Überwachungsstaat

25. März 2025, Kire

digiges.ch/slides/ueberwachungsstaat.html

Digitale Gesellschaft

Die gemeinnützige Organisation informiert und berät zu Konsumenten- und Rechtsfragen im digitalen Raum, schätzt Technologiefolgen ab hinsichtlich der möglichen Auswirkungen auf die Grund- und Menschenrechte und bietet Dienste, Software-Projekte und Workshops zur «digitalen Selbstverteidigung» an.

Die Digitale Gesellschaft kämpft für unsere Freiheitsrechte in einer vernetzten Welt.

Übersicht

  • Massenüberwachung
    • Vorratsdatenspeicherung
    • Kabelaufklärung
  • Staatliches Hacken
    • Staatstrojaner, Eindringen in fremde Systeme
    • Hintertüren
  • Ausblick
    • Gesichtserkennung
    • Fahrzeugüberwachung
  • Fazit
  • Diskussion & Fragen
  • Weiterführende Links

Massenüberwachung

Symbolbild

Vorratsdatenspeicherung

  • Eingeführt mit dem Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF), das bereits im Jahr 2000 beschlossen worden ist
  • Bundesrat hatte allerdings die Provider per Fernmeldeverordnung bereits 1997 gezwungen, die Verbindungsranddaten – ohne entsprechende gesetzliche Grundlage – für 6 Monate aufzubewahren

Daten der Vorratsdatenspeicherung

  • Daten die belegen, wer wann wen angerufen hat und wie lange das Gespräch gedauert hat, wer sich wann ins Internet eingeloggt hat und für welche Dauer, wer wann wem ein E-Mail oder SMS geschickt hat und die Standortinformationen des Mobiltelefons.
  • Die Daten müssen für 6 Monate abgelegt und auf Verlangen an Strafverfolgungsbehörden oder den Geheimdienst herausgegeben werden.
Visualisierung Vorratsdatenspeicherung

https://digiges.ch/vds-suisse

Geltungsbereich

  • Fernmeldedienstanbieter (FDA; Access Provider)
  • «Anbieter abgeleiteter Kommunikationsdienste», die «eine Einweg- oder Mehrwegkommunikation ermöglichen» (AAKD)
  • Personen, die ihren Zugang zu einem öffentlichen Fernmeldenetz Dritten zur Verfügung stellen

«Anbieter abgeleiteter Kommunikationsdienste»

  • Sind den Access Providern gleichgestellt, wenn entweder
    • 10 Überwachungsgesuche in einem Jahr vorlagen oder
    • ein Jahresumsatz von 100 Millionen Franken mit mindestens 5'000 Benutzer:innen erzielt wurde
  • Gleichstellung bedeutet aktive Überwachungspflicht und Vorratsdatenspeicherung

Interpretation à la Dienst ÜPF

Symbolbild

Interpretation à la Dienst ÜPF

  • Die strengeren Pflichten der Access Provider sollen auch gelten, wenn
    • reine Dienstanbieter Kommunikationsdienste (wie E-Mail, Messaging etc.) anbieten
    • sie sowohl Access wie auch andere Dienste anbieten
  • Die Pflichten sollen auch für Anbieter im Ausland gelten

Vom Bundesgericht kassiert

  • Beschwerde von Threema gegen Verfügung
  • Vollumfänglich am Bundesgericht Recht erhalten

Pflicht zur Teilnehmeridentifikation

  • Gilt zusätzlich zur aktiven Überwachungspflicht
  • Auch für Anbieter professionell betriebener öffentlicher WLAN-Zugangspunkte
  • Ausweispflicht jedoch «nur» bei Mobilfunkdiensten

schwerwiegender Eingriff in die Privatsphäre

    • Provider müssen das Kommunikationsverhalten ihrer Kund:innen für 6 Monate festhalten
    • Ursprünglich Kommunikation zwischen Menschen
    • Jedoch ein Datensatz für jede Kommunikation, die ein Smartphone macht
Symbolbild

Zugriff auf Vorratsdatenspeicherung

  • Dringender Verdacht auf ein Verbrechen oder Vergehen
    • Falscher Alarm, Sachbeschädigung, Landfriedensbruch
    • Grobe Verletzung der Verkehrsregeln
    • Missbrauch einer Fernmeldeanlage (Übertretung)
  • Genehmigung durch das Zwangsmassnahmengericht
  • 6 Monate rückwirkend

Straftat über das Internet

Besteht der Verdacht, dass eine Straftat über das Internet begangen worden ist, so sind die Anbieterinnen von Fernmeldediensten verpflichtet, dem Dienst alle Angaben zu liefern, welche die Identifikation der Täterschaft ermöglichen. (Art. 22 Abs. 1 BÜPF)

Es gibt keine Einschränkungen

Antennensuchlauf (1/3)

  • Rasterfahndung in Vorratsdaten bei Tatverdacht gegen «Unbekannt»
    • Wer war zu einem definierten Zeitpunkt an einem bestimmten Ort
    • Nur Schnittmengen würden geliefert
Symbolbild

Antennensuchlauf (2/3)

  • Fall «Rupperswil» ist kein Einzelfall
    • 2023: 23 Fälle mit 2168 Zellen à 2 Stunden
    • Ein Fall hat über 30 Funkzellen betroffen
      • Bei einer Zelle betrug der Zeitraum 15 Tage
      • Die Mobilfunkanbieterin hat über 150'000 Verbindungsdaten geliefert

Antennensuchlauf (3/3)

  • Es geht nicht um Straftaten im Internet und «gleichlange Spiesse» für die Polizeibehörden
  • Vielmehr werden unsere Smartphones als Ortungswanzen missbraucht
  • Keine genügende Rechtsgrundlage

Identifikation von Internetbenutzer:innen (1/4)

  • Im Rahmen der Vorratsdatenspeicherung müssen auch IP-Adressen 6 Monate gespeichert werden
    • Sind für die Kommunikation im Internet notwendig
    • und einem Anschluss zugeordnet (z.B. DSL-Modem)

Identifikation von Internetbenutzer:innen (2/4)

  • IP-Adressen sind beiden Kommunikationspartnern bekannt und werden oft in Serverlogfiles abgelegt
    • Damit lässt sich ein Anschluss eruieren, von dem aus z.B. eine Beleidigung in einem Forum verfasst wurde
    • Da es sich hier offensichtlich um auf Personen beziehbare Daten handelt, dürften diese nur sehr eingeschränkt aufbewahrt werden
Symbolbild

Identifikation von Internetbenutzer:innen (4/4)

  • Da IP-Adressen knapp sind, werden in Public WLAN und Mobilfunknetzen diese meist geteilt
    • Network Address Translation (NAT)
  • Die Provider müssen diese Übersetzungstabellen ebenfalls 6 Monate aufbewahren
  • «Aktuell geht man in grossen Schweizer Mobilnetzen von etwa einer Milliarde NAT-Übersetzungsvorgängen pro Tag aus» (Quelle: Bund)

Aufzeichnung unserer Internetnutzung (1/3)

  • Der Dienst Überwachung Post- und Fernmeldeverkehr (DÜPF) verlangt zusätzlich die Zieladressen zu speichern
  • Mit diesen Daten können
    • die besuchten Webserver und verwendeten Internetdienste einer Person nachvollzogen werden
    • alle BenutzerInnen eines Dienstes oder Servers festgestellt werden

Aufzeichnung unserer Internetnutzung (2/3)

  • Die Daten sind zur Identifikation grundsätzlich nicht nötig
    • Viele Serverlogfiles speichern allerdings standardmässig «nur» Quell-IP-Adressen und keine -Ports, die für eine Unterscheidung notwendig wären

Aufzeichnung unserer Internetnutzung (3/3)

  • Welche Provider speichern, ist nicht bekannt
  • Ausnahmen
    • «SBB-FREE» speichert nicht (mehr)
    • Swisscom Mobile speichert nicht
    • «UPC Wi-free» speichert (auch) nur zugewiesene Source-Port-Bereiche

Kabelaufklärung ist Weiterentwicklung
der Funk- / Satellitenaufklärung

Funk- / Satellitenaufklärung

  • Funkaufklärung war ursprünglich eine militärische Überwachung von ausländischen Vorgängen
  • Satellitenüberwachung
    • Im Geheimen im Jahr 2000 eingeführt
    • Zwei Berichte von 2003 und 2007 der Geschäftsprüfungsdelegation (GPDel)
    • Tendenziell ausländische Kommunikation

Kabelaufklärung (1/4)

  • «Zur Feststellung, Beobachtung und Beurteilung von sicherheitspolitisch bedeutsamen Vorgängen im Ausland»
  • Da ausländische Kabel nicht überwacht werden können, werden grenzüberschreitenden Leitungen angezapft
  • Bei jeder grenzüberschreitenden Kommunikation ist aber auch jemand aus dem Inland beteiligt

Kabelaufklärung (3/4)

  • Befinden sich entweder Sender und/oder Empfänger im Ausland (gemeint sind IP-Adressen), so ist die Verwendung der erfassten Signale zulässig
  • Sodann rastert und beurteilt das Zentrum für elektronische Operationen (ZEO) der Armee die Daten

Kabelaufklärung (4/4)

  • «Enthalten die Daten Informationen über Vorgänge im In- oder Ausland, die auf eine konkrete Bedrohung der inneren Sicherheit [durch z.B. gewalttätigen Extremismus] hinweisen, so leitet der durchführende Dienst sie an den Nachrichtendienst [...] weiter.»

Stellt sich heraus

  • Die Daten aus der Kabelaufklärung werden nach der Durchsuchung nicht etwa gelöscht, sondern für sogenannte Retrosuchen aufbewahrt.
  • Zudem werden auch rein inländische Glasfasern vom Geheimdienst überwacht.

Staatliches Hacken

Symbolbild

Staatstrojaner

  • Einsatz ist im Bereich der Strafverfolgung und für den Geheimdienst zulässig
  • Während dem die Strafverfolgungsbehörden nur auf Kommunikationsdaten zugreifen dürfen, ist dem Geheimdienst auch eine Onlinedurchsuchung und die Verwendung von Kamera und Mikrofon erlaubt
  • Eingriff in die (digitale) Intimsphäre der Betroffenen

(Digitale) Intimsphäre der Betroffenen

  • Unglaublich viele höchst persönliche Informationen auf dem Handy, Notebooks und PCs
  • Rückschlüsse auf die Gesundheit, politische Ansichten, sexuelle Präferenzen
  • Geschäftsgeheimisse, Korrespondenz mit Anwältin
  • Eingriff ist vergleichbar mit dem heimlichen Eindringen in die Wohnung und dem Anbringen von Wanzen

Zulässigkeit

  • Wenn eine solche Massnahme zulässig sein sollte, dann nur als Ultima Ratio
    • Bei einer konkreten und unmittelbaren Gefährdung von Leib, Leben, Freiheit oder des Bestandes der Schweiz
  • Begrenzender Deliktskatalog umfasst jedoch fast 100 Straftatbestände, inkl. einfachem Diebstahl
    • Genehmigung durch Zwangsmassnahmengericht, mit 97% Zustimmungsrate

Infektion durch Sicherheitslücken

  • Diese werden üblicherweise, direkt oder indirekt, auf dem Schwarzmarkt besorgt
  • Führt auch dazu, dass die Sicherheitslücken nicht geschlossen wird

Wir erinnern uns: WannaCry

  • Ransomware hat sich über die Sicherheitslücke EternalBlue verbreitet, die bereits mehrere Jahre von der NSA verwendet und geheimgehalten wurde, bevor sie dann von anderen Kriminellen verwendet worden war.
    • Mehrere hundertausend Computer in 150 Länder
    • Spitäler in England und Schottland, Nissan, Renault, Telefonica
Symbolbild

Das Interesse des Staates muss sein, für Sicherheit für sich und andere zu sorgen, indem Sicherheitslücken gemeldet und geschlossen werden.

Weitere Möglichkeiten

  • Infektion durch
    • Eindringen in Räumlichkeiten (wie aufspielen?)
    • Mithilfe von Dritten?
      • Infection Proxy, Update-Server, Fahrplan-App, Steuererklärungssoftware (mit Remote-Support)

Mithilfe von Dritten in Strafverfahren

  • Können private Dritte zur Mithilfe beim Einschleusen von Staatstrojanern verpflichtet werden?
  • Strafverfahren kennt
    • Auskunftspflicht, Duldungspflicht, Editionspflicht und Zeugnispflicht
    • Aber: Keine aktive Mitwirkungspflicht

Praxis

  • 9 Einsätze 2023
    • Zweidrittel der Fälle bei Drogendelikten
  • Beschaffung durch Bundesamt für Polizei (Fedpol)
  • «Fallpauschalen» für Kantone/Polizeien
    • Acht Lizenzen stehen zur Verfügung, die für monatlich je 13’750 Franken genutzt werden können

Backdoors

So wie Sicherheitslücken geschlossen gehören, gilt dies auch für Hintertüren.

Symbolbild

Hintertüren

  • Es ist naiv zu glauben, wenn wir solche fordern, dass diese der Schweiz (oder den «Guten») vorbehalten blieben
  • Es wäre für die Schweizer IT-Industrie fatal, wenn Kunden davon ausgehen müssen, dass Schweizer Produkte mit Hintertüren versehen wären

Eindringen in fremde Computer und Netzwerke

  • Nahe beim «Cyberwar»
    • Dabei stehen sich aber nicht Armeen gegenüber, die sich bekämpfen
  • Das Internet ist selber Teil der kritischen Infrastruktur
    • Verteidigung ist die beste Verteidigung

Ausblick

Symbolbild

Gesichtserkennung

  • Flughafen, Bahnhof, ClearView AI
  • Kombination von Überwachungskameras mit Machine Learning könnte zu einem dystopischen Überwachungsstaat führen.
  • Wir fordern ein Verbot von von biometrischer Massenüberwachung im öffentlichen Raum

Fahrzeugüberwachung

  • Polizeigesetze
    • Polizeigesetz des Kantons Luzern vom Bundesgericht kassiert
  • Zollgesetz

Fazit

«Wettrüsten»

  • Überwachung orientieren sich am technisch Machbaren
  • Es fehlt eine Überwachungsgesamtrechnung
  • Es fehlt in der Schweiz ein Verfassungsgericht

Beschwerde gegen Vorratsdatenspeicherung

  • 2014: Gesuch an den Dienst ÜPF
  • 2014: Beschwerde an das Bundesverwaltungsgericht
  • 2016: Weiterzug an das Bundesgericht
  • 2018: Weiterzug an den Europäischen Gerichtshof für Menschenrechte (EGMR)

Beschwerde gegen Kabelaufklärung

  • 2017: Gesuch an Nachrichtendienst
  • 2017: Beschwerde an das Bundesverwaltungsgericht
  • 2019: Weiterzug an das Bundesgericht
  • 2020: Sieg vor Bundesgericht
  • Seitdem: Verfahren am Bundesverwaltungsgericht
  • Wohl Weiterzug an Bundesgericht und/oder Europäischen Gerichtshof für Menschenrechte (EGMR) nötig

Digitale Selbstverteidigung im Alltag und datenschutzfreundliche Alternativen

Politisches Engagement und gemeinsam für digitale Rechte kämpfen

  • Für Grund- und Menschenrechte abstimmen/wählen
  • Mitarbeit in oder Unterstützung z.B. der Digitalen Gesellschaft
  • Parlamentarier:innen ansprechen

Diskussion & Fragen

Weiterführende Links

Surveillance fédérale

  • Massenausspähung im Internet, die Jagd nach neuen Sicherheits­lücken und der Kampf gegen Verschlüsselungen – die Recherche­serie von Adrienne Fichter zeigt: Der Staat baut die technische Über­wachung der Schweizer Bevölkerung immer mehr aus. Mit verheerenden Folgen für die Cyber­sicherheit und die Privatsphäre.
  • Republik

Vielen Dank für das Interesse

Slides: digiges.ch/slides/ueberwachungsstaat.html

Website: www.digitale-gesellschaft.ch

Mastodon: Digitale Gesellschaft

Linkedin: Digitale Gesellschaft

Bildnachweise

Digitale Gesellschaft
4000 Basel
Schweiz


Konto CH15 0900 0000 6117 7451 1

CC by SA 4.0