Wahrscheinlich haben Sie schon einmal einen Robocall erlebt, auch wenn Sie nicht in den USA leben. Diese Telemarketing-Anrufe (sie kommen immer stapelweise...), bei denen eine aufgezeichnete Nachricht oder ein Robotervertreter versucht, Ihnen immer wieder etwas anderes zu verkaufen. Die meisten von uns haben diese Art von Anrufen erhalten, um die Sie wahrscheinlich nicht gebeten haben.
Kaltakquise ist in den meisten Ländern in Ordnung, wenn sie mit Maß und Respekt durchgeführt wird, aber der Missbrauch hat in diesem Bereich stark zugenommen, vor allem in den USA, wo man, sobald man eine Sim-Karte aktiviert, von diesen automatischen Anrufen überschwemmt wird. Sie ruinieren das Erlebnis der Endnutzer, verringern das Vertrauen in die Telekommunikationsmedien und verursachen den Betreibern hohe Kosten, wenn sie mit dem Betrug in Verbindung gebracht werden. Es musste also etwas unternommen werden, um diesen Trend zu stoppen. Eine der Antworten der Telekommunikationsbranche und des Gesetzgebers besteht darin, die Rechenschaftspflicht der Betreiber und die Transparenz bei Did-Nutzern zu erhöhen. Transparenz darüber, wer hinter den Werbeanrufen und den verwendeten Telefonnummern steckt.
Das Problem ist, dass die Anrufe in der Regel eine Reihe von Betreibern durchlaufen, bevor sie ihr Ziel erreichen. Wenn die Informationen über die Legitimität des Anrufers dem ersten Anbieter bekannt sind, werden sie in der Regel nicht an die anderen Anbieter in der Kette weitergegeben, insbesondere nicht an den letzten Anbieter, der den Anruf an den Endnutzer weiterleiten soll. Eine Möglichkeit, alle Beteiligten in der Kette für die Legitimität des Anrufers und damit des Anrufs verantwortlich zu machen, besteht darin, ein Zertifikat mit den Informationen über den Anrufer zu erstellen und es zusammen mit dem Anruf zu übertragen. Das ist es, was die STIR/SHAKEN-Protokolle leisten und warum sie ab dem 30. Juni 2021 in den USA eingeführt werden, um die Durchsetzung von Gesetzen zur Anruferidentifizierung zu unterstützen, die Anrufer-ID zu kontrollieren und Strafen im Falle einer betrügerischen Nutzung zu verhängen.
Was ist das Problem mit einer nicht identifizierten Anrufer-ID?
1) Unerbetene und missbräuchliche Anrufe
In letzter Zeit sind Robocalls, d. h. Anrufe, die von Maschinen mit aufgezeichnetem Ton oder intelligenten IVR generiert werden, als Hauptbedrohung für das Vertrauen der Öffentlichkeit in die Telekommunikationsbranche ins Rampenlicht gerückt. Es gibt viele legitime Gründe für den Einsatz von intelligenten IVR-Systemen und Maschinen, die Anrufe generieren. Zum Beispiel für allgemeine öffentliche Bekanntmachungen, oder um einen automatischen Rückruf von einem Kundenbetreuer zu einer bestimmten Zeit zu erhalten, oder um Telefonkonferenzen zu erstellen, indem man die Parteien auf ihrem Telefon anruft... Das Problem ist also nicht so sehr die Automatisierung der Anrufe, sondern vielmehr die Identifizierung der Person, die Sie anruft. In den meisten Anwendungsfällen können Sie die Person, die Sie anruft, identifizieren, auch wenn Sie sie nicht kennen. Manchmal sehen Sie die Informationen direkt auf Ihrem Smartphone oder Sie können sie später im Internet finden. Sie können dann entweder den Anruf annehmen oder darum bitten, nicht mehr angerufen zu werden, wenn Sie nicht interessiert sind. Und das ist auch gut so, denn die Person, die Sie anruft, gehört zu einem seriösen Unternehmen und zeigt ihre echte Telefonnummer an, die Sie überprüfen und blockieren können. Wenn der Grund, aus dem jemand Sie anruft, weniger legitim ist, wird diese Person es wahrscheinlich vorziehen, nicht identifiziert zu werden.
Wenn sie missbräuchliche oder unaufgeforderte Anrufe tätigen wollen, wollen Betrüger in der Regel nicht von den beschimpften Personen zurückgerufen werden, und sie wollen auch nicht, dass die Polizei an ihre Tür klopft. Wenn sie tatsächlich eine echte Telefonnummer erhalten, kann die Polizei den Betreiber, der die Nummer blockiert hat, bitten, die Informationen weiterzugeben, um solche Betrüger ausfindig zu machen und strafrechtlich zu verfolgen, aber das ist das ideale Szenario.
Um also zu verhindern, dass sie zurückgerufen werden oder ihre örtliche Adresse angeben, um eine Telefonnummer zu erhalten, verwenden Betrüger einfach Dids, die ihnen nicht gehören, und damit sind alle Probleme gelöst. Indem sie die ID einer anderen Person fälschen, werden sie unauffindbar und können jeden Tag Tausende von Menschen erreichen, ohne dass dies Konsequenzen hat oder kontrolliert wird... bis jetzt.
2) Did-Spoofing
Wie kann also jemand unauffindbar werden und einen Did verwenden, der nicht der seine ist, um Anrufe zu tätigen? Das ist ziemlich einfach. Es gibt eine ganze Reihe von Telekommunikationssoftware, die bei der Konfiguration einfach fragt, welchen Did Sie als Anrufer-ID verwenden möchten, und die dann Anrufe mit dieser Anrufer-ID generiert. Daran ist normalerweise nichts auszusetzen. Wenn ein Betreiber einen Bereich von der nationalen Regulierungsbehörde erhält, bekommt er nur eine Liste von IDs, die er verwenden und in den Geräten seiner Kunden konfigurieren kann. Theoretisch könnten Sie diese Geräte also auch mit einem Did einrichten, das Ihnen nicht gehört. Als regulierter Betreiber wollen Sie das nicht tun, aber technisch ist es nicht schwierig. Und tatsächlich verstößt Did-Spoofing gegen alle Vorschriften der Welt.
Abgesehen davon, dass Sie einen Did verwenden, der Ihnen nicht gehört (und dabei vielleicht Leute betrügen...), gibt es noch andere Probleme mit Did-Spoofing. Erstens wird das Leben der Strafverfolgungsbehörden erheblich erschwert, da die dem Did beigefügten Informationen nicht mit der realen Person übereinstimmen, die das Did benutzt. Obwohl der rechtmäßige Nutzer des Did alle für die Nutzung des Did erforderlichen Informationen angegeben hat, handelt es sich also nicht um die richtige Person, die hinter der betrügerischen Nutzung steckt. Während einer Untersuchung ist dies ein sehr ernstes Problem sowohl für die Polizeikräfte als auch für die rechtmäßigen Nutzer. Zweitens und folglich kommt das Did-Spoofing dem Identitätsdiebstahl immer näher, da unsere Nutzung des Did größtenteils mit der automatisierten Identifizierung verbunden ist, im Bankwesen, beim Online-Shopping, beim Bezahlen... Daher ist die Nutzung einer fremden Nummer der erste Schritt zum Identitätsdiebstahl und das ist nicht in Ordnung.
3) Misstrauen von Telekommunikationsunternehmen und Betreibern
Es ist nicht nur aus den oben genannten Gründen nicht in Ordnung, sondern auch nicht in Ordnung für legitime Anrufe und die gesamte Telekommunikationsbranche. In den USA wird weniger als die Hälfte der Anrufe beantwortet, da die Menschen den traditionellen Sprachanrufen, die dennoch ein großartiges Kommunikationsmittel sind, weitgehend misstrauen. Dies ist ein weltweit wachsender Trend und ein großes Problem für die Telekommunikationsbetreiber. Sprachanrufe sind nach wie vor ein wichtiges Kommunikationsmedium, und das Vertrauen in Dids wird immer wichtiger, selbst wenn es sich um alternative Telekommunikationslösungen wie VOIP-Apps oder Identifizierungsszenarien handelt. Um das Vertrauen der Öffentlichkeit in reguläre Sprachanrufe wiederherzustellen und den Betrug mit Telefonnummern über alle Medien hinweg zu reduzieren, mussten die Betreiber einen Weg finden, Informationen über die Telefonnummer und ihren Nutzer zu sammeln, zu speichern, zu übertragen und zu validieren. Hierfür bieten sich die STIR/SHAKEN-Protokolle an.
Le STIR/SHAKEN
STIR/SHAKEN ist eine Reihe von Verfahren und Protokollen, die zur Bekämpfung von Did-Spoofing entwickelt wurden.
1) Was ist STIR und wie funktioniert es?
Dies ist das Verfahren und Protokoll für SIP/VoIP-Anrufe:
STIR für "Secure Telephony Identity Revisited" ist ein Verfahren, das dem SIP-Header eines Anrufs ein digitales Zertifikat hinzufügt, das Informationen über den Anrufer, den Callee und die Legitimation des Anrufers zur Nutzung des Did enthält. Das digitale Zertifikat, ein JSON-Web-Token, wird vom Did-Anbieter des Anrufers erstellt, indem dieser Did mit seiner eigenen DID-Datenbank verglichen wird, wenn der Anruf initiiert wird.
Wenn das Did vollständig erkannt wird (alle Ziffern), was bedeutet, dass der Did-Anbieter bestätigt, dass der Anrufer in seiner Datenbank als bekannter Kunde registriert ist, erhält der Anruf den höchsten Verifizierungsgrad oder "Full attestation", was im SIP-Header mit einem "A" angezeigt wird. Wird der Did teilweise (z. B. einige erste Ziffern) als Teil einer Dids-Liste erkannt, die der Anbieter einem Kunden zugewiesen hat, erhält der Anruf eine "Partial Attestation", die im Header mit einem "B" gekennzeichnet ist. Kann der Verbindungsnetzbetreiber nur bestätigen, dass der Anruf von einem vertrauenswürdigen Gateway kommt, z. B. wenn ein Anruf mehrere Anbieter durchläuft, erhält der Anruf die "Gateway-Bestätigung", die in der Kopfzeile mit dem Buchstaben "C" gekennzeichnet ist.
Das Anruf-Token wird mit einem privaten Schlüssel verschlüsselt und vom Betreiber am angerufenen Endpunkt mit einem öffentlichen Schlüssel entschlüsselt. Das bedeutet, dass sich alle "rechtmäßigen" Betreiber bei einer Zertifizierungsstelle registrieren lassen müssen, um diesen öffentlichen Schlüssel zu erhalten. Alle Anrufe, die die Endpunktprüfungen nicht bestehen, d. h. unbekannter öffentlicher Schlüssel, Unstimmigkeiten zwischen der am Endpunkt vorhandenen Anrufer-ID und der am Ausgangspunkt verwendeten Anrufer-ID, werden als nicht validiert betrachtet und können blockiert werden, bevor sie den Endnutzer erreichen.
2) Was ist SHAKEN und wie funktioniert es?
Für Nicht-VoIP-Anrufe, die SS7 verwenden, wie z. B. Anrufe über Mobiltelefone oder analoge Festnetzanschlüsse (POTS), kann der SIP-Header nicht verwendet werden, und daher auch nicht das STIR-Protokoll. Um eine Alternative zu STIR zu bieten, die im Vergleich zur derzeitigen Situation ein höheres Maß an Sicherheit bietet, wurde das SHAKEN- oder "Signature-based Handling of Asserted information using toKENs"-System eingeführt. Es ist noch nicht fertiggestellt und kann daher noch nicht ausführlich erörtert werden, aber dieses System besteht darin, dem Anrufernamen, der dem Endnutzer von dem letzten SIP-Betreiber, der das STIR-Zertifikat zertifizieren konnte, vorgelegt wird, zusätzliche Informationen hinzuzufügen. In der Kette der Betreiber, die den Anruf bearbeiten, erstellt der erste SIP-Betreiber das STIR-Zertifikat, und der letzte SIP-Betreiber muss das Zertifikat lesen und dem Anrufernamen, der dem Endbenutzer präsentiert wird, entweder "Verifiziert" oder "Nicht verifiziert" hinzufügen. So kann der Benutzer entscheiden, ob er den Anruf entgegennimmt oder nicht.
Was bedeutet das für Sprachdienstleister?
Die folgenden Ausführungen gelten nicht für den Ortsverkehr in Ländern, in denen das STIR/SHAKEN-Protokoll nicht angewendet wird. Da aber immer mehr Länder diesen Identifizierungsrahmen in Betracht ziehen, versetzen wir uns in die Lage der Betreiber, die diesen Rahmen einhalten müssen. Dies könnte bald auch für ausländische Betreiber gelten, die Anrufe in STIR/SHAKEN-fähige Länder senden möchten.
1) Sie müssen in der Lage sein, Zertifikate für Ihre Anrufe zu generieren
Als Betreiber, der es seinen Kunden ermöglicht, Dids zu verwenden und Anrufe zu tätigen, sind Sie derjenige, der den Prozess in Gang setzt, und Sie müssen in der Lage sein, das STIR-Zertifikat zu erstellen. In den USA müssen Sie sich beim Secure Telephone Identity Policy Administrator (STI-PA) registrieren lassen, der Sprachdienstleister zur Teilnahme am STIR/SHAKEN-Rahmen zulässt. Sobald Sie validiert sind, können Sie auf den Zertifikatspeicher zugreifen und das STIR-Zertifikat erstellen oder lesen. Das STIR/SHAKEN-System ist in den USA seit dem 30. Juni 2021 eingeführt, was jedoch nicht bedeutet, dass alle Betreiber in der Lage sind, es zu nutzen, und auch nicht, dass alle Länder der Welt es bald einführen werden. Da jedoch die betrügerische Nutzung von Dids zunimmt, werden immer mehr Länder es in Zukunft einführen.
2) Sie müssen in der Lage sein, die Zertifikate an Ihre Zusammenschaltungsanbieter weiterzuleiten
Wenn Sie die Anrufe von einem Betreiber zu einem anderen Betreiber weiterleiten, ist es Ihre Aufgabe, das Zertifikat mit dem Anruf zu übermitteln. Wenn Sie das Zertifikat für den Anruf ändern, besteht die Gefahr, dass er als betrügerisch angesehen und vom Endpunktbetreiber abgelehnt wird. Wir raten Ihnen daher, in der Lage zu sein, Zertifikate zu übertragen oder zumindest darauf vorbereitet zu sein, und sicherzustellen, dass Ihre Partner vor Ort dasselbe tun, insbesondere diejenigen, von denen die Anrufe ausgehen, die in der Lage sein müssen, die entsprechende Zertifizierung für die getätigten Anrufe vorzulegen.
Dennoch gibt es noch viele unklare Situationen und unbeantwortete Fragen, wenn es um die Weiterleitung zertifizierter Anrufe geht.
Wie können beispielsweise Anrufe zwischen zwei Ländern mit unterschiedlichen Zertifizierungsstellen und somit unterschiedlichen Zertifikatsdepots geführt werden? Bedeutet dies, dass dieser Rahmen für internationale Anrufe einfach nicht gilt, oder bedeutet es, dass man bei allen nationalen Zertifizierungsstellen der Länder, in die man Anrufe sendet, registriert sein muss?
In den USA gibt es erste Ansätze für eine Antwort auf die Frage, ob ausländische Betreiber über US-Dids verfügen. Der Vorschlag der US-Behörde sieht nämlich vor, dass die US-Gesellschaft und der ausländische Betreiber zusammenarbeiten, um die Rechtmäßigkeit der Anrufe zu überprüfen, und dass die US-Gesellschaft ein Zertifikat ausstellt. Es handelt sich dabei um ein maßgeschneidertes Verfahren, das für jede Partnerschaft und jedes Land entwickelt werden muss, so dass es sich nicht um eine wirklich globale Lösung handelt.
3) Seien Sie vorsichtig mit Ihrem STIR/SHAKEN-"Ruf "
Wenn Sie Endnutzern Dids zur Verfügung stellen, signieren Sie buchstäblich jeden Anruf mit Ihrem öffentlichen Schlüssel und tragen daher eine erhöhte Verantwortung für die Legitimität dieser Anrufe. Wenn Sie Spoofing- oder Scamming-Aktivitäten als Teil Ihres Dienstes zulassen, wird Ihnen Ihr Schlüssel entzogen und Sie können Ihre Anrufe nicht mehr im Netz versenden. Sie wollen nicht, dass Ihr Schlüssel bei den meisten großen nationalen oder internationalen Betreibern auf die schwarze Liste gesetzt wird. Dies könnte dazu führen, dass Sie die Möglichkeit, Ihren Dienst für Kunden mit einem Datenverkehr anzubieten, der Ihnen nicht zusagt, neu bewerten. Außerdem könnte es ein sehr gefährliches Spiel sein, Zertifikate für bekanntermaßen schlechte Anrufe in "A"-Anrufe mit Ihrem brandneuen Anbieterzertifikat umzuwandeln. Denn selbst wenn Sie kurzfristig einen guten Gewinn erzielen oder dies nur für eine geringe Menge an Datenverkehr tun, riskieren Sie eine Sperrung des Schlüssels oder die Aufnahme in eine schwarze Liste durch die Endpunktbetreiber, was Ihr gesamtes Sprachgeschäft gefährdet. Um ehrlich zu sein, ist dies eines der Hauptziele dieses Prozesses, denn es wird schwer sein, die Qualität des weitergeleiteten Verkehrs nicht zu kennen. Daher liegt die Entscheidung bei den Netzbetreibern, entweder den betrügerischen Datenverkehr zuzulassen oder ihn nicht mehr weiterzuleiten.
Lokale Durchsetzung des STIR/SHAKEN-Rahmens in der Welt
Die USA haben bereits damit begonnen, diesen Mechanismus ab dem 30. Juni 2021 für große Luftfahrtunternehmen durchzusetzen, mit einer Verlängerung der Frist bis zum 30. Juni 2022 für kleinere Unternehmen. Wenn Sie ein US-Luftfahrtunternehmen sind und den Bus verpasst haben, gibt es zahlreiche Ressourcen, um Sie auf den neuesten Stand zu bringen, insbesondere die Website der US-Behörde. Kanada wird mit einer Frist bis zum 30. November 2022 folgen. Das Vereinigte Königreich plant die Einführung ebenfalls nach dem vollständigen Austausch des PSTN-Netzes im Jahr 2025. Frankreich arbeitete sowohl an einem Gesetz zur Stärkung der Überwachung des Telefonmarketings und zur Bekämpfung betrügerischer Anrufe (Naegelen-Gesetz) als auch an einer Vereinfachung seiner nationalen Nummerierungspolitik. Dies hat dazu geführt, dass in die Gesetzgebung ein Mechanismus zur Zertifizierung von Anrufer-IDs aufgenommen wurde. Eine eigene Reihe von Mobile Dids wurde sogar dem Beginn der Umsetzung des Systems gewidmet, auch wenn es keine weiteren Details über den Umsetzungsrahmen gibt (Lesen Sie unseren Artikel zu diesem Thema). Zusammenfassend lässt sich sagen, dass sich der Trend global ausbreitet und es einige Jahre dauern wird, aber weitere Länder werden folgen, und es ist eine gute Gelegenheit für seriöse Anbieter und Betreiber, die lokale und globale Sprachqualität zu verbessern und dazu beizutragen, das Vertrauen der Öffentlichkeit in Sprachdienste zu stärken.
Teilen Sie uns mit, welche weiteren Aspekte Sie bei der Einführung von STIR/SHAKEN für Betreiber berücksichtigen müssen, und wir werden diese Seite auf jeden Fall aktualisieren, um anderen Betreiberkollegen zu helfen. Teilen Sie uns auch Ihre Meinung und Ihre Erfahrungen bei der Nutzung dieses Rahmens mit! Wir würden uns sehr freuen, mit Ihnen darüber zu diskutieren.