Wem gehört eine Telefonnummer? Das können 135 staatliche Stellen von 142 Telekommunikations-Unternehmen erfahren, ohne dass die betroffenen Firmen oder Kunden davon etwas mitbekommen.

Dieses automatisierte Auskunftsverfahren wird von der Bundesnetzagentur betrieben und ist auch als „Behördentelefonbuch“ oder Bestandsdatenauskunft bekannt.

Die Bundesnetzagentur veröffentlicht darüber jährliche Statistiken, neben einem Absatz im aktuellen Jahresbericht auch auf der Webseite:

Im Jahr 2025 wurden insgesamt ca. 35,11 Mio. Ersuchen über das Automatisierte Auskunftsverfahren bei der Bundesnetzagentur beantwortet.

Wir haben die Zahlen wie jedes Jahr aufbereitet und visualisiert.

Wem gehören 35 Millionen Telefonnummern?

Deutsche Behörden haben im letzten Jahr über 35 Millionen Mal gefragt, wer eine Telefonnummer registriert hat.

Staatliche Stellen wie Polizei, Geheimdienste und Zoll haben also im Schnitt fast jede Sekunde einen Datensatz mit Name, Anschrift und weiteren Bestandsdaten erhalten. Das ist ein neues Allzeithoch.

Diese nummernbasierten Ersuchen haben sich innerhalb von fünf Jahren verdoppelt.

Welche Telefonnummern gehören dieser Person?

Die Auskunft geht auch anders herum: Welche Telefonnummern gehören einer Person?

Diese personenbasierten Ersuchen wurden 340.813 Mal gestellt. Das ist etwa eine Abfrage alle anderthalb Minuten.

Diese Abfragen nahmen wieder zu:

Registrierungspflicht für SIM-Karten

In vielen Staaten der Welt kann man Internet per WLAN und Mobilfunk auch ohne Identifizierung nutzen, darunter USA und Kanada, Großbritannien und Tschechien. Das Bundesamt für Sicherheit in der Informationstechnik hatte jahrelang die „Verwendung von Prepaid-Karten zur Anonymisierung“ empfohlen.

Seit einem Anti-Terror-Gesetz von 2016 müssen Prepaid-SIM-Karten in Deutschland mit einem amtlichen Ausweisdokument registriert werden. Das sind genau die Daten, die jede Sekunde abgefragt werden.

Damals sagte uns das CDU-geführte Innenministerium, dass es „keine allgemeine Pflicht zur nachträglichen Überprüfung bereits erhobener Bestandsdaten“ gibt.

Bundesnetzagentur kontrolliert Daten

Diese Zusage gilt jetzt nicht mehr. Sicherheitsbehörden beklagen, dass manche Daten eine „mangelhafte Datenqualität“ hätten, also Anschlüsse auf ein Pseudonym registriert sind. Deshalb hat die Bundesnetzagentur Auslegungshinweise zum Gesetz „erweitert und fortentwickelt“. Auf einem „Compliance Gipfel“ diskutieren Branchenvertreter und berechtigte Stellen „Lösungsansätze zur Verbesserung der Datenqualität“.

Dieses Jahr will die Bundesnetzagentur die „Vorgaben für Identifizierungsverfahren im Prepaid-Mobilfunksektor“ überarbeiten. Nach der Novellierung des Telekommunikationsgesetzes will die Bundesnetzagentur die Kundendatenauskunftsverordnung und die Technische Richtlinie für das Auskunftsverfahren überarbeiten.

Wer keinen Personalausweis vorlegt, verliert den Mobilfunk-Anschluss.

Keine Transparenz zu IP-Adressen

Seit 2013 können Behörden neben Telefonnummern auch Internetdaten wie IP-Adressen und E‑Mail-Postfächer als Bestandsdaten abfragen. Damit erfahren sie, wem eine IP-Adresse zugewiesen ist oder welche IP-Adressen eine Zielperson nutzt – ebenfalls ohne Richterbeschluss.

Zu diesen Abfragen gibt es leider keine Statistiken, weil die Behörden direkt bei den Internet-Zugangs-Anbietern anfragen. Die Bundesnetzagentur könnte diese Statistiken erheben und veröffentlichen. Doch dazu fehlt der politische Wille – aller Bundesregierungen.

Die Deutsche Telekom veröffentlicht freiwillig einige Zahlen in ihrem Transparenzbericht. Demnach haben Behörden in über 53.000 Fällen Bestandsdaten durch manuelle Abfragen erhalten. Dazu kommen mehr als 217.000 Abfragen zu Inhabern von IP-Adressen bei mutmaßlichen Urheberrechtsverletzungen im Internet.

Wieder einmal findet sich im Posteingang wie fast jeden Tag eine E-Mail, konkret von der Sparkasse, die auf ein Gewinnspiel im Zusammenhang mit Wero als Zahlungsangebot hinweist. Im aktuellen Fall könnten Empfänger unter der Domain „gewinnspiel-sparkasse.de“ mehr herausfinden und teilnehmen. Der Rest der Mail sieht absolut professionell und korrekt aus, die Ansprache erfolgt mit Vornamen, selbst der zuständige Kundenberater wird genannt. Dennoch ruft die Domain Unwohlsein hervor – so sehen die typischen Phishing-Domains auch aus.

Eine erste schnelle Prüfung erfolgt durch Eingabe des Begriffs „whois“ mit der gesuchten Domain in der Suchmaschine. Google schaltet vor reguläre Suchergebnisse eine KI-generierte Antwort. Die liefert einen Absatz, dass das die offizielle Gewinnspiel-Domain der Sparkassen sei. Dahinter ist unscheinbar eine Quell-URL zu finden, die ihrerseits auf „mehr-sparkasse.de“ verweist – was abermals ein Kandidat für typische Phishing-URLs ist.

Weitere Such-Iterationen führen dann dazu, dass die Sparkassen ihre offizielle Gewinnspiel-Seite benennen. Aber die Verwirrung wird schnell größer:

Die URL soll auf einmal nicht mehr zur Sparkasse gehören, wie laut Googles KI-Exzerpt offizielle Sparkassen-Seiten offenbar angeben.

Trau, schau, wem!

Da Suchmaschinen oftmals Malware-Werbung unter den „Sponsored Links“, also als bezahlte Werbung einblenden und auch Inhalte von diesen Seiten für ihre Antworten verwerten, ist der KI-Antwort an der Stelle eher nicht zu vertrauen. Ohnehin sind diese Zusammenfassungen mit einer inakzeptabel hohen Fehlerquote versehen, das dürfte hier ebenfalls der Fall sein.

Die Indizienlage ist dadurch bis hier nicht eindeutig. Weiterhin erwähnenswert: Die Gewinnspiel-Domain wird bei Hetzner gehostet. Dort kann sich jeder eine Webseite mit beliebigen (freien) Domains einrichten. Die Seite liegt nicht bei der Finanz Informatik, dem IT-Dienstleister der Sparkassen, der auch die Domain „sparkasse.de“ in eigenen Rechenzentren betreibt. Das weckt ebenfalls Zweifel, da das eher für Phishing statt für ein reguläres Angebot der Sparkassen spricht.

Erziehung zu falschem Verhalten

Die Nutzung derartiger Domains stumpft die Nutzerinnen und Nutzer ab. Die gewöhnen sich daran, dass betrügerische URLs wie „portorueckzahlung-post.de“ echt sein könnten. Seriöse Unternehmen, die oftmals in Phishing-Angriffen imitiert werden, erziehen ihre User also entgegen ihren eigenen Warnhinweisen dazu, blindlings solchen Links zu folgen. Schlimmer noch: Die Banken sind die Ersten, die Rückzahlungen verweigern, sofern Kunden und Kundinnen auf solches Phishing hereinfallen.

Abhilfe wäre eigentlich sehr einfach zu schaffen. Das Internet kennt Subdomains. Also so etwas wie „www“ vor dem Seitennamen. Die lassen sich nicht einfach von Dritten registrieren, wie die potenziellen Phishing-Domains. Vorschlag für seriöse URLs wären im konkreten Fall etwa „gewinnspiel.sparkasse.de“ oder „mehr.sparkasse.de“.

Unsere Anfrage diesbezüglich beim Deutschen Sparkassen- und Giroverband (DSGV) blieb mehr als 24 Stunden, bis zum Meldungszeitpunkt, unbeantwortet. Eine Positionierung reichen wir beim Eintreffen nach.

Auch andere Unternehmen und Banken betroffen

Auch andere Banken und namhafte Unternehmen arbeiten mit solchen Domains in der Kundenkommunikation. Das verhindert, dass Tipps wie „prüfen Sie die URLs“ sinnvoll umsetzbar sind. Als Beispiel kann auch die Telekom herhalten. Die setzt als Absender-Domain in Marketing-Kommunikation beispielsweise „dialog-telekom.de“ ein. Auch da läuten nach altem Brauch bei eingesessenen IT‘lern die Alarmglocken. Es gibt zahlreiche Beispiele. Die Deutsche Bahn setzt für die Nacherhebung beim Fahrpreis auf die Domain „db-fn.de“.

Wahrscheinlich geht die Nutzung derartiger Domains auf die Auslagerung an Marketing-Unternehmen zurück. Die Unternehmen und Banken müssen jedoch auch, wenn es um Werbung geht, auf ihren seriösen Domains bleiben. Andernfalls wirken die Phishing-Warnungen ein wenig wie Heuchelei. Der Sicherheitshinweis, dass Nutzerinnen und Nutzer bitte die Domains in der Kommunikation prüfen sollen, ist aufgrund des Verhaltens auch der großen Unternehmen jedoch komplett hinfällig und unbrauchbar.

(dmk)

Großbritannien will verhindern, dass Minderjährige auf ihren Smartphones und Tablets Nacktbilder aufnehmen, speichern, teilen oder ansehen können. Premierminister Keir Starmer stellte die Pläne diese Woche auf der London Tech Week vor und gab Betriebssystemanbietern wie Apple und Google ein Ultimatum von drei Monaten, um entsprechende Schutzmechanismen geräteübergreifend zu aktivieren. Datenschützer sind alarmiert – sowohl wegen der Umgehung von Ende-zu-Ende-Verschlüsselungen, die das bedeuten könnte, als auch weil für eine Altersverifikation in der Regel eine ID und damit Klarnamen notwendig sind.

Wie die britische Regierung in ihrer Ankündigung erläutert, sollen die Unternehmen „eingebaute Funktionen oder technische Lösungen“ bereitstellen, die Nacktinhalte auf Kindergeräten systemweit erkennen und blockieren – in Kamera-App und Galerie, aber auch in Apps von Drittanbietern wie Messengern und Browsern. Erwachsene sollen nach einer Altersverifikation weiterhin uneingeschränkten Zugang haben. Falls die Konzerne nicht freiwillig handeln, droht die Regierung mit einer entsprechenden Gesetzgebung, die sie zwingen soll.

On-Device-KI statt Cloudscan

Konkrete technische Vorgaben macht die Regierung bewusst nicht, verlangt aber, dass die Maßnahmen „ohne Gefährdung der Privatsphäre oder Erhebung von Daten“ funktionieren müssen. Das schränkt die Möglichkeiten sehr ein. Ein On-Device-Machine-Learning wäre möglich: Lokal auf dem Gerät eingebettete KI-Modelle analysieren Bilddaten im Arbeitsspeicher, klassifizieren Inhalte anhand von Pixelmustern, Hautanteilen und Körperposen und liefern dem Betriebssystem lediglich eine Entscheidung – blockieren oder durchlassen. Weder Rohbilder noch Feature-Vektoren müssten dabei das Gerät verlassen.

Technisch würde eine solche geräteweite Nackterkennung vor der Ende-zu-Ende-Verschlüsselung greifen. Die Integrität von E2E bliebe damit formal unangetastet. Doch Kritiker warnen, dass einmal etablierte On-Device-Scanning-Infrastrukturen politisch leicht auf weitere Inhaltskategorien ausgeweitet werden könnten – etwa auf „Extremismus“, Urheberrechtsverletzungen oder politische Inhalte. Dieselben Modelle ließen sich theoretisch auch in Ende-zu-Ende-verschlüsselten Apps einsetzen, bevor Nachrichten verschlüsselt werden.

Reaktionen und internationaler Kontext

Der britische Vorstoß reiht sich in eine internationale Entwicklung ein: Erst Ende Mai hatten sich die G7-Digitalminister in Paris auf sieben Kernprinzipien für besseren Jugendschutz im Netz geeinigt und einen „Safety by Design“-Ansatz gefordert, bei dem Dienste von vornherein so gestaltet werden, dass sie Minderjährige schützen. Auch in der EU schwelt die Debatte um Client-Side-Scanning seit den umstrittenen Vorschlägen zur sogenannten Chatkontrolle weiter. Dort haben Bürgerrechtsorganisationen, Datenschutzaufsichtsbehörden und Kryptografen wiederholt vor einem faktischen Verbot sicherer Ende-zu-Ende-Verschlüsselung gewarnt – eine Diskussion, die mit den britischen Plänen neue Nahrung bekommt.

(rie)