Tag: Privatsphäre

Globale Überwachung – Die Schweiz ist Teil des Systems

Vieles war schon länger bekannt oder vermutet. Durch die von Edward Snowden weitergegebenen Dokumente werden die verschiedenen Überwachungsprogramme der hauptsächlich US-amerikanischen und britischen Geheimdienste nun nach und nach der breiten Öffentlichkeit enthüllt. Doch dies ist nur ein Teil des Überwachungssystems.

Auch in der Schweiz gibt es vergleichbare Programme und Absichten. Wenn auch nicht gleich konsequent (und mit entsprechendem Budget) vorangetrieben, folgen sie ähnlichen Ansätzen und Denkweisen. Nicht zuletzt weil internationale und lokale Kommunikation im Internet nicht auseinander gehalten werden können und Grundrechte nicht nur individuell zu gelten haben, braucht es eine übergreifende Betrachtung.

Eine kurze Auffrischung der wichtigsten, jüngsten Enthüllungen

Während sich die NSA via PRISM Zugriff auf die (Kommunikations-)Daten bei Cloud-Anbietern, wie Apple, Google, Facebook und Microsoft verschafft, erzwingt sich der Partnerdienst GCHQ mit Tempora Zugang zu 200 Glasfaserverbindungen, die einen Hauptteil der transatlantischen und wichtige innereuropäische Verbindungen darstellen.

GCHQ Mastering The Internet (MTI)

Einige der «mitarbeitenden» Firmen sind auch in der Schweiz tätig. Die erfassten Inhaltsdaten werden für 3 und Verbindungsdaten für 30 Tage gespeichert.

Das Trojaner-Programm Genie und die TAO-Einheit sorgt für den Zugriff auf 85’000 fremde Rechner und Netzwerke. Mit XKeyscore steht dann ein Tool zur Auswertung der riesigen, verteilten Daten zur Verfügung. Und da mehr und mehr Verbindungen verschlüsselt stattfinden, wurden die Programme BULLRUN resp. auf der europäischen Seite Edgehill immer wichtiger.

Es geht hier weniger um eine Aufzählung der einzelnen Programme, als vielmehr um die Darstellung eines Systems, das nichts weniger bezweckt, als die Echtzeit-Analyse und teilweise Langzeitspeicherung der kompletten Internetkommunikation: Es ist der wahr gewordene Traum von real Big Data.

Welche immensen Daten heute der NSA im Vergleich zur ehemaligen Staatssicherheit in der DDR zur Verfügung stehen, zeigt eine interaktive Grafik von OpenDataCity. Eine zweite Grafik führt vor Augen, wo z.B. eine simple Anfrage zu nzz.ch entlangläuft – und durch wie viele Geheimdienst-Territorien diese führt.

Das Internet ist nur ein Teil des Überwachungssystems

Neben der Online-Überwachung werden in den USA aber auch die Umschläge der Briefpost, die internationalen Finanztransaktionen – auch aus der Schweiz – oder die Fluggastdaten erfasst. Dies zeigt, wie stark sich die Gesellschaft nach 9/11 geändert hat. Die Unschuldsvermutung wurde durch eine permanente Rasterfahndung abgelöst. Dabei geht es nicht «nur» um Nachrichtendienst oder Staatsschutz. Es handelt sich vielmehr um einen Teamsport von NSA, CIA und FBI. Die Grenzen von Prävention und Strafverfolgung, Inland- und Auslandsüberwachung verschwinden nach und nach.

Wie wichtig und unverzichtbar diese Programme den Regierungen scheinen, haben drei Reaktionen gezeigt: So wurde das Flugzeug des bolivianischen Präsidenten Evo Morales auf dem Heimflug von Moskau zu einer Landung in Wien gezwungen. Es wurde vermutet, dass Edward Snowden an Bord sei. In London wurde der Lebenspartner von Glenn Greenwald (der bis dahin die Snowden-Dokumente im Guardian veröffentlicht hat) in London Heathrow für 9 Stunden aufgrund eines Anti-Terror-Gesetzes festgehalten. Derweil die Zeitung selber durch Regierung und Geheimdienst massiv unter Druck gesetzt wird, was in der symbolischen und bizarren Zerstörung von Computern gipfelte.

Fichenstaat 2.0

Wie wir alle wissen, betreiben nicht nur die USA und Grossbritannien entsprechende Nachrichtendienste; auch Neuseeland, Australien und Kanada (als Mitglieder der Five Eyes) betreiben Abhöranlagen. Frankreich und Deutschland unterhalten eigene Programme. Und wohl so ziemlich jeder andere Staat auch.

Onyx Abhörstation Heimenschwand

Onyx Abhörstation Heimenschwand
Foto: Big Brother Awards Schweiz

In der Schweiz wurden die Möglichkeiten des Staatsschutzes nach dem Fichenskandal beschränkt. Dennoch konnte ein Satellitenüberwachungssystem Onyx vom militärischen Geheimdienst aufgebaut werden. Ähnlich wie bei Tempora wird dabei vollautomatisch die (gesamte) Kommunikation auf Vorkommen von bestimmten Begriffen geprüft und entsprechend aufgezeichnet. Mit dem aktuell vorliegenden Entwurf zum neuen Nachrichtendienstgesetz soll diese Funkaufklärung um die Kabelaufklärung erweitert werden.

Dabei ist nicht nur vorgesehen, dass die Datenströme von den «Betreiberinnen von leitungsgebundenen Netzen» angezapft werden können. Sondern – nun wie bei PRISM – auch die «Anbieterinnen von Telekommunikationsdienstleistungen» die Telekommunikationsdaten – im Geheimen – an das Zentrum für elektronische Operationen der Schweizer Armee ZEO zur Auswertung weiterleiten müssten.

Nun kann bei abgefangener Satellitenkommunikation allenfalls noch argumentiert werden, dass diese Vorgänge im Ausland beträfen. Beim Abschnorcheln der Datenleitungen, die von der Schweiz ins Ausland führen, sind jedoch ausnahmslos (auch) Personen aus der Schweiz beteiligt.

Der Zweck der Überwachungsmassnahme ist im Gesetzesentwurf offen umschrieben mit der «Beschaffung von Informationen über sicherheitspolitisch bedeutsame Vorgänge»  sowie der «Wahrung weiterer wesentlicher Landesinteressen». Die Weitergabe an inländische (auch zur Strafverfolgung) und ausländische Behörden ist ausdrücklich vorgesehen.

Es sind zwar Einschränkungen zur Verwendung vorgesehen. Eine Überwachung beginnt jedoch bereits mit der automatischen Erfassung/Filterung von Daten – und nicht erst bei deren genaueren Auswertung oder Weitergabe. Um ein analoges Bild zu zeichnen: Schon eine Attrappe einer Überwachungskamera sorgt dafür,  dass Menschen ihr Verhalten anpassen. Dies hängt nicht davon ab, ob tatsächlich Bilder aufgenommen werden, sondern dass damit gerechnet werden muss.

Es zeigt sich hier auch ein Paradox in der Geheimdiensttätigkeit: Nicht zuletzt weil sie die eigene Bevölkerung nicht aushorchen sollten/dürfen, sind sie auf den Nachrichtenaustausch mit anderen Diensten angewiesen. Gleichzeitig schnüffeln sie sich gegenseitig aus – und sind für die Spionageabwehr zuständig.

Es offenbart auch ein eigenartiges Verständnis für Grundrechte, wenn inländische Personen geschützt, ausländische jedoch überwacht werden dürfen.

Inländische Telekommunikationsüberwachung

Mit dem neuen Nachrichtendienstgesetz soll aber nicht «nur» die länderübergreifende Kommunikation abgehört werden dürfen, sondern es ist auch der Zugriff auf den Post- und Fernmeldeverkehr (gemäss BÜPF) und folglich die Vorratsdatenspeicherung vorgesehen. Auch dieses Gesetz ist ja bekanntlich in Revision und soll u.a. die verdachtsunabhängige Speicherung der Randdaten sämtlicher Telekommunikationsteilnehmer in der Schweiz auf 12 Monate verdoppeln.

Und ein paar zusammenfassende Fragen und Antworten

Nach dieser Systembeschreibung stellen sich ein paar grundlegende Fragen:

Was bedeutet eigentlich unser verfassungsmässig garantiertes  Brief-, Post- & Fernmeldegeheimnis noch, wenn ich davon ausgehen muss, dass sämtliche meine E-Mails, Chats und Telefonate überwacht und/oder gespeichert werden?

(Und sie verlieren auch nicht ihre Gültigkeit, wenn die Kommunikation grenzüberschreitend verläuft – weil ein Server im Ausland steht oder der/die KommunikationsparterIn sich dort aufhält.)

Was bedeutet es, wenn die Schweiz mit den USA ein gültiges Datenschutzabkommen (Safe Harbor) hat, das Firmen wie Microsoft, Apple, Google & Co. ein schweizerisches Datenschutzniveau bescheinigt – dahin übertragene Daten aber wohl schnurstracks bei Überwachungs-Behörden landen?

Der Eidgenössische Datenschutzbeauftragte müsste sich (und seinem Vertragspartner) nun eigentlich einige überaus unangenehme Fragen stellen. Sowie auch all die inländischen Firmen, die sich blindlings auf das Abkommen gestützt haben und Daten bei entsprechenden Firmen bearbeiten (lassen).

Was bedeutet es für die Gesellschaft, wenn sich also kaum noch jemand um den grundsätzlichen Schutz der Privatsphäre kümmert – weil es sinnlos scheint? Sich nur wenige Sorgen um eine freie Presse machen? Kaum noch jemand das Anwalts- und Arztgeheimnis wirklich durchsetzt? Oder diplomatische Gepflogenheiten hoch hält?

Eine individuelle Lösung scheint starke Kryptografie zu sein. Als eine Massnahme der Selbsthilfe verschafft sie an einigen Stellen wichtige Abhilfe. Jedoch bleiben auch durch Verschlüsselung der Kommunikation die zur Übertragung benötigten Metadaten (Wer mit wem, wann und wo) erhalten. Da diese viel einfacher auszuwerten sind, stellen sie leider auch das primäre Ziel der Dienste dar.

Kryptographie löst auch nicht das grundlegende Problem, resp. die Denkweise: Es kann nicht sein, dass ich den Wasserhahn aufdrehen muss, wenn ich ein vertrauliches Gespräch führen möchte. Der Respekt  der Privatsphäre hat wieder Norm zu werden. Und dies muss politisch und gesellschaftlich diskutiert und gelöst werden.

Es gilt daher speziell auch nicht,  mehr Spionageabwehr und damit Staatsschutz zu fordern – sondern eben weniger. Geheimdienste laufen (schon dem Namen nach) immer mindestens Teilweise ausser Kontrolle. Dies widerspricht bereits in den Grundzügen dem Wesen einer Demokratie.

Wir befinden uns wohl gerade an einem entscheidenden Punkt in der jüngeren Geschichte. Die Verletzung des Gesellschaftsvertrages muss jetzt in der Schweiz und international debattiert und die Balance von Sicherheit aka Kontrolle versus persönlicher Entfaltung und gesellschaftlicher Entwicklung (wieder) hergestellt werden. Falls dies nach den jüngsten Ereignissen nicht geschieht, zementieren NSA & Co. ihr Rolle wohl für die nächsten Jahrzehnte.

8. September 2013 Kire

30.9.2013: Congress on Privacy & Surveillance in Lausanne

Am 30. September wird an der ETH Lausanne ein Congress on Privacy & Surveillance mit namhaften Referenten stattfinden.

19. August 2013 Norbert Bollow

6. Zürcher CryptoParty an Uni Zürich

Eine weitere CryptoParty in Zürich findet am Samstag, 31. August in Räumen der Universität Zürich statt: SOC-1-101 (Seminarraum) und SOC-1-106 (Hörsaal). Insgesamt ist in den Räumlichkeiten Platz für rund 150 Personen. Die Veranstaltung wird nachmittags, geplant von 14 bis 18 Uhr stattfinden. Der CCCZH koordiniert Helfende und teilt in Kürze weitere Details zu Ablauf und Anmeldung mit.

Wer neugierig ist, mithelfen möchte oder als interessierte/r Teilnehmende/r Fragen hat, kann sich ungeniert an cryptoparty@ccczh.ch wenden.

Der CCCZH dankt der Universität Zürich, die Veranstaltung rasch und unproblematisch bewilligt zu haben, der breiten Bevölkerung zu ermöglichen, sich in Sachen Crypto fortzubilden und sich somit vor privater und staatlicher Überwachung effektiv schützen zu lernen.

Updates auf der CCCZH-Webseite: https://www.ccczh.ch/News

19. August 2013 hmm

CryptoParty#5 in Zürich

Am Mittwoch, 14. August findet in Zürich die 5te CryptoParty statt. Ab 16.00 gibt es in der Autonomen Schule Zürich an der Flurstrasse 85 in Altstetten Theorie und Praxis zu Spurenarm Surfen, Mail verschlüsseln, Tor Netzwerk… nimm deinen Laptop mit.

Um 17.30 startet der Workshop zur Email-Verschlüsselung.

CryptoParty Zürich #5

CryptoParty Zürich #5

Für Aktivistinnen, Journalisten, Künstlerinnen, Studenten, Kids, Geeks und alle Anderen. Trag dich wenn möglich in die Liste ein, damit die ungefähre Teilnehmerzahl abgeschätzt werden kann.

asz-kochareal

 

13. August 2013 Beni

Das Tor-Netzwerk unterstützen

Tor ist das grösste und bedeutendste anonymisierende Netzwerk. Internet-NutzerInnen schützen damit ihre Privatsphäre. Dies ist nicht erst seit PRISM und Tempora wichtig. Es schützt auch grundsätzlich bei der Recherche nach heiklen Themen, wie AIDS, Rechtsextremismus, Suizid, Tibet etc.. Kritische BürgerjournalistInnen schützen damit ihr Pseudonym in China, dem Iran, Syrien und anderen repressiven Staaten – und die EinwohnerInnen umgehen damit die lokale Zensur. Aber auch MenschenrechtsaktivistInnen oder Umweltgruppen, die “geheime” Informationen der Öffentlichkeit zugänglich machen möchten, sind auf Anonymität angewiesen.

Tor selber ist auf UnterstützerInnen angewiesen. Bis zum 26. August läuft dazu eine Spenden-Kampagne von Torservers.net. Beiträge kommen auch der Swiss Privacy Foundation zugute. Die Organisation betreibt aktuell drei Tor-Exit-Nodes in der Schweiz. Ein vierter wird im Spätsommer hinzukommen. Neben Spenden sind auch (aktive) Mitglieder herzlich willkommen.

Jeder Beitrag hilft.

6. Juli 2013 Kire

Privacy-Handbuch – Service closed

Viele Jahre lang hat Karsten N. mehr oder weniger im Alleingang am wohl umfangreichsten und aktuellsten Privacy-Handbuch (in deutscher Sprache) geschrieben. Es erklärt praxisnah und verständlich die Themen “Spurenarm Surfen”, “E-Mails verschlüsseln”, “Anonymisierungsdienste nutzen” und “Daten verschlüsseln”. Mittlerweile ist die gedruckte Version auf beachtliche 310 Seiten angewachsen.

Leider wurde das Projekt aus Mangel an Zeit resp. anderer Prioritäten nun eingestellt. Das Handbuch ist Public Domain und kann bis Ende des Sommers heruntergeladen und beliebig weiterverwendet werden.

14. Mai 2013 Kire

Petition: NEIN zum Überwachungsstaat!

Heute wurde eine Petition gegen die BÜPF-Revision lanciert.

Das neue Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) erlaubt die Installation von Bundestrojanern auf unseren Computern und Mobiltelefonen, die Speicherung auf Vorrat ALL unserer Verbindungsdaten während 12 Monaten (E-Mail, Handy, IP-Adressen, usw.) sowie eine intrusive Überwachung der Mobiltelefonie!

Die Digitale Gesellschaft unterstützt das Anliegen.

Mach’ mit und unterschreibe auch!

Stopp BÜPF

Zur Gesetzes Revision gibt es von der Digitalen Gesellschaft eine ausführliche Stellungnahme.

21. April 2013 Kire

Kassensturz: Private Daten offen im Internet – Moneyhouse verrät alles

Kürzlich gab es in diesem Blog einen Artikel zu SWITCH und Datenschutz – oder wie mensch die Kontrolle über die eigenen Adressdaten verliert. Darin wurde auch kurz über die Plattform moneyhouse berichtet, welche ungefragt auch gesperrte Adressdaten im Internet publiziert und damit Geld verdient. Der Kassensturz berichtete diesen Dienstag in einem dreiteiligen Beitrag ausführlich.

 

11. April 2013 Kire

Die SWITCH und der Datenschutz – oder wie mensch die Kontrolle über die eigenen Adressdaten verliert

Die Stiftung SWITCH betreibt im Auftrag des Bundes die Registrierungsstelle nic.ch für die Top-Level-Domain “.ch”. Dazu führt sie eine öffentliche zentrale Datenbank, die allen Interessierten einen Echtzeit-Zugang zu Angaben über die InhaberInnen (Name und Postanschrift) von Domain-Namen gewährleistet. Und sie “trifft geeignete Massnahmen, um die missbräuchliche Verwendung der öffentlich zugänglichen Angaben [...] zu verhindern”. Dieser rechtliche Rahmen ist durch Art. 14 der Verordnung über die Adressierungselemente im Fernmeldebereich (AEFV) abgesteckt.

Damit die personenbezogenen Daten nicht missbräuchlich und/oder automatisch ausgelesen werden können, beschränkt SWITCH die Anzahl Abfragen und verbietet eine weitergehende Bearbeitung in der Benutzungsordnung. Im Internet vor 15 Jahren war dies sicherlich ausreichend. Für dubiose Adresshändler und Datenverknüpfer stellt dies heutzutage aber kein Hindernis – jedoch ein lohnendes Geschäft dar. Swiss Registers (neuerdings suisse-data), Domain Tools und auch andere Unternehmen beschaffen sich die Daten aus der nic.ch/WHOIS-Datenbank, publizieren diese öffentlich im Internet oder verlangen sogar Geld für historische Daten.

Wer seine eigenen Daten schützen möchte, hat einen schweren Stand: Dass eine Intervention bei Swiss Registers nicht von Erfolg gekrönt sein wird, ahnt man schon. Aber auch SWITCH will mit der Angelegenheit nichts zu tun haben. Der Support wimmelt ab oder reagiert nicht. Erst mehrmaliges Nachhaken und ein persönlicher Kontakt veranlasst SWITCH den Datensammler (erfolglos) abzumahnen und darauf hinzuweisen,

dass Sie über einen bedeutend besseren Rechtsanspruch gegenüber swiss-register.ch verfügen als SWITCH als Registerbetreiberin. Es steht Ihnen frei, den Halter des Domain-Namens auf der Grundlage des Datenschutzgesetzes oder mit einer Persönlichkeitsrechtsklage in Anspruch zu nehmen.

Zu gut Deutsch soll sich also die betroffene Privatperson auf eigene Kosten international mit den Rechteverletzern auseinandersetzen – während das Datenleck bei SWITCH weiter offen steht.

Dieses muss jedoch an der Quelle geschlossen werden. Eine Beschränkung auf 25 Abfragen pro Minute reicht nicht. Source-IP-Adressen sind zur Verhinderung von missbräuchlichen Datenbankabfragen ungeeignet. Um dem Datenschutz genüge zu tun, könnten die Abfrage durch ein Captcha (dies könnte allenfalls sogar als reiner Text/ASCII-Art gelingen) oder ein Login geschützt werden. Oder es müsste möglich sein, die Adresse – wie im Telefonbuch auch – sperren zu lassen.

Von einer ähnlichen Problematik sind Leute betroffen, die im Handelsregister eingetragen sind. Daten, welche im Zefix veröffentlicht sind, werden von Moneyhouse übernommen, mit Daten von Schober “angereichert” und wieder veröffentlicht. Der Eidgenössische Datenschutzbeauftragte hat sich eben ausführlich mit dem Fall beschäftigt.

Aktuell läuft eine Vernehmlassung zur Änderung der gesetzlichen Bestimmungen zum Handelsregister. Hier soll im Art. 936 Abs. 3 und 4 OR folgendes festgelegt werden:

Der Bund veröffentlicht die Einträge sowie die Statuten und Stiftungsurkunden im Internet. [...] In den im Internet zugänglich gemachten Einträgen des Handelsregisters ist eine Suche nach bestimmten Kriterien, insbesondere nach personenbezogenen und chronologischen Kriterien, zu ermöglichen.

Bestimmungen zum Datenschutz, eine Eingrenzung der Datenabfrage und eine Beschränkung des Anwendungszwecks fehlen. Der EDÖB hat sich – scheinbar wenig erfolgreich – in der Ämterkonsultation, die vor der Vernehmlassung stattgefunden hat, geäussert. Noch bis zum 5. April können Antworten eingereicht werden.

23. März 2013 Kire

12 Monate Vorratsdatenspeicherung, Trojaner Federal, IMSI-Catcher – das neue BÜPF

Geht es nach dem Bundesrat, werden diese Zwangsmassnahmen demnächst in der Strafverfolgung zulässig sein. Gestern hat er – fast drei Jahre nach dem Start der Vernehmlassung – die Botschaft und den Entwurf zur Revision des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) sowie der Schweizerischen Strafprozessordnung (StPO) bekannt gegeben.

Obwohl die Reaktionen, insbesondere (aber nicht nur) aus der Digitalen Gesellschaft (es äusserten sich ausführlich die Swiss Privacy Foundation, Grundrechte.ch und die Piratenpartei Schweiz) eindeutig waren, wurde den Bedenken wenig Rechnung getragen.

Die Vorratsdatenspeicherung soll neu für 12 anstatt 6 Monate gelten. Dabei wird behauptet, dass die Provider “bereits heute alle oder einen Teil der betreffenden Daten während mindestens einem Jahr aufbewahren, vor allem aus geschäftlichen Gründen und zum Zweck der Rechnungsstellung”. Insbesondere bei Flatrate- und Prepaid-Angeboten gibt es keinen Grund, verwendete IP-Adressen oder Handy-Standortdaten zu speichern. Daten darüber, mit wem wir wann, wo und wie lange per Telefon, SMS, E-Mail kommuniziert haben, zeigen ein detailliertes Personenprofil auf und lassen tiefe Rückschlüsse zu Beziehungsnetz und Gewohnheiten zu. Solche Daten dürfen nicht “aus geschäftlichen Gründen” gespeichert werden. Sie unterliegen dem Datenschutzgesetz – und gehören nach Abschluss der technischen Notwenigkeit gelöscht. Das BÜPF ist keine Verpflichtung, diese Daten “aufzubewahren”, sondern sie zu erheben.

Die Ausdehnung der Speicherpflicht wird damit begründet, dass “diese Frist bereits vollständig oder grösstenteils abgelaufen [ist], wenn die Behörde in der Lage ist, eine Überwachung anzuordnen”. Ein massiver Grundrechtseingriff wird also damit legitimiert, dass die Strafverfolgungsbehörden zu wenig schnell arbeiten. Zahlen dazu gibt es jedoch keine.

Ebenso werden keine genaueren Angaben dazu gemacht, wieso die Vorratsdaten “zur Bekämpfung  der  Kriminalität  unerlässlich” seien. Eine Studie des renommierten Max-Planck-Institut im Auftrag des deutschen Bundesamtes für Justiz kommt im Gegenteil zum Schluss, dass die Vorratsdatenspeicherung für die effektive Strafverfolgung unnötig ist. Ein Grundrechtseingriff muss immer verhältnismässig (also notwendig und geeignet) sein. Fehlt dieser Nachweis, muss die Vorratsdatenspeicherung als eine unrechtmässige Einschränkung der Grundrechte gelten.

Der Trojaner Federal (Bundestrojaner, Staatstrojaner oder im Behördensprech GovWare genannt) soll neu eingesetzt werden dürfen. Das deutsche Bundesverfassungsgericht hat sich im Urteil zur Online-Durchsuchung klar dahingehend geäussert, dass sich die Beschränkung der Überwachung ausschliesslich auf Daten aus einem laufenden Telekommunikationsvorgang beschränken – und dies “durch technische und rechtliche Vorgaben sichergestellt sein” muss. Es folgt der Leitidee, dass es nicht um konkret ausgeübte Kontrolle, sondern andersherum um den Kontrollverlust des Betroffenen geht. (Natürlich ist dies nicht bindend für die Schweiz. Das deutsche Bundesverfassungsgericht ist aber auch keine beliebige Institution.) Die entsprechende Bestimmung (Entwurf Art. 269ter StPO) enthält nur eine rechtliche Einschränkung. In der Botschaft wird auch zugegeben, dass per “GovWare  [...] technisch auf  sämtliche Daten, beispielsweise auch auf alle privaten Informationen  zugegriffen werden  (z.B. Dokumente, Fotos) [kann], die  in  einem Computer gespeichert sind”.

Zusammen mit dem Recht auf den Einsatz soll die Staatsanwaltschaft auch die Erlaubnis erhalten “die nicht öffentlichen Räume, in die allenfalls eingedrungen werden muss, um besondere Informatikprogramme in das betreffende Datenverarbeitungssystem einzuschleusen” zu bezeichnen.

Mehrfach wird in der Botschaft suggeriert, dass für den Trojaner-Einsatz ein viel enger gefasster Deliktskatalog gelten würde. Allein schon der Blick auf die beiden Listen zeigt, dass sie praktisch identisch sind.

Auf einige grundsätzliche Fragen werden in der Botschaft kurz eingegangen, andere verschwiegen. Stichworte sind:

  • Wie kommt der Trojaner Federal auf das System – und wie wird eine Deaktivierung und Entfernung gewährleistet?
  • Woher nimmt sich die zuständige Polizeibehörde eine allenfalls nötige Sicherheitslücke, um die Software auf das Zielgerät zu bringen? Darf sie sich einen Exploit auf dem Schwarz-Markt  beschaffen?
  • Darf beim Einsatz eine vorhandene AntiViren-Software deaktiviert werden?
  • Wie wird sichergestellt, dass nur die Kommunikation von der tatsächlich zu überwachenden Person aufgezeichnet wird, insbesondere wenn sich mehrere Personen einen Computer teilen?
  • Was bedeutet die Überwachung des “Inhalts der Kommunikation”? Eine E-Mail, die ich heute schreibe, speichere und morgen anstatt zu versenden lösche, dürfte nicht dazu gehören. Da ich sie aber heute schon verschlüssle, ist sie womöglich bereits bei den Untersuchungsbehörden, bevor ich darüber geschlafen habe – und obwohl nie ein Telekommunikationsvorgang stattfinden wird. Eine strickte Trennung von Inhalts- und Kommunikationsverschlüsselung wäre nötig.
  • Die Aufzeichnung eines Video-Chats ist immer auch eine Wohnraumüberwachung (dessen, was im Hintergrund geschieht).
  • Wie wird die nötige Beweissicherheit für die Verwendung vor Gericht auf einem fremden und entfernten System gewährleistet?

Auch hier stellt sich die Frage zur Verhältnismässigkeit: Nicht erst der konkrete Akt ist die Bedrohung, sondern bereits dessen Möglichkeit. Anstatt dies festzustellen, beschränkt sich der Bundesrat darauf, festzuhalten, dass “nach Auffassung der befragten Fachleute aus dem Polizeibereich [...] die im Zusammenhang mit GovWare geäusserten Befürchtungen unbegründet [sind]. Die GovWare bleibe [!] ständig unter der Kontrolle der Strafverfolgungsbehörden (Polizei, die der Staatsanwaltschaft unterstellt ist)”.

Und weiter: “Das vorrangige Ziel der Revision des BÜPF besteht nicht darin, vermehrt zu überwachen,  sondern  die  Überwachungsmethoden an die technische Entwicklung im Fernmeldebereich anzupassen. Dieses Ziel lässt sich nach Ansicht des Bundesrates nur erreichen, wenn den Strafverfolgungsbehörden gestattet wird, GovWare  einzusetzen. Andernfalls würde die Wirksamkeit der Kriminalitätsbekämpfung sehr stark beeinträchtigt.”

Die Strafverfolgungsbehörden und die technische Entwicklung treiben den Gesetzgeber also vor sich her. Grundrechte und Privatsphäre der Betroffenen haben da keinen Platz.

Das (Nicht-)Verständnis für die technische Problematik äussert sich in Aussagen wie: “Eine Alternative zum Einsatz von GovWare würde darin bestehen, dass alle Unternehmen, welche die Verschlüsselung des Fernmeldeverkehrs ermöglichen, verpflichtet würden, ihre Verschlüsselungsalgorithmen   herauszugeben, damit der betreffende Fernmeldeverkehr entschlüsselt werden kann.” Vom Kryptographie-Grundsatz, dass ein guter Algorithmus nur ein offener sein kann – und nur die Schlüssel geheim (und hoffentlich ausschliesslich im Besitz der Kommunizierenden) sein sollten, scheinen die AutorInnen noch nicht gehört zu haben.

Ebenfalls neu zugelassen soll der Einsatz von IMSI-Catchern werden. Diese Geräte verhalten sich im Mobilfunknetz gegenüber einer Basis-Station wie ein Handy und gegenüber einem Handy wie eine Basis-Station. Sobald das Signal des IMSI-Catchers gegenüber den Handys im Empfangsbereich stärker ist, wie das der ursprünglichen Basis-Station, buchen sich diese automatisch neu via Catcher in das Mobilfunknetz ein. Dadurch ist es der Polizei auch möglich, herauszufinden, wer sich aktuell (mit eingeschaltetem Handy) im Umkreis befindet. Die Zuordnung von IMSI (SIM-Karte) zu Mobilfunkteilnehmer kann via technisch-/administrative-Anfrage und Dienst ÜPF (ohne Richtervorbehalt und Straftatenkatalog) vorgenommen werden. Der Bundesrat soll zukünftig sogar vorsehen können (Entwurf Art. 23 Abs. 3 BÜPF), “dass die Daten [...] im Abrufverfahren zugänglich  sind und dass die Mitteilung der Daten kostenlos und rund um die Uhr zu erfolgen hat.”

Eine weitere Änderung betrifft den persönlichen Geltungsbereich des Gesetzes. Standen seit der letzten Überarbeitung der Verordnung klar und ausdrücklich nur die Access Provider in der Pflicht, die Überwachungsmassnahmen vorzunehmen, sollen neu auch reine E-Mail-Anbieterinnen, Hostingprovider, Hotels, Spitäler, Schulen, Chatanbieter und Private, die ihr WLAN auch den Nachbarn zur Verfügung stellen, etc. unter das BÜPF fallen. Sie müssen “eine  Überwachung [...] durch den Dienst oder durch die von diesem beauftragten Personen dulden”. Und dazu “unverzüglich Zugang zu ihren Anlagen gewähren” und “die für die Überwachung notwendigen Auskünfte erteilen”. Ob mit Zugang auch das Administratoren-Passwort gemeint ist, bleibt offen.

Der Bundesrat behält sich im Entwurf in Art. 27 Abs. 3 vor, “alle oder einen Teil der Anbieterinnen  abgeleiteter Kommunikationsdienste, die Dienstleistungen von grosser wirtschaftlicher Bedeutung oder für eine grosse Benutzerschaft anbieten, allen oder einem Teil der” generellen Überwachungspflichten zu unterstellen. Er gibt sich damit das Recht, darüber zu bestimmen, wer auch die Vorratsdatenspeicherung anzuwenden hat.

Gemäss Botschaft wird davon ausgegangen, dass anstatt 50 neu bis 200 Firmen/Organisationen davon betroffen sein werden.

Zusätzlich sollen einige neue Vorschriften für die Provider gelten:

  • Der Dienst ÜPF kann Qualitätskontrollen anordnen.
  • Die Missachtung einer Verfügungen kann mit bis zu 100’000.- bestraft werden.
  • Der DÜPF kann eine Konzession entziehen.
  • Die Fernmeldedienstanbieterin kann eine Überwachungsanordnung anfechten.
  • Sie hat aber kein Beschwerderecht bezüglich den Voraussetzungen einer Überwachungsanordnung.
  • Einer Beschwerde fällt keine aufschiebende Wirkung zu.
  • Die Provider müssen dem Dienst Informationen über ihre aktuellen und geplanten Dienstleistungen auf Anfrage mitteilen.

Die Fernmeldedienstanbieterinnen sollen weiterhin für die Beschaffung, den Unterhalt und den Betrieb der Überwachungseinrichtungen aufkommen müssen. Sie werden vom Dienst pro Überwachungsmassnahme bezahlt. Dies führt zur etwas absurden Situation, dass ein Provider fast schon hoffen muss, dass sich möglichst viele Kriminelle unter seinen KundInnen befinden, damit er die Investitionen amortisieren kann.

Die Botschaft meint dazu lapidar: “Bei  diesen  Unternehmen  entsprechen  die  Überwachungskosten  nämlich nur einem geringen Betrag im Vergleich zu ihrem Umsatz”. Dass die Überwachungskosten aber am Unternehmenserfolg und nicht am Umsatz abgehen, scheint nicht zu interessieren. Und unverfroren geht es weiter: “Der Kostenanstieg ist auch angesichts des Effizienzgewinns zu relativieren, der dank dem neuen BÜPF bei der Verfolgung von Straftaten erzielt wird.” Da fehlen einem dann die Worte.

Von einer generellen Registrierungspflicht für BenutzerInnen von Fernmeldediensten wurde (grosszügiger weise) abgesehen. Die Beschränkung der Vorhaltedauer der Daten aus der Registrierungspflicht bei Prepaid-SIM-Karten auf zwei Jahre wurde jedoch aus dem Entwurf entfernt. Und die AnbieterInnen sollen verpflichtet werden können, den Zugang zu Telefonie und Internet zu sperren, wenn die Registrierung nicht (ordnungsgemäss) vorliegt.

Im letzten Abschnitt behauptet die Botschaft auch noch, dass die Europäische Menschenrechtskonvention (Art. 8 EMRK) gewahrt sei. Wie bereits beschrieben, ist die Verhältnismässigkeit aber mehrfach nicht gegeben. Und damit ein Grundrechtseingriff nicht zulässig.

Werden Straftaten über das Internet begangen, gelten die Pflicht zur Identifikation (und damit Zugriff auf die Vorratsdatenspeicherung) auch ohne einschränkenden Straftatenkatalog. Es ist kein Richtervorbehalt nötig. Und es können – “wenn es besondere Gründe rechtfertigen” – auch beliebig weit in die Vergangenheit zurück Daten angefragt werden. Dasselbe gilt für die technisch-/administrativen Auskünfte. Auf diese können neben den Polizeistellen auch die Nachrichtendienste zurückgreifen.

Auch sind gemäss Botschaft “z.B. Personen, die mit der überwachten Person kommunizieren oder Personen, die im Rahmen eines Antennensuchlaufes oder beim Einsatz eines IMSI-Catchers vor der Filterung der Ergebnisse zwangsläufig ebenso erfasst werden, [...] nicht von der Mitteilungspflicht [...] betroffen und haben kein Beschwerderecht [...]. Dies ist auch sachgerecht, da diese Personen nicht im Sinne des Gesetzes überwacht werden.”

Mehrfach wurde auch an der Pressekonferenz von “schweren Straftaten”, von “organisierter Kriminalität” und “Terrorismus” gesprochen. An das reisserische Vokabular hat mensch sich ja schon fast gewöhnt. Von Simonetta Sommaruga hätte ich es jedoch nicht zu hören erwartet. Entweder hat sie sich in kurzer Zeit von der engagierten Konsumentenschützerin zur strengen Strafverfolgerin verwandelt. Oder sie wurde im Bundesrat durch Mehrheitsentscheid zur aktuellen Vorlage gezwungen. Im ersten Fall würde ich einen Rücktritt fordern, im zweiten ihr einen nahelegen.

28. Februar 2013 Kire

Vorherige Seite


Themen

Organisationen

Medien-Echo

Schlagwörter

News Feed

Blog Posts per E-Mail


 

RSS Tweets on Twitter