Fredys Internet Protocol: Das BÜPF und die Faxen

Der Staat verbrennt Millionen für fragwürdige Überwachungs-Infrastruktur. Zur Not tuts aber manchmal auch ein Fax, schreibt Kolumnist Fredy Künzler.
 
Vor ein paar Tagen hat die vorberatende Kommission des Ständerats bekannt gegeben, dass man den Entwurf der Revision des BÜPF (Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs) praktisch ohne Änderungen durchwinken wolle. Die einzig wichtige Änderung: Die hiesigen Internetprovider sollen für die massiv ausgeweiteten Hilfspolizeidienste keine Entschädigung mehr erhalten.
 
Mit anderen Worten: Die Damen und Herren Ständeräte der Kommission wollen, dass Provider eine eigene aufwändige Überwachungs-Infrastruktur anschaffen, die je nach Grösse ein 6- oder auch 7-stelliges Loch ins Investitionsbudget reisst. Deren Resultat soll dann gratis und franko den Strafverfolgungsbehörden übergeben werden, sozusagen als ehrenwerter Dienst am Vaterland.
 
Haben Sie sich grad an der Tasse Kaffee verschluckt? Bedauerlicherweise ist dies kein Suchspiel à la "Finde den Fehler". Im Gegenteil: wir stellen fest, dass die IT- und insbesondere Internet-Kompetenz im Parlament sehr dünn gesät ist. Und dass Internet-Endkunden im National- und Ständerat überhaupt keine Lobby haben.
 
Man darf sich fragen, ob Vorratsdatenspeicherung (also die gesetzlich vorgeschriebene Aufbewahrungspflicht von Telekom-Randdaten wie IP-Adressen oder Mailheader) überhaupt wünschenswert ist, oder nicht etwa bereits gegen den verfassungsmässig garantierten Schutz der Privatsphäre (Art. 13 - "Jede Person hat Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs") verstösst. Immerhin stellt die Vorratsdatenspeicherung jeden Internet-User unter Generalverdacht.
 
Nun denn, bereits das bestehende BÜPF (in Kraft seit 2002) verlangt die Vorratsdatenspeicherung. Die Strafverfolger werden auch nicht müde zu betonen, wie eminent wichtig diese Kommunikations-Randdaten seien; ein Report über aufgeklärte Verbrechen aufgrund von BÜPF 1.0 blieben sie bislang jedoch schuldig, und man ist versucht anzunehmen, dass dieser Report etwas arg kurz ausfallen dürfte, nämlich schätzungsweise exakt null Seiten inklusive Fussnoten. Dazu kommt, dass für die Implementierung des BÜPF 1.0 schon 18 Millionen für nicht funktionierende Infrastruktur (Systeme LIS und ISS) verlocht worden sind; ausserdem hat der Bundesrat wider besseren Wissens im Dezember 2013 weitere 13 Millionen für ein Ersatzsystem bewilligt. Doch angesichts der noch viel grösseren staatlichen IT-Pleiten sind das bloss Randnotizen. Der Lieferant des neuen Systems ist übrigens Verint, eine Firma, der engste Beziehungen zum US-Geheimdienst NSA nachgesagt werden - der Bundesrat zeigt also wenig Fingerspitzengefühl.
 
Die aktuell praktizierte Umsetzung des BÜPF 1.0 geht übrigens ungefähr so: Ein Fax vom ISC-EJPD rattert auf Thermopapier beim zuständigen Mitarbeiter auf den Tisch (bei Init7 bin das ich), mit dem Auftrag, den Teilnehmer mit der IP-Adresse x.x.x.x am soundsoten um exakt 21:56:13 Uhr (CET) zu identifizieren und binnen 24 Stunden wiederum per Fax mitzuteilen. Man muss zudem ankreuzen, ob es sich bei der fraglichen IP-Adresse um eine Statische oder eine Dynamische handeln würde.
 
Der Wisch vom Amt kommt selbstverständlich ohne Telefonnummer oder Email-Adresse für allfällige Rückfragen, doch solche gäbe es eigentlich immer. Weil, wie kommt es, dass das ISC-EJPD eine IP-Adresse anfragt, die auf einem 10Gigabit-Interface eines Backbone-Routers von Init7 konfiguriert ist? Eine solche Adresse ist keinem Teilnehmer zugewiesen, sondern wird für die Provider-eigene Infrastruktur verwendet. Man könnte dies ganz einfach mittels Traceroute herausfinden. War das wirklich bloss ein Vertipper?
 
Ein Query in der RIPE-Datenbank würde die eine oder andere Anfrage erübrigen: Mehr als einmal wurde schon die Adresse eines TOR Exit Nodes nachgefragt. Bestens dokumentiert, weiter forschen zwecklos: das TOR Project hat ja genau die Verschleierung der Nutzeridentität zum Ziel.
 
Wenn jetzt der Eindruck entstanden sein sollte, bei den Überwachungs- und Strafverfolgungsbehörden würden bloss Dilettanten arbeiten, dann ist das total falsch. Ich hatte schon mehrfach das Vergnügen mit der Staatsanwaltschaft des Kantons Zürich und den Informatik-Spezialisten der Kantonspolizei, weil ein Kunde eines Kunden nicht ganz koscher war. Alles Profis, keine Frage. Aus politischer Sicht muss man sich aber trotzdem überlegen, ob ein internationales Rechtshilfeverfahren aus den USA wegen einer läppischen Urheberrechtsverletzung (jemand hat illegal den neuesten Blockbuster zum Download angeboten) den vom Steuerzahler finanzierten Aufwand der heutigen Internet-Strafverfolgung rechtfertigt. Der Missetäter hockt sowieso in einem Drittland und blieb vermutlich unbehelligt… dazu kommt, dass illegale Download-Angebote nur deshalb existieren, weil keine legalen Quellen à la Netflix einfach und günstig zugänglich sind. Genau dies hat die bundesrätliche Arbeitsgruppe Agur12 unlängst ausgeblendet, als man ohne Vertretung der Provider hinter verschlossenen Türen tagte.
 
Mit BÜPF 2.0 wird alles noch aufwändiger, komplizierter, teurer und ineffizienter. Ich glaube nicht, dass wir das wollen. Ich als noch- und hoffentlich bald-wieder SP-Parlamentarier in Winterthur trete deshalb gern dem Referendumskomitee bei, das Franz Grüter, Chef von Green.ch und SVP-Präsident des Kantons Luzern, angekündigt hat. Damit die Journalisten wieder mal "Unheilige Allianz" titeln dürfen. (Fredy Künzler)
 
Fredy Künzler (45) ist Gründer, CEO und Network-Architect des Business- und Wholesale-Internet-Providers Init7, Parlamentarier im grossen Gemeinderat in Winterthur und Papi eines vierjährigen "Digital Native". Seine Kolumnen für inside-it.ch und inside-channels.ch erscheinen in loser Folge. Fredy Künzler äussert seine persönliche Meinung.
 
Zeichnung: Ramona Stüssi