Die IMEI (International Mobile Equipment Identity) und die IMSI (International Mobile Subscriber Identity) sind eindeutige Nummern, die von Handyherstellern und Mobilfunkbetreibern erstellt werden.
Die IMEI ist direkt mit dem Telefon verknüpft, das du nutzt. Diese Nummer ist den Mobilfunkbetreibern bekannt und wird von ihnen verfolgt, und sie ist den Herstellern bekannt. Jedes Mal, wenn sich dein Telefon mit dem Mobilfunknetz verbindet, registriert es die IMEI im Netz zusammen mit der IMSI (falls eine SIM-Karte eingelegt ist, aber das ist nicht einmal nötig). Sie wird außerdem von vielen Anwendungen (etwa Banking-Apps, die unter Android die Telefonberechtigung missbrauchen) und von Smartphone-Betriebssystemen (Android/IOS) zur Identifikation des Geräts genutzt. Es ist möglich, aber schwierig (und in vielen Gerichtsbarkeiten nicht illegal), die IMEI eines Telefons zu ändern, doch es ist wahrscheinlich einfacher und günstiger, einfach ein altes (funktionierendes) Wegwerf-Telefon für ein paar Euro (dieser Leitfaden ist für Deutschland gedacht, denk daran) auf einem Flohmarkt oder in irgendeinem kleinen Laden zu finden und zu kaufen.
Die IMSI ist direkt mit dem Mobilfunkvertrag oder dem Prepaid-Tarif verknüpft, den du nutzt, und wird von deinem Mobilfunkanbieter mit deiner Telefonnummer verbunden. Die IMSI ist direkt auf der SIM-Karte fest hinterlegt und kann nicht geändert werden. Denk daran, dass dein Telefon bei jeder Verbindung mit dem Mobilfunknetz auch die IMSI im Netz registriert, zusammen mit der IMEI. Wie die IMEI wird auch die IMSI von einigen Anwendungen und Smartphone-Betriebssystemen zur Identifikation genutzt und verfolgt. Einige Länder in der EU pflegen zum Beispiel eine Datenbank mit IMEI/IMSI-Zuordnungen, damit Strafverfolgungsbehörden sie leicht abfragen können.
Heutzutage ist es genauso oder schlimmer, deine (echte) Telefonnummer herauszugeben, wie deine Sozialversicherungsnummer/Passnummer/Personalausweisnummer herauszugeben.
Die IMEI und IMSI lassen sich auf mindestens sechs Wegen zu dir zurückverfolgen:
- Die Teilnehmerprotokolle des Mobilfunkbetreibers speichern die IMEI in der Regel zusammen mit der IMSI und ihrer Teilnehmer-Informationsdatenbank. Wenn du eine anonyme Prepaid-SIM nutzt (anonyme IMSI, aber mit bekannter IMEI), könnten sie erkennen, dass dieses Gerät dir gehört, falls du dieses Telefon zuvor mit einer anderen SIM-Karte genutzt hast (andere anonyme IMSI, aber dieselbe bekannte IMEI).
- Die Antennenprotokolle des Mobilfunkbetreibers führen praktischerweise ein Protokoll darüber, welche IMEI und IMSI bestimmte Verbindungsdaten aufweisen. Sie wissen und protokollieren zum Beispiel, dass sich ein Telefon mit dieser IMEI/IMSI-Kombination mit einer Reihe von Mobilfunkantennen verbunden hat und wie stark das Signal zu jeder dieser Antennen war, was eine einfache Triangulation/Geolokalisierung des Signals ermöglicht. Sie wissen außerdem, welche anderen Telefone (etwa dein echtes) sich zur selben Zeit mit denselben Antennen und demselben Signal verbunden haben, wodurch es möglich wird, präzise zu erkennen, dass dieses “Wegwerf-Telefon” immer am selben Ort/zur selben Zeit verbunden war wie dieses andere “bekannte Telefon”, das jedes Mal auftaucht, wenn das Wegwerf-Telefon genutzt wird. Diese Informationen können von verschiedenen Dritten genutzt werden, um dich recht präzise zu geolokalisieren/verfolgen.
- Der Hersteller des Telefons kann den Verkauf des Telefons über die IMEI zurückverfolgen, falls dieses Telefon nicht anonym gekauft wurde. Tatsächlich haben sie Protokolle über jeden Telefonverkauf (einschließlich Seriennummer und IMEI), an welches Geschäft/welche Person es verkauft wurde. Und wenn du ein Telefon nutzt, das du online (oder von jemandem, der dich kennt) gekauft hast, kann es anhand dieser Informationen zu dir zurückverfolgt werden. Selbst wenn sie dich nicht auf der Videoüberwachung finden und du das Telefon bar bezahlt hast, können sie über die Antennenprotokolle dennoch herausfinden, welches andere Telefon (dein echtes in deiner Tasche) zu diesem Zeitpunkt/Datum dort (in diesem Geschäft) war.
- Die IMSI allein kann ebenfalls genutzt werden, um dich zu finden, da die meisten Länder inzwischen verlangen, dass Kunden beim Kauf einer SIM-Karte (Vertrag oder Prepaid) einen Ausweis vorlegen. Die IMSI wird dann mit der Identität des Käufers der Karte verknüpft. In den Ländern, in denen die SIM noch bar gekauft werden kann (wie im Vereinigten Königreich), wissen sie trotzdem, wo (in welchem Geschäft) sie gekauft wurde und wann. Diese Informationen können dann genutzt werden, um Informationen aus dem Geschäft selbst abzurufen (etwa Aufnahmen der Videoüberwachung wie im IMEI-Fall). Oder wiederum können die Antennenprotokolle genutzt werden, um herauszufinden, welches andere Telefon zum Zeitpunkt des Verkaufs dort war.
- Die Hersteller der Smartphone-Betriebssysteme (Google/Apple für Android/IOs) führen ebenfalls Protokolle über IMEI/IMSI-Identifikationen, die mit Google-/Apple-Konten verknüpft sind, und darüber, welcher Nutzer sie verwendet hat. Auch sie können die Geschichte des Telefons zurückverfolgen und mit welchen Konten es in der Vergangenheit verknüpft war.
- Regierungsbehörden auf der ganzen Welt, die an deiner Telefonnummer interessiert sind, können spezielle Geräte namens “IMSI-Catcher” wie den Stingray oder neuerdings den Nyxcell nutzen, und tun das auch. Diese Geräte können eine Mobilfunkantenne imitieren (spoofen) und eine bestimmte IMSI (dein Telefon) zwingen, sich mit ihnen zu verbinden, um Zugriff auf das Mobilfunknetz zu erhalten.
- Sobald sie das tun, können sie verschiedene MITM-Angriffe (Man-In-The-Middle-Angriffe) nutzen, die ihnen Folgendes ermöglichen:
- Dein Telefon abhören (Sprachanrufe und SMS).
- Deinen Datenverkehr mitschneiden und untersuchen.
- Deine Telefonnummer imitieren, ohne dein Telefon zu kontrollieren.
Hier ist außerdem ein gutes YouTube-Video zu diesem Thema: DEFCON Safe Mode - Cooper Quintin - Detecting Fake 4G Base Stations in Real-Time https://www.youtube.com/watch?v=siCk4pGGcqA Invidious
Aus diesen Gründen ist es entscheidend, sich für sensible Aktivitäten eine eigene anonyme Telefonnummer und/oder ein anonymes Wegwerf-Telefon mit einer anonymen Prepaid-SIM zu besorgen, die in keiner Weise (vergangen oder gegenwärtig) mit dir verknüpft ist (mehr praktische Hinweise im Abschnitt Eine anonyme Telefonnummer bekommen).
Es gibt zwar einige Smartphone-Hersteller wie Purism mit ihrer Librem-Serie, die behaupten, deinen Datenschutz im Blick zu haben, doch sie erlauben weiterhin keine IMEI-Randomisierung, die meiner Ansicht nach eine zentrale Anti-Tracking-Funktion ist, die solche Hersteller bieten sollten. Diese Maßnahme würde zwar kein IMSI-Tracking innerhalb der SIM-Karte verhindern, aber sie würde dir zumindest erlauben, dasselbe “Wegwerf-Telefon” zu behalten und aus Datenschutzgründen nur die SIM-Karten zu wechseln, statt beides tauschen zu müssen.
Siehe Warnung zu Smartphones und smarten Geräten
Quelle: The Hitchhiker’s Guide to Online Anonymity, geschrieben von AnonyPla © CC BY-NC 4.0