‘Ich war das nicht’ - 'Das ist doch unmöglich'

ISDN-Rufnummern-Spoofing aus der Sicht des Verteidigers


1. Beweismittel
Im Strafverfahren behauptet der Beschuldigte gerne, er sei es nicht gewesen. ALso muß es ihm bewiesen werden. Bei Straftaten mit Bezug zum Internet gibt es selten klassische Zeugen, die den Täter gesehen oder gehört haben. Die Ermittlungsbehörden sind dann auf andere Wege der Täterfeststellung  angewiesen. Im Vordergrund steht die Durchsuchung beim Beschuldigten und die Auswertung seiner beschlagnahmten Computerausrüstung. Diese Beweismöglichkeiten stellen ein eigenes Thema dar. Auch mechanische Eingriffe (die aus analogen Zeiten bekannten Dialer und sonstiges Anzapfen von Leitungen, gerade im Zusammenhang mit 0190-Nummern) sollen nicht hier behandelt werden (vielleicht ein andermal).
 

2. Worum es geht
Auf der Telefonrechnung eines Internet-Nutzers erscheinen überhöhte Beträge für den Internet-Zugang; seine Zugangsdaten waren im Internet erhältlich. Der Betreiber eines Internet-Cafés protokolliert Angriffe von einer bestimmten dynamischen IP-Adresse, die zum Adreßraum von Deutschlands größtem Zugangsprovider gehört. Es sieht gut aus für die strafrechtlichen Ermittlungen, weil die Spur des Täters zu einem deutschen Zugangsprovider führt. Der gibt seine Logdateien heraus, wie es in § 89 Abs. 6 TKG vorgesehen ist. Aus der beim Provider gespeicherten Rufnummer ergibt sich der Anrufer. Fall gelöst ?

Bei Sprachverbindungen scheint es noch einfacher: Der Anrufer ist mit seiner Nummer bei der Telefongesellschaft verzeichnet. Das betrifft im Strafrecht beispielsweise Fälle aus dem Bereich der Erpressung und Bedrohung.

In den geschilderten Beispielsfällen galt der Anschlußinhaber bisher unweigerlich als überführt, denn Rufnummern lassen sich nicht fälschen. Von wegen - es geht. Eine entsprechende Anleitung gebe ich hier verständlicherweise nicht, aber eine Erläuterung. Die soll vor allem den strafrechtlich tätigen Anwaltskollegen zugutekommen, denn es dürfte noch eine größere Anzahl von Strafverfahren geben, in denen sich die Verfolgungsbehörden auf den vermeintlich sichersten Beweis verlassen haben.
 

3. Wie es geht
In den Logdateien der Provider werden Calling-IDs im Klartext verzeichnet, also beispielsweise 03511234567.
Dabei ist grundsätzlich gleich, ob eine analoge Leitung oder das ISDN zur Verbindung dient. Rufnummern-Fäslchungen scheinen sich aber (auf seiten des Täters wie des Opfers) im ISDN zu ereignen. Möglicherweise hat dies mit dem zunächst im ISDN verfügbar gemachten Dienstmerkmal der Rufnummernübermittlung bzw. -unterdrückung (CLIP / CLIR) zu tun.

Die Calling-ID also wird dem Angerufenen auf dem Weg durch die Vermittlungsstellen übermittelt, und zwar über das international übliche Verbindungsprotokoll mit dem Namen Zeichengabesystem 7 (ZGS-7). Etwas vereinfacht: Der D-Kanal des ISDN überträgt allerlei Daten über das Gespräch und seine Teilnehmer, nicht aber das Gespräch selbst, an die Vermittlungsstelle. Die reicht diese Daten mit dem ZGS-7 weiter.

Der Anrufer könnte als erstes versuchen, eine andere abgehende Rufnummer als die eigene anzugeben; ISDN-Karten im PC können ohne weiteres auf eine andere abgehende Rufnummer konfiguriert werden. Das wird freilich bereits in der ersten Vermittlungsstelle ‘bemerkt’ und richtiggestellt. Es besteht ja schon für Abrechnungszwecke der dringende Bedarf, eine Caller-ID auch dem richtigen Anrufer zuzuordnen. Derartige Veränderungen der abgehenden Rufnummer haben nur für die Protokollierung von Verbindungen auf dem eigenen Rechner einen Sinn.

Es gibt aber eine zulässige Möglichkeit, andere Rufnummern als die eigene zu verwenden. Voraussetzung ist der nicht sehr gebräuchliche Anlagenanschluß. In diesem Fall werden zwei Rufnummern weitergemeldet, und zwar zuerst die selbst angegebene und anschließend die eigentlich ‘richtige’. So können entsprechend konfigurierte Endgeräte bei den beteiligten Vermittlungsstellen bis hin zum Provider ohne weiteres die Zuordnung des Anrufers vornehmen. Die Abrechnung stimmt dann wieder.

Sie tun es aber oftmals nicht, weil dieser Sonderfall des Umgangs mit Rufnummern selten ist. Offenbar wurde nach Übermittlung der ersten Caller-ID diese als 'richtig' behandelt und eine weiter übermittelte Caller-ID nicht zur Kenntnis genommen. Wenn also nur die 'falsche' erste Caller-ID ausgewertet wird, geht die 'richtige' unter.

Derartige Situationen sind vom BSI unter dem Begriff 'Maskerade' im Grundschutzhandbuch beschrieben.
 

3. Wielange es geht
Selbst bei der Telekom AG wurde scheinbar die vollständige Auswertung der ankommenden Rufnummern erst zum 1.4.2000 sichergestellt worden zu sein. Wie es bei anderen Providern aussieht, habe ich nicht herauszubekommen; für Hinweise bin ich dankbar.

An dieser Stelle erscheinen die Warnung vor falschen Schlußfolgerungen notwendig: Die geschilderte Form des Rufnummern-Spoofing ist nicht gang und gäbe. Aus einer hohen Telefonrechnung wird man sich damit ebensowenig herausreden können wie früher mit der Behauptung, es habe wohl jemand einen Dialer am Hausanschlußkasten angebracht und ihn hinterher wieder entfernt. Im Zivilrecht werden an derartige Behauptungen strengere Maßstäbe angelegt.
 

4. Was daraus folgt
Wenn die ernsthafte Möglichkeit besteht, daß es der Beschuldigte wirklich nicht war, muß er freigesprochen (oder ein Ermittlungsverfahren eingestellt) werden. Mit ganz unwahrscheinlichen Konstruktionen kommt der Beschuldigte dabei nicht durch ('Ich habe nicht geschleust, ich war an der Grenze wandern und als ich zum Auto zurückkam, saßen auf einmal die fünf Albaner drin und dann bin ich halt einfach losgefahren'). Es muß andererseits aber keine überwiegende Wahrscheinlichkeit dafür bestehen, daß sich die Sache anders zugetragen hat. Die venünftige Möglichkeit genügt. Der Umstand, daß wenigstens bis in dieses Jahr hinein auf angebliche Caller-IDs kein Verlaß war, reicht als vernünftiger und möglicher andersartiger Geschehensablauf aus.

Aus Logdateien ließ sich bis April 2000 sich ein Anrufer nicht feststellen. Die Ermittlungsbehörden müssen insoweit auf andere Beweismittel ausweichen.

Home
 
 

© RA D.Sittner 2005 / EMail