Überwachung in der Schweiz -
Realitätsabgleich 2019

23. Februar 2019 – Viktor Györffy, Kire

digiges.ch/slides/ueberwachungsstaat_2019.html

Digitale Gesellschaft

Die gemeinnützige Organisation informiert und berät zu Konsumenten- und Rechtsfragen im digitalen Raum, schätzt Technologiefolgen ab hinsichtlich der möglichen Auswirkungen auf die Grund- und Menschenrechte und bietet Dienste, Software-Projekte und Workshops zur «digitalen Selbstverteidigung» an.

Die Digitale Gesellschaft kämpft für unsere Freiheitsrechte in einer vernetzten Welt.

Übersicht

  • Überwachung im Strafverfahren
    • Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF)
    • Eidgenössische Strafprozessordnung (StPO)
  • Geheimdienstüberwachung
    • Nachrichtendienstgesetz (NDG)
  • Fazit: Was können wir tun?

Teil 1:
Überwachung im Strafverfahren

Unterscheidung

  • Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF)
    • Pflichten/Aufgaben von Dienst ÜPF und Provider
  • Strafprozessordnung (StPO)
    • Möglichkeiten der Untersuchungsbehörden

Teil 1a:
Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF)

«33C3 (030)» - Foto: Stephan Kambor-Wiesenberg, CC BY 2.0

BÜPF: Geltungsbereich

  • Fernmeldedienstanbieter (FDA; Access Provider)
  • «Anbieter abgeleiteter Kommunikationsdienste», die «eine Einweg- oder Mehrwegkommunikation ermöglichen» (AAKD)
  • Personen, die ihren Zugang zu einem öffentlichen Fernmeldenetz Dritten zur Verfügung stellen

«Anbieter abgeleiteter Kommunikationsdienste»

  • Sind den Access Providern gleichgestellt, wenn entweder
    • 10 Überwachungsgesuche in einem Jahr vorlagen oder
    • ein Jahresumsatz von 100 Millionen Franken mit mindestens 5'000 BenutzerInnen erzielt wurde
  • Gleichstellung bedeutet aktive Überwachungspflicht und Vorratsdatenspeicherung

Interpretation à la Dienst ÜPF

  • Die strengeren Pflichten der Access Provider sollen auch gelten, wenn
    • reine Dienstanbieter Kommunikationsdienste (wie E-Mail, Messaging etc.) anbieten
    • sie sowohl Access wie auch andere Dienste anbieten
  • Die Pflichten sollen auch für Anbieter im Ausland gelten

Alle anderen: Duldungspflicht

  • Überwachungsmassnahmen müssen geduldet werden
  • Duldung einschliesslich Zugangsgewährung «zu Gebäuden, Geräten, Leitungen, Systemen, Netzen und Diensten»

Pflicht zur Teilnehmeridentifikation I

  • Gilt zusätzlich zur aktiven Überwachungspflicht
  • Auch für Collaboration, E-Mail, Instant Messaging etc.
  • Ausweispflicht jedoch «nur» bei Mobilfunkdiensten

Pflicht zur Teilnehmeridentifikation II

  • Auch für Anbieter professionell betriebener öffentlicher WLAN-Zugangspunkte
  • «Mit ‹professionell betrieben› ist gemeint, dass eine FDA oder eine auf öffentliche WLAN-Zugangspunkte spezialisierte IT-Dienstleisterin den technischen Betrieb des öffentlichen WLAN-Zugangspunktes durchführt, die dies auch noch für andere öffentliche WLAN-Zugangspunkte an anderen Standorten macht.»

Vorratsdatenspeicherung

    • Provider müssen das Kommunikationsverhalten ihrer KundInnen für 6 Monate festhalten
      • Wer hat mit wem, wann, wie lange und von wo aus kommuniziert?
    • Ursprünglich Kommunikation zwischen Menschen
    • Jedoch ein Datensatz für jede Kommunikation, die ein Smartphone macht

Antennensuchlauf I

  • Rasterfahndung in Vorratsdaten bei Tatverdacht gegen «Unbekannt»
    • Wer war zu einem definierten Zeitpunkt an einem bestimmten Ort
    • Nur Schnittmengen würden geliefert

Antennensuchlauf II

  • Fall «Rupperswil» ist kein Einzelfall
    • Durchschnittlich 125 mal pro Jahr
    • Ein Fall hat über 30 Funkzellen betroffen
      • Bei einer Zelle betrug der Zeitraum 15 Tage
      • Die Mobilfunkanbieterin hat über 150'000 Verbindungsdaten geliefert

Antennensuchlauf III

  • Es geht nicht um Straftaten im Internet und «gleichlange Spiesse» für die Polizeibehörden
  • Vielmehr werden unsere Smartphones als Ortungswanzen missbraucht

Identifikation von InternetbenutzerInnen I

  • Im Rahmen der Vorratsdatenspeicherung müssen auch IP-Adressen 6 Monate gespeichert werden
    • Sind für die Kommunikation im Internet notwendig
    • und einem Anschluss zugeordnet (z.B. ADSL-Modem)

Identifikation von InternetbenutzerInnen II

  • IP-Adressen sind beiden Kommunikationspartnern bekannt und werden oft in Serverlogfiles abgelegt
    • Damit lässt sich ein Anschluss eruieren, von dem aus z.B. eine Beleidigung in einem Forum verfasst wurde
    • Da es sich hier offensichtlich um auf Personen beziehbare Daten handelt, dürften diese nur sehr eingeschränkt aufbewahrt werden

Identifikation von InternetbenutzerInnen III

  • Da IP-Adressen knapp sind, werden in Public WLAN und Mobilfunknetzen diese meist geteilt
    • Network Address Translation (NAT)
  • Die Provider müssen diese Übersetzungstabellen ebenfalls 6 Monate aufbewahren
  • «Aktuell geht man in grossen Schweizer Mobilnetzen von etwa einer Milliarde NAT-Übersetzungsvorgängen pro Tag aus» (Quelle: Bund)

Aufzeichnung unserer Internetnutzung I

  • Der Dienst Überwachung Post- und Fernmeldeverkehr (DÜPF) verlangt zusätzlich die Zieladressen zu speichern
  • Mit diesen Daten können
    • die besuchten Webserver und verwendeten Internetdienste einer Person nachvollzogen werden
    • alle BenutzerInnen eines Dienstes oder Servers festgestellt werden

Aufzeichnung unserer Internetnutzung II

  • Die Daten sind zur Identifikation grundsätzlich nicht nötig
    • Viele Serverlogfiles speichern allerdings standardmässig «nur» Quell-IP-Adressen und keine -Ports, die für eine Unterscheidung notwendig wären

Aufzeichnung unserer Internetnutzung III

  • Welche Provider speichern, ist nicht bekannt
  • Ausnahmen
    • «SBB-FREE» speichert
    • Swisscom Mobile speichert nicht
    • «UPC Wi-free» speichert (auch) nur zugewiesene Source-Port-Bereiche

(kein) Recht auf Datenauskunft

  • Die meisten Provider ignorieren das Recht auf Auskunft zu Vorratsdaten
    • Dieses wurden vom Bundesgericht im Verfahren gegen die Vorratsdatenspeicherung bestätigt
  • Sie verweigern die Auskunft zu den NAT-Tabellen
  • Sie verweigern die Auskunft zu den Standorten der Funkzellen

Teil 1b:
Eidgenössische Strafprozessordnung (StPO)

Eidgenössische Strafprozessordnung (StPO)

  • BÜPF: Pflichten/Aufgaben von Dienst ÜPF und Provider
  • StPO: Möglichkeiten der Untersuchungsbehörden
    • Massnahmen nach BÜPF
    • Zusätzliche Überwachungsmassnahmen

Überwachung des Post- und Fernmeldeverkehrs

  • Langer Deliktskatalog (PDF)
    • inkl. Drohung, Nötigung, Schreckung der Bevölkerung
  • Genehmigung durch das Zwangsmassnahmengericht

Zugriff auf Vorratsdatenspeicherung I

  • Dringender Verdacht auf ein Verbrechen oder Vergehen
    • Falscher Alarm, Sachbeschädigung, Landfriedensbruch
    • Grobe Verletzung der Verkehrsregeln
    • Missbrauch einer Fernmeldeanlage (Übertretung)
  • Genehmigung durch das Zwangsmassnahmengericht
  • 6 Monate rückwirkend

Zugriff auf Vorratsdatenspeicherung II

Besteht der Verdacht, dass eine Straftat über das Internet begangen worden ist, so sind die Anbieterinnen von Fernmeldediensten verpflichtet, dem Dienst alle Angaben zu liefern, welche die Identifikation der Täterschaft ermöglichen. (Art. 22 Abs. 1 BÜPF)

Es gibt keine Einschränkungen

Zugriff auf Vorratsdatenspeicherung III

  • Antennensuchlauf
    • Auch mit dem neuen BÜPF (resp. StPO) keine genügende Rechtsgrundlage für Überwachung von noch unbekannten Personen

Zusätzliche Überwachungsmassnahmen

  • Überwachung «Server»
  • IMSI-Catcher
  • Staatstrojaner

Quelle: Staatsanwaltschaft Zürich (PDF, 2015)

Quelle: Staatsanwaltschaft Zürich (PDF, 2015)

IMSI-Catcher

  • Schaltet sich zwischen Handy und Funkantenne
    • «Um Gespräche mitzuhören oder aufzunehmen oder eine Person oder Sache zu identifizieren oder deren Standort zu ermitteln»
    • Auch möglich
      • Unsichtbare Ausweiskontrollen
      • SMS an alle Handys im Empfangsbereich senden

Staatstrojaner I

  • Eingriff in die (digitale) Intimsphäre der Betroffenen
  • Etwas kürzerer Deliktskatalog (PDF)
    • inkl. einfachem Diebstahl
  • Genehmigung durch das Zwangsmassnahmengericht

Staatstrojaner II

  • Infektion durch
    • Sicherheitslücken
      • Auf dem Schwarzmarkt besorgen?
      • Und Sicherheitslücke offen lassen?
    • Eindringen in Räumlichkeiten (wie aufspielen?)
    • Mithilfe von Dritten?
      • Infection Proxy, Update-Server, Fahrplan-App, Steuererklärungssoftware (mit Remote-Support)

Mithilfe von Dritten in Strafverfahren

  • Können private Dritte zur Mithilfe beim Einschleusen von Staatstrojanern verpflichtet werden?
  • Strafverfahren kennt
    • Auskunftspflicht, Duldungspflicht, Editionspflicht und Zeugnispflicht
    • Aber: Keine aktive Mitwirkungspflicht

Stand

  • Beschaffung durch Bundesamt für Polizei (Fedpol) abgeschlossen
  • Tests laufen (NZZ, Januar 2019)
  • «Fallpauschalen» für Kantone/Polizeien

Teil 2:
Geheimdienstüberwachung

Nachrichtendienstgesetz (NDG) I

  • Regelt die «präventive» Überwachung ohne konkreten Verdacht auf eine Straftat
  • Für die Verfolgung von Straftaten oder die Ermittlung bei einem Verdacht auf eine strafbare Handlung sind die Polizeibehörden zuständig

Nachrichtendienstgesetz (NDG) II

  • Seit dem 1. September 2017 in Kraft
  • Massnahmengesetz mit zahlreichen neuen Befugnissen, unter anderem:
    • «Genehmigungspflichtige Beschaffungsmassnahmen»
    • Kabelaufklärung

Genehmigungspflichtige Beschaffungsmassnahmen I

  • Überwachungen des Post- und Fernmeldeverkehrs gemäss BÜPF
  • IMSI-Catcher und GPS-Systeme zur Ortung
  • Kameras, Mikrofone und Wanzen auch in Privaträume
  • Eindringen in Computersysteme und Computernetzwerke
    • Staatstrojaner inkl. Online-Durchsuchung
  • Geheime Hausdurchsuchungen

Genehmigungspflichtige Beschaffungsmassnahmen II

    Zur Erkennung oder Abwehr von
    • Terroristischen Aktivitäten
    • Verbotenem Nachrichtendienst
    • Handel mit Massenvernichtungswaffen
    • Angriffen auf kritische Infrastruktur

Genehmigungspflichtige Beschaffungsmassnahmen III

  • Nicht bei «gewalttätig-extremistischen Aktivitäten»
  • Jedoch erlaubt, wenn Geheimdienst vom Bundesrat zur Wahrung wichtiger Landesinteressen bei einer schweren und unmittelbaren Bedrohung eingesetzt wurde
  • Genehmigung durch Bundesverwaltungsgericht
  • Freigabe durch VorsteherIn des VBS

Kabelaufklärung ist Weiterentwicklung
der Funk- / Satellitenaufklärung

Funk- / Satellitenaufklärung

  • Funkaufklärung war ursprünglich eine militärische Überwachung von ausländischen Vorgängen
  • Satellitenüberwachung
    • Im Geheimen im Jahr 2000 eingeführt
    • Zwei Berichte von 2003 und 2007 der Geschäftsprüfungsdelegation (GPDel)
    • Tendenziell ausländische Kommunikation

Kabelaufklärung I

  • «Zur Feststellung, Beobachtung und Beurteilung von sicherheitspolitisch bedeutsamen Vorgängen im Ausland»
  • Da ausländische Kabel nicht überwacht werden können, werden grenzüberschreitenden Leitungen angezapft
  • Bei jeder grenzüberschreitenden Kommunikation ist aber auch jemand aus dem Inland beteiligt

Kabelaufklärung II

  • Befinden sich entweder Sender und/oder Empfänger im Ausland (gemeint sind IP-Adressen), so ist die Verwendung der erfassten Signale zulässig
  • Sodann rastert und beurteilt das Zentrum für elektronische Operationen (ZEO) der Armee die Daten

Kabelaufklärung III

  • «Enthalten die Daten Informationen über Vorgänge im In- oder Ausland, die auf eine konkrete Bedrohung der inneren Sicherheit [durch z.B. gewalttätigen Extremismus] hinweisen, so leitet der durchführende Dienst sie an den Nachrichtendienst [...] weiter.»

Kabelaufklärung IV

  • Ein Überwachungsantrag an das Bundesverwaltungsgericht enthält
    • «Beschreibung des Auftrags»
    • «Begründung der Notwendigkeit des Einsatzes»
    • Angaben zu den «Kategorien von Suchbegriffen» nach denen durchsucht werden soll
    • Auflistung der betroffenen Provider
    • Beginn und Ende des Auftrags

Stand Kabelaufklärung

  • «Technische Inbetriebnahme der Kabelaufklärung in der zweiten Jahreshälfte 2018» gemäss Jahresbericht der Geschäftsprüfungsdelegation (GPDel) (PDF)

Stand Staatstrojaner

  • Im Einsatz seit 2018 gemäss Prüfbericht der neuen unabhängige Aufsichtsbehörde über die nachrichtendienstlichen Tätigkeiten (AB-ND) (PDF)
  • Nachweis des Einsatzes der Staatstrojaner-Software Pegasus des israelischen Herstellers NSO Group in der Schweiz durch Citizen Lab

Teil 3:
Fazit - Was können wir tun?

Digitale Selbstverteidigung

  • Schutzmassnahmen
    • Computer-Grundschutz
    • Verschlüsselung
    • Wahl von Messenger, Anbieter & Tools
  • Kein Schutz
    • Handy-Positionsdaten

«Wettrüsten»

  • Überwachung orientieren sich am technisch machbaren
  • Es fehlt eine Überwachungsgesamtrechnung

Beschwerde gegen Vorratsdatenspeicherung

  • 2014: Gesuch an den Dienst ÜPF
  • 2014: Beschwerde an das Bundesverwaltungsgericht
  • 2016: Weiterzug an das Bundesgericht
  • 2018: Weiterzug an den Europäischen Gerichtshof für Menschenrechte (EGMR)

Beschwerde gegen Kabelaufklärung

  • 2017: Gesuch an Nachrichtendienst
  • 2017: Beschwerde an das Bundesverwaltungsgericht
  • 2018: Schriftliche Anhörungen
    • Entscheid 2019?
  • Wohl Weiterzug an Bundesgericht und/oder Europäischen Gerichtshof für Menschenrechte (EGMR) nötig

Datenschutzgesetz

  • Datenauskunftsbegehren stellen
    • Hartnäckig bleiben
    • Rechtsweg beschreiten
  • Wir brauchen (auch) in der Schweiz ein durchsetzbares Datenschutzgesetz

Vielen Dank für das Interesse

Slides: digiges.ch/slides/ueberwachungsstaat_2019.html

Website: www.digitale-gesellschaft.ch

Facebook: DigitaleGesellschaftSchweiz

Twitter: @digiges_ch

Digitale Gesellschaft
4000 Basel
Schweiz


Konto CH15 0900 0000 6117 7451 1

CC by SA 4.0