Digitale Gesellschaft
Die gemeinnützige Organisation informiert und berät zu Konsumenten- und Rechtsfragen im digitalen Raum, schätzt Technologiefolgen ab hinsichtlich der möglichen Auswirkungen auf die Grund- und Menschenrechte und bietet Dienste, Software-Projekte und Workshops zur «digitalen Selbstverteidigung» an.
Die Digitale Gesellschaft kämpft für unsere Freiheitsrechte in einer vernetzten Welt.
Übersicht
- Überwachen im Strafverfahren
- Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF)
- Eidgenössische Strafprozessordnung (StPO)
- Geheimdienstüberwachung
- Nachrichtendienstgesetz (NDG)
- Fazit: Was können wir tun?
Teil 1:
Überwachen im Strafverfahren
Unterscheidung
- Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF)
- Pflichten/Aufgaben von Dienst ÜPF und Provider
- Strafprozessordnung (StPO)
- Möglichkeiten der Untersuchungsbehörden
Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF)
- Telegraphen- und Telephonverkehrsgesetz (vor 1922)
- Fernmeldegesetz (ab 1922)
- Inkrafttreten BÜPF 2002 (nach 10 Jahren Diskussion)
- Inkrafttreten BÜPF Revision am 1. März 2018
- Verschiedene Übergangsfristen zur Umsetzung (maximal 24 Monate)
Heutiges BÜPF: Geltungsbereich
- Gilt für Access Provider und die von ihnen angebotenen Dienste
- Elektronische Postdienste (z.B. E-Mail und Instant Messaging)
- Fernmeldedienste (z.B. Internet-Telefonie)
Revidiertes BÜPF: Erweiterter Geltungsbereich
- Gilt zusätzlich auch für
- «Anbieter abgeleiteter Kommunikationsdienste», die «eine Einweg- oder Mehrwegkommunikation ermöglichen» (= Jeder Informationsaustausch)
- Personen, die ihren Zugang zu einem öffentlichen Fernmeldenetz Dritten zur Verfügung stellen
«Anbieter abgeleiteter Kommunikationsdienste»
- Sind den Access Providern gleichgestellt, wenn entweder
- 10 Überwachungsgesuche in einem Jahr vorlagen oder
- ein Jahresumsatz von 100 Millionen Franken mit mindestens 5'000 BenutzerInnen erzielt wurde
- Gleichstellung bedeutet aktive Überwachungspflicht und Vorratsdatenspeicherung
Alle anderen: Duldungspflicht
- Überwachungsmassnahmen müssen geduldet werden
- Duldung einschliesslich Zugangsgewährung «zu Gebäuden, Geräten, Leitungen, Systemen, Netzen und Diensten»
Pflicht zur Teilnehmeridentifikation I
- Gilt zusätzlich zur aktiven Überwachungspflicht
- Auch für Collaboration, E-Mail, Instant Messaging etc.
- Ausweispflicht jedoch «nur» bei Mobilfunkdiensten
Pflicht zur Teilnehmeridentifikation II
- Auch für Anbieter professionell betriebener öffentlicher WLAN-Zugangspunkte
- «Mit ‹professionell betrieben› ist gemeint, dass eine FDA oder eine auf öffentliche WLAN-Zugangspunkte spezialisierte IT-Dienstleisterin den technischen Betrieb des öffentlichen WLAN-Zugangspunktes durchführt, die dies auch noch für andere öffentliche WLAN-Zugangspunkte an anderen Standorten macht.»
Vorratsdatenspeicherung
- Provider müssen das Kommunikationsverhalten ihrer KundInnen für 6 Monate festhalten
- Wer hat mit wem, wann, wie lange und von wo aus kommuniziert?
- Ursprünglich Kommunikation zwischen Menschen
- Jedoch ein Datensatz für jede Kommunikation, die ein Smartphone macht
Antennensuchlauf I
- Rasterfahndung in Vorratsdaten bei Tatverdacht gegen «Unbekannt»
- Wer war zu einem definierten Zeitpunkt an einem bestimmten Ort
- Nur Schnittmengen würden geliefert
Antennensuchlauf II
- Fall «Rupperswil» ist kein Einzelfall
- Durchschnittlich 125 mal pro Jahr
- Ein Fall hat über 30 Funkzellen betroffen
- Bei einer Zelle betrug der Zeitraum 15 Tage
- Die Mobilfunkanbieterin hat über 150'000 Verbindungsdaten geliefert
Antennensuchlauf III
- Es geht nicht um Straftaten im Internet und «gleichlange Spiesse» für die Polizeibehörden
- Vielmehr werden unsere Smartphones als Ortungswanzen missbraucht
Identifikation von InternetbenutzerInnen I
- Im Rahmen der Vorratsdatenspeicherung müssen auch IP-Adressen 6 Monate gespeichert werden
- Sind für die Kommunikation im Internet notwendig
- und einem Anschluss zugeordnet (z.B. ADSL-Modem)
Identifikation von InternetbenutzerInnen II
- IP-Adressen sind beiden Kommunikationspartnern bekannt und werden oft in Serverlogfiles abgelegt
- Damit lässt sich ein Anschluss eruieren, von dem aus z.B. eine Beleidigung in einem Forum verfasst wurde
- Da es sich hier offensichtlich um auf Personen beziehbare Daten handelt, dürften diese nur sehr eingeschränkt aufbewahrt werden
Identifikation von InternetbenutzerInnen III
- Da IP-Adressen knapp sind, werden in Public WLAN und Mobilfunknetzen diese meist geteilt
- Network Address Translation (NAT)
- Die Provider müssen diese Übersetzungstabellen ebenfalls 6 Monate aufbewahren
- «Aktuell geht man in grossen Schweizer Mobilnetzen von etwa einer Milliarde NAT-Übersetzungsvorgängen pro Tag aus» (Quelle: Bund)
Aufzeichnung unserer Internetnutzung I
- Der Dienst Überwachung Post- und Fernmeldeverkehr (DÜPF) verlangt zusätzlich die Zieladressen zu speichern
- Mit diesen Daten können
- die besuchten Webserver und verwendeten Internetdienste einer Person nachvollzogen werden
- alle BenutzerInnen eines Dienstes oder Servers festgestellt werden
Aufzeichnung unserer Internetnutzung II
- Welche Provider speichern, ist unbekannt
- Die Daten sind zur Identifikation grundsätzlich nicht nötig
- Viele Serverlogfiles speichern allerdings standardmässig «nur» Quell-IP-Adressen und keine -Ports, die für eine Unterscheidung notwendig wären
Teil 1b:
Eidgenössische Strafprozessordnung (StPO)
Eidgenössische Strafprozessordnung (StPO)
- BÜPF: Pflichten/Aufgaben von Dienst ÜPF und Provider
- StPO: Möglichkeiten der Untersuchungsbehörden
- Massnahmen nach BÜPF
- Zusätzliche Überwachungsmassnahmen
Überwachung des Post- und Fernmeldeverkehrs
- Langer Deliktskatalog (PDF)
- inkl. Drohung, Nötigung, Schreckung der Bevölkerung
- Genehmigung durch das Zwangsmassnahmengericht
Zugriff auf Vorratsdatenspeicherung I
- Dringender Verdacht auf ein Verbrechen oder Vergehen
- Falscher Alarm, Sachbeschädigung, Landfriedensbruch
- Grobe Verletzung der Verkehrsregeln
- Missbrauch einer Fernmeldeanlage (Übertretung)
- Genehmigung durch das Zwangsmassnahmengericht
- 6 Monate rückwirkend
Zugriff auf Vorratsdatenspeicherung II
Wird eine Straftat über das Internet begangen, so ist die Internet-Anbieterin verpflichtet, der zuständigen Behörde alle Angaben zu machen, die eine Identifikation des Urhebers oder der Urheberin ermöglichen.
Es gibt keine Einschränkungen
Zugriff auf Vorratsdatenspeicherung III
- Antennensuchlauf
- Auch mit dem neuen BÜPF (resp. StPO) keine genügende Rechtsgrundlage für Überwachung von noch unbekannten Personen
Zusätzliche Überwachungsmassnahmen
- Überwachung «Server»
- IMSI-Catcher
- Staatstrojaner
IMSI-Catcher
- Schaltet sich zwischen Handy und Funkantenne
- «Um Gespräche mitzuhören oder aufzunehmen oder eine Person oder Sache zu identifizieren oder deren Standort zu
ermitteln»
- Auch möglich
- Unsichtbare Ausweiskontrollen
- SMS an alle Handys im Empfangsbereich senden
Staatstrojaner I
- Eingriff in die (digitale) Intimsphäre der Betroffenen
- Etwas kürzerer Deliktskatalog (PDF)
- inkl. einfachem Diebstahl
- Genehmigung durch das Zwangsmassnahmengericht
Staatstrojaner II
- Infektion durch
- Sicherheitslücken
- Auf dem Schwarzmarkt besorgen?
- Und Sicherheitslücke offen lassen?
- Eindringen in Räumlichkeiten (wie aufspielen?)
- Mithilfe von Dritten?
- Infection Proxy, Update-Server, Fahrplan-App, Steuererklärungssoftware (mit Remote-Support)
Mithilfe von Dritten in Strafverfahren
- Können private Dritte zur Mithilfe beim Einschleusen von Staatstrojanern verpflichtet werden?
- Strafverfahren kennt
- Auskunftspflicht, Duldungspflicht, Editionspflicht und Zeugnispflicht
- Aber: Keine aktive Mitwirkungspflicht
Teil 2:
Geheimdienstüberwachung
Nachrichtendienstgesetz (NDG) I
- Regelt die «präventive» Überwachung ohne konkreten Verdacht auf eine Straftat
- Für die Verfolgung von Straftaten oder die Ermittlung bei einem Verdacht auf eine strafbare Handlung sind die Polizeibehörden zuständig
Nachrichtendienstgesetz (NDG) II
- Seit dem 1. September 2017 in Kraft
- Massnahmengesetz mit zahlreichen neuen Befugnissen, unter anderem:
- «Genehmigungspflichtige Beschaffungsmassnahmen»
- Kabelaufklärung
Genehmigungspflichtige Beschaffungsmassnahmen I
- Überwachungen des Post- und Fernmeldeverkehrs gemäss BÜPF
- IMSI-Catcher und GPS-Systeme zur Ortung
- Kameras, Mikrofone und Wanzen auch in Privaträume
- Eindringen in Computersysteme und Computernetzwerke
- Staatstrojaner inkl. Online-Durchsuchung
- Geheime Hausdurchsuchungen
Genehmigungspflichtige Beschaffungsmassnahmen II
Zur Erkennung oder Abwehr von
- Terroristischen Aktivitäten
- Verbotenem Nachrichtendienst
- Handel mit Massenvernichtungswaffen
- Angriffen auf kritische Infrastruktur
Genehmigungspflichtige Beschaffungsmassnahmen III
- Nicht bei «gewalttätig-extremistischen Aktivitäten»
- Jedoch erlaubt, wenn Geheimdienst vom Bundesrat zur Wahrung wichtiger Landesinteressen bei einer schweren und unmittelbaren Bedrohung eingesetzt wurde
- Genehmigung durch Bundesverwaltungsgericht
- Freigabe durch VorsteherIn des VBS
Kabelaufklärung ist Weiterentwicklung
der Funk- / Satellitenaufklärung
Funk- / Satellitenaufklärung
- Funkaufklärung war ursprünglich eine militärische Überwachung von ausländischen Vorgängen
- Satellitenüberwachung
- Im Geheimen im Jahr 2000 eingeführt
- Zwei Berichte von 2003 und 2007 der Geschäftsprüfungsdelegation (GPDel)
- Tendenziell ausländische Kommunikation
Kabelaufklärung I
- «Zur Feststellung, Beobachtung und Beurteilung von sicherheitspolitisch bedeutsamen Vorgängen im Ausland»
- Da ausländische Kabel nicht überwacht werden können, werden grenzüberschreitenden Leitungen angezapft
- Bei jeder grenzüberschreitenden Kommunikation ist aber auch jemand aus dem Inland beteiligt
Kabelaufklärung II
- Befinden sich entweder Sender und/oder Empfänger im Ausland (gemeint sind IP-Adressen), so ist die Verwendung der erfassten Signale zulässig
- Sodann rastert und beurteilt das Zentrum für elektronische Operationen (ZEO) der Armee die Daten
Kabelaufklärung III
- «Enthalten die Daten Informationen über Vorgänge im In- oder Ausland, die auf eine konkrete Bedrohung der inneren Sicherheit [durch z.B. gewalttätigen Extremismus] hinweisen, so leitet der durchführende Dienst sie an den Nachrichtendienst [...] weiter.»
Kabelaufklärung IV
- Ein Überwachungsantrag an das Bundesverwaltungsgericht enthält
- «Beschreibung des Auftrags»
- «Begründung der Notwendigkeit des Einsatzes»
- Angaben zu den «Kategorien von Suchbegriffen» nach denen durchsucht werden soll
- Auflistung der betroffenen Provider
- Beginn und Ende des Auftrags
Teil 3:
Fazit - Was können wir tun?
Digitale Selbstverteidigung
- Schutzmassnahmen
- Computer-Grundschutz
- Verschlüsselung
- Wahl von Messenger, Anbieter & Tools
- Kein Schutz
«Wettrüsten»
- Überwachung orientieren sich am technisch machbaren
- Es fehlt eine Überwachungsgesamtrechnung
Beschwerde gegen Vorratsdatenspeicherung
- 2014: Gesuch an den Dienst ÜPF
- 2014: Beschwerde an das Bundesverwaltungsgericht
- 2016: Weiterzug an das Bundesgericht
- Schriftliche Anhörungen 2017
- Dienst ÜPF, EDÖB, Swisscom, Digitale Gesellschaft
- Entscheid 2018
- Wohl Weiterzug an Europäischen Gerichtshof für Menschenrechte (EGMR) nötig
Zweite Beschwerde: Kabelaufklärung
- 2017: Gesuch an Nachrichtendienst
- 2017: Beschwerde an das Bundesverwaltungsgericht
- 2018: Schriftliche Anhörungen
- Wohl Weiterzug an Bundesgericht und/oder Europäischen Gerichtshof für Menschenrechte (EGMR) nötig
Digitale Gesellschaft
4000 Basel
Schweiz
Konto CH15 0900 0000 6117 7451 1
