PIN und Passwörter: Der Bestandsdaten-Beifang der Polizei

Die sogenannte Bestandsdatenabfrage ist beschlossen und damit bald gültiges Gesetz, denn der Bundesrat wird wohl nicht widersprechen. Doch was kann die Polizei damit anfangen? Anders gefragt: Was dürfen Telekommunikationsanbieter überhaupt speichern, welche Passwörter und Zugangscodes haben sie, die sie der Polizei geben können?

Wichtig für die Ermittler sind sicher Name und Anschrift des Besitzers des Mobiltelefons. Zu den Bestandsdaten gehören auch Kontoverbindungen, das Datum des Vertragsbeginns, die Adresse oder mit dem Nutzerkonto verbundene Telefonnummern (Partnernummern). Des Weiteren gehört zu den Bestandsdaten laut Gesetzentwurf die PIN der SIM-Karte des Handys. Die wurde in der Debatte um das Gesetz oft erwähnt, auch von Zeit Online, deren Artikel wir dazu übernommen haben. Das geschah vor allem, weil der Ausdruck PIN jedem ein Begriff ist. Für die Polizeipraxis ist sie dagegen irrelevant.

Polizei fragt gleich nach dem PUK

Zwar dürfen Ermittler sie nun abfragen, dabei werden sie aber die vierstellige Codenummer der SIM-Karte kaum erfahren. Denn im Zweifel kennt der Mobilfunkbetreiber sie gar nicht. Er hat sie zwar festgelegt, als er seinem Kunden die SIM schickte. Doch kann jeder auf seinem Gerät die PIN ändern. Diese Änderung aber funkt die SIM-Karte nicht nach Hause. "Eine spätere Änderung der PIN durch den Nutzer kann durch den Provider nicht festgestellt werden", sagt beispielsweise Katja Hauß, Sprecherin von Telefónica.

Allerdings kennt der Betreiber den achtstelligen PUK, den Personal Unblocking Key. Der kann nicht verändert werden, weswegen Ermittler längst vor allem diese Nummer abfragen. Anschließend müssen sie bei einem beschlagnahmten Handy nur noch dreimal eine beliebige, vor allem aber falsche PIN eingeben. Dann können sie es mit Hilfe des PUK entsperren und durchsuchen.

Im neuen Telekommunikationsgesetz steht außerdem, Polizei und Geheimdienste dürfen auch Daten abfragen, "mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden", möglich ist. Gemeint sind Passwörter beispielsweise von E-Mail-Konten, aber auch Cloud-Diensten.

Doch das scheint eher Wunschdenken zu sein. Deutsche Anbieter zumindest kennen das Passwort für die Mailaccounts und Datenspeicher ihrer Kunden im besten Fall nicht.