Kostenfalle

Abo-Fallen in kostenlosen Apps: So funktioniert WAP-Billing

Wir zeigen, wie Sie sich schützen können
Von Ralf Trautmann

Abo-Fallen in kostenlosen Apps: So funktionieren WAP-Billing Abo-Fallen in kostenlosen Apps: So funktionieren WAP-Billing
Bild: teltarif.de
In diversen Medien und dabei auch in mancher populären Fernsehsendung wurde in jüngster Vergangenheit über ein oft als "App-Abzocke" bezeichnetes Phänomen berichtet. Hier klicken Smartphone-Nutzer versehentlich auf ein Werbebanner in einem der kleinen Zusatzprogramme und erhalten dann plötzlich Kosten für ein Abo in Rechnung gestellt - und das über die offizielle Telefonrechnung des eigenen Anbieters. Bekannt ist das Phänomen von iPhones und Android-Geräten, doch potenziell sind auch andere Betriebssysteme betroffen. Doch was hat es mit diesem Phänomen auf sich? Wir erklären Ihnen, wie die Abo-Falle funktioniert und wie Sie sich schützen können.

WAP-Billing: So funktioniert die Technik

Abo-Fallen in kostenlosen Apps: So funktionieren WAP-Billing Abo-Fallen in kostenlosen Apps: So funktionieren WAP-Billing
Bild: teltarif.de
Kern des Problems bildet ein Dienst namens WAP-Billing, eine eigentlich für den schnelllebigen Telekommunikations-Markt uralte Methode: WAP-Billing ist dem Namen entsprechend ein Teil des WAP-Standards, der es schon seit Jahren ermöglicht, unkompliziert Entgelte für Dienste im mobilen Internet zu erheben - hierzu muss der Nutzer nur auf ein entsprechendes Angebot klicken. Dass die Methode in der Vergangenheit nicht besonders bekannt war, liegt einfach daran, das sich WAP keiner großen Popularität erfreute. Jetzt - zu den Hochzeiten des mobilen Internets - haben Abo-Fallen-Steller diese Technik wieder ausgegraben.

Wenn der Nutzer einen entsprechenden Link klickt, wird die so genannte MSISDN übertragen - es handelt sich dabei um die Mobilfunk-Nummer des Kunden im weltweit einmaligen Format, also mit Landeskennung. Damit ist der Nutzer eindeutig erkennbar - der Content-Provider oder sein Abrechnungs-Dienstleister können den Mobilfunk-Anbieter eindeutig identifizieren und über diesen - wenn die beiden vertraglich gebunden sind - dem Kunden das Nutzungsentgelt in Rechnung stellen. Das Komfortable an der Methode, in diesem Fall aber eben für die Abo-Fallen-Steller: Die Abrechnung erfolgt über die klassische Handy-Rechnung. Da bei der Internet-Nutzung per WLAN keine MSISDN erzeugt wird, funktioniert WAP-Billing hier nicht.

WAP-Billing ist also im Kern erstmal eine neutrale Technik und keine Sicherheitslücke oder ähnliches. In den Medien berichten Nutzer aber immer wieder, dass die entsprechenden Informationen zum Abo gar nicht vorhanden waren. Dies ist möglich, aber nachträglich schwer nachweisbar. Eine weitere Variante ist, dass sich dort zwar ein entsprechender Hinweis-Text befand, der aber so mit Absicht so gestaltet ist, dass Nutzer ihn leicht übersehen. Dies geschieht zum Beispiel über eine kleine Schriftgröße, eine kontrastarme Farbauswahl oder schlicht eine Platzierung des Textes weit unten auf der Webseite, wohin der Nutzer lange scrollen müsste.

WAP-Billing & Apps: Das Problem in der Praxis

Das Problem des WAP-Billings stellt sich im konkreten Fall bei kostenlosen Apps, die Werbebanner einblenden. Diese werden in der Regel von Werbe-Diensten befüllt, so dass die App-Ersteller darüber auf diesem Wege trotz Gratis-Angebot Geld einspielen können. Eigentlich haben diese Banner somit einen positiven Sinn - was dort in puncto Werbung alles eingeblendet wird, müssen die App-Entwickler nicht zwangsläufig erfahren. Ein solcher Banner ist dann klickbar und leitet auf eine Seite im Internet weiter - in diesem Fall auf eine WAP-Seite und die ist für den Nutzer von einer klassischen Webseite nicht zu unterscheiden. Hier reicht dann unter Umständen ein unvorsichtiger Klick. Einigen Nutzerberichten zufolge sei ihre Mobilfunkrechnung sogar ohne diesen weiteren Klick belastet worden.

Schutz vor WAP-Billing-Abzocke

Bleibt die Frage: Wie kann ich mich als Nutzer vor ungewolltem WAP-Billing schützen? Wir haben bei den Netzbetreibern nachgehört.

Die Telekom (wie auch die anderen Netzbetreiber) verpflichtet die Anbieter zunächst zu einer transparenten Darstellung - das ist gut, aber natürlich immer Auslegungssache. Allerdings muss der Kunde der Bestellung bei der Telekom zweimal aktiv zustimmen, damit ein Abschluss zustande kommt. Wer will, kann entsprechende Dienste auch grundsätzlich sperren - und das einfach via Hotline. Bei Service-Providern, bei denen die Abrechnung durch die Telekom vorgenommen wird, gelten die selben Regeln. Wer Drittanbieter-Dienste sperrt, kann in der Folge aber eben auch sinnvolle Dienste, die via Handy-Rechnung bezahlt werden, nicht mehr nutzen. Wer also zum Beispiel Parktickets oder ÖPNV-Karten per Handy kauft, sollte sich dessen bewußt sein.

Die Telekom weist in ihrer Antwort auch nochmal als das so genannte "Kompetenzzentrum Mehrwertdienste" hin, dass seinerzeit von Vodafone vorgestellt wurde und an dem sich auch o2 beteiligt: Hier sollen transparente Bestellprozesse zum Beispiel durch vorgegebene Formular-Masken geschaffen werden, die zum Beispiel bei der Telekom bei Bestellungen über das klassische Web Pflicht werden - für das mobile Internet werde eine entsprechende Lösung ebenfalls "angestrebt".

Bei Vodafone zeigt sich ein ähnliches Bild: Auch hier können Nutzer sich prinzipiell alle Dienste dieser Art sperren lassen - und auch in diesem Fall über die Hotline. Die Düsseldorfer setzen bei Abschluss eines Abos zudem ebenfalls auf ein Handshake-Verfahren, also die doppelte Bestätigung. Nach dem Abschluss erhält der Kunde eine SMS-Bestätigung, die nochmals Preis und Name des Anbieters erhält. Für Discounter und Service-Provider im Vodafone-Netz gelten prinzipiell die selben Regeln.

Bei E-Plus gibt es ebenfalls die Möglichkeit einer Drittanbieter-Sperre, aber nur für einzelne Anbieter. Allerdings wird auch hier eine Info-SMS versandt - und bei den Düsseldorfern gibt es eine Besonderheit: Bei Nutzung des Internet-APN - und das wird für die Mehrzahl der Nutzer gelten - wird die MSISDN nicht automatisch übertragen, sondern muss von Hand eingegeben werden. Dies schützt vor der Kostenfalle. Beim WAP-APN wird die MSISDN bei Seiten, die nicht direkt vom E-Plus-Portal stammen, ebenfalls nicht automatisch übermittelt.

o2 als vierter Netzbetreiber ermöglicht in puncto Drittanbieter-Sperre generell die Sperrung aller Anbieter oder die Sperrung aller außer Online-Diensten und des App-Store. Hier wird der Nutzer bei Bestellung über eine WAP-Seite für die Zweitbestätigung automatisch über o2 geleitet. Zudem besteht die Pflicht zur Information per SMS seitens des Anbieters und auch der Netzbetreiber selbst informiert per Kurzmitteilung.

Fazit

Es zeigt sich: Die Anbieter rüsten zumindest nach - sicherlich auch, weil das Thema seit geraumer Zeit einen hohen Stellenwert in den Medien hat und der Druck entsprechend groß ist. Bleibt die Hoffnung, dass die Provider am Thema weiter dranbleiben.

Für den Nutzer gilt noch, regelmäßig die eigene Rechnung auf ungewöhnliche Posten zu checken - denn die Abrechnung des Abos kann schnell übersehen werden, vor allem, da sie den Gesamtbetrag "nur" um ein paar Euro belastet. Zudem sollten SMS beachtet werden, auch wenn sie zunächst wie Spam-Kurzmitteilungen aussehen. Wer bereits in die Kostenfalle getappt ist, sollte das Abo kündigen - für mögliche weitere Schritte ist der Gang zur Verbraucherzentrale eine gute Wahl.

Mehr zum Thema Kostenfalle