Wie überwacht der Staat unsere Kommunikation?

Für alle unten aufgeführten Typen der Überwachung (mit Ausnahme der Postüberwachung) gilt: Alle konzessionierten Fernmeldedienstleister= (FDA) sind dazu verpflichtet, entsprechende Einrichtungen auf eigene Kosten bereit zu halten und historische Daten während mindestens sechs Monaten aufzubewahren (BÜPF Art. 15). Die Kosten für diese euphemistisch “lawful interception” genannten Vorgänge werden den Fernmeldedienstleistern zu einem kleinen Teil vergütet. Insgesamt ist das für die Anbieter aber eine teure Angelegenheit; es wird angenommen, dass entsprechende Hard- und Software für grössere Anbieter ein Preisschild von deutlich über 1 Mio Franken hat.

Ebenso hört man, dass der DBA den Anbietern vorschreibt, wie die Daten zu übermitteln sind. Es gibt angeblich ein XML-File-Format, und zur Übermittlung an den DBA seien die Daten per PGP zu verschlüsseln. Insofern kann man davon ausgehen, dass der DBA PGP im Rahmen der gegebenen Bedingungen für “unknackbar” hält. Es bleibt zu hinterfragen, wie das DBA den entsprechenden Private Key schützt…

Übrigens: Wer seine eigenen Anlagen betreibt (Haustelefonnetze, firmeneigene Mailserver und ähnliches) ist dazu verpflichtet, dem DBA entsprechenden Zutritt zu gewähren (BÜPF Art. 15 lit. 8, VÜPF Art. 28 und 29). Dies gilt auch für die folgenden Typen der Überwachung.

Postverkehr (VÜPF Art. 12)

Abfangen von Postsendungen, Übermitteln von Absender, Empfänger und / oder Art von Postsendungen sowohl in Echtzeit (dh während die Sendung auf dem Postweg ist) als auch nachträglich (alle bei der Post gespeicherten Daten über einen Kunden).

Mobil-/Festnetztelefonie (VÜPF Art. 16)

Übermittlung des Standortes (bei Mobilanschlüssen) und des laufenden Sprachverkehrs (klassisches “Mithören”), Rufnummern von ein- und ausgehenden Anrufen inklusive Weiterleitungen und abgesetzte Signale, zB zum Abrufen einer Mailbox oder zum [De-] Aktivieren von Diensten wie Konferenzschaltungen. Alles sowohl in Echtzeit als auch (sofern logisch möglich) nachträglich. Erfasst werden auch SMS und MMS (ebenfalls: Inhalt, Absender und Empfänger).

Internet (VÜPF Art. 24)

E-Mail

Echtzeitzugriff auf eingehende E-Mails (alle Header-Daten, Inhalt inklusive Attachments), Echtzeit- und historischer Zugriff auf das Logfile des SMTP-Servers (IP-Adressen, MAIL FROM, RCPT TO, SIZE, Message-Ids), Echtzeit- und historischer Zugriff auf das Logfile des POP/IMAP-Servers (IP-Adressen und Protokollinformationen), Echtzeitzugriff auf ausgehende E-Mails (alle Header-Daten, Inhalt inklusive Attachments).

Das selbe auch, falls der Teilnehmer seinen eigenen Mailserver verwendet und den Mailserver eines Providers als Smarthost verwendet.

Internet Access

Art, Beginn und Ende einer Verbindung zu einer IP-Adresse sowie Name, Vorname, Adresse und Beruf des Teilnehmers, Benutzername und Passwort. Der Provider muss die gleichen Daten auch über den “Ursprung” (sprich: den Mobil-/Festnetz-Telefonanschluss, von dem aus die Verbindung aufgebaut worden ist) liefern, sofern bekannt.

Bei einer weiten Interpretation könnte auch das “mitschneiden” des Datenverkehrs auf Netzwerkebene erfasst sein.

Schutz vor Überwachung

Aufgrund der legalen Überwachungsmöglichkeiten gibt es einige naheliegende Möglichkeiten, sich der Überwachung zu entziehen:

• Verzicht auf den Einsatz von Mailboxen bei konzessionierten Fernmeldeanbietern — klassische Webmailanbieter wie Google oder Yahoo sind in der Regel nicht konzessionierte Fernmeldeanbieter nach schweizer Recht und somit nicht im Scope dieser Typen der Überwachung. Sie unterliegen aber natürlich anderen Formen der Überwachung.
• Verzicht auf den Einsatz von unverschlüsselter Mail. Das schützt den Inhalt einer Nachricht davor, gelesen zu werden, aber die Verkehrsbeziehung (von wem an wen, wann etc) werden weiterhin preisgegeben.
• Einsatz von Server-zu-Server-Verschlüsselung und verschlüsselten VPNs, um das mitschneiden des Datenverkehrs zu erschweren.
• Verwendung öffentlicher Kanäle zum Austausch verschlüsselter Nachrichten, zum Beispiel über die Newsgroup alt.anon.messages oder über P2P-Netzwerke.
• Betrieb eigener Server, bei denen man entweder selbst die physische Kontrolle hat oder die ausserhalb der Reichweite des schweizerischen Rechts liegen. Massnahmen gegen die forensische Analyse bei Beschlagnahmung sind ratsam.
• Nutzung von offenen WLANs für den Internetzugang.

Mögliche “Verbesserungen”

• Der Katalog von Tatbeständen, die zur Überwachung gemäss BÜPF/VÜPF führen können, wird laufend erweitert. Bezeichnenderweise betreffen 3 von bisher 5 Änderungen des BÜPF den Artikel 3 (“Voraussetzungen”). Es wäre naiv zu glauben, ein Ende wäre hier erreicht.
• Es kann erwartet werden, dass die Überwachung von Telekommunikation ein wesentlicher Bestandteil von polizeilicher und staatsanwaltschaftlicher Zusammenarbeit über nationale Grenzen hinweg sein wird (Datenaustausch, Kooperation in Strafsachen, Zoll- und Steuerfahndung usw).
• Der Zwang zur Konzessionierung von Fernmeldeanbietern könnte zunehmen. Zur Zeit wird das noch eher lax gehandhabt, aber es darf erwartet werden, dass Dienste, die bisher in der Kategorie “Mehrwert” liefen und dementsprechend ausserhalb des direkten Zugriffs stehen (zum Beispiel Webmailanbieter) in den Genuss einer “BÜPF-Pflicht” kommen werden.
• Schliessung von verschiedenen Schlupflöchern, die uns als “reine technische Weiterentwicklung” schmackhaft gemacht werden.
• Ausdehnung des aktuellen Scopes von Zugang und E-Mail auf: P2P-Netze, Chat-Angebote, Web-Verkehr.
• Neue Begründungen. Wir hatten bisher Nazis (bis ca. 1999), Kinderschänder (ab ca. 2000), Terroristen (ab 2001/2002). Es fehlen noch die Drogenhändler, Menschenschmuggler, die notorischen Umwelt- und Parksünder.
• Verpflichtung von Anbietern, selbst aktiv nach strafrechtlich relevanten Inhalten zu suchen und diese zur Anzeige zu bringen.
• Voice over IP (VOIP) wird der klassischen leitungsgebundenen Telefonie überwachungstechnisch gleichgestellt.
• Einführung zwingender eindeutiger Teilnehmeridentifikation unabhängig von der Anschlussart.
• Einführung von nationalen Firewalls, die alle ein- und ausgehenden Datenpakete protokollieren.

Die letzten vier mögen absurd und bizarr scheinen — und doch kommt alle paar Monate irgendwo ein Politiker auf solche und ähnliche glorreiche Ideen. Vielleicht sollte man in politischen Gremien das eine oder andere Quantum technisches Wissen einpflanzen…