 23:53
Kommentarlink

Den “Kill Switch” gibt es übrigens schon für alle neueren Smartphones, wenn man Microsoft Exchange einsetzt:

Darauf sollten auch Anwender achten, die ihr Privat-Smartphone mit dem Unternehmens-Exchange-Server verbinden. Jeder Exchange-Administrator darf kommentarlos und ohne Genehmigung des Anwenders jedes Smartphone mit allen Daten löschen.

http://www.tecchannel.de/kommunikation/handy_pda/2036926/


Phil
17.6.2014 0:00
Kommentarlink

@jck5000 in den Staaten wird die Ortung schon lange gemacht, mit guten Erfolgsquoten.
Eigentlich braucht es dann die Blacklist auch gar nicht. Wer so schlau ist, das Handy erst einmal eine Weile auszulassen, der schafft es auch, die IMEI zu ändern und das Telefon auf Werkszustand zurückzustellen.


Hanz Moser
17.6.2014 0:23
Kommentarlink

Die grundsaetzlichen Bedenken dagegen so eine Schnittstelle zu implementieren teile ich. Mittlerweile bin ich bei allem skeptisch, was dem Staat einen Eingriff ins Privatleben seiner Buerger ermoeglichen wuerde. Kommen wird es aber garantiert, da es in den USA bereits beschlossene Sache ist: http://arstechnica.com/tech-policy/2014/02/new-bill-demands-smartphones-have-kill-switch-in-case-of-theft/

Und was Vetter angeht sollte man immer dran denken, dass er Rechtsanwalt ist. Er ist zu einer technischen Beurteilung schlicht nicht in der Lage und man muss ihn in der Hinsicht als Laien begreifen.


Olli
17.6.2014 1:15
Kommentarlink

@ TR Sag mal hast du ein Auto? Und könntest dir einfach so nein Neues leisten? Ohne Versicherung?

Zum Thema. Die Bedenken verstehe ich schon. Ja klar könnte der Staat auch so an die IMEI kommen. Aber eine eigene Datenbank inkl. Killswitch würde die Zugriffe wesentlich erleichtern und dauert nicht im Extremfall Tage sondern nur Minuten. Und ich wette das mit der Freiwilligkeit irgendwann Essig ist.

Btw die IMEI würde übrigens bei mir einen ganz anderen Namen ausspucken da ich meine Geräte immer gebraucht kaufe. Ich hatte sogar jahrelang eine anonyme Simkarte, da diese aus einer Zeit stammt wo die Karten generell freigeschaltet waren. Gut den Eintrag könnte man korrigieren dummerweise wurde das Gerät im D-Netz gekauft und ich hab eine E-Netzkarte. Die Provider müssten sich also austauschen. Was alleine schon datenschutzrechtlich bedenklich wäre.


Stuff
17.6.2014 1:19
Kommentarlink

Ich finde ja diese Gutgläubigkeit Behörden gegenüber masslos…
Die Ladestationen über Distanz in den Coffee-Shops: Batterie rausnehmen um keine Bewegungsprofile zu hinterlassen ist dann wirkungslos, für den Beep an den Tower reicht der Ladestrom. Faryday’scher Käfig muss auch ultraschalldicht sein – mehr verrat ich auch nicht – somit ist die Fellglitzerhaut vielleicht doch eine gute Idee…


Svenska
17.6.2014 2:11
Kommentarlink

Gegen eine offizielle (und öffentliche!) Liste gestohlener Handys, Fahrräder, Autos, … habe ich nichts, solange die Einträge nach Rückgabe an den Eigentümer dort auch wieder verschwinden.

Aber du vergisst die Zielgruppe: Teenager, die ihr 800€-iDingens irgendwo vergessen oder geklaut kriegen, kennen die IMEI selbst sowieso nicht, können die also auch nicht als gestohlen melden. Der Provider kann zwar aus der Telefonnummer und so weiter, aber da muss man mit Missbrauch aufpassen, sonst könnte jemand unberechtigt kräftigen Ärger bekommen.

Für so eine Diebstahlverfolgungs-Infrastruktur bin ich definitiv zu haben, aber ich bin gegen eine frühzeitige Sperrung der Geräte (da soll die Polizei vor der Tür stehen!) und auch gegen Automatismen.


Udo Vetter ging es wohl nicht um den Diebstahlschutz und wie man den implementieren kann. Sondern darum, dass man nicht mehr einfach ein Telefon kaufen und benutzen kann, sondern dazu quasi die staatliche Genehmigung dazu braucht. Und ja, natürlich kann der Staat den Mobilfunkanbieter kontaktieren und sämtliche Nutzerdaten anfordern. Aber es ist schon ein Unterschied, ob dieser Verwaltungsakt nötig ist, oder ob sämtliche Daten direkt beim Staat sind und dieser jederzeit ohne Genehmigung nachschauen kann, wo ein Handy ist und wem es gehört. Und ja, da stimme ich Vetter zu – Diebstahlschutz ist eine schwache Ausrede, um Datenbanken einzurichten, die für ganz andere Dinge ohne richterliche Genehmigung verwendet werden können, und wenn, will ich mich selber darum kümmern.


yasar
17.6.2014 9:15
Kommentarlink

Wie Du schon dargelegt hast, sind die Maßnahmen, die da angedacht sind erstmal nicht schlimmer als das, was jetzt eh schon möglich ist.Die IMEI udn IMSi-daten sind vorhanden, die Staatsorgane könnten jedem mißlibigen Menschen das telefon abdrehen wenn sie wollten, was aber ggf. rechtliche Konsequenzen nach sich ziehen könnte.

Existiert nun aber so eine “Liste”, denen man offiziell den Saft abdrehen darf, könnte und wird das natürlich auch “aus Versehen” Leuten passieren, die “ähnliche” Nummern haben, selbst wenn das keine Absicht der Staatsorgane ist. So wie manche Datenübermittlng in den Behörden erfolt, sind da fehler vorprogrammiert. Das wird dann vermutlich von den Dreibuchstabenbehörden auch ausgenutzt werden.

So wie ich die Sache sehe, ist das wie so oft in der Security. man muß das Risiko, daß die Behörden das gezielt mißbrauchen können, um mißliebigen leuten “legal” den Saft abzudrehen gegen den Vorteil, einen Teil der Hehlerei trockenzulegen abwägen und bewerten.

Auch wenn man die Telefone abschaltet, wird das den Besitzern Ihr Telefon nicht zurückbringen, sondern höchstens dafür sorgen, daß die Dinger nach Afrika oder sonstwo vertickert werden oder “en gros” geflasht werden. Das macht zwar die “Gestehungskosten” für die kriminellen höher, wird aber die organisierten banden vermutlich nicht abhalten, aber vielleicht wenigstens die Kleibnkriminellen.


mathematicus
17.6.2014 9:33
Kommentarlink

Das Konzept, IMEIs gestohlener Handys zu sperren, existiert schon seit den frühen Anfängen von GSM, also seit rund 25 Jahren: “EIR”. Aber es hat sich aus vielerlei Gründen nie durchgesetzt, insbesondere hohe Kosten für die Betreiber und geringer Nutzen für die Kunden.

So kann ein EIR niemals einen Diebstahlschutz garantieren, wenn man etwa an die Handys denkt, die Kollateralschäden eines Auto- oder Handtaschendiebstahls sind. Wäre das Handy anschließend via EIR gesperrt, könnte der Dieb es möglicherweise nicht nutzen. Aber was hat der rechtmäßige Besitzer davon? Nichts. Sein Handy ist erst einmal weg.

Und neben dem Problem der IMEI-Dubletten: Wie soll sichergestellt werden, dass wirklich nur die IMEIs gestohlener Handys im EIR eingetragen werden? Wie soll etwa jemand die IMEI seines gestohlenen Handys gegenüber der Polizei belegen, der ein gebraucht gekauftes Handy genutzt hat? Außerdem müsste das EIR von allen Ländern (reicht Europa wirklich aus??) und allen Netzen gespeist werden. Was passiert nun, wenn jemand eine IMEI z.B. in Spanien eintragen lässt, die aber zufälligerweise / irrtümlicherweise die IMEI eines deutschen Kunden betrifft? Wie soll dieser das wem gegenüber richtigstellen?

Es ist sicherlich nachvollziehbar, dass sich die Innenminister mit dem Thema der Smartphonediebstähle auseinandersetzen, aber die Einführung eines EIR hilft hier nicht weiter.


Oppi
17.6.2014 10:47
Kommentarlink

“Der zentralste Denkfehler dabei: Da steht ja nicht einmal, dass man zwangsweise in diese Datenbank kommt. Das muss man selbst wissen, ob man sein Handy als gestohlen meldet oder nicht. ”

Man muss aber vor dem Diebstahl schon wissen welches Gerät welchem Besitzer gehört, sonst könnte ja jeder jedes Gerät als gestohlen melden und sperren lassen.


Knut
17.6.2014 11:34
Kommentarlink

Ich bin überrascht, dass die IMEI sich dann doch so einfach ändern lässt, obwohl z.B. UK schon ein Diebstahlregister hat. Anscheinend ist den Herstellern wirklich alles egal.

Ich war davon ausgegangen, dass man dafür so eine Programmierklammer wie bei den embedded Chips braucht, was für Diebesbanden kein Problem darstellt, für den unehrlichen Finder aber im Allgemeinen zu viel Aufwand an Zeit und Geld ist.

Alle Einwände halte ich genauso wie Hadmut für schwach. Solange man das Mobiltelefon nur auf Antrag einträgt, kann es doch jeder halten, wie ein Dachdecker. Und die Registrierung beim Provider kann der Staat ohnehin schon abschnüffeln. Richtervorbehalt ist doch mit dem Fällen von ein paar Bäumen schnell aus der Welt geschafft.


Michael
17.6.2014 12:50
Kommentarlink

Naja – eigentlich verschlüsselt man sein Handy sowieso voll – intern Speicher + Speicherkarte. Der Dieb kann damit erst mal nichts anfangen – außer per Hardreset. Wenn man es verschlüsselt, Dieb findet es, schaltet es aus/ein, bleibt es beim Boot-Screen zur Kennwort-Eingabe hängen. Alle Tracking etc. Tools sind somit erst mal für die Katze. Lieber Handy weg, als Daten für Dritte einsehbar.

Und die IMEI kann man doch bestimmt auch schon setzen ? Neue IMEI und aus die Maus.

Ein verlorenes Handy sollte man als verloren ansehen.

Ich lege in das Akku-Fach immer einen Zettel mit meinen Kontaktdaten + dem Text: “Finderlohn xxx €”. In der Praxis kam es noch nicht zur Anwendung 🙂


Joe
17.6.2014 14:04
Kommentarlink

Udo Vetter ging es wohl nicht um den Diebstahlschutz und wie man den implementieren kann. Sondern darum, dass man nicht mehr einfach ein Telefon kaufen und benutzen kann, sondern dazu quasi die staatliche Genehmigung dazu braucht.

Man könnte auch die dem Diebstahl zugrundeliegenden politischen Probleme lösen, anstatt an den Symptomen herumzudoktern. Ich habe allerdings den Verdacht, daß man genau diese Problem zuerst gewollt erzeugt hat, um dann eine technische “Lösung” mit vielen ebenso gewollten “Nebenwirkungen” anbieten zu können.

Geschickt… Ein Schelm, wer Böses dabei denkt…


mathematicus
18.6.2014 16:20
Kommentarlink

Negative Erfahrungen aus UK zum Sperren von Handys:
http://paulclarke.com/honestlyreal/2010/07/my-phones-been-blacklisted/