Schweiz: Staatliche Überwachung mit «Security by Obscurity»

Bild: Frau, die mit schwarzem Kopftuch verschleiert ist, aus dem x-fach «censored» steht

Der Dienst Überwachung Post- und Fernmeldeverkehr (Dienst ÜPF), in der Schweiz unter anderem für die Internet-Überwachung zuständig, sowie der Nachrichtendienst des Bundes (NDB) setzen auf «Security by Obscurity» (deutsch etwa «Sicherheit durch Verschleierung»).

Die beiden Sicherheitsbehörden möchten nicht offenlegen, welche Software sie verwenden, insbesondere auch nicht die Software für die geheimdienstliche und strafrechtliche Überwachung in der Schweiz.

Diese Haltung ergibt sich aus zwei neuen Empfehlungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vom 26. und 27. November 2014 (PDF, PDF).

«Security by Obscurity» statt moderne IT-Sicher­heit

«Security by Obscurity» bedeutet, dass die Sicherheit von Software durch Geheim­haltung gewährleistet werden soll.

«Security by Obscurity» funktioniert in der Praxis allerdings nachweislich nicht und moderne IT-Sicherheit basiert deshalb auf Transparenz. Bei Verschlüsselung beispielsweise wird die Sicherheit durch offene und sichere Verfahren sowie geheime Schlüssel gewährleistet, nicht durch geheime und dadurch nicht überprüfbare Verfahren (Kerckhoffs› Prinzip).

Wieso der Dienst ÜPF seine Software nicht offenlegen möchte, könnte allenfalls daran liegen, dass sie mit an Sicherheit grenzender Wahrscheinlichkeit teilweise vom «dubiosen amerikanisch-israelischen Software-Hersteller Verint» stammt:

«Verint hat sein Hauptquartier in den USA, die Wurzeln der Firma liegen aber in Israel, wo weiterhin Mitarbeiter beschäftigt sind. Das Unternehmen pflegt enge Kontakte zum Geheimdienst des Landes. Konkret zur Einheit 8200, dem dortigen NSA-Pendant […].

Zur NSA sind die Verbindungen ebenso eng. […] 2008 enthüllte der amerikanische Geheimdienstexperte James Bamford, gestützt auf einen Insider, dass Verint im Auftrag der Geheimdienste die Leitungen der grössten US-Mobilfunkanbieter Verizon und AT&T anzapfte und Gespräche von US-Bürgern ausspionierte.»

Und weiter:

«[…] [S]pätestens seit Edward Snowdens NSA-Enthüllungen ist bekannt, dass US-amerikanische Technologie-Firmen auf Druck der Regierung mit Geheimdiensten kooperieren, sprich Daten herausgeben müssen. Dass Verint mit engen Beziehungen zur NSA und dem israelischen Geheimdienst keine Ausnahme darstellt und sich mutmasslich Hintertüren in der Technologie verstecken, dürfte niemanden überraschen.»

Beim Dienst ÜPF wird «[a]us rechtlichen Gründen», die nicht näher erläutert werden, jegliche Auskunft zu Verint verweigert. Gemäss Nils Güggi, Chef-Jurist beim Dienst ÜPF, gibt es «keine absolute Garantie, dass irgendein System frei von Spionage­elementen ist. Das muss man heute vermutlich akzeptieren.»

In seinen Empfehlungen (PDF, PDF) gelangt der EDÖB leider lediglich zum Ergebnis, Dienst ÜPF und NDB müssten ihre verwendete Standard-Software offenlegen. Die Öffentlichkeit soll demnach bestenfalls erfahren, welche Versionen von Microsoft Office und vergleichbarer Software verwendet wird …

Staatliche Überwachung ohne Kontrolle und Sicherheit

Staatliche Überwachung findet in der Schweiz ohne wirksame Kontrollen, ohne sichere Software und ohne offene politische Diskussion statt:

«Security through Obscurity» gewährleistet keine IT-Sicherheit. Und ohne wirksame Kontrollen ist – durch und durch menschlich – davon auszugehen, dass selbst grundlegende rechtliche Schranken wie das Anwaltsgeheimnis nicht beachtet werden.

Erst kürzlich wurde ein illegaler Lauschangriff auf einen Zürcher Rechtsanwalt bekannt und Bundestrojaner wurden trotz fehlender Rechtsgrundlage eingesetzt. Die Bundes­anwaltschaft hingegen eröffnete kein Strafverfahren gegen NSA & Co., sondern greift selbst auf Informationen aus amerikanischer Überwachung in der Schweiz zurück.

Die staatlichen Überwacher versuchen jegliche Transparenz zu verhindern und verdienen deshalb kein Vertrauen.

Sie nehmen für sich jene Vertraulichkeit in Anspruch, die sie der gesamten Bevölkerung in der Schweiz unter anderem mit der Vorratsdatenspeicherung sowie der geplanten Legalisierung der so genannten Kabelaufklärung verweigern. Gleichzeitig verunmöglicht die Geheimhaltung eine offene politische Diskussion über das notwendige Ausmass von staatlicher Überwachung in der Schweiz, wie sie in einem demokratischen Rechtsstaat zwingend stattfinden müsste.

Was haben der Dienst ÜPF, der NDB und andere Akteure der staatlichen Über­wachung in der Schweiz zu verbergen?

(Via Anwaltskollege David Vasella.)

Bild: Flickr / «lumir beleza», «I say NO !!! to any form of CENSORSHIP !!!!!», CC BY-SA 2.0 (generisch)-Lizenz.

3 Kommentare

  1. Die Aussage von Nils Güggi ist echt cool: es gibt «keine absolute Garantie, dass irgendein System frei von Spionage­elementen ist. Das muss man heute vermutlich akzeptieren.»
    Ein geniales Argument für den Einsatz jeglicher proprietärer Systeme resp. Software ;-)

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.