gefährlich

Editorial: Die Dialer-Gegenbewegung

Strafanzeigen und Abmahnungen: Reicht das, um Betrug zu verhindern?
Von

In den letzten Monaten waren sie Anlass für diverse Horror-Meldungen, wie 300 Euro pro Einwahl, 900 Euro pro Einwahl oder Schutzsoftware gezielt ausgetrickst: Internet-Dialer. Das sind kleine Programme, die sich von Websites mit kostenpflichtigen Inhalten herunterladen lassen. Sie beenden die normale Internet-Verbindung, und wählen neu über einen Provider, der die Abrechnung von Inhalten zulässt. Technisch wird dieses zumeist über eine zeitbasiert abgerechnete 0190-Nummer umgesetzt. Immer häufiger ist aber auch die Abrechnung von Fixbeträgen pro Einwahl anzutreffen. Technisch funktionieren Dialer mit Wählzugängen über Analog- oder ISDN-Leitung.

An sich ist ein Dialer ein legales Produkt. Wenn der Nutzer auf die entstehenden Kosten ausreichend hingewiesen wird, und dieser die Installation des Dialers und die Änderung der Internet-Verbindung bestätigt, dann wird er am Ende auch zahlen müssen. Allerdings stellt sich zumeist die Frage, ob die per Dialer erkaufte Leistung ihr Geld wirklich wert ist: Pornos gibt es im Video-Laden um die Ecke in VHS-Qualität oft schon für zwei Euro pro Tag; per Dialer zahlt man zwei Euro pro Minute und bekommt dafür 64-kBit-Streaming, das nur ruckelnde Bilder in Minimal-Auflösung zulässt. Kaum vorstellbar, dass es den Porno-Anbietern gelingt, hierfür wirklich Stammkunden zu gewinnen.

Folglich ist es kein Wunder, dass zahlreiche unseriöse Anbieter dem Umsatz nachhelfen. Die Methoden dafür sind zahlreich: Im Dialer werden die wahren Kosten unlesbar (hellgraue 8-Punkt-Schrift auf weißem Grund), verschleiert ("nur 3.1 Cent p.S.", wo "p.S." dann "pro Sekunde" heißt) oder gar nicht dargestellt. Oftmals wird schon nach dem Anzeigen der Homepage der Erotik-Site oder nach dem Klick auf scheinbar kostenfreie Links ("Preview") der Download des Dialers gestartet. Besonders fiese Dialer verwenden bekannte Sicherheitslücken im Internet Explorer, um Rückfragen beim Benutzer wegen dem Download aktiver Inhalte wie Plug-Ins oder ausführbaren Programmen zu unterdrücken, und sich anschließend direkt zu installieren.

In diesem Zusammenhang hat vor drei Tagen die Polizei erstmals Hausdurchsuchungen durchgeführt. Zwei Männer werden verdächtigt, manipulierte Dialer entwickelt zu haben, die sich unbemerkt installierten. Der Betrugsvorwurf ist eindeutig, der Nachweis jedoch schwierig: Denn Betrüger ist nur, wer vorsätzlich täuscht. Fahrlässige Betrügereien gibt es nicht.

Zur Zeit gilt: Ein Website-Betreiber, der einen Dialer installiert, von dem ihm der Hersteller versichert, dass dieser "korrekt arbeitet", handelt maximal grob fahrlässig, wenn er das nicht selber testet. Erst dann, wenn er trotz eindeutiger Hinweise den illegalen Dialer weiterbetreibt, wird daraus auch strafbarer Vorsatz. Doch der Empfang derartiger Hinweise lässt sich ja verzögern: Dann steht auf der Website eben kein Impressum, und das Passwort für das webmaster-Account hat man "leider verlegt". Ein Tippfehler in den DENIC-Registrierungsdaten sorgt dafür, dass auch Briefe per Einschreiben/Rückschein zumeist ergebnislos zurückgehen. Recherchiert dann doch tatsächlich ein geprellter Nutzer die korrekte Adresse und schickt eine einschlägige Mahnung an den Website-Betreiber, schmeißt dieser den inkorrekten Dialer eben raus und installiert den nächsten. Selbstverständlich achtet man erneut darauf, dass der Dialer-Anbieter nach Eigendarstellung "seriös" arbeitet. Das testet man dann auch mit einem Internet Explorer mit installierten Sicherheits-Patches, wohl wissend, aber polizeilich nicht nachweisbar, dass sich auch dieser Dialer auf einem Original-Internet Explorer anders verhält.

Noch schwieriger wird die rechtliche Lage, wenn sich die handelnden Personen im Ausland, zumal Nicht-EU-Ausland, aufhalten, und deren Strafverfolgungsbehörden nicht kooperieren wollen oder können.

Anders ist die Rechtslage nach UWG (Gesetz gegen den unlauteren Wettbewerb). Hier reicht es bereits, dass "irreführende Angaben" über den Preis gemacht werden, um sich zum Zielpunkt kostenpflichtiger Abmahnungen zu machen. Diese können sich zwar zunächst nur direkt gegen den Website-Betreiber oder Dialer-Hersteller richten. Sobald aber mittelbar Beteiligte (Hoster, 0190-Carrier) über die Existenz des illegalen Dialers informiert wurden, und zur Entfernung bzw. Abschaltung aufgefordert wurden, sind auch diese wahrscheinlich mithaftbar. Ein weiterer Vorteil des UWG ist, dass entsprechende Urteile meist binnen Tagen im Wege der Einstweiligen Verfügung gefällt werden.

Das große Problem ist, dass Klagen nach dem UWG nur von wenigen Berechtigten (unter anderem konkurrierenden Unternehmen, Verbraucherverbänden sowie der Industrie- und Handelskammer) eingebracht werden können. Der Kläger trägt zudem das Risiko, dass die Klage wegen Formfehlern abgewiesen wird, oder der Richter die angegebene Form der Preisauszeichnung doch nicht als "irreführend" empfindet. Gewinnt der Kläger, könnte sich der zwangsabgeschaltete Beklagte ziemlich bald danach als zahlungsunfähig erweisen. Der Kläger bleibt dann ebenfalls auf einem Teil der Kosten sitzen.

Es gibt bereits eine entsprechende Initiative der Dialer-Hersteller, die erste Urteile gegen unseriöse Dialer vorweisen kann. Dennoch bleibt nicht nur angesichts der oben genannten Risiken fraglich, wie viel dieser Verband ausrichten wird. Denn so manche andere "freiwilige Selbstkontrolle" dient vor allem dazu, allzu hartem Eingreifen der Politik vorzubeugen. Den ebenfalls klageberechtigten Verbraucherverbände dürften es vor allem an den personellen Ressourcen mangeln, um hunderte von parallelen Prozessen gegen die Dialer-Szene zu führen.

Am besten wäre es daher, wenn sich die Hersteller von Betriebssystemen mehr Gedanken um deren Sicherheit machen würden. Zentrale Systemeinstellungen, und dazu gehören nunmal die verwendeten Online-Zugänge, sollten nur nach Eingabe eines Administrator-Kennwortes veränderbar sein. Dieser Systembereich sollte auch so zuverlässig von den normalen Benutzer-Bereichen abgegrenzt sein, dass nicht alle paar Tage ein neuer Sicherheits-Patch installiert werden muss. Ein Weg dahin könnte sein, wenn Betriebssystem-Hersteller gesetzlich für solche Schäden haftbar gemacht werden, die dadurch entstehen, dass bekannte Sicherheitslöcher nicht binnen angemessener Zeit gestopft oder die registrierten Benutzer nicht über die notwendigen Updates informiert werden.