Ständerat und «Sicherheitspolitiker» Josef Dittli (FDP) wollte mit seiner Interpellation 19.4090 vom Bundesrat wissen, ob Instant Messaging-Angebote wie WhatsApp ein Sicherheitsrisiko für die Schweiz darstellen.
Die Interpellation zielte auf den Einbau von Hintertüren nach deutschem Vorbild.
Nun hat der Bundesrat die Fragen von Dittli beantwortet:
Einerseits erklärt der Bundesrat, dass nicht auf «effiziente Schutztechnologien» wie Ende-zu-Ende-Verschlüsselung(en) bei der digitalen Kommunikation verzichtet werden kann.
Andererseits versichert der Bundesrat, dass Geheimdienst und Strafverfolgungsbehörden mit Staatstrojanern und «IT-forensischen Mitteln» bei Bedarf auf Daten direkt auf Smartphones und anderen verschlüsselten Geräten zugreifen können.
Im Ergebnis betont der Bundesrat, es gäbe «aktuell» keine Bestrebungen, Anbieter von Instant Messaging-Diensten in der Schweiz zum Einbau von Hintertüren zu verpflichten.
Im Einzelnen:
«[…] Der Bundesrat ist sich der Risiken und Herausforderungen von Verschlüsselungstechnologien für die Innere Sicherheit und die Strafverfolgung bewusst.
«Die Bürgerinnen und Bürger sowie die Wirtschaft sind zum Schutz ihrer Daten bei der digitalen Kommunikation auf effiziente Schutztechnologien angewiesen.»
Die Bürgerinnen und Bürger sowie die Wirtschaft sind zum Schutz ihrer Daten bei der digitalen Kommunikation auf effiziente Schutztechnologien angewiesen. Auch für die Strafverfolgung und den Nachrichtendienst sind Verschlüsselungstechnologien eminent wichtig, um die eigenen Daten vor unbefugtem Zugriff zu schützen und sichere Kommunikation zu ermöglichen.
Tatsächlich schränken End-to-End-Verschlüsselungen von Kommunikationstechnologien aber die Möglichkeiten der Strafverfolgungsbehörden und Nachrichtendienste zur Überwachung und Nutzung der Daten für ihre gesetzlichen Aufgaben stark ein. Verunmöglicht wird die Überwachung respektive Beweiserhebung dadurch aber nicht.
Der Einsatz etwa von sogenannten ‹besonderen Informatikprogrammen›, geregelt in der Strafprozessordnung (StPO; SR 312) und dem Nachrichtendienstgesetz (NDG; SR 121), erlaubt das Einschleusen eines Programms auf das zu überwachende Gerät. Dadurch können Daten aus verschlüsselten Messengerdiensten in lesbarer Form zugänglich gemacht werden. Der Einsatz von besonderen Informatikprogrammen erhöht die Ermittlungskosten jedoch signifikant.
Weiter können solche Daten mit IT-forensischen Mitteln direkt ab den beschlagnahmten Geräten erhoben werden. Dank diesen Möglichkeiten ist sichergestellt, dass die Sicherheitsbehörden in den gesetzlich vorgesehenen Fällen Zugriff auf verschlüsselte Kommunikationen haben können.
Der Einsatz von ‹besonderen Informatikprogrammen› durch die Strafverfolgungsbehörden stellt eine strafprozessuale Zwangsmassnahme dar und muss durch einen Staatsanwalt angeordnet und durch ein Zwangsmassnahmengericht genehmigt werden. Die Anordnung einer genehmigungspflichtigen Beschaffungsmassnahme durch den Nachrichtendienst des Bundes bedarf der Genehmigung des Bundesverwaltungsgerichts sowie der Freigabe durch die Vorsteherin oder den Vorsteher des VBS.»
Und:
«Auch der Dienst ÜPF und die Fernmeldedienstanbieterinnen sind sich der rasanten technischen Weiterentwicklung bewusst und passen ihre Systeme stets an, um auch künftig den zuständigen Behörden Daten liefern zu können.»
«Die Strafverfolgungsbehörden und der Nachrichtendienst müssen ihre Instrumente den technischen Weiterentwicklungen in der Kommunikationstechnologie anpassen. Die Verschlüsselung der Kommunikation ist schon heute Realität – auch Kriminelle bevorzugen vor allem verschlüsselte Kanäle. Die Arbeit der Strafverfolgungsbehörden und des Nachrichtendienstes muss dieser Realität auf taktischer wie technischer Ebene Rechnung tragen.
Auch der Dienst ÜPF und die Fernmeldedienstanbieterinnen sind sich der rasanten technischen Weiterentwicklung bewusst und passen ihre Systeme stets an, um auch künftig den zuständigen Behörden Daten liefern zu können. Der Bundesrat hat zudem am 3. September 2014 unter anderem dazu auch den Ausbau und Betrieb des Verarbeitungssystems zur Fernmeldeüberwachung sowie der polizeilichen Informationssysteme des Bundes (Programm FMÜ), als ein IKT-Schlüsselprojekt festgelegt und die entsprechende Botschaft dem Parlament überwiesen. Mit Bundesbeschluss vom 11. März 2015 hat das Parlament dafür einen Gesamtkredit von 99 Millionen Franken bewilligt. Die Umsetzung des Programms läuft.
Anders als in Deutschland bestehen aufgrund dieser Ausgangslage und der bereits etablierten Überwachungsmöglichkeiten für die Strafverfolgungsbehörden aktuell keine Bestrebungen, die Anbieterinnen von Messengerdiensten zu verpflichten, Daten den Strafverfolgungsbehörden lesbar zugänglich zu machen.»
Keine Hintertüren, aber Verwendung von Sicherheitslücken für Staatstrojaner und «IT-forensische Mittel»
In seiner Antwort unterschlägt der Bundesrat, dass «effiziente Schutztechnologien» nicht nur für die digitale Kommunikation, sondern auch für die verwendete Hardware und Software benötigt werden.
In der Schweiz werden geheime Sicherheitslücken für Staatstrojaner und für das Auslesen von verschlüsselten Geräten verwendet. Solche Sicherheitslücken, zum Beispiel in Betriebssystemen wie Android und iOS oder in Standard-Software wie Microsoft Office, werden – direkt oder indirekt und meist teuer – von Cyberkriminellen eingekauft.
In der Folge wird die IT-Sicherheit aller Nutzer in der Schweiz und anderswo untergraben, denn die Sicherheitslücken werden nicht veröffentlicht und bleiben dadurch offen. Cybercriminelle und gegnerische Sicherheitsbehörden nutzen die genau gleichen Sicherheitslücken, auch für Angriffe auf Bundesbehörden und Unternehmen in der Schweiz.
Solche Angriffe werden auch durch Hintertüren ermöglicht, die andere Länder durchzusetzen versuchen. Insofern kann die Schweiz abwarten, ob andere Länder damit erfolgreich sind, und, falls ja, für den Zugang zur verschlüsselten Kommunikation die genau gleichen Hintertüren nutzen. Als Nutzer von Threema wäre der Bund übrigens direkt von der Gefahr durch solche Hintertüren betroffen.
Siehe auch: «A technical look at Phone Extraction.» (Lesenswerte juristische Weblinks #182.)