Was als Netzpolitik-Synergie-Treffen vor zwei Jahren begann, hat sich zur regelmässigen Veranstaltung entwickelt.
Wieder ist ein halbes Jahr um, und wir freuen uns sehr, zum
5. Netzpolitik-Synergie-Treffen
vom 13. April 2013 im KulturZentrum Bremgarten KuZeB
einladen zu dürfen.
Rahmen und Ziel bleiben gleich: Wir möchten den verschiedenen Gruppen (und Einzelpersonen), die sich in der (Deutsch-)Schweiz im weiteren Sinne mit Netzpolitik beschäftigen, eine Plattform zur Vernetzung bieten. In Lightning Talks können die eigenen Schwerpunkte oder Ideen präsentiert werden, damit sich eine Zusammenarbeit entwickeln kann. Natürlich soll auch an bereits bestehenden, gemeinsamen Projekten und Themen, wie der Kampagne Vorratsdatenspeicherung und den aktuellen Gesetzesentwürfen zum BÜPF und NDB gearbeitet werden können.
Losgehen wird es wohl wieder um 13:00 Uhr. Um ca. 19:00 Uhr steht ein gemeinsames Abendessen auf dem Programm.
Um Anmeldung bis zum 1. April (inkl. allfälliger Lightning Talks und der ungefähr benötigten Zeit) wird gebeten. Im Anschluss werden wir das definitive Programm zusammenstellen und allen Teilnehmenden zukommen lassen.
Wir freuen uns auf Eure Anmeldung (an office ät digitale-gesellschaft.ch) und einen regen Austausch.
16. März 2013
Kire
Pressemitteilung vom 10.3.2013
Trotz breiter Kritik in der Vernehmlassung will der Bund nun in der geplanten Revision des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) den Einsatz von Bundestrojanern rechtlich verankern und die verfassungsrechtlich problematische Vorratsdatenspeicherung massiv ausdehnen.
Eine Studie des Max-Planck-Instituts widerlegt die Behauptung, dass die Vorratsdatenspeicherung zu höheren Verbrechens-Aufklärungsquoten führt. Die Aufklärungsraten in der Schweiz sind deutlich niedriger als jene in Deutschland, wo schon heute deutlich viel weniger Überwachung zulässig ist als hierzulande. Dennoch hält der Bundesrat an einer weiteren Ausdehnung der Überwachung fest.
Die Ausweitung des Geltungsbereichs des Überwachungsgesetzes von 50 Access Provider auf sämtliche private und geschäftliche Anbieterinnen von Online-Diensten stellt eine gravierende Erweiterung der Überwachung dar. Gleichwohl kann das Gesetz nicht auf ausländische Anbieterinnen angewendet werden, womit die Nützlichkeit nicht gegeben ist.
Die Digitale Gesellschaft lehnt die Gesetzesrevision ab, weil sie die Grundrechte der EinwohnerInnen der Schweiz verletzt, weil die technisch und rechtlich korrekte Umsetzung nicht garantiert werden kann und damit Missbräuchen Tür und Tor geöffnet werden, und weil sämtliche BürgerInnen auf Vorrat generalverdächtigt werden.
Ausführliche Stellungnahme zum Entwurf
10. März 2013
Kire
Gerade etwas mehr als eine Woche ist es her, seit dem der Bundesrat treuherzig beteuert hat, “dass das BÜPF nichts mit präventiver Überwachung zu tun hat. Diese ist Aufgabe des Nachrichtendienstes und Gegenstand des BWIS respektive künftig des Nachrichtendienstgesetzes” (Wie wenn anlasslose Vorratsdatenspeicherung keine präventive Überwachung wäre). Und heute hat er die entsprechende Vernehmlassung eröffnet.
Neben den Strafverfolgungsbehörden soll zukünftig auch der Staatsschutz – also diejenige Behörde, welche in den 1980er Jahren 900’000 Fichen angelegt hat – weitreichende Überwachungsmöglichkeiten erhalten (Art. 22):
- Überwachung des Post- und Fernmeldeverkehrs
- Zugriff auf die Vorratsdaten
- Ortung einer Person via Handystandortdaten
- Online-Durchsuchung von Computern (Trojaner Federal)
Soweit so schlecht. Irgendwie hatten wir dies in der gescheiterten BWIS II-Vorlage schon mal…
Und nun kommt es:
Das Eindringen in Computersysteme und Computernetzwerke, um den Zugang zu Informationen zu stören, zu verhindern, oder zu verlangsamen, falls die Computersysteme und Computernetzwerke für Angriffe auf kritische Infrastrukturen verwendet werden. (Artikel 22 Abs. 1 lit. g).
Die Cyberkrieger sind los.
8. März 2013
Kire
Geht es nach dem Bundesrat, werden diese Zwangsmassnahmen demnächst in der Strafverfolgung zulässig sein. Gestern hat er – fast drei Jahre nach dem Start der Vernehmlassung – die Botschaft und den Entwurf zur Revision des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) sowie der Schweizerischen Strafprozessordnung (StPO) bekannt gegeben.
Obwohl die Reaktionen, insbesondere (aber nicht nur) aus der Digitalen Gesellschaft (es äusserten sich ausführlich die Swiss Privacy Foundation, Grundrechte.ch und die Piratenpartei Schweiz) eindeutig waren, wurde den Bedenken wenig Rechnung getragen.
Die Vorratsdatenspeicherung soll neu für 12 anstatt 6 Monate gelten. Dabei wird behauptet, dass die Provider “bereits heute alle oder einen Teil der betreffenden Daten während mindestens einem Jahr aufbewahren, vor allem aus geschäftlichen Gründen und zum Zweck der Rechnungsstellung”. Insbesondere bei Flatrate- und Prepaid-Angeboten gibt es keinen Grund, verwendete IP-Adressen oder Handy-Standortdaten zu speichern. Daten darüber, mit wem wir wann, wo und wie lange per Telefon, SMS, E-Mail kommuniziert haben, zeigen ein detailliertes Personenprofil auf und lassen tiefe Rückschlüsse zu Beziehungsnetz und Gewohnheiten zu. Solche Daten dürfen nicht “aus geschäftlichen Gründen” gespeichert werden. Sie unterliegen dem Datenschutzgesetz – und gehören nach Abschluss der technischen Notwenigkeit gelöscht. Das BÜPF ist keine Verpflichtung, diese Daten “aufzubewahren”, sondern sie zu erheben.
Die Ausdehnung der Speicherpflicht wird damit begründet, dass “diese Frist bereits vollständig oder grösstenteils abgelaufen [ist], wenn die Behörde in der Lage ist, eine Überwachung anzuordnen”. Ein massiver Grundrechtseingriff wird also damit legitimiert, dass die Strafverfolgungsbehörden zu wenig schnell arbeiten. Zahlen dazu gibt es jedoch keine.
Ebenso werden keine genaueren Angaben dazu gemacht, wieso die Vorratsdaten “zur Bekämpfung der Kriminalität unerlässlich” seien. Eine Studie des renommierten Max-Planck-Institut im Auftrag des deutschen Bundesamtes für Justiz kommt im Gegenteil zum Schluss, dass die Vorratsdatenspeicherung für die effektive Strafverfolgung unnötig ist. Ein Grundrechtseingriff muss immer verhältnismässig (also notwendig und geeignet) sein. Fehlt dieser Nachweis, muss die Vorratsdatenspeicherung als eine unrechtmässige Einschränkung der Grundrechte gelten.
Der Trojaner Federal (Bundestrojaner, Staatstrojaner oder im Behördensprech GovWare genannt) soll neu eingesetzt werden dürfen. Das deutsche Bundesverfassungsgericht hat sich im Urteil zur Online-Durchsuchung klar dahingehend geäussert, dass sich die Beschränkung der Überwachung ausschliesslich auf Daten aus einem laufenden Telekommunikationsvorgang beschränken – und dies “durch technische und rechtliche Vorgaben sichergestellt sein” muss. Es folgt der Leitidee, dass es nicht um konkret ausgeübte Kontrolle, sondern andersherum um den Kontrollverlust des Betroffenen geht. (Natürlich ist dies nicht bindend für die Schweiz. Das deutsche Bundesverfassungsgericht ist aber auch keine beliebige Instituion.) Die entsprechende Bestimmung (Entwurf Art. 269ter StPO) enthält nur eine rechtliche Einschränkung. In der Botschaft wird auch zugegeben, dass per “GovWare [...] technisch auf sämtliche Daten, beispielsweise auch auf alle privaten Informationen zugegriffen werden (z.B. Dokumente, Fotos) [kann], die in einem Computer gespeichert sind”.
Zusammen mit dem Recht auf den Einsatz soll die Staatsanwaltschaft auch die Erlaubnis erhalten “die nicht öffentlichen Räume, in die allenfalls eingedrungen werden muss, um besondere Informatikprogramme in das betreffende Datenverarbeitungssystem einzuschleusen” zu bezeichnen.
Mehrfach wird in der Botschaft suggeriert, dass für den Trojaner-Einsatz ein viel enger gefasster Deliktskatalog gelten würde. Allein schon der Blick auf die beiden Listen zeigt, dass sie praktisch identisch sind.
Auf einige grundsätzliche Fragen werden in der Botschaft kurz eingegangen, andere verschwiegen. Stichworte sind:
- Wie kommt der Trojaner Federal auf das System – und wie wird eine Deaktivierung und Entfernung gewährleistet?
- Woher nimmt sich die zuständige Polizeibehörde eine allenfalls nötige Sicherheitslücke, um die Software auf das Zielgerät zu bringen? Darf sie sich einen Exploit auf dem Schwarz-Markt beschaffen?
- Darf beim Einsatz eine vorhandene AntiViren-Software deaktiviert werden?
- Wie wird sichergestellt, dass nur die Kommunikation von der tatsächlich zu überwachenden Person aufgezeichnet wird, insbesondere wenn sich mehrere Personen einen Computer teilen?
- Was bedeutet die Überwachung des “Inhalts der Kommunikation”? Eine E-Mail, die ich heute schreibe, speichere und morgen anstatt zu versenden lösche, dürfte nicht dazu gehören. Da ich sie aber heute schon verschlüssle, ist sie womöglich bereits bei den Untersuchungsbehörden, bevor ich darüber geschlafen habe – und obwohl nie ein Telekommunikationsvorgang stattfinden wird. Eine strickte Trennung von Inhalts- und Kommunikationsverschlüsselung wäre nötig.
- Die Aufzeichnung eines Video-Chats ist immer auch eine Wohnraumüberwachung (dessen, was im Hintergrund geschieht).
- Wie wird die nötige Beweissicherheit für die Verwendung vor Gericht auf einem fremden und entfernten System gewährleistet?
Auch hier stellt sich die Frage zur Verhältnismässigkeit: Nicht erst der konkrete Akt ist die Bedrohung, sondern bereits dessen Möglichkeit. Anstatt dies festzustellen, beschränkt sich der Bundesrat darauf, festzuhalten, dass “nach Auffassung der befragten Fachleute aus dem Polizeibereich [...] die im Zusammenhang mit GovWare geäusserten Befürchtungen unbegründet [sind]. Die GovWare bleibe [!] ständig unter der Kontrolle der Strafverfolgungsbehörden (Polizei, die der Staatsanwaltschaft unterstellt ist)”.
Und weiter: “Das vorrangige Ziel der Revision des BÜPF besteht nicht darin, vermehrt zu überwachen, sondern die Überwachungsmethoden an die technische Entwicklung im Fernmeldebereich anzupassen. Dieses Ziel lässt sich nach Ansicht des Bundesrates nur erreichen, wenn den Strafverfolgungsbehörden gestattet wird, GovWare einzusetzen. Andernfalls würde die Wirksamkeit der Kriminalitätsbekämpfung sehr stark beeinträchtigt.”
Die Strafverfolgungsbehörden und die technische Entwicklung treiben den Gesetzgeber also vor sich her. Grundrechte und Privatsphäre der Betroffenen haben da keinen Platz.
Das (Nicht-)Verständnis für die technische Problematik äussert sich in Aussagen wie: “Eine Alternative zum Einsatz von GovWare würde darin bestehen, dass alle Unternehmen, welche die Verschlüsselung des Fernmeldeverkehrs ermöglichen, verpflichtet würden, ihre Verschlüsselungsalgorithmen herauszugeben, damit der betreffende Fernmeldeverkehr entschlüsselt werden kann.” Vom Kryptographie-Grundsatz, dass ein guter Algorithmus nur ein offener sein kann – und nur die Schlüssel geheim (und hoffentlich ausschliesslich im Besitz der Kommunizierenden) sein sollten, scheinen die AutorInnen noch nicht gehört zu haben.
Ebenfalls neu zugelassen soll der Einsatz von IMSI-Catchern werden. Diese Geräte verhalten sich im Mobilfunknetz gegenüber einer Basis-Station wie ein Handy und gegenüber einem Handy wie eine Basis-Station. Sobald das Signal des IMSI-Catchers gegenüber den Handys im Empfangsbereich stärker ist, wie das der ursprünglichen Basis-Station, buchen sich diese automatisch neu via Catcher in das Mobilfunknetz ein. Dadurch ist es der Polizei auch möglich, herauszufinden, wer sich aktuell (mit eingeschaltetem Handy) im Umkreis befindet. Die Zuordnung von IMSI (SIM-Karte) zu Mobilfunkteilnehmer kann via technisch-/administrative-Anfrage und Dienst ÜPF (ohne Richtervorbehalt und Straftatenkatalog) vorgenommen werden. Der Bundesrat soll zukünftig sogar vorsehen können (Entwurf Art. 23 Abs. 3 BÜPF), “dass die Daten [...] im Abrufverfahren zugänglich sind und dass die Mitteilung der Daten kostenlos und rund um die Uhr zu erfolgen hat.”
Eine weitere Änderung betrifft den persönlichen Geltungsbereich des Gesetzes. Standen seit der letzten Überarbeitung der Verordnung klar und ausdrücklich nur die Access Provider in der Pflicht, die Überwachungsmassnahmen vorzunehmen, sollen neu auch reine E-Mail-Anbieterinnen, Hostingprovider, Hotels, Spitäler, Schulen, Chatanbieter und Private, die ihr WLAN auch den Nachbarn zur Verfügung stellen, etc. unter das BÜPF fallen. Sie müssen “eine Überwachung [...] durch den Dienst oder durch die von diesem beauftragten Personen dulden”. Und dazu “unverzüglich Zugang zu ihren Anlagen gewähren” und “die für die Überwachung notwendigen Auskünfte erteilen”. Ob mit Zugang auch das Administratoren-Passwort gemeint ist, bleibt offen.
Der Bundesrat behält sich im Entwurf in Art. 27 Abs. 3 vor, “alle oder einen Teil der Anbieterinnen abgeleiteter Kommunikationsdienste, die Dienstleistungen von grosser wirtschaftlicher Bedeutung oder für eine grosse Benutzerschaft anbieten, allen oder einem Teil der” generellen Überwachungspflichten zu unterstellen. Er gibt sich damit das Recht, darüber zu bestimmen, wer auch die Vorratsdatenspeicherung anzuwenden hat.
Gemäss Botschaft wird davon ausgegangen, dass anstatt 50 neu bis 200 Firmen/Organisationen davon betroffen sein werden.
Zusätzlich sollen einige neue Vorschriften für die Provider gelten:
- Der Dienst ÜPF kann Qualitätskontrollen anordnen.
- Die Missachtung einer Verfügungen kann mit bis zu 100’000.- bestraft werden.
- Der DÜPF kann eine Konzession entziehen.
- Die Fernmeldedienstanbieterin kann eine Überwachungsanordnung anfechten.
- Sie hat aber kein Beschwerderecht bezüglich den Voraussetzungen einer Überwachungsanordnung.
- Einer Beschwerde fällt keine aufschiebende Wirkung zu.
- Die Provider müssen dem Dienst Informationen über ihre aktuellen und geplanten Dienstleistungen auf Anfrage mitteilen.
Die Fernmeldedienstanbieterinnen sollen weiterhin für die Beschaffung, den Unterhalt und den Betrieb der Überwachungseinrichtungen aufkommen müssen. Sie werden vom Dienst pro Überwachungsmassnahme bezahlt. Dies führt zur etwas absurden Situation, dass ein Provider fast schon hoffen muss, dass sich möglichst viele Kriminelle unter seinen KundInnen befinden, damit er die Investitionen amortisieren kann.
Die Botschaft meint dazu lapidar: “Bei diesen Unternehmen entsprechen die Überwachungskosten nämlich nur einem geringen Betrag im Vergleich zu ihrem Umsatz”. Dass die Überwachungskosten aber am Unternehmenserfolg und nicht am Umsatz abgehen, scheint nicht zu interessieren. Und unverfroren geht es weiter: “Der Kostenanstieg ist auch angesichts des Effizienzgewinns zu relativieren, der dank dem neuen BÜPF bei der Verfolgung von Straftaten erzielt wird.” Da fehlen einem dann die Worte.
Von einer generellen Registrierungspflicht für BenutzerInnen von Fernmeldediensten wurde (grosszügiger weise) abgesehen. Die Beschränkung der Vorhaltedauer der Daten aus der Registrierungspflicht bei Prepaid-SIM-Karten auf zwei Jahre wurde jedoch aus dem Entwurf entfernt. Und die AnbieterInnen sollen verpflichtet werden können, den Zugang zu Telefonie und Internet zu sperren, wenn die Registrierung nicht (ordnungsgemäss) vorliegt.
Im letzten Abschnitt behauptet die Botschaft auch noch, dass die Europäische Menschenrechtskonvention (Art. 8 EMRK) gewahrt sei. Wie bereits beschrieben, ist die Verhältnismässigkeit aber mehrfach nicht gegeben. Und damit ein Grundrechtseingriff nicht zulässig.
Werden Straftaten über das Internet begangen, gelten die Pflicht zur Identifikation (und damit Zugriff auf die Vorratsdatenspeicherung) auch ohne einschränkenden Straftatenkatalog. Es ist kein Richtervorbehalt nötig. Und es können – “wenn es besondere Gründe rechtfertigen” – auch beliebig weit in die Vergangenheit zurück Daten angefragt werden. Dasselbe gilt für die technisch-/administrativen Auskünfte. Auf diese können neben den Polizeistellen auch die Nachrichtendienste zurückgreifen.
Auch sind gemäss Botschaft “z.B. Personen, die mit der überwachten Person kommunizieren oder Personen, die im Rahmen eines Antennensuchlaufes oder beim Einsatz eines IMSI-Catchers vor der Filterung der Ergebnisse zwangsläufig ebenso erfasst werden, [...] nicht von der Mitteilungspflicht [...] betroffen und haben kein Beschwerderecht [...]. Dies ist auch sachgerecht, da diese Personen nicht im Sinne des Gesetzes überwacht werden.”
Mehrfach wurde auch an der Pressekonferenz von “schweren Straftaten”, von “organisierter Kriminalität” und “Terrorismus” gesprochen. An das reisserische Vokabular hat mensch sich ja schon fast gewöhnt. Von Simonetta Sommaruga hätte ich es jedoch nicht zu hören erwartet. Entweder hat sie sich in kurzer Zeit von der engagierten Konsumentenschützerin zur strengen Strafverfolgerin verwandelt. Oder sie wurde im Bundesrat durch Mehrheitsentscheid zur aktuellen Vorlage gezwungen. Im ersten Fall würde ich einen Rücktritt fordern, im zweiten ihr einen nahelegen.
28. Februar 2013
Kire
Über 1’500mal wurden bis jetzt die Vorlagen für Datenauskunftsbegehren heruntergeladen. Und an mindestens 10 verschiedene Mobilfunk- und Internet Access Provider versandt.
Leider kommen diese Ihrer Verpflichtung nicht nach: Die Antworten sind unvollständig, Begründungen fehlen oder passen nicht, die Briefwechsel werden vom “Kundendienst” abgeklemmt – und die Vorratsdaten bleiben weiter in den Datenbanken verborgen.
Die Swisscom braucht teilweise bis zu drei Monate, bis ein erster Brief beantwortet wird. Die Reihenfolge der Bearbeitung scheint willkürlich. In einem Schreiben teilt sie mit: “In einer ähnlichen Auskunftsanfrage via dem Eidg. Datenschutzbeauftragten (EDÖB) wurde diese Auskunft mit der gleichen Begründung verweigert, welcher durch den EDÖB nicht widersprochen wurde.” Dies erstaunt nicht nur den EDÖB – welcher mit Swisscom in Kontakt steht. Obwohl ausführlich dargelegt, widerspricht Swisscom aber unseren Ausführungen grundsätzlich und behauptet, dass das Auskunftsrecht nach Art. 9 Abs. 1 lit a. DSG durch Art. 43 FMG eingeschränkt sei. Beschränkt sich aber im Folgenden auf die Beschreibung der Ausnahmefälle, in welchen eine Auskunft zulässig sei.
Sunrise scheint keine Lust zu haben, mal im Gesetz nachzuschlagen. In ersten Antworten steht schlicht: “Hierzu ist zu beachten, dass wir von Gesetzes wegen verpflichtet sind, die Verbindungsdaten ein halbes Jahr seit deren Entstehung aufzubewahren (Art. 15 Abs. 2 BÜPF).” Danke für den Hinweis. Aber eigentlich ist es Abs. 3. Und genau darum fragen wir an! Dass wer Daten bearbeitet, diese nicht nur beschreiben, sondern auch bekanntgeben muss, interessiert den Provider nicht. Wer nachhakt, wird schon fast säuerlich abgewiesen: “[...] haben wir Ihnen bereits [...] eine ausführliche Stellungnahme betreffend Ihren Daten zugestellt. Wir verweisen Sie deshalb auf erwähntes Schreiben.” Und erhält die Kopien der Rechnungen der letzten 6 Monate zugestellt. Eine von Gesetzes wegen notwendige Begründung (Art. 9 Abs. 5 DSG), wieso die Auskunft eingeschränkt wird, ist bis jetzt nicht zu erhalten. Auch nicht auf informellem Weg.
Fast schon originell gibt sich Orange: “Wir möchten an dieser Stelle klarstellen, dass gemäss Art. 8 DSG Anspruch auf Auskunft über die zu einer Person gespeicherten Daten besteht, jedoch kein automatischer Anspruch auf Herausgabe der Daten.” Im weiteren wird auf eine “lex specialis” verwiesen, wonach das grundsätzliche Auskunftsrecht durch das Fernmeldegesetz eingeschränkt sei. Im Unterschied zu Swisscom bemüht Orange hier Artikel 45 FMG.
Einfach macht es sich Cablecom: In einer kurzen Übersicht werden die konkreten Kundendaten, wie Name, Adresse, Telefon- und Kontonummer aufgelistet. Dann behauptet der zuständige Customer Relations Specialist: “Weitere Daten in Bezug auf Ihre Person haben wir keine, womit wir Ihnen gerne die Vollständigkeit unserer Angaben bestätigen.” Wer nachhakt, wird an den Bund verwiesen: “Der Verbindungsnachweis für den Internet Traffic ist [in den Rechnungen] nicht enthalten und kann nur via ÜPF [sic!] angefragt werden.” Eine Begründung? Fehlanzeige.
Auch andere Anbieterinnen, wie Lebara oder Green, bringen es in ihren Antworten auf gerade mal vier kurze Sätze. Garniert mit den Kundenangaben oder den Rechnungen der letzten Monate. Ein Wort zu den Vorratsdaten? Wir ahnen es schon.
Bei den grossen vier Providern sind nun noch individuelle Nachfass-Briefe und/oder Kontakte hängig. Ob sich noch etwas bewegt, wird sich in den nächsten Wochen zeigen – oder ob es nötig sein wird, die Angelegenheit vor Gericht zu klären.
22. Februar 2013
Kire
Vom 4. bis 8. März 2013 findet an der Universität Zürich eine Nachhaltigkeitswoche statt. Diese wird vom neuen Verband der Studierenden (VSUZH) ausgerichtet. Jeder Tag wird einem andern Schwerpunkt gewidmet sein. Am Donnerstag steht die Digitale Nachhaltigkeit im Zentrum:
- Digitale Nachhaltigkeit – Eine Einführung
Referat von Marcus Dapp, 10.15-11.00 Uhr
- Creative Commons: Worum geht es und was bringt es mir?
Referat von Simon Schlauri, 11.15-12.00 Uhr
- Spurenarm und anonym surfen
Workshop der Swiss Privacy Foundation, 14.00-17.00 Uhr
- Information wants to be free. Eine Debatte zu Open Access
Podiumsdiskussion mit Emmanuel Engelhart (Wikimedia CH), Christian Fuhrer (ZORA), Michael Hagner (Wissenschaftsforschung ETH), Vittorio Klostermann (Vittorio Klostermann Verlag), Angela Martucci (Moderation), ab 19.00 Uhr
17. Februar 2013
Kire
Bezüglich der Vorratsdatenspeicherung gelten (grob gesprochen) vier Gesetze. Im Grundsatz sind diese persönlichen Daten vor Zugriff geschützt:
- Das Fernmeldegesetz konkretisiert das Fernmeldegeheimnis (aus Art. 13 Bundesverfassung; Schutz der Privatsphäre) und verbietet die Bekanntgabe der Daten durch die Provider an Dritte (Art. 43 FMG).
- Das Datenschutzgesetz erlaubt die Bearbeitung von Personendaten nur, wenn sie notwendig, verhältnismässig und zweckmässig ist, mit Zustimmung geschieht, oder wenn sie durch ein Gesetz vorgeschrieben ist (Art. 4 DSG).
Zur Aufhebung des Fernmeldegeheimnisses (Grundrechtseingriff) braucht es zwingend eine gesetzliche Grundlage:
- Das Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs regelt für die Provider die Pflicht, die Vorratsdaten für 6 Monate aufzubewahren (Art. 15 Abs. 3 BÜPF).
- Die Strafprozessordnung erlaubt den Behörden unter gewissen Bedingungen (Schwere der Straftat, Richtervorbehalt, “rückwirkende” Dauer 6 Monate) den Zugriff (Art. 273 StPO) auf die Daten.
Soweit so gut (resp. schlecht).
Nun gibt es noch den Art. 14 Abs. 4 BÜPF, der es nach der Botschaft von 1998 noch ins Gesetz geschafft hat:
Wird eine Straftat über das Internet begangen, so ist die Internet-Anbieterin verpflichtet, der zuständigen Behörde alle Angaben zu machen, die eine Identifikation des Urhebers oder der Urheberin ermöglichen.
Vor der Einführung der StPO waren im BÜPF sowohl die Pflichten der Provider wie auch die Rechte der Strafverfolgungsbehörden definiert. Mit diesem Artikel sollte der Deliktskatalog auch auf jede über das Internet begangene Straftat erweitert werden. Er wurde dann aber auch verwendet, um in einem vereinfachten Verfahren (ohne richterliche Genehmigung) die IP-Zuordnungen abfragen zu können (Entscheid REKO UVEK).
Mit einem Urteil von letzter Woche hat dies nun das Bundesgericht noch getoppt: Es lässt die Identifikation auch für unbestimmte Zeit zu:
Vielmehr dürfte Art. 273 Abs. 3 StPO dahin auszulegen sein, dass diese Bestimmung (unter den Voraussetzungen von Art. 273 Abs. 1 StPO) in jedem Fall und ohne weitere Begründung die rückwirkende Erhebung bis 6 Monate erlaubt und, wenn es besondere Gründe rechtfertigen, auch für einen längeren Zeitraum. Wie es sich damit verhält, braucht hier jedoch nicht vertieft zu werden. Nach dem Gesagten geht es um eine über das Internet begangene Straftat. Insoweit kommt Art. 14 Abs. 4 BÜPF zur Anwendung. Diese Bestimmung geht Art. 273 Abs. 3 StPO als “lex specialis” vor. Art. 14 Abs. 4 BÜPF sieht keine zeitliche Befristung für die rückwirkende Erhebung von Daten vor.
Damit es es der Staatsanwaltschaft überlassen, über besondere Gründe und den Grundrechtseingriff zu entscheiden. Starker Tobak.
Wenn nun die Provider das Datenschutzgesetz befolgen würden, wäre dies kein Problem. Und natürlich würde eine entsprechende Löschbestimmung in ein Gesetz zur Vorratsdatenspeicherung gehören.
Btw: Es gibt eine neue Statistik zum BÜPF. Aber ohne Neuigkeiten.
14. Februar 2013
Kire
Nicht mehr ganz aktuell und auch etwas technisch. Aber doch einen Hinweis wert:
Im Sommer 2011 wurden im Iran verschlüsselte https-Verbindungen in einer grossangelegten Man-in-the-Middle-Attacke abgehört. Ca. 300’000 User waren davon betroffen. Und die niederländische Certification Authority DigiNotar.
Angreifern war es gelungen, die Zertifizierungsstelle soweit unter Kontrolle zu bringen, um für beliebige Hostnamen, wie *.google.com, gültige SSL-Zertifikate ausstellen zu können. Da die Root-Zertifikate von DigiNotar in den gängigen Webbrowsern als vertrauenswürdige Stellen hinterlegt waren, konnten die verschlüsselten Datenverbindungen abgefangen, entschlüsselt und mit den dazugehörigen Private Keys neu verschlüsselt werden, ohne dass die Benutzerin es merken konnte.
Im letzten Herbst wurde der von der niederländischen Regierung in Auftrag gegebene Bericht über den Einbruch veröffentlicht. Der spannende Report zeigt nicht nur, was bei DigiNotar vorgefallen ist, sondern verrät auch, wie eine CA aufgebaut ist, wie eine forensische Untersuchung vonstatten geht und was im Iran passiert ist. Eine empfehlenswerte Lektüre.
Die grundsätzliche Frage bleibt jedoch im Raum stehen. Verschiedene andere CAs waren in der Vergangenheit ebenfalls betroffen – und falsche Zertifikate im Umlauf. Ein aktueller Firefox vertraut über 80 Instanzen. Darunter Türktrust, Comodo, DigiCert (alle bereits betroffen). Aber auch dem China Internet Network Information Center CNNIC, dem Staat Taiwan, Japan, Frankreich. Und auch zweier Bundesbetrieben: Swisscom und SwissSign/Post. Diese CAs dürfen (und auch alle deren SubCAs – bspw. die Migros – können) Zertifikate für sämtliche Hostnamen ausstellen. Es ist nur eine Frage der Zeit, bis der nächste Missbrauch bekannt wird. Oder auch bei uns eine Strafverfolgungsbehörde oder ein Staatsschützer auf die Idee kommt, durch eine MITM-Attacke an die gewünschte Information zu kommen.
Verschiedene Browser Add-ons helfen, solches zu verhindern. Bspw. durch eine automatische Prüfung, ob sich das Zertifikat eines Servers seit dem letzten Besuch verändert hat1. Oder durch eine Nachfrage bei einer unabhängigen Instanz, ob diese das selbe Zertifikat vom Server präsentiert bekommt, wie der eigene Client2. Leider werden gerade grosse Sites, wie google.com, von hunderttausenden von Servern mit verschiedenen Zertifikaten betrieben, so dass es zu vielen falschen Warnmeldungen kommt. Eine Nachfrage bei einer Drittinstanz wirft zudem auch Fragen aus der Datenschutz-Perspektive auf.
Der DigiNotar-Einbruch ist aufgefallen, weil in Google Chrome fest hinterlegt ist, welche Zertifikate für Google-Sites verwendet werden. Und dies scheint der einzig wirklich praktikable Ausweg aus der Misere: Wer einen Server betreibt, muss signalisieren können, welche Zertifikate zu seinen Servern gehören resp. welche Root-CAs sie ausstellen dürfen. Deren Namen und Fingerprints müssen vertrauenswürdig (Bspw. per DNSSEC) hinterlegt werden können. Ideen und einen Standard dazu gibt es bereits.
25. Januar 2013
Kire
Vor einer Woche wurde bei vimentis.ch eine Sicherheitslücke bekannt: Über hunderttausend Kombinationen aus E-Mail-Adresse und Passwort-Hash konnten per SQL-Injection (resp. einem simplen Mausklick) ausgelesen werden. Betroffen sind davon auch hunderte PolitikerInnen aus National-, Ständerat und Grossräten.
Wie lange die Lücke bereits bestanden hat, ist unbekannt. Nach einem Tipp wurde sie in dieser Woche geschlossen. Leider haben die Verantwortlichen der Polit-Plattform es bis jetzt versäumt, die User zu benachrichtigen. Auch wenn die Passwörter “nur” als Hashes (und salted) vorliegen, können schwächere mit entsprechenden Tools herausgefunden werden.
Wer also einen Account hat und ein lohnendes Ziel darstellt oder das Passwort auch noch an anderen Orten verwendet oder nur ein schwaches benutzt, sollte dieses unbedingt ändern.
4. Januar 2013
Kire
Nach den Grünen hat nun auch die FDP ein Papier zur Netzpolitik veröffentlicht. Leider beschränkt es sich auf wenige Themen.
Beim Urheberrecht steht die Forderung nach Digital Restriction Management (DRM) im Zentrum:
Die Urheber müssen ihre Vertriebsmodelle anpassen und die neue Nachfrage befriedigen; dabei müssen sie über technische Mittel ihre Werke schützen und ihre Rechte auf dem Weg des Zivilrechtes über die Gerichte durchsetzen.
Schade auch, dass die Partei Urheber- und Eigentumsrechte gleichsetzen möchte. Immerhin ist als Konsequenz die Abschaffung der Abgabe auf Leerdatenträger gefordert. Und die Möglichkeit für UrheberInnen ihre Werke auch gratis oder unter neuen Vergütungsformen anbieten zu dürfen (also ohne SUISA-Knebelvertrag).
Im Bereich Datenschutz gilt es sicherzustellen,
dass der Zugang zum Internet frei bleibt, keine Zensur stattfindet und private Daten inklusive die IP-Adresse geschützt bleiben. [...] Das Sammeln und Bearbeiten von persönlichen Daten ohne Einwilligung des Betroffenen ist
strikte zu verbieten, Ausnahmen sind beim Vorliegen einer entsprechenden Einwilligung oder im Strafverfahren vorzusehen.
Leider ist dies ziemlich schwammig; müsste aber als Bekenntnis zur Netzneutralität und Ablehnung der Vorratsdatenspeicherung verstanden werden können. (Eine entsprechende Anfrage wurde bis dato nicht beantwortet.)
Zu guter Letzt wird noch die uneingeschränkte Einführung von eVoting gefordert. Auf die offenen Fragen und den hängigen Bericht des Bundesrates zur Studie zu verifizierbaren Vote électronique-Systemen wird leider nicht eingegangen.
26. Dezember 2012
Kire
Nächste Seite
Vorherige Seite
