Indiens Ministerium für Kommunikation verpflichtet alle Hersteller von Mobilgeräten, die staatliche Sicherheits-App Sanchar Saathi auf jedem Smartphone vorzuinstallieren, das für den indischen Markt bestimmt ist. Den Unternehmen bleiben 90 Tage, um die Vorgaben umzusetzen – inklusive Geräten, die sich bereits in der Lieferkette befinden und per Software-Update nachgerüstet werden sollen.
Sanchar Saathi als zentrales Werkzeug für Smartphone-Sicherheit
Sanchar Saathi wurde vom Department of Telecommunications (DoT) entwickelt und soll Bürger vor Cyberbetrug und Missbrauch von Telekommunikationsdiensten schützen. Die App steht für Android und iOS zur Verfügung und bietet mehrere sicherheitsrelevante Funktionen, die direkt in die Mobilfunkinfrastruktur eingebunden sind.
Zu den Kernfunktionen gehören:
- Meldung verdächtiger Anrufe, SMS und WhatsApp-Nachrichten an zentrale Stellen,
- Sperrung verlorener oder gestohlener Geräte über die IMEI-Verwaltung,
- Prüfung der Echtheit eines Smartphones anhand der IMEI-Nummer inklusive Erkennung von „schwarzen“ oder duplizierten Identifikatoren,
- Markierung und Blockierung verdächtiger internationaler Anrufe, die sich als lokale Rufnummer tarnen.
Nach Angaben der indischen Behörden wurden seit dem Start des Dienstes im Mai 2023 über 4,2 Millionen verlorene Geräte blockiert. Rund 724 000 Smartphones konnten an ihre rechtmäßigen Eigentümer zurückgegeben werden. Mit mehr als 11,4 Millionen Installationen zeigt sich ein hoher Bedarf an leicht zugänglichen Tools zur Abwehr von Cyberkriminalität.
Bekämpfung von gefälschten IMEIs und dem Markt für gestohlene Smartphones
Ein Schwerpunkt von Sanchar Saathi liegt auf der Bekämpfung von duplizierten oder gefälschten IMEI-Nummern. Die IMEI (International Mobile Equipment Identity) identifiziert jedes Mobilgerät weltweit eindeutig und ist für Netzbetreiber und Strafverfolgungsbehörden ein zentrales Instrument, um Geräte zu sperren oder Bewegungsprofile nachzuvollziehen.
Geräte mit identischen IMEIs erzeugen erhebliche Risiken für die Telekommunikations- und Netzsicherheit. Wenn derselbe Identifier parallel in verschiedenen Regionen genutzt wird, erschwert das sowohl die Zuordnung zu einer Person als auch die Unterbindung krimineller Aktivitäten. In Indien verstärkt der florierende Zweitmarkt für gestohlene oder bereits gesperrte Smartphones dieses Problem: Käufer geraten ungewollt in illegale Strukturen und riskieren finanzielle Verluste bis hin zu strafrechtlichen Konsequenzen.
Durch die IMEI-Prüfung in Sanchar Saathi können Nutzer vor einem Kauf feststellen, ob ein Gerät im „Blacklisting“ geführt wird. Dies soll den Handel mit Hehlerware unattraktiver machen und die Transparenz auf dem Gebrauchtmarkt erhöhen – ein Ansatz, der sich in mehreren Ländern als wirksames Mittel gegen Geräteklaus bewährt hat.
Schutz vor Telefonbetrug und Social-Engineering-Angriffen
Ein weiterer Fokus liegt auf der Abwehr von Telefonbetrug und Social-Engineering. Betrüger nutzen häufig internationale Rufnummern, die im Display wie lokale Anrufe wirken, um an Einmalpasswörter, Bankdaten oder andere sensible Informationen zu gelangen.
Die Möglichkeit, solche Anrufe sowie betrügerische SMS und Messenger-Nachrichten zentral zu melden, erlaubt es Netzbetreibern und Behörden, Muster schneller zu erkennen und Rufnummern zu sperren. Aus Sicht der Praxis stärkt dies die reaktive Cyberabwehr: Je mehr strukturierte Meldedaten vorliegen, desto effektiver lassen sich Phishing-Kampagnen, OTP-Diebstahl und großangelegte Betrugswellen eindämmen.
Datenschutzbedenken: Umfangreiche App-Berechtigungen und Pflicht-Preinstallation
Der kritischste Punkt der Initiative ist der weitreichende Zugriff von Sanchar Saathi auf Gerätedaten. Laut App-Beschreibung im Google Play Store verlangt die Anwendung Berechtigungen für SMS, Anrufprotokolle, Kamera, Dateisystem sowie verschiedene Geräte-Identifikatoren. Technisch sind diese Rechte für einige Sicherheitsfunktionen plausibel, sie erhöhen jedoch massiv die Datenschutz- und Missbrauchsrisiken.
Die Regierungsanordnung sieht vor, dass die App bei der Ersteinrichtung des Gerätes sichtbar und zugänglich sein muss und dass zentrale Funktionen nicht deaktiviert oder eingeschränkt werden dürfen. Parallel betont Kommunikationsminister Jyotiraditya Scindia öffentlich, die Nutzung sei „vollständig freiwillig“ und Anwender könnten die App jederzeit löschen – ein Spannungsfeld zwischen rechtlichem Wortlaut und politischer Kommunikation, das von Medien hervorgehoben wird.
Laut Reuters signalisiert Apple, der Vorgabe zur erzwungenen Preinstallation nicht folgen zu wollen. Apple verweist auf ein weltweit einheitliches Sicherheits- und Datenschutzmodell in iOS, das staatliche System-Apps nur sehr eingeschränkt zulässt. Dies könnte zu einem regulatorischen Konflikt führen und wirft grundsätzlich die Frage auf, wie weit Staaten bei der Integration eigener Sicherheitssoftware in proprietäre Ökosysteme gehen dürfen.
Aus Sicht moderner Cybersecurity-Governance sind staatliche Apps mit erweiterten Rechten nur dann vertretbar, wenn sie maximale Transparenz bieten: klare und öffentlich einsehbare Richtlinien zur Datenverarbeitung, unabhängige Sicherheits- und Datenschutz-Audits, strikte Zweckbindung und wirksame Kontrollmöglichkeiten für Endnutzer.
Neue Regeln für Messenger in Indien: Strikte Bindung an SIM-Karten
Parallel zur Sanchar-Saathi-Pflicht verschärft die indische Regierung die Regulierung von Messengern wie WhatsApp, Telegram, Signal, Snapchat, JioChat, Arattai und weiteren Diensten. Ein Ende November 2025 erlassenes Rundschreiben formuliert mehrere verbindliche Vorgaben.
Die neuen Regeln sehen vor, dass Messenger-Dienste:
- den Zugang sperren, wenn sich keine aktive SIM-Karte im Gerät befindet,
- innerhalb von 90 Tagen eine dauerhafte Bindung jedes Accounts an eine funktionierende SIM-Karte sicherstellen,
- Web-Versionen auf Sitzungen von maximal sechs Stunden begrenzen und danach eine erneute QR-Authentifizierung verlangen.
Die Regierung begründet dies mit der Bekämpfung von Betrug: Viele Apps prüfen die Telefonnummer nur bei der Registrierung und funktionieren anschließend, auch wenn die SIM entfernt oder deaktiviert wird – ein Schlupfloch, das Kriminelle ausnutzen. Die verschärfte SIM-Bindung senkt zwar das Maß an Anonymität und erschwert missbräuchliche Nutzung, sie trifft jedoch auch Gruppen, die auf besonders geschützte Kommunikation angewiesen sind, etwa Journalisten, Aktivisten und Menschenrechtsverteidiger.
Für Nutzer bedeutet die neue Regulierung, dass sich digitale Identität, Kommunikationskanäle und Mobilfunkvertrag noch enger verzahnen. Dies macht Aktivitäten nachvollziehbarer, reduziert aber zugleich den Spielraum für vertrauliche oder pseudonyme Kommunikation.
Vor dem Hintergrund dieser Entwicklungen sollten Smartphone-Besitzer in Indien ihre individuelle Sicherheitsstrategie schärfen: App-Berechtigungen bewusst prüfen, Geräte konsequent mit PIN, Biometrie und aktueller Betriebssystemversion schützen, Zwei-Faktor-Authentifizierung nutzen und die rechtlichen Rahmenbedingungen im Blick behalten. Unternehmen, die im indischen Markt aktiv sind, kommen nicht umhin, neue Compliance-Anforderungen in ihre Prozesse zu integrieren und nach dem Prinzip der Datenminimierung zu arbeiten.
Langfristig wird sich die Wirksamkeit von Sanchar Saathi und der Messenger-Regeln daran messen lassen, ob sie nachweislich Betrug und Cyberkriminalität reduzieren, ohne die digitale Freiheit und Privatsphäre der Nutzer unverhältnismäßig einzuschränken. Es liegt an Politik, Industrie und Zivilgesellschaft, diesen Balanceakt kritisch zu begleiten, Transparenz einzufordern und Sicherheitslösungen so zu gestalten, dass sie sowohl Resilienz gegen Angriffe als auch Schutz der Grundrechte gewährleisten.
