Wie wird sich der Anrufervalidierungsmechanismus STIR/SHAKEN auf Sie als Betreiber auswirken?

4/16/2022 - 11 min. read

Robocall et STIR SHAKEN

Wahrscheinlich haben Sie schon einmal einen Robocall erlebt, auch wenn Sie nicht in den USA leben. Diese Telemarketing-Anrufe (sie kommen immer stapelweise...), bei denen eine aufgezeichnete Nachricht oder ein Robotervertreter versucht, Ihnen immer wieder etwas anderes zu verkaufen. Die meisten von uns haben diese Art von Anrufen erhalten, um die Sie wahrscheinlich nicht gebeten haben.

Kaltakquise ist in den meisten L├Ąndern in Ordnung, wenn sie mit Ma├č und Respekt durchgef├╝hrt wird, aber der Missbrauch hat in diesem Bereich stark zugenommen, vor allem in den USA, wo man, sobald man eine Sim-Karte aktiviert, von diesen automatischen Anrufen ├╝berschwemmt wird. Sie ruinieren das Erlebnis der Endnutzer, verringern das Vertrauen in die Telekommunikationsmedien und verursachen den Betreibern hohe Kosten, wenn sie mit dem Betrug in Verbindung gebracht werden. Es musste also etwas unternommen werden, um diesen Trend zu stoppen. Eine der Antworten der Telekommunikationsbranche und des Gesetzgebers besteht darin, die Rechenschaftspflicht der Betreiber und die Transparenz bei Did-Nutzern zu erh├Âhen. Transparenz dar├╝ber, wer hinter den Werbeanrufen und den verwendeten Telefonnummern steckt.

Das Problem ist, dass die Anrufe in der Regel eine Reihe von Betreibern durchlaufen, bevor sie ihr Ziel erreichen. Wenn die Informationen ├╝ber die Legitimit├Ąt des Anrufers dem ersten Anbieter bekannt sind, werden sie in der Regel nicht an die anderen Anbieter in der Kette weitergegeben, insbesondere nicht an den letzten Anbieter, der den Anruf an den Endnutzer weiterleiten soll. Eine M├Âglichkeit, alle Beteiligten in der Kette f├╝r die Legitimit├Ąt des Anrufers und damit des Anrufs verantwortlich zu machen, besteht darin, ein Zertifikat mit den Informationen ├╝ber den Anrufer zu erstellen und es zusammen mit dem Anruf zu ├╝bertragen. Das ist es, was die STIR/SHAKEN-Protokolle leisten und warum sie ab dem 30. Juni 2021 in den USA eingef├╝hrt werden, um die Durchsetzung von Gesetzen zur Anruferidentifizierung zu unterst├╝tzen, die Anrufer-ID zu kontrollieren und Strafen im Falle einer betr├╝gerischen Nutzung zu verh├Ąngen.

Was ist das Problem mit einer nicht identifizierten Anrufer-ID?

1) Unerbetene und missbr├Ąuchliche Anrufe

In letzter Zeit sind Robocalls, d. h. Anrufe, die von Maschinen mit aufgezeichnetem Ton oder intelligenten IVR generiert werden, als Hauptbedrohung f├╝r das Vertrauen der ├ľffentlichkeit in die Telekommunikationsbranche ins Rampenlicht ger├╝ckt. Es gibt viele legitime Gr├╝nde f├╝r den Einsatz von intelligenten IVR-Systemen und Maschinen, die Anrufe generieren. Zum Beispiel f├╝r allgemeine ├Âffentliche Bekanntmachungen, oder um einen automatischen R├╝ckruf von einem Kundenbetreuer zu einer bestimmten Zeit zu erhalten, oder um Telefonkonferenzen zu erstellen, indem man die Parteien auf ihrem Telefon anruft... Das Problem ist also nicht so sehr die Automatisierung der Anrufe, sondern vielmehr die Identifizierung der Person, die Sie anruft. In den meisten Anwendungsf├Ąllen k├Ânnen Sie die Person, die Sie anruft, identifizieren, auch wenn Sie sie nicht kennen. Manchmal sehen Sie die Informationen direkt auf Ihrem Smartphone oder Sie k├Ânnen sie sp├Ąter im Internet finden. Sie k├Ânnen dann entweder den Anruf annehmen oder darum bitten, nicht mehr angerufen zu werden, wenn Sie nicht interessiert sind. Und das ist auch gut so, denn die Person, die Sie anruft, geh├Ârt zu einem seri├Âsen Unternehmen und zeigt ihre echte Telefonnummer an, die Sie ├╝berpr├╝fen und blockieren k├Ânnen. Wenn der Grund, aus dem jemand Sie anruft, weniger legitim ist, wird diese Person es wahrscheinlich vorziehen, nicht identifiziert zu werden.

Wenn sie missbr├Ąuchliche oder unaufgeforderte Anrufe t├Ątigen wollen, wollen Betr├╝ger in der Regel nicht von den beschimpften Personen zur├╝ckgerufen werden, und sie wollen auch nicht, dass die Polizei an ihre T├╝r klopft. Wenn sie tats├Ąchlich eine echte Telefonnummer erhalten, kann die Polizei den Betreiber, der die Nummer blockiert hat, bitten, die Informationen weiterzugeben, um solche Betr├╝ger ausfindig zu machen und strafrechtlich zu verfolgen, aber das ist das ideale Szenario.

Um also zu verhindern, dass sie zur├╝ckgerufen werden oder ihre ├Ârtliche Adresse angeben, um eine Telefonnummer zu erhalten, verwenden Betr├╝ger einfach Dids, die ihnen nicht geh├Âren, und damit sind alle Probleme gel├Âst. Indem sie die ID einer anderen Person f├Ąlschen, werden sie unauffindbar und k├Ânnen jeden Tag Tausende von Menschen erreichen, ohne dass dies Konsequenzen hat oder kontrolliert wird... bis jetzt.

2) Did-Spoofing

Wie kann also jemand unauffindbar werden und einen Did verwenden, der nicht der seine ist, um Anrufe zu t├Ątigen? Das ist ziemlich einfach. Es gibt eine ganze Reihe von Telekommunikationssoftware, die bei der Konfiguration einfach fragt, welchen Did Sie als Anrufer-ID verwenden m├Âchten, und die dann Anrufe mit dieser Anrufer-ID generiert. Daran ist normalerweise nichts auszusetzen. Wenn ein Betreiber einen Bereich von der nationalen Regulierungsbeh├Ârde erh├Ąlt, bekommt er nur eine Liste von IDs, die er verwenden und in den Ger├Ąten seiner Kunden konfigurieren kann. Theoretisch k├Ânnten Sie diese Ger├Ąte also auch mit einem Did einrichten, das Ihnen nicht geh├Ârt. Als regulierter Betreiber wollen Sie das nicht tun, aber technisch ist es nicht schwierig. Und tats├Ąchlich verst├Â├čt Did-Spoofing gegen alle Vorschriften der Welt.

Abgesehen davon, dass Sie einen Did verwenden, der Ihnen nicht geh├Ârt (und dabei vielleicht Leute betr├╝gen...), gibt es noch andere Probleme mit Did-Spoofing. Erstens wird das Leben der Strafverfolgungsbeh├Ârden erheblich erschwert, da die dem Did beigef├╝gten Informationen nicht mit der realen Person ├╝bereinstimmen, die das Did benutzt. Obwohl der rechtm├Ą├čige Nutzer des Did alle f├╝r die Nutzung des Did erforderlichen Informationen angegeben hat, handelt es sich also nicht um die richtige Person, die hinter der betr├╝gerischen Nutzung steckt. W├Ąhrend einer Untersuchung ist dies ein sehr ernstes Problem sowohl f├╝r die Polizeikr├Ąfte als auch f├╝r die rechtm├Ą├čigen Nutzer. Zweitens und folglich kommt das Did-Spoofing dem Identit├Ątsdiebstahl immer n├Ąher, da unsere Nutzung des Did gr├Â├čtenteils mit der automatisierten Identifizierung verbunden ist, im Bankwesen, beim Online-Shopping, beim Bezahlen... Daher ist die Nutzung einer fremden Nummer der erste Schritt zum Identit├Ątsdiebstahl und das ist nicht in Ordnung.

3) Misstrauen von Telekommunikationsunternehmen und Betreibern

Es ist nicht nur aus den oben genannten Gr├╝nden nicht in Ordnung, sondern auch nicht in Ordnung f├╝r legitime Anrufe und die gesamte Telekommunikationsbranche. In den USA wird weniger als die H├Ąlfte der Anrufe beantwortet, da die Menschen den traditionellen Sprachanrufen, die dennoch ein gro├čartiges Kommunikationsmittel sind, weitgehend misstrauen. Dies ist ein weltweit wachsender Trend und ein gro├čes Problem f├╝r die Telekommunikationsbetreiber. Sprachanrufe sind nach wie vor ein wichtiges Kommunikationsmedium, und das Vertrauen in Dids wird immer wichtiger, selbst wenn es sich um alternative Telekommunikationsl├Âsungen wie VOIP-Apps oder Identifizierungsszenarien handelt. Um das Vertrauen der ├ľffentlichkeit in regul├Ąre Sprachanrufe wiederherzustellen und den Betrug mit Telefonnummern ├╝ber alle Medien hinweg zu reduzieren, mussten die Betreiber einen Weg finden, Informationen ├╝ber die Telefonnummer und ihren Nutzer zu sammeln, zu speichern, zu ├╝bertragen und zu validieren. Hierf├╝r bieten sich die STIR/SHAKEN-Protokolle an.

Le STIR/SHAKEN

STIR/SHAKEN ist eine Reihe von Verfahren und Protokollen, die zur Bek├Ąmpfung von Did-Spoofing entwickelt wurden.

1) Was ist STIR und wie funktioniert es?

Dies ist das Verfahren und Protokoll f├╝r SIP/VoIP-Anrufe:
STIR f├╝r "Secure Telephony Identity Revisited" ist ein Verfahren, das dem SIP-Header eines Anrufs ein digitales Zertifikat hinzuf├╝gt, das Informationen ├╝ber den Anrufer, den Callee und die Legitimation des Anrufers zur Nutzung des Did enth├Ąlt. Das digitale Zertifikat, ein JSON-Web-Token, wird vom Did-Anbieter des Anrufers erstellt, indem dieser Did mit seiner eigenen DID-Datenbank verglichen wird, wenn der Anruf initiiert wird.

Wenn das Did vollst├Ąndig erkannt wird (alle Ziffern), was bedeutet, dass der Did-Anbieter best├Ątigt, dass der Anrufer in seiner Datenbank als bekannter Kunde registriert ist, erh├Ąlt der Anruf den h├Âchsten Verifizierungsgrad oder "Full attestation", was im SIP-Header mit einem "A" angezeigt wird. Wird der Did teilweise (z. B. einige erste Ziffern) als Teil einer Dids-Liste erkannt, die der Anbieter einem Kunden zugewiesen hat, erh├Ąlt der Anruf eine "Partial Attestation", die im Header mit einem "B" gekennzeichnet ist. Kann der Verbindungsnetzbetreiber nur best├Ątigen, dass der Anruf von einem vertrauensw├╝rdigen Gateway kommt, z. B. wenn ein Anruf mehrere Anbieter durchl├Ąuft, erh├Ąlt der Anruf die "Gateway-Best├Ątigung", die in der Kopfzeile mit dem Buchstaben "C" gekennzeichnet ist.

Das Anruf-Token wird mit einem privaten Schl├╝ssel verschl├╝sselt und vom Betreiber am angerufenen Endpunkt mit einem ├Âffentlichen Schl├╝ssel entschl├╝sselt. Das bedeutet, dass sich alle "rechtm├Ą├čigen" Betreiber bei einer Zertifizierungsstelle registrieren lassen m├╝ssen, um diesen ├Âffentlichen Schl├╝ssel zu erhalten. Alle Anrufe, die die Endpunktpr├╝fungen nicht bestehen, d. h. unbekannter ├Âffentlicher Schl├╝ssel, Unstimmigkeiten zwischen der am Endpunkt vorhandenen Anrufer-ID und der am Ausgangspunkt verwendeten Anrufer-ID, werden als nicht validiert betrachtet und k├Ânnen blockiert werden, bevor sie den Endnutzer erreichen.

2) Was ist SHAKEN und wie funktioniert es?

F├╝r Nicht-VoIP-Anrufe, die SS7 verwenden, wie z. B. Anrufe ├╝ber Mobiltelefone oder analoge Festnetzanschl├╝sse (POTS), kann der SIP-Header nicht verwendet werden, und daher auch nicht das STIR-Protokoll. Um eine Alternative zu STIR zu bieten, die im Vergleich zur derzeitigen Situation ein h├Âheres Ma├č an Sicherheit bietet, wurde das SHAKEN- oder "Signature-based Handling of Asserted information using toKENs"-System eingef├╝hrt. Es ist noch nicht fertiggestellt und kann daher noch nicht ausf├╝hrlich er├Ârtert werden, aber dieses System besteht darin, dem Anrufernamen, der dem Endnutzer von dem letzten SIP-Betreiber, der das STIR-Zertifikat zertifizieren konnte, vorgelegt wird, zus├Ątzliche Informationen hinzuzuf├╝gen. In der Kette der Betreiber, die den Anruf bearbeiten, erstellt der erste SIP-Betreiber das STIR-Zertifikat, und der letzte SIP-Betreiber muss das Zertifikat lesen und dem Anrufernamen, der dem Endbenutzer pr├Ąsentiert wird, entweder "Verifiziert" oder "Nicht verifiziert" hinzuf├╝gen. So kann der Benutzer entscheiden, ob er den Anruf entgegennimmt oder nicht.

Was bedeutet das f├╝r Sprachdienstleister?

Die folgenden Ausf├╝hrungen gelten nicht f├╝r den Ortsverkehr in L├Ąndern, in denen das STIR/SHAKEN-Protokoll nicht angewendet wird. Da aber immer mehr L├Ąnder diesen Identifizierungsrahmen in Betracht ziehen, versetzen wir uns in die Lage der Betreiber, die diesen Rahmen einhalten m├╝ssen. Dies k├Ânnte bald auch f├╝r ausl├Ąndische Betreiber gelten, die Anrufe in STIR/SHAKEN-f├Ąhige L├Ąnder senden m├Âchten.

1) Sie m├╝ssen in der Lage sein, Zertifikate f├╝r Ihre Anrufe zu generieren

Als Betreiber, der es seinen Kunden erm├Âglicht, Dids zu verwenden und Anrufe zu t├Ątigen, sind Sie derjenige, der den Prozess in Gang setzt, und Sie m├╝ssen in der Lage sein, das STIR-Zertifikat zu erstellen. In den USA m├╝ssen Sie sich beim Secure Telephone Identity Policy Administrator (STI-PA) registrieren lassen, der Sprachdienstleister zur Teilnahme am STIR/SHAKEN-Rahmen zul├Ąsst. Sobald Sie validiert sind, k├Ânnen Sie auf den Zertifikatspeicher zugreifen und das STIR-Zertifikat erstellen oder lesen. Das STIR/SHAKEN-System ist in den USA seit dem 30. Juni 2021 eingef├╝hrt, was jedoch nicht bedeutet, dass alle Betreiber in der Lage sind, es zu nutzen, und auch nicht, dass alle L├Ąnder der Welt es bald einf├╝hren werden. Da jedoch die betr├╝gerische Nutzung von Dids zunimmt, werden immer mehr L├Ąnder es in Zukunft einf├╝hren.

2) Sie m├╝ssen in der Lage sein, die Zertifikate an Ihre Zusammenschaltungsanbieter weiterzuleiten

Wenn Sie die Anrufe von einem Betreiber zu einem anderen Betreiber weiterleiten, ist es Ihre Aufgabe, das Zertifikat mit dem Anruf zu ├╝bermitteln. Wenn Sie das Zertifikat f├╝r den Anruf ├Ąndern, besteht die Gefahr, dass er als betr├╝gerisch angesehen und vom Endpunktbetreiber abgelehnt wird. Wir raten Ihnen daher, in der Lage zu sein, Zertifikate zu ├╝bertragen oder zumindest darauf vorbereitet zu sein, und sicherzustellen, dass Ihre Partner vor Ort dasselbe tun, insbesondere diejenigen, von denen die Anrufe ausgehen, die in der Lage sein m├╝ssen, die entsprechende Zertifizierung f├╝r die get├Ątigten Anrufe vorzulegen.

Dennoch gibt es noch viele unklare Situationen und unbeantwortete Fragen, wenn es um die Weiterleitung zertifizierter Anrufe geht.
Wie k├Ânnen beispielsweise Anrufe zwischen zwei L├Ąndern mit unterschiedlichen Zertifizierungsstellen und somit unterschiedlichen Zertifikatsdepots gef├╝hrt werden? Bedeutet dies, dass dieser Rahmen f├╝r internationale Anrufe einfach nicht gilt, oder bedeutet es, dass man bei allen nationalen Zertifizierungsstellen der L├Ąnder, in die man Anrufe sendet, registriert sein muss?
In den USA gibt es erste Ans├Ątze f├╝r eine Antwort auf die Frage, ob ausl├Ąndische Betreiber ├╝ber US-Dids verf├╝gen. Der Vorschlag der US-Beh├Ârde sieht n├Ąmlich vor, dass die US-Gesellschaft und der ausl├Ąndische Betreiber zusammenarbeiten, um die Rechtm├Ą├čigkeit der Anrufe zu ├╝berpr├╝fen, und dass die US-Gesellschaft ein Zertifikat ausstellt. Es handelt sich dabei um ein ma├čgeschneidertes Verfahren, das f├╝r jede Partnerschaft und jedes Land entwickelt werden muss, so dass es sich nicht um eine wirklich globale L├Âsung handelt.

3) Seien Sie vorsichtig mit Ihrem STIR/SHAKEN-"Ruf "

Wenn Sie Endnutzern Dids zur Verf├╝gung stellen, signieren Sie buchst├Ąblich jeden Anruf mit Ihrem ├Âffentlichen Schl├╝ssel und tragen daher eine erh├Âhte Verantwortung f├╝r die Legitimit├Ąt dieser Anrufe. Wenn Sie Spoofing- oder Scamming-Aktivit├Ąten als Teil Ihres Dienstes zulassen, wird Ihnen Ihr Schl├╝ssel entzogen und Sie k├Ânnen Ihre Anrufe nicht mehr im Netz versenden. Sie wollen nicht, dass Ihr Schl├╝ssel bei den meisten gro├čen nationalen oder internationalen Betreibern auf die schwarze Liste gesetzt wird. Dies k├Ânnte dazu f├╝hren, dass Sie die M├Âglichkeit, Ihren Dienst f├╝r Kunden mit einem Datenverkehr anzubieten, der Ihnen nicht zusagt, neu bewerten. Au├čerdem k├Ânnte es ein sehr gef├Ąhrliches Spiel sein, Zertifikate f├╝r bekannterma├čen schlechte Anrufe in "A"-Anrufe mit Ihrem brandneuen Anbieterzertifikat umzuwandeln. Denn selbst wenn Sie kurzfristig einen guten Gewinn erzielen oder dies nur f├╝r eine geringe Menge an Datenverkehr tun, riskieren Sie eine Sperrung des Schl├╝ssels oder die Aufnahme in eine schwarze Liste durch die Endpunktbetreiber, was Ihr gesamtes Sprachgesch├Ąft gef├Ąhrdet. Um ehrlich zu sein, ist dies eines der Hauptziele dieses Prozesses, denn es wird schwer sein, die Qualit├Ąt des weitergeleiteten Verkehrs nicht zu kennen. Daher liegt die Entscheidung bei den Netzbetreibern, entweder den betr├╝gerischen Datenverkehr zuzulassen oder ihn nicht mehr weiterzuleiten.

Lokale Durchsetzung des STIR/SHAKEN-Rahmens in der Welt

Die USA haben bereits damit begonnen, diesen Mechanismus ab dem 30. Juni 2021 f├╝r gro├če Luftfahrtunternehmen durchzusetzen, mit einer Verl├Ąngerung der Frist bis zum 30. Juni 2022 f├╝r kleinere Unternehmen. Wenn Sie ein US-Luftfahrtunternehmen sind und den Bus verpasst haben, gibt es zahlreiche Ressourcen, um Sie auf den neuesten Stand zu bringen, insbesondere die Website der US-Beh├Ârde. Kanada wird mit einer Frist bis zum 30. November 2022 folgen. Das Vereinigte K├Ânigreich plant die Einf├╝hrung ebenfalls nach dem vollst├Ąndigen Austausch des PSTN-Netzes im Jahr 2025. Frankreich arbeitete sowohl an einem Gesetz zur St├Ąrkung der ├ťberwachung des Telefonmarketings und zur Bek├Ąmpfung betr├╝gerischer Anrufe (Naegelen-Gesetz) als auch an einer Vereinfachung seiner nationalen Nummerierungspolitik. Dies hat dazu gef├╝hrt, dass in die Gesetzgebung ein Mechanismus zur Zertifizierung von Anrufer-IDs aufgenommen wurde. Eine eigene Reihe von Mobile Dids wurde sogar dem Beginn der Umsetzung des Systems gewidmet, auch wenn es keine weiteren Details ├╝ber den Umsetzungsrahmen gibt (Lesen Sie unseren Artikel zu diesem Thema). Zusammenfassend l├Ąsst sich sagen, dass sich der Trend global ausbreitet und es einige Jahre dauern wird, aber weitere L├Ąnder werden folgen, und es ist eine gute Gelegenheit f├╝r seri├Âse Anbieter und Betreiber, die lokale und globale Sprachqualit├Ąt zu verbessern und dazu beizutragen, das Vertrauen der ├ľffentlichkeit in Sprachdienste zu st├Ąrken.

Teilen Sie uns mit, welche weiteren Aspekte Sie bei der Einf├╝hrung von STIR/SHAKEN f├╝r Betreiber ber├╝cksichtigen m├╝ssen, und wir werden diese Seite auf jeden Fall aktualisieren, um anderen Betreiberkollegen zu helfen. Teilen Sie uns auch Ihre Meinung und Ihre Erfahrungen bei der Nutzung dieses Rahmens mit! Wir w├╝rden uns sehr freuen, mit Ihnen dar├╝ber zu diskutieren.

European Telcos

Need personalized services?

Talk with our sales team sales@cantoo.co

You have a legal requisition?

E-mail us to requisition@cantoo.co

Stay connected

LinkedIn