In der Informatik und besonders wenn es um Datenschutz geht versuche ich mit offenen Ohren durch die Welt zu gehen. Die technischen Möglichkeiten heutzutage Benutzerdaten auszuwerten sind leicht zu unterschätzen und das Missbrauchspotential schnell erschütternd. Gerade spezielle, technische Lösungen zeigen, einfach Erhebung, Auswertung, Weitergabe und Remix der Daten ist.
Ich arbeite seit einigen Monaten in einer Firma in der ich mich mit Web-Entwicklung für Mobiltelefone beschäftige. Dabei konnte ich lernen was die MSIDSN ist. Da ich im Zuge einiger Webrecherche wenig zu dem Thema fand will ich hier kurz was dazu schreiben. Dank an dieser Stelle an Leo, durch seine Reccherche noch gut weiterhelfen konnte.
Konkret wurde ich kürzlich vor die Aufgabe gestellt für einen mobiles Webkatalog Möglichkeiten zu recherchieren, wie von einem mobilen Webseitenbesucher die Handy-Nummer ausgelesen werden kann. Dies sollte den Registrierprozess für das Portal auf Handys vereinfachen. Eigentlich sollte man sich hier schon an den Kopf fassen, dass überhaupt die Möglichkeit in Betracht gezogen wird automatisiert diese Verkehrsdaten abzufragen. Ich meine man stelle es sich vor, man schaltet eine einfache Webseite und von jedem Besucher der sie über ein Mobiltelefon besucht wird die Mobilfunknummer in einer Datenbank gesammelt. Zwar nicht identifiert und signiert, aber immerhin echt und korrekt. Perfekt um sie einfach mal an Werbespammer weiter zuleiten.
Ich war nicht sehr begeistert auf die Aussicht so eine Technik – so vorhanden – zu benutzen, begann aber meine Recherche.
Das Stichwort unter dem das ganze läuft ist “MSISDN”, der Mobile Station ISDN Number.
Jeder mobile Besucher, der eine Webseite laden will, sendet vom Browser einen HTTP-Request ab, der beschreibt, welche Webseite vom Server zurück geliefert werden soll. Kurz gesagt geht es bei der MSISDN nun darum diesen HTTP-Request des mobilen Browsers zu analysieren und zu gucken, ob die MSISDN im Request mitgegeben wird. Die MSIDSN wird nicht vom Browser in den Request geschrieben, der weiß selber nicht auf welchem Gerät, mit welcher Nummer er ist. Die MSIDSN wird auf dem Weg zu Server vom Provider eingefügt. Der vom Browser abgesetzte Request wird über ein Mobilfunkprotokoll (UMTS/3G, GRPS etc) übertragen und vom Mobilfunkprovider über Gateways ins Internet geleitet. An diesen Gateways wird die MSISDN-Nummer zugeordnet, von der der Request abgesetzt wurde.
Auf Serverseite kann der HTTP-Request einfach ausgewertet und die darin enthaltenen Daten (ie die Handynummer) gelesen werden. Hier ist die einzige Frage unter welchem Schlüsselwort die MSIDSN zu finden ist. Dies kann sich je nach Provider unterscheiden, in den Yellow-Pages für mobile HTTP-Requests kann man dies jedoch nachschlagen.
Also prinzipiell gibt es diese Technik und es ist sehr verwunderlich, dass sie außerhalb von Mobiltechnologiekreisen nicht weiter bekannt ist.
Die gute Nachricht ist, dass zumindest in Deutschland die Provider die MSISDN nicht mitschicken. Das oben beschriebene Szenario des automatischen Auslesens ist also zunächst nicht möglich.
Die schlechte Nachricht ist, dass die Technik trotzdem existiert und vorallem, dass Provider Zugriff auf diese Daten vermarkten.
Ich könnte nun als beliebter Handy-Abo-Verramscher an die Mobilfunkprovider herantreten, mit Geld wedeln und meine Webseite für die weitergabe der MSISDN freischalten lassen. Ich würde damit von allen Besuchern, die über diesen Provider kommen die Handynummer an meinem Portal geschickt bekommen und schön mitspeichern können.
Dies alles natürlich ohne, dass der Nutzer etwas davon mitbekommt und ohne, dass er es abschalten kann.
Schöne neue Mobilfunkwelt.