Montag, 27. Juli 2009

Internet-Überwachung in der Schweiz

Mit dem Staat ins Internet

Von Heiner Busch und Dinu Gautier

Bald schauen die Behörden zu, wenn verdächtige Personen im Internet surfen. Die Massnahme hätte eigentlich geheim bleiben sollen.

Vertrauliche Dokumente, die der WOZ vorliegen, zeigen: Der Bund plant die vollständige Überwachung des Internetverkehrs von verdächtigen Personen. Ab dem 1. August müssen die Internetprovider, also die Anbieter von Internetzugängen, technisch aufrüsten. Künftig sollen sie in der Lage sein, die Internetnutzung ihrer KundInnen unmittelbar an die Behörden zu übertragen.

Von der «Echtzeit-Überwachung der kompletten Kommunikation des Breitband-Internetanschlusses» ist in den Dokumenten die Rede. Konkret kann künftig das gesamte Surfverhalten einer Nutzerin oder eines Nutzers abgefangen werden, sofern gegen die Person ein entsprechendes Strafverfahren eröffnet worden ist. Der Staat liest Diskussionen in Chats oder Einträge in Foren mit, hört bei Gesprächen über Dienste wie Skype mit oder guckt zu, sobald die Person eine Webcam aktiviert.
Der Dienst «Überwachung Post- und Fernmeldeverkehr» (Üpf) von Justizministerin Eveline Widmer-Schlumpf hält das Bundesgesetz «Überwachung des Post- und Fernmeldeverkehrs» (Büpf) für eine ausreichende Rechtsgrundlage für die neue Massnahme. Darin heisst es: Die Provider «liefern (...) den Fernmeldeverkehr der überwachten Person soweit möglich in Echtzeit». Nur: Ist mit Fernmeldeverkehr tatsächlich auch Surfen oder Chatten im Internet gemeint? Fest steht: Eine Überwachung der Internetnutzung ist im Büpf nirgends explizit erwähnt.

In aller Eile
Für die neue Überwachungsmethode wurden jedenfalls weder das Gesetz noch die entsprechende Verordnung überarbeitet, sondern lediglich eine «IP-Richtlinie» und dazugehörige organisatorische und technische Regelungen erlassen. Deren erste Version stammt vom April 2009. Die zweite Fassung vom Mai ging den beim Bundesamt für Kommunikation registrierten Providern Anfang Juni zu einer «vertraulichen Vernehmlassung» zu. Die Frage der WOZ, wieso die Vernehmlassung vertraulich gewesen sei, hat Philippe Piatti, Pressesprecher des Justiz- und Polizeidepartements (EJPD), nicht beantwortet.
Der Üpf scheint es jedenfalls sehr eilig zu haben: Die Provider hatten nicht – wie sonst bei Vernehmlassungen üblich – drei Monate, sondern nur drei Wochen Zeit, sich zu äussern. Bis zum 30. Juni sollten die Stellungnahmen beim Überwachungsdienst eingereicht sein. Bereits am 1. August treten die neuen Regelungen in Kraft. Bis Ende Juni 2010 sollen dann alle Provider die technische Aufrüstung vollzogen haben und vom Üpf getestet und zertifiziert werden. Wie das angesichts von Hunderten meldepflichtiger Provider in der Schweiz gehen soll, bleibt unklar.
Trotz der Vertraulichkeit der Materie äussern sich Provider-Profis zu den Plänen des Bundes. Fredy Künzler vom mittelgrossen Zürcher Provider Init7 hält das Ganze für einen «Papiertiger, der einen unglaublichen Aufwand verursacht». Er rechnet mit ein bis drei «Mannjahren» Arbeit und mit Kosten von Hunderttausenden Franken. «Für grosse Provider mag das verschmerzbar sein. Kleine Anbieter können sich den Aufwand aber unmöglich leisten».
In der Tat muss der Provider gemäss Büpf die Technologie selber bereitstellen. Wenn er dann tatsächlich einmal die Daten einer Kundin oder eines Kunden abzapfen muss, zahlt ihm der Staat eine Entschädigungspauschale. Wie hoch diese ausfallen wird, ist noch unklar, sie dürfte sich laut Insidern in der Grössenordnung von tausend Franken bewegen. «Du musst also fast hoffen, dass möglichst viele deiner Kunden kriminell werden, wenn du die Inves­titionen amortisieren willst», so ein kleiner Anbieter, der anonym bleiben will.

Ein schlechtes Zeichen
Zu dieser Frage äussert sich Philippe Piatti vom EJPD: «Kleine Provider werden sich die notwendigen technischen Voraussetzungen leisten müssen. Erbringer von Fernmeldedienstleistungen wissen um die gesetzlichen Vorgaben.»
Pascal Gloor, der am Wochenende zum Vizepräsidenten der neugegründeten Piratenpartei gewählt wurde, arbeitet ebenfalls bei einem Provider. Er äussert hier ausdrücklich seine private Meinung, da das Parteiprogramm der Piraten noch nicht verabschiedet sei: «Wenn der Staat versteckte Massnahmen ergreift, dann wird es heikel, weil auch die Kontrolle darüber schwierig wird.» Dass die Vernehmlassung vertraulich ablief, ist für Gloor deshalb ein schlechtes Zeichen. Aus technischer Sicht sei die Geheimhaltung nämlich völlig unnötig. Überhaupt gelte es aufzupassen, dass sich keine Automatismen einschleichen und dass das Werkzeug künftig nicht auch für andere Zwecke als die Strafverfolgung genutzt wird.

Fredy Künzler von Init7 hält die ganze Übung überhaupt für untauglich. «Jeder kleine Internetgangster kann seine Kommunikation vernünftig verschlüsseln. Die Behörden sind dann trotz Internetüberwachung so schlau wie zuvor.»

Das staatliche Interesse an der Überwachung der Telekommunikation ist so alt wie diese Kommunikation selbst. Möglich sind heute zum einen «aktive» Überwachungen, bei denen der Inhalt des jeweiligen Telefongesprächs oder einer E-Mail in «Echtzeit» abgehört oder mitgelesen wird. Zum andern müssen die Anbieterfirmen die «Verkehrsdaten» all ihrer KundInnen für ein halbes Jahr auf Vorrat speichern, um sie auf Anordnung dem Dienst zu übermitteln. Die Untersuchungsbehörden erfahren dabei, wann und mit wem die überwachte Person kommunizierte, bei Handys auch den Standort. Das Parlament unterstützte bereits 2006 eine Motion von FDP-Ständerat Rolf Schweiger, der forderte, die Aufbewahrungsfrist für diese «Randdaten» sei auf ein Jahr zu verlängern. Schweiger begründete das mit der Bekämpfung von Kinderpornografie.

Sexualstraftaten und Terrorismus sind zwar derzeit die grössten Hits, wenn es um neue staatliche Horch- und Guck-Befugnisse geht. Der im Büpf enthaltene Deliktkatalog ermöglicht Überwachungen aber auch bei weit weniger schweren Straftaten: darunter zum Beispiel Landfriedensbruch, Gewalt und Drohung gegen Beamte oder Betrug. Auch die nun in der IP-Richtlinie vorgesehene Überwachung des Internetverkehrs können Untersuchungsbehörden einsetzen – gegen mutmassliche TeilnehmerInnen einer unfriedlichen Demonstration beispielsweise oder gegen SozialhilfebezügerInnen, die des Missbrauchs verdächtigt werden.
Korrigendum: Landfriedensbruch (Art. 260 StGB) alleine reicht nicht für eine Überwachung nach Büpf. Bitte entschuldigen Sie den Fehler.

Überwachungsstatistik
Insgesamt 6681 Überwachungsmass­nahmen zählte der Überwachungsdienst des EJPD im Jahr 2008 – 4690 rückwirkende, bei denen die Provider die «Verkehrsdaten» der letzten sechs Monate übermitteln müssen, und 1991 aktive, bei denen der Inhalt von Telefongesprächen oder E-Mails live mitgeschnitten wird. Wie lange eine solche Echt­zeit­überwachung dauert, geht aus der Statistik nicht hervor. Eine Anordnung ist möglich für drei Monate, kann aber danach nochmals um drei Monate verlängert werden. Laut EJPD ist dies in rund zwanzig Prozent der Fall. Der Anteil der E-Mail-Überwachungen bewege sich «im niedrigen Prozentbereich».
Im laufenden Jahr rechnet der Dienst für etwa dieselbe Zahl von Massnahmen mit Kosten von 19,6 Millionen Franken. 9,1 Millionen sind für die Entschädigung der Provider budgetiert.

Das Papier auf www.woz.ch
Die WOZ stellt die «vertrauliche Vernehmlassung» sowie die technischen und organisatorischen Anhänge als PDF-Dokumente zum Download bereit. Grundrechtseingriffe sollen öffentlich diskutiert werden können.

In den Dokumenten finden sich Details über die Abläufe und Möglichkeiten der Kommunikations­überwachung. So ist zu erfahren, dass die Überwachung der Internetnutzung via UMTS oder GSM bis auf weiteres nicht Teil der Massnahmen ist. Der Mobilfunkbetreiber wird vorerst also keine Daten über das Onlineverhalten von KundInnen, die mit einem iPhone im Internet surfen, an die Behörden weitergeben.

Die Dokumentation gibt auch Einblick in die vorgesehenen Prozeduren bei der Handyüberwachung. Finden Fahnder im Abfall einer verdächtigen Person einen gebrauchten Prepaidhandy-Guthaben-Zettel, muss der Mobilfunkanbieter die Rufnummer der verdächtigen Person ermitteln können.

Text:"Vernehmlassungseinladung IP-Richtlinie Üpf (deutsch)"Anhänge:"Technical Guideline (englisch)""Organisational and administrative requirements (englisch)"

Keine Kommentare: