Schlagwort: Privatsphäre
Viele Jahre lang hat Karsten N. mehr oder weniger im Alleingang am wohl umfangreichsten und aktuellsten Privacy-Handbuch (in deutscher Sprache) geschrieben. Es erklärt praxisnah und verständlich die Themen “Spurenarm Surfen”, “E-Mails verschlüsseln”, “Anonymisierungsdienste nutzen” und “Daten verschlüsseln”. Mittlerweile ist die gedruckte Version auf beachtliche 310 Seiten angewachsen.
Leider wurde das Projekt aus Mangel an Zeit resp. anderer Prioritäten nun eingestellt. Das Handbuch ist Public Domain und kann bis Ende des Sommers heruntergeladen und beliebig weiterverwendet werden.
14. Mai 2013
Kire
Heute wurde eine Petition gegen die BÜPF-Revision lanciert.
Das neue Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) erlaubt die Installation von Bundestrojanern auf unseren Computern und Mobiltelefonen, die Speicherung auf Vorrat ALL unserer Verbindungsdaten während 12 Monaten (E-Mail, Handy, IP-Adressen, usw.) sowie eine intrusive Überwachung der Mobiltelefonie!
Die Digitale Gesellschaft unterstützt das Anliegen.
Mach’ mit und unterschreibe auch!
Zur Gesetzes Revision gibt es von der Digitalen Gesellschaft eine ausführliche Stellungnahme.
21. April 2013
Kire
Kürzlich gab es in diesem Blog einen Artikel zu SWITCH und Datenschutz – oder wie mensch die Kontrolle über die eigenen Adressdaten verliert. Darin wurde auch kurz über die Plattform moneyhouse berichtet, welche ungefragt auch gesperrte Adressdaten im Internet publiziert und damit Geld verdient. Der Kassensturz berichtete diesen Dienstag in einem dreiteiligen Beitrag ausführlich.
11. April 2013
Kire
Die Stiftung SWITCH betreibt im Auftrag des Bundes die Registrierungsstelle nic.ch für die Top-Level-Domain “.ch”. Dazu führt sie eine öffentliche zentrale Datenbank, die allen Interessierten einen Echtzeit-Zugang zu Angaben über die InhaberInnen (Name und Postanschrift) von Domain-Namen gewährleistet. Und sie “trifft geeignete Massnahmen, um die missbräuchliche Verwendung der öffentlich zugänglichen Angaben [...] zu verhindern”. Dieser rechtliche Rahmen ist durch Art. 14 der Verordnung über die Adressierungselemente im Fernmeldebereich (AEFV) abgesteckt.
Damit die personenbezogenen Daten nicht missbräuchlich und/oder automatisch ausgelesen werden können, beschränkt SWITCH die Anzahl Abfragen und verbietet eine weitergehende Bearbeitung in der Benutzungsordnung. Im Internet vor 15 Jahren war dies sicherlich ausreichend. Für dubiose Adresshändler und Datenverknüpfer stellt dies heutzutage aber kein Hindernis – jedoch ein lohnendes Geschäft dar. Swiss Registers (neuerdings suisse-data), Domain Tools und auch andere Unternehmen beschaffen sich die Daten aus der nic.ch/WHOIS-Datenbank, publizieren diese öffentlich im Internet oder verlangen sogar Geld für historische Daten.
Wer seine eigenen Daten schützen möchte, hat einen schweren Stand: Dass eine Intervention bei Swiss Registers nicht von Erfolg gekrönt sein wird, ahnt man schon. Aber auch SWITCH will mit der Angelegenheit nichts zu tun haben. Der Support wimmelt ab oder reagiert nicht. Erst mehrmaliges Nachhaken und ein persönlicher Kontakt veranlasst SWITCH den Datensammler (erfolglos) abzumahnen und darauf hinzuweisen,
dass Sie über einen bedeutend besseren Rechtsanspruch gegenüber swiss-register.ch verfügen als SWITCH als Registerbetreiberin. Es steht Ihnen frei, den Halter des Domain-Namens auf der Grundlage des Datenschutzgesetzes oder mit einer Persönlichkeitsrechtsklage in Anspruch zu nehmen.
Zu gut Deutsch soll sich also die betroffene Privatperson auf eigene Kosten international mit den Rechteverletzern auseinandersetzen – während das Datenleck bei SWITCH weiter offen steht.
Dieses muss jedoch an der Quelle geschlossen werden. Eine Beschränkung auf 25 Abfragen pro Minute reicht nicht. Source-IP-Adressen sind zur Verhinderung von missbräuchlichen Datenbankabfragen ungeeignet. Um dem Datenschutz genüge zu tun, könnten die Abfrage durch ein Captcha (dies könnte allenfalls sogar als reiner Text/ASCII-Art gelingen) oder ein Login geschützt werden. Oder es müsste möglich sein, die Adresse – wie im Telefonbuch auch – sperren zu lassen.
Von einer ähnlichen Problematik sind Leute betroffen, die im Handelsregister eingetragen sind. Daten, welche im Zefix veröffentlicht sind, werden von Moneyhouse übernommen, mit Daten von Schober “angereichert” und wieder veröffentlicht. Der Eidgenössische Datenschutzbeauftragte hat sich eben ausführlich mit dem Fall beschäftigt.
Aktuell läuft eine Vernehmlassung zur Änderung der gesetzlichen Bestimmungen zum Handelsregister. Hier soll im Art. 936 Abs. 3 und 4 OR folgendes festgelegt werden:
Der Bund veröffentlicht die Einträge sowie die Statuten und Stiftungsurkunden im Internet. [...] In den im Internet zugänglich gemachten Einträgen des Handelsregisters ist eine Suche nach bestimmten Kriterien, insbesondere nach personenbezogenen und chronologischen Kriterien, zu ermöglichen.
Bestimmungen zum Datenschutz, eine Eingrenzung der Datenabfrage und eine Beschränkung des Anwendungszwecks fehlen. Der EDÖB hat sich – scheinbar wenig erfolgreich – in der Ämterkonsultation, die vor der Vernehmlassung stattgefunden hat, geäussert. Noch bis zum 5. April können Antworten eingereicht werden.
23. März 2013
Kire
Geht es nach dem Bundesrat, werden diese Zwangsmassnahmen demnächst in der Strafverfolgung zulässig sein. Gestern hat er – fast drei Jahre nach dem Start der Vernehmlassung – die Botschaft und den Entwurf zur Revision des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) sowie der Schweizerischen Strafprozessordnung (StPO) bekannt gegeben.
Obwohl die Reaktionen, insbesondere (aber nicht nur) aus der Digitalen Gesellschaft (es äusserten sich ausführlich die Swiss Privacy Foundation, Grundrechte.ch und die Piratenpartei Schweiz) eindeutig waren, wurde den Bedenken wenig Rechnung getragen.
Die Vorratsdatenspeicherung soll neu für 12 anstatt 6 Monate gelten. Dabei wird behauptet, dass die Provider “bereits heute alle oder einen Teil der betreffenden Daten während mindestens einem Jahr aufbewahren, vor allem aus geschäftlichen Gründen und zum Zweck der Rechnungsstellung”. Insbesondere bei Flatrate- und Prepaid-Angeboten gibt es keinen Grund, verwendete IP-Adressen oder Handy-Standortdaten zu speichern. Daten darüber, mit wem wir wann, wo und wie lange per Telefon, SMS, E-Mail kommuniziert haben, zeigen ein detailliertes Personenprofil auf und lassen tiefe Rückschlüsse zu Beziehungsnetz und Gewohnheiten zu. Solche Daten dürfen nicht “aus geschäftlichen Gründen” gespeichert werden. Sie unterliegen dem Datenschutzgesetz – und gehören nach Abschluss der technischen Notwenigkeit gelöscht. Das BÜPF ist keine Verpflichtung, diese Daten “aufzubewahren”, sondern sie zu erheben.
Die Ausdehnung der Speicherpflicht wird damit begründet, dass “diese Frist bereits vollständig oder grösstenteils abgelaufen [ist], wenn die Behörde in der Lage ist, eine Überwachung anzuordnen”. Ein massiver Grundrechtseingriff wird also damit legitimiert, dass die Strafverfolgungsbehörden zu wenig schnell arbeiten. Zahlen dazu gibt es jedoch keine.
Ebenso werden keine genaueren Angaben dazu gemacht, wieso die Vorratsdaten “zur Bekämpfung der Kriminalität unerlässlich” seien. Eine Studie des renommierten Max-Planck-Institut im Auftrag des deutschen Bundesamtes für Justiz kommt im Gegenteil zum Schluss, dass die Vorratsdatenspeicherung für die effektive Strafverfolgung unnötig ist. Ein Grundrechtseingriff muss immer verhältnismässig (also notwendig und geeignet) sein. Fehlt dieser Nachweis, muss die Vorratsdatenspeicherung als eine unrechtmässige Einschränkung der Grundrechte gelten.
Der Trojaner Federal (Bundestrojaner, Staatstrojaner oder im Behördensprech GovWare genannt) soll neu eingesetzt werden dürfen. Das deutsche Bundesverfassungsgericht hat sich im Urteil zur Online-Durchsuchung klar dahingehend geäussert, dass sich die Beschränkung der Überwachung ausschliesslich auf Daten aus einem laufenden Telekommunikationsvorgang beschränken – und dies “durch technische und rechtliche Vorgaben sichergestellt sein” muss. Es folgt der Leitidee, dass es nicht um konkret ausgeübte Kontrolle, sondern andersherum um den Kontrollverlust des Betroffenen geht. (Natürlich ist dies nicht bindend für die Schweiz. Das deutsche Bundesverfassungsgericht ist aber auch keine beliebige Instituion.) Die entsprechende Bestimmung (Entwurf Art. 269ter StPO) enthält nur eine rechtliche Einschränkung. In der Botschaft wird auch zugegeben, dass per “GovWare [...] technisch auf sämtliche Daten, beispielsweise auch auf alle privaten Informationen zugegriffen werden (z.B. Dokumente, Fotos) [kann], die in einem Computer gespeichert sind”.
Zusammen mit dem Recht auf den Einsatz soll die Staatsanwaltschaft auch die Erlaubnis erhalten “die nicht öffentlichen Räume, in die allenfalls eingedrungen werden muss, um besondere Informatikprogramme in das betreffende Datenverarbeitungssystem einzuschleusen” zu bezeichnen.
Mehrfach wird in der Botschaft suggeriert, dass für den Trojaner-Einsatz ein viel enger gefasster Deliktskatalog gelten würde. Allein schon der Blick auf die beiden Listen zeigt, dass sie praktisch identisch sind.
Auf einige grundsätzliche Fragen werden in der Botschaft kurz eingegangen, andere verschwiegen. Stichworte sind:
- Wie kommt der Trojaner Federal auf das System – und wie wird eine Deaktivierung und Entfernung gewährleistet?
- Woher nimmt sich die zuständige Polizeibehörde eine allenfalls nötige Sicherheitslücke, um die Software auf das Zielgerät zu bringen? Darf sie sich einen Exploit auf dem Schwarz-Markt beschaffen?
- Darf beim Einsatz eine vorhandene AntiViren-Software deaktiviert werden?
- Wie wird sichergestellt, dass nur die Kommunikation von der tatsächlich zu überwachenden Person aufgezeichnet wird, insbesondere wenn sich mehrere Personen einen Computer teilen?
- Was bedeutet die Überwachung des “Inhalts der Kommunikation”? Eine E-Mail, die ich heute schreibe, speichere und morgen anstatt zu versenden lösche, dürfte nicht dazu gehören. Da ich sie aber heute schon verschlüssle, ist sie womöglich bereits bei den Untersuchungsbehörden, bevor ich darüber geschlafen habe – und obwohl nie ein Telekommunikationsvorgang stattfinden wird. Eine strickte Trennung von Inhalts- und Kommunikationsverschlüsselung wäre nötig.
- Die Aufzeichnung eines Video-Chats ist immer auch eine Wohnraumüberwachung (dessen, was im Hintergrund geschieht).
- Wie wird die nötige Beweissicherheit für die Verwendung vor Gericht auf einem fremden und entfernten System gewährleistet?
Auch hier stellt sich die Frage zur Verhältnismässigkeit: Nicht erst der konkrete Akt ist die Bedrohung, sondern bereits dessen Möglichkeit. Anstatt dies festzustellen, beschränkt sich der Bundesrat darauf, festzuhalten, dass “nach Auffassung der befragten Fachleute aus dem Polizeibereich [...] die im Zusammenhang mit GovWare geäusserten Befürchtungen unbegründet [sind]. Die GovWare bleibe [!] ständig unter der Kontrolle der Strafverfolgungsbehörden (Polizei, die der Staatsanwaltschaft unterstellt ist)”.
Und weiter: “Das vorrangige Ziel der Revision des BÜPF besteht nicht darin, vermehrt zu überwachen, sondern die Überwachungsmethoden an die technische Entwicklung im Fernmeldebereich anzupassen. Dieses Ziel lässt sich nach Ansicht des Bundesrates nur erreichen, wenn den Strafverfolgungsbehörden gestattet wird, GovWare einzusetzen. Andernfalls würde die Wirksamkeit der Kriminalitätsbekämpfung sehr stark beeinträchtigt.”
Die Strafverfolgungsbehörden und die technische Entwicklung treiben den Gesetzgeber also vor sich her. Grundrechte und Privatsphäre der Betroffenen haben da keinen Platz.
Das (Nicht-)Verständnis für die technische Problematik äussert sich in Aussagen wie: “Eine Alternative zum Einsatz von GovWare würde darin bestehen, dass alle Unternehmen, welche die Verschlüsselung des Fernmeldeverkehrs ermöglichen, verpflichtet würden, ihre Verschlüsselungsalgorithmen herauszugeben, damit der betreffende Fernmeldeverkehr entschlüsselt werden kann.” Vom Kryptographie-Grundsatz, dass ein guter Algorithmus nur ein offener sein kann – und nur die Schlüssel geheim (und hoffentlich ausschliesslich im Besitz der Kommunizierenden) sein sollten, scheinen die AutorInnen noch nicht gehört zu haben.
Ebenfalls neu zugelassen soll der Einsatz von IMSI-Catchern werden. Diese Geräte verhalten sich im Mobilfunknetz gegenüber einer Basis-Station wie ein Handy und gegenüber einem Handy wie eine Basis-Station. Sobald das Signal des IMSI-Catchers gegenüber den Handys im Empfangsbereich stärker ist, wie das der ursprünglichen Basis-Station, buchen sich diese automatisch neu via Catcher in das Mobilfunknetz ein. Dadurch ist es der Polizei auch möglich, herauszufinden, wer sich aktuell (mit eingeschaltetem Handy) im Umkreis befindet. Die Zuordnung von IMSI (SIM-Karte) zu Mobilfunkteilnehmer kann via technisch-/administrative-Anfrage und Dienst ÜPF (ohne Richtervorbehalt und Straftatenkatalog) vorgenommen werden. Der Bundesrat soll zukünftig sogar vorsehen können (Entwurf Art. 23 Abs. 3 BÜPF), “dass die Daten [...] im Abrufverfahren zugänglich sind und dass die Mitteilung der Daten kostenlos und rund um die Uhr zu erfolgen hat.”
Eine weitere Änderung betrifft den persönlichen Geltungsbereich des Gesetzes. Standen seit der letzten Überarbeitung der Verordnung klar und ausdrücklich nur die Access Provider in der Pflicht, die Überwachungsmassnahmen vorzunehmen, sollen neu auch reine E-Mail-Anbieterinnen, Hostingprovider, Hotels, Spitäler, Schulen, Chatanbieter und Private, die ihr WLAN auch den Nachbarn zur Verfügung stellen, etc. unter das BÜPF fallen. Sie müssen “eine Überwachung [...] durch den Dienst oder durch die von diesem beauftragten Personen dulden”. Und dazu “unverzüglich Zugang zu ihren Anlagen gewähren” und “die für die Überwachung notwendigen Auskünfte erteilen”. Ob mit Zugang auch das Administratoren-Passwort gemeint ist, bleibt offen.
Der Bundesrat behält sich im Entwurf in Art. 27 Abs. 3 vor, “alle oder einen Teil der Anbieterinnen abgeleiteter Kommunikationsdienste, die Dienstleistungen von grosser wirtschaftlicher Bedeutung oder für eine grosse Benutzerschaft anbieten, allen oder einem Teil der” generellen Überwachungspflichten zu unterstellen. Er gibt sich damit das Recht, darüber zu bestimmen, wer auch die Vorratsdatenspeicherung anzuwenden hat.
Gemäss Botschaft wird davon ausgegangen, dass anstatt 50 neu bis 200 Firmen/Organisationen davon betroffen sein werden.
Zusätzlich sollen einige neue Vorschriften für die Provider gelten:
- Der Dienst ÜPF kann Qualitätskontrollen anordnen.
- Die Missachtung einer Verfügungen kann mit bis zu 100’000.- bestraft werden.
- Der DÜPF kann eine Konzession entziehen.
- Die Fernmeldedienstanbieterin kann eine Überwachungsanordnung anfechten.
- Sie hat aber kein Beschwerderecht bezüglich den Voraussetzungen einer Überwachungsanordnung.
- Einer Beschwerde fällt keine aufschiebende Wirkung zu.
- Die Provider müssen dem Dienst Informationen über ihre aktuellen und geplanten Dienstleistungen auf Anfrage mitteilen.
Die Fernmeldedienstanbieterinnen sollen weiterhin für die Beschaffung, den Unterhalt und den Betrieb der Überwachungseinrichtungen aufkommen müssen. Sie werden vom Dienst pro Überwachungsmassnahme bezahlt. Dies führt zur etwas absurden Situation, dass ein Provider fast schon hoffen muss, dass sich möglichst viele Kriminelle unter seinen KundInnen befinden, damit er die Investitionen amortisieren kann.
Die Botschaft meint dazu lapidar: “Bei diesen Unternehmen entsprechen die Überwachungskosten nämlich nur einem geringen Betrag im Vergleich zu ihrem Umsatz”. Dass die Überwachungskosten aber am Unternehmenserfolg und nicht am Umsatz abgehen, scheint nicht zu interessieren. Und unverfroren geht es weiter: “Der Kostenanstieg ist auch angesichts des Effizienzgewinns zu relativieren, der dank dem neuen BÜPF bei der Verfolgung von Straftaten erzielt wird.” Da fehlen einem dann die Worte.
Von einer generellen Registrierungspflicht für BenutzerInnen von Fernmeldediensten wurde (grosszügiger weise) abgesehen. Die Beschränkung der Vorhaltedauer der Daten aus der Registrierungspflicht bei Prepaid-SIM-Karten auf zwei Jahre wurde jedoch aus dem Entwurf entfernt. Und die AnbieterInnen sollen verpflichtet werden können, den Zugang zu Telefonie und Internet zu sperren, wenn die Registrierung nicht (ordnungsgemäss) vorliegt.
Im letzten Abschnitt behauptet die Botschaft auch noch, dass die Europäische Menschenrechtskonvention (Art. 8 EMRK) gewahrt sei. Wie bereits beschrieben, ist die Verhältnismässigkeit aber mehrfach nicht gegeben. Und damit ein Grundrechtseingriff nicht zulässig.
Werden Straftaten über das Internet begangen, gelten die Pflicht zur Identifikation (und damit Zugriff auf die Vorratsdatenspeicherung) auch ohne einschränkenden Straftatenkatalog. Es ist kein Richtervorbehalt nötig. Und es können – “wenn es besondere Gründe rechtfertigen” – auch beliebig weit in die Vergangenheit zurück Daten angefragt werden. Dasselbe gilt für die technisch-/administrativen Auskünfte. Auf diese können neben den Polizeistellen auch die Nachrichtendienste zurückgreifen.
Auch sind gemäss Botschaft “z.B. Personen, die mit der überwachten Person kommunizieren oder Personen, die im Rahmen eines Antennensuchlaufes oder beim Einsatz eines IMSI-Catchers vor der Filterung der Ergebnisse zwangsläufig ebenso erfasst werden, [...] nicht von der Mitteilungspflicht [...] betroffen und haben kein Beschwerderecht [...]. Dies ist auch sachgerecht, da diese Personen nicht im Sinne des Gesetzes überwacht werden.”
Mehrfach wurde auch an der Pressekonferenz von “schweren Straftaten”, von “organisierter Kriminalität” und “Terrorismus” gesprochen. An das reisserische Vokabular hat mensch sich ja schon fast gewöhnt. Von Simonetta Sommaruga hätte ich es jedoch nicht zu hören erwartet. Entweder hat sie sich in kurzer Zeit von der engagierten Konsumentenschützerin zur strengen Strafverfolgerin verwandelt. Oder sie wurde im Bundesrat durch Mehrheitsentscheid zur aktuellen Vorlage gezwungen. Im ersten Fall würde ich einen Rücktritt fordern, im zweiten ihr einen nahelegen.
28. Februar 2013
Kire
Vom 4. bis 8. März 2013 findet an der Universität Zürich eine Nachhaltigkeitswoche statt. Diese wird vom neuen Verband der Studierenden (VSUZH) ausgerichtet. Jeder Tag wird einem andern Schwerpunkt gewidmet sein. Am Donnerstag steht die Digitale Nachhaltigkeit im Zentrum:
- Digitale Nachhaltigkeit – Eine Einführung
Referat von Marcus Dapp, 10.15-11.00 Uhr
- Creative Commons: Worum geht es und was bringt es mir?
Referat von Simon Schlauri, 11.15-12.00 Uhr
- Spurenarm und anonym surfen
Workshop der Swiss Privacy Foundation, 14.00-17.00 Uhr
- Information wants to be free. Eine Debatte zu Open Access
Podiumsdiskussion mit Emmanuel Engelhart (Wikimedia CH), Christian Fuhrer (ZORA), Michael Hagner (Wissenschaftsforschung ETH), Vittorio Klostermann (Vittorio Klostermann Verlag), Angela Martucci (Moderation), ab 19.00 Uhr
17. Februar 2013
Kire
Bezüglich der Vorratsdatenspeicherung gelten (grob gesprochen) vier Gesetze. Im Grundsatz sind diese persönlichen Daten vor Zugriff geschützt:
- Das Fernmeldegesetz konkretisiert das Fernmeldegeheimnis (aus Art. 13 Bundesverfassung; Schutz der Privatsphäre) und verbietet die Bekanntgabe der Daten durch die Provider an Dritte (Art. 43 FMG).
- Das Datenschutzgesetz erlaubt die Bearbeitung von Personendaten nur, wenn sie notwendig, verhältnismässig und zweckmässig ist, mit Zustimmung geschieht, oder wenn sie durch ein Gesetz vorgeschrieben ist (Art. 4 DSG).
Zur Aufhebung des Fernmeldegeheimnisses (Grundrechtseingriff) braucht es zwingend eine gesetzliche Grundlage:
- Das Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs regelt für die Provider die Pflicht, die Vorratsdaten für 6 Monate aufzubewahren (Art. 15 Abs. 3 BÜPF).
- Die Strafprozessordnung erlaubt den Behörden unter gewissen Bedingungen (Schwere der Straftat, Richtervorbehalt, “rückwirkende” Dauer 6 Monate) den Zugriff (Art. 273 StPO) auf die Daten.
Soweit so gut (resp. schlecht).
Nun gibt es noch den Art. 14 Abs. 4 BÜPF, der es nach der Botschaft von 1998 noch ins Gesetz geschafft hat:
Wird eine Straftat über das Internet begangen, so ist die Internet-Anbieterin verpflichtet, der zuständigen Behörde alle Angaben zu machen, die eine Identifikation des Urhebers oder der Urheberin ermöglichen.
Vor der Einführung der StPO waren im BÜPF sowohl die Pflichten der Provider wie auch die Rechte der Strafverfolgungsbehörden definiert. Mit diesem Artikel sollte der Deliktskatalog auch auf jede über das Internet begangene Straftat erweitert werden. Er wurde dann aber auch verwendet, um in einem vereinfachten Verfahren (ohne richterliche Genehmigung) die IP-Zuordnungen abfragen zu können (Entscheid REKO UVEK).
Mit einem Urteil von letzter Woche hat dies nun das Bundesgericht noch getoppt: Es lässt die Identifikation auch für unbestimmte Zeit zu:
Vielmehr dürfte Art. 273 Abs. 3 StPO dahin auszulegen sein, dass diese Bestimmung (unter den Voraussetzungen von Art. 273 Abs. 1 StPO) in jedem Fall und ohne weitere Begründung die rückwirkende Erhebung bis 6 Monate erlaubt und, wenn es besondere Gründe rechtfertigen, auch für einen längeren Zeitraum. Wie es sich damit verhält, braucht hier jedoch nicht vertieft zu werden. Nach dem Gesagten geht es um eine über das Internet begangene Straftat. Insoweit kommt Art. 14 Abs. 4 BÜPF zur Anwendung. Diese Bestimmung geht Art. 273 Abs. 3 StPO als “lex specialis” vor. Art. 14 Abs. 4 BÜPF sieht keine zeitliche Befristung für die rückwirkende Erhebung von Daten vor.
Damit es es der Staatsanwaltschaft überlassen, über besondere Gründe und den Grundrechtseingriff zu entscheiden. Starker Tobak.
Wenn nun die Provider das Datenschutzgesetz befolgen würden, wäre dies kein Problem. Und natürlich würde eine entsprechende Löschbestimmung in ein Gesetz zur Vorratsdatenspeicherung gehören.
Btw: Es gibt eine neue Statistik zum BÜPF. Aber ohne Neuigkeiten.
14. Februar 2013
Kire
Nicht mehr ganz aktuell und auch etwas technisch. Aber doch einen Hinweis wert:
Im Sommer 2011 wurden im Iran verschlüsselte https-Verbindungen in einer grossangelegten Man-in-the-Middle-Attacke abgehört. Ca. 300’000 User waren davon betroffen. Und die niederländische Certification Authority DigiNotar.
Angreifern war es gelungen, die Zertifizierungsstelle soweit unter Kontrolle zu bringen, um für beliebige Hostnamen, wie *.google.com, gültige SSL-Zertifikate ausstellen zu können. Da die Root-Zertifikate von DigiNotar in den gängigen Webbrowsern als vertrauenswürdige Stellen hinterlegt waren, konnten die verschlüsselten Datenverbindungen abgefangen, entschlüsselt und mit den dazugehörigen Private Keys neu verschlüsselt werden, ohne dass die Benutzerin es merken konnte.
Im letzten Herbst wurde der von der niederländischen Regierung in Auftrag gegebene Bericht über den Einbruch veröffentlicht. Der spannende Report zeigt nicht nur, was bei DigiNotar vorgefallen ist, sondern verrät auch, wie eine CA aufgebaut ist, wie eine forensische Untersuchung vonstatten geht und was im Iran passiert ist. Eine empfehlenswerte Lektüre.
Die grundsätzliche Frage bleibt jedoch im Raum stehen. Verschiedene andere CAs waren in der Vergangenheit ebenfalls betroffen – und falsche Zertifikate im Umlauf. Ein aktueller Firefox vertraut über 80 Instanzen. Darunter Türktrust, Comodo, DigiCert (alle bereits betroffen). Aber auch dem China Internet Network Information Center CNNIC, dem Staat Taiwan, Japan, Frankreich. Und auch zweier Bundesbetrieben: Swisscom und SwissSign/Post. Diese CAs dürfen (und auch alle deren SubCAs – bspw. die Migros – können) Zertifikate für sämtliche Hostnamen ausstellen. Es ist nur eine Frage der Zeit, bis der nächste Missbrauch bekannt wird. Oder auch bei uns eine Strafverfolgungsbehörde oder ein Staatsschützer auf die Idee kommt, durch eine MITM-Attacke an die gewünschte Information zu kommen.
Verschiedene Browser Add-ons helfen, solches zu verhindern. Bspw. durch eine automatische Prüfung, ob sich das Zertifikat eines Servers seit dem letzten Besuch verändert hat1. Oder durch eine Nachfrage bei einer unabhängigen Instanz, ob diese das selbe Zertifikat vom Server präsentiert bekommt, wie der eigene Client2. Leider werden gerade grosse Sites, wie google.com, von hunderttausenden von Servern mit verschiedenen Zertifikaten betrieben, so dass es zu vielen falschen Warnmeldungen kommt. Eine Nachfrage bei einer Drittinstanz wirft zudem auch Fragen aus der Datenschutz-Perspektive auf.
Der DigiNotar-Einbruch ist aufgefallen, weil in Google Chrome fest hinterlegt ist, welche Zertifikate für Google-Sites verwendet werden. Und dies scheint der einzig wirklich praktikable Ausweg aus der Misere: Wer einen Server betreibt, muss signalisieren können, welche Zertifikate zu seinen Servern gehören resp. welche Root-CAs sie ausstellen dürfen. Deren Namen und Fingerprints müssen vertrauenswürdig (Bspw. per DNSSEC) hinterlegt werden können. Ideen und einen Standard dazu gibt es bereits.
25. Januar 2013
Kire
Nach den Grünen hat nun auch die FDP ein Papier zur Netzpolitik veröffentlicht. Leider beschränkt es sich auf wenige Themen.
Beim Urheberrecht steht die Forderung nach Digital Restriction Management (DRM) im Zentrum:
Die Urheber müssen ihre Vertriebsmodelle anpassen und die neue Nachfrage befriedigen; dabei müssen sie über technische Mittel ihre Werke schützen und ihre Rechte auf dem Weg des Zivilrechtes über die Gerichte durchsetzen.
Schade auch, dass die Partei Urheber- und Eigentumsrechte gleichsetzen möchte. Immerhin ist als Konsequenz die Abschaffung der Abgabe auf Leerdatenträger gefordert. Und die Möglichkeit für UrheberInnen ihre Werke auch gratis oder unter neuen Vergütungsformen anbieten zu dürfen (also ohne SUISA-Knebelvertrag).
Im Bereich Datenschutz gilt es sicherzustellen,
dass der Zugang zum Internet frei bleibt, keine Zensur stattfindet und private Daten inklusive die IP-Adresse geschützt bleiben. [...] Das Sammeln und Bearbeiten von persönlichen Daten ohne Einwilligung des Betroffenen ist
strikte zu verbieten, Ausnahmen sind beim Vorliegen einer entsprechenden Einwilligung oder im Strafverfahren vorzusehen.
Leider ist dies ziemlich schwammig; müsste aber als Bekenntnis zur Netzneutralität und Ablehnung der Vorratsdatenspeicherung verstanden werden können. (Eine entsprechende Anfrage wurde bis dato nicht beantwortet.)
Zu guter Letzt wird noch die uneingeschränkte Einführung von eVoting gefordert. Auf die offenen Fragen und den hängigen Bericht des Bundesrates zur Studie zu verifizierbaren Vote électronique-Systemen wird leider nicht eingegangen.
26. Dezember 2012
Kire
Seit 10 Jahren kennen wir in der Schweiz die Vorratsdatenspeicherung: Provider sind gezwungen, die sogenannten Randdaten aus der Kommunikation für die Behörden aufzuzeichnen. Dazu gehören u.a. Informationen zum Kommunikationspartner, Handystandort, benutzte IP-Adressen im Internet und Zugriffe auf das E-Mail-Postfach.
Die Standortinformationen werden zunehmend auch für Rasterfahndungen verwendet. Damit wird, wer in der Nähe eines Tatortes sein Handy benutzt hat, zum Tatverdächtigen. Die Beweislast wird umgedreht.
Die Vorratsdatenspeicherung stellt einen schwerwiegenden Eingriff in die Grundrechte dar. Die erhobenen, personenbezogenen Daten unterliegen dem Datenschutz. Dies gibt uns die Möglichkeit, über ein Auskunftsbegehren Einsicht in die Daten zu erhalten. Und unsere eigenen Datenspuren nachzuvollziehen.
Noch sperren die Provider. Verweigern die Auskunft. Und verstecken sich hinter dem Fernmeldegeheimnis.
Wir fordern: Unsere Vorratsdaten – jetzt!
Mach mit und reich Dein Auskunftsbegehren noch heute mit uns ein: Vorlage anpassen, Kopie der Identitätskarte beilegen – und ab die Post!
Swisscom – Sunrise – Orange
Das Adress-Feld ist vorausgefüllt, kann aber für andere Anbieterinnen (Cablecom, M-Budget Mobile etc.) angepasst werden. Dies ist die aktuellere Vorlage vom 16.12.2012, die etwas exakter auf das Fernmeldegesetz eingeht und damit die Argumentation der Provider aus den ersten Antworten kontert. Natürlich gibt es auch die älteren PDF-Formulare noch.
Bitte mach uns dann eine Mitteilung an office ät digitale-gesellschaft.ch oder über das Kontaktformular. Wir werden Dich gerne über die Aktion auf dem Laufenden halten. Gespannt sind wir auch auf die Antwort (gerne auch anonymisiert) von Deinem Provider: Ob Du die Daten (und in welcher Form) erhalten hast. Oder mit welcher Begründung die Auskunft verweigert wurde.
8. November 2012
Kire
Vorherige Seite
