PresseBox
Pressemitteilung BoxID: 592375 (SWICO)
  • SWICO
  • Hardturmstrasse 103
  • 8005 Zürich
  • http://www.swico.ch
  • Ansprechpartner
  • Jean-Marc Hensch
  • +41 (79) 50975-62

ICT-Anbieter gegen Überwachungsexzesse der Strafverfolger

BÜPF vor der Rechtskommission des Ständerats

(PresseBox) (Zürich, ) Der Wirtschaftsverband der digitalen Schweiz Swico wendet sich entschieden gegen die weitreichenden Änderungen beim Bundesgesetz betreffend der Überwachung des Post- und Fernmeldegesetzes (BÜPF). Mit dem revidierten Gesetz sollen die Möglichkeiten von Abhörungsmassnahmen und der Überwachung generell massiv ausgedehnt werden (Staatstrojaner, Government Ware, verlängerte Vorratsdatenspeicherung etc.). Eine Revision tangiert bei weitem nicht nur die ICT-Branche. In einer Gesellschaft, in welcher die Verhältnismässigkeit staatlichen Handelns und der Respekt vor der Bürgerrechten und der Privatsphäre zentrale Anliegen sind, ist das neue Gesetz vor allem ein wesentlicher Eingriff in die Rechte einer mündigen Bevölkerung. Die entsprechende bundesrätliche Botschaft wird ab dem 2. Mai in der Rechtskommission des Ständerates beraten.

Die Anbieterfirmen (wozu bei weitem nicht nur die Telekom-Firmen im engeren Sinn gehören) wehren sich dagegen, dass sie zu regelmässigen Erfüllungsgehilfen einer vom Publikum als überbordendend empfundenen Staatskontrolle über Internet und Telekommunikation gemacht werden. Dies bedroht ihre Reputation und macht sie insbesondere auch als Arbeitgeber weniger attraktiv. Konkret kritisiert Swico folgende Punkte:

Die Gesetzesvorlage entspricht einer mehr oder weniger unverändert übernommenen Wunschliste der Strafverfolgungsbehörden. Abstriche wurden daran nur gemacht, soweit die Bestimmungen unmöglich oder undurchführbar waren. Hingegen fehlt so gut wie jede kritische Auseinandersetzung mit den beabsichtigten Einschränkungen der Bürgerrechte, mit der Bedeutung der Privatsphäre und der Verhältnismässigkeit der einzelnen Massnahmen. Es ist in diesem Zusammenhang bezeichnend, dass es in der Botschaft kein Kapitel zum - bei diesem Gesetz wohl entscheidenden - Thema Privatsphäre oder Verhältnismässigkeit gibt. Entsprechende Verweise auf die Straffprozessordnung StPO sind bei weitem nicht ausreichend, da das E-BÜPF eine ganz neue Qualität der Überwachung einführen will.

Der Katalog der Straftaten (vgl. Art. 269bis (neu) in Verbindung mit Art. 269 Abs. 2 Buchstabe a. StPO), bei welchen Staatstrojaner eingesetzt werden können, geht zu weit und steht in keinem vernünftigen Verhältnis zum beabsichtigten Zweck. Sogar Sachbeschädigung und der einfache Diebstahl fallen darunter. Ein blosser Verdacht auf eine solche Straftat reicht für eine Überwachung aus.

Die Vorratsdatenspeicherung im Hinblick auf allfällige künftige Strafuntersuchungen soll von 6 auf 12 Monate erhöht werden (Art. 26 Abs. 5 E-BÜPF). Dabei geht es wohlverstanden nicht um die Abwehr unmittelbar drohender Gefahr oder um Staatsverbrechen. Die Behörden können schon beim Verdacht auf geringfügige Vergehen nicht nur das kommunikative Leben eines Menschen ausforschen, sondern auch zahlreicher weiterer unbeteiligter Personen. Jede Erhöhung der Frist für die Vorratsdatenspeicherung eröffnet zumindest die Möglichkeit einer verstärkten Ausforschung der Bevölkerung (von der Missbrauchsgefahr im Bereich der vorratspflichtigen Unternehmen ganz zu schweigen).

Die Aufbewahrung der vom zentralen Dienst gesammelten Daten soll bis zu 30 Jahren möglich sein (Art. 11 E-BÜPF). Die möglichen Überwachungsszenarien sind uferlos und das Missbrauchspotential enorm.

Ebenso können Outsourcing-Provider, Cloud-Dienstleister und Messaging-Dienste in die Ausforschung miteinbezogen werden, indem ihnen die gleichen Pflichten wie den eigentlichen Fernmeldeanbietern auferlegt werden (Art. 27 E-BÜPF).

Zahlreiche relevante Anbieter mit Sitz im Ausland können auf diesem Weg gar nicht erfasst werden (wie auch in der Botschaft selbst ausgeführt). Damit ermöglicht diese Gesetzesvorlage keine effiziente Strafverfolgung in Fällen mit transnationalem Bezug, bei denen wie bisher über die Rechtshilfe zu gehen ist. Sie benachteiligt Firmen mit Schweizer Sitz, ohne dass es wirklich etwas bringen würde und bewirkt damit einen bedeutenden Standortnachteil für die Schweiz.

Frau Bundesrätin Sommaruga erklärte vor den Medien, es brauche den Staatstrojaner, weil Straftäter ohne grossen technischen Aufwand ihre Spuren verwischen können, wenn sie zum Beispiel mittels Skype telefonieren1. Dies entspricht nicht den Tatsachen: Allein 2012 haben Schweizer Strafverfolgungsbehörden in 74 Fällen bei Skype um die Auslieferung von Randdaten ersucht2. Es gibt keinen Grund, weshalb die Behörden hier nicht den ordentlichen Weg der Rechtshilfe mit ihren luxemburgischen Kollegen3 gehen können.

"L'appétit vient en mangeant." Dies gilt auch in diesem Fall. Schon heute deuten die Transparenzberichte internationaler Netzwerke darauf hin, dass Schweizer Strafbehörden überdurchschnittlich oft Kommunikationsdaten anfordern. Sobald sie dies im Inland via Staatstrojaner auf einfache Weise durchsetzen können, dürfte es kein Halten mehr geben.

Aus diesem Grund sind auch Zweifel daran angebracht, dass die Bewilligung durch das Zwangsmassnahmengericht eine effektive Filterfunktion ausüben wird. Die Anforderungen an die Begründung sind in Anbetracht des weiten Deliktskatalogs nicht als relevante Hürde zu betrachten.

Anbieter abgeleiteter Kommunikationsdienste (z.B. Anbieter von Cloud-Dienstleistungen), werden nicht nur verpflichtet, ebenfalls die Einschleusung von Staatstrojanern zu dulden und Randdaten abzuliefern, sondern können vom Bundesrat verpflichtet werden, sofern es dieser notwendig findet (!), aktiv mitzuwirken (Art. 27 Abs. 3 E-BÜPF).

Jeder Betreiber eines Netzwerkes oder einer Telefonzentrale, so auch der Arbeitgeber, die Schule oder das Spital, werden dazu verpflichtet, zu ihren Anlagen Zutritt zu gewähren und so auch das Einschleusen von Staatstrojanern zu dulden (Art. 28 E-BÜPF). Überdies müssen sie auf Verlangen Randdaten herausgeben. All dies ist geeignet, das Vertrauen auf ungestörte Kommunikation innerhalb dieser Institutionen nachhaltig zu erschüttern. Man denke an den Reputationsschaden, den eine Organisation intern und eventuell auch extern erleidet, wenn herauskommt, dass sie (selbst unfreiwillig) Hand zu solchen Ausforschungen geboten hat.

Um einen ungestörten Betrieb der Staatstrojaner zu gewährleisten, ist der Dienst sogar befugt, bei Handys die Antivirenprogramme lahmzulegen (Art. 69ter E-BÜPF, Botschaft p. 93). Damit wird jedoch Tür und Tor geöffnet für die Infektion des betreffenden Handys durch jede Art von Viren oder Malware. Dies ist nicht nur eine Gefahr für das Gerät (und die Daten) des Betroffenen, sondern stellt auch eine Schwächung des Netzes insgesamt dar, weil infizierte Geräte oft dazu missbraucht werden, andere Geräte zu infizieren oder Angriffe auszuführen. Die Botschaft jedoch verliert kein Wort über die damit einher gehenden Risiken sowie über allfällige Haftungsfragen.

Die Missbrauchsgefahr beim Staatstrojaner ist gewaltig. Ohne sich damit kritisch auseinanderzusetzen, heisst es in der Botschaft ganz offen: "Aus Sicht der Fachleute ist es nicht möglich, GovWare zu betreiben, die unter allen Umständen korrekt funktioniert, d.h. keinen Einfluss auf andere Programme oder Funktionen hat. Es ist indessen möglich, derartige Programme zu benutzen, ohne dass sofort feststellbare Schäden auftreten. Die von den Strafverfolgungsbehörden eingesetzte Software lasse sich technisch wohl nicht auf die Überwachung der Kommunikation allein beschränken: Die Hintertür, welche die GovWare öffnet, ermögliche den Ermittlern technisch den Zugriff auf sämtliche Daten und Informationen auf dem betroffenen Computersystem: Es könnten beliebige System- und Nutzerdaten ohne Wissen des Inhabers kopiert, verändert, gelöscht oder hinzugefügt werden. Diese Hintertür führe zudem zu einer Schwachstelle im Computersystem, welche auch von Dritten ausgenützt werden könne." (Botschaft p. 93f, leicht gekürzt, Hervorhebungen durch Swico)

Mit der Überwachung der Telekommunikation und der damit bereit zu stellenden technischen Infrastruktur ist darüber hinaus das technisch ausgewiesene Risiko verbunden, dass das Eindringen durch Unbefugte in die Netze der Anbieter ermöglicht bzw. erleichtert wird. Im Gegensatz zum obigen Punkt betrifft dies nicht die Installation des zu Überwachenden, sondern die Anlagen des Anbieters und tangiert somit die Netzintegrität. Je weiter der Kreis der durch E-BÜPF verpflichteten Anbieter gezogen wird, desto grösser wird dieses generelle Risiko, da es dann zunehmend Anbieterfirmen betrifft, welche im Gegensatz zu grossen Tele-kom-Anbietern möglicherweise nicht die gleichen Sicherheitsstandards gewährleisten können. Dass der Bundesrat offenbar bereit ist, ohne genauere Abklärung kritische Infrastrukturen zu schwächen und für kriminelle Angriffe verwundbarer zu machen, um einzelne Verdächtigen überwachen zu können, ist höchst alarmierend.

Völlig unbeteiligte Dritte können von den Überwachungen miterfasst werden. Diese Personen haben keine Rechtsmittel, um sich dagegen zu wehren. Gemäss Botschaft seien sie nicht das aktuelle Ziel der Überwachung und daher nicht betroffen. Dies könnte man allenfalls dann gelten assen, wenn es in der Schweiz ein absolutes Verbot der Verwertung unrechtmässig erhobener Beweise gäbe. Nun ist das jedoch immer weniger der Fall. Das Bundesgericht hat seine Haltung dazu laufend gelockert und stellt sich auf heute folgenden Standpunkt: "Unrechtmässig erlangte Beweise könnten ausserdem dann verwertet werden, wenn das rechtswidrig erhobene Beweismittel an sich zulässig und auf gesetzmässigem Weg erreichbar gewesen wäre, sofern das öffentliche Interesse an der Wahrheitsfindung das private Interesse des Angeklagten an der Unverwertbarkeit überwiege."4 Die Chance, dass bei der Überwachung zufällig "aufgeschnappte" Tatsachen über Drittpersonen gegen sie verwendet werden können (sogenannte "Zu-fallsfunde"), ohne dass ihre Überwachung je bewilligt worden wäre, ist gross. Denn die Staatsanwälte müssen kaum mehr befürchten, dass die illegal beschafften Informationen von den Gerichten zurückgewiesen würden. Man wird ja im Nachhinein immer einen Weg finden, wie man die Beweise auch noch legal hätte erheben können.

Die ICT-Anbieter, d.h. nicht nur Telekombetreiber, sondern auch die Internet-Provider, erhalten zwar Entschädigungen für ihren Überwachungsdienst, die jedoch in keiner Weise kostendeckend sind. Die Anbieter werden zusätzlich verpflichtet, sich auf eigene Kosten vom Überwachungsdienst zertifizieren zu lassen (Art. 27 Abs. 3 E-BÜPF).

Fazit

Es ist unbestritten, dass die Strafverfolgungsbehörden ihr Arsenal entwickeln müssen, um dem technischen Fortschritt zu folgen und auf neue Formen der Kriminalität reagieren zu können. Ein solcher Ausbau des Instrumentariums muss jedoch immer auch die Prinzipien einer offenen und demokratischen Gesellschaft sowie die individuellen Rechte der Bürger im Auge haben. Nicht alles, was technisch machbar und aus Sicht der Strafverfolgungsbehörden wünschbar wäre, ist gesellschafts- und bür-gerverträglich.

Die Vorlage ist insgesamt einseitig ausgerichtet und inhaltlich überzogen. Sie stellt die Strafverfolgung über die Bürgerrechte und den Anspruch auf Wahrung der Privatsphäre, ohne die Notwendigkeit ausreichend begründen zu können. Die Botschaft reitet auf der Welle einer diffusen Angst vor Kriminalität jeglicher Art sowie des Unbehagens der Staatsorgane vor dem gewaltigen (positiven und negativen) Potenzial des Internets.

Swico hat seine Überlegungen den Mitgliedern der ständerätlichen Rechtskommission übermittelt und erwartet, dass sie auf diese verunglückte Vorlage gar nicht erst eintreten oder sie zur umfassenden Überarbeitung im Sinne obiger Ausführungen zurückweisen.