Liest der Schweizer Geheimdienst bald verschlüsselte E-Mails?

Welche Konsquenzen das neue Nachrichtendienstgesetz für Schweizer Secure-Mail-Anbieter hat.
 
Der Nachrichtendienst des Bundes (NDB) hat durch die Annahme des Nachrichtendienstgesetzes (NDG) neue Möglichkeiten zur Informationsbeschaffung erhalten. Dies nachdem bereits die Revision des Bundesgesetzes über die Post- und Fernmeldeüberwachung (BÜPF) voraussichtlich ohne Abstimmung in Kraft treten wird.
 
Erlaubt ist in naher Zukunft - mit richterlicher Bewilligung und bei schwerer Bedrohung der Schweiz - die Massenüberwachung ohne klaren Verdacht und die gezielte Überwachung von verdächtigen Personen samt Vorratsdatenspeicherung.
 
Mit Bewilligung kann der NDB künftig mit so genannter Kabelaufklärung den gesamten Internet- und Mailverkehr nach gewissen Stichworten und Adressaten von Mails durchsuchen. Er kann dabei "grenzüberschreitende Signale aus leitungsgebundenen Netzen erfassen". Das schliesst also alle Datenströme ein, die von der Schweiz ins Ausland fliessen, die der NDB künftig mit Keywords scannen kann. De facto also praktisch alle.
 
Nach der Abstimmung können nicht nur Strafverfolger, sondern auch der Geheimdienst auf Rand- und Metadaten zugreifen und GovWare ("Staatstrojaner") einsetzen. Konsequenterweise wird der NDB nun versuchen, Sicherheitslücken, speziell Zero-Day-Exploits, auszunutzen, um Malware auf Handys und Computern zu installieren. Diese soll es ermöglichen, Bedrohungen im Voraus erkennen und abwehren zu können.
 
Noch ist offen, wie das Gesetz mit Verordnungen präzisiert wird.
 
Haben Sie eine Backdoor für den Geheimdienst?
Was bedeutet die Annahme des Nachrichtendienstgesetzes für die Schweizer Anbieter von sicheren Mail- und App-Lösungen konkret? Wie sicher sind sie für die geschäftliche und die Behördenkommunikation noch? Und was erhoffen sich die Anbieter nun geschäftlich?
 
Inside-it.ch hat bei den wichtigsten Schweizer Playern nachgefragt.
 
Protonmail hat sich ausführlich mit dem Thema befasst. "Während das neue Gesetz die Tür für den Schweizer Nachrichtendienst öffnen könnte, öffnet sich diese nicht für die NSA oder andere ausländische Geheimdienste," sagt Protonmail auf Anfrage von inside-it.ch.
 
Und wie sieht es mit Backdoors aus, welche der NDB nutzen könne? Die neuen Gesetze könnten App- und Mail-Anbieter zwingen, Daten zu übergeben, die sie haben, da sind sich alle einig. Aber ob diese für den NDB brauchbar sind, ist eine andere Frage. "IncaMail ist wegen der Anforderungen für den elektronischen Rechtsverkehr technisch so konzipiert, dass weder die Post noch Dritte systematisch oder auch punktuell Einsicht in die übermittelten Sendungen nehmen können. IncaMail speichert Sendungsinhalte nicht auf Vorrat und erscheint deshalb nicht als attraktiv für nachrichtendienstliche Informationsbeschaffung. Im Übrigen enthält das neue NDG keine Pflicht, 'backdoors' in ITC-Produkte einzubauen," so antwortet Richard Pfister, Sprecher der Post auf die Frage.
 
Kein Gesetz gegen End-to-End-Verschlüsselung
Privasphere schreibt auf dieselbe Frage: "PrivaSphere arbeitet auch mit den Schweizer Behörden und hält sich strikte an die Gesetze. Glücklicherweise gibt es kein Gesetz gegen End-to-End-Verschlüsselung." Stefan Klein, Geschäftsführer Schweiz von Seppmail, stimmt zu, die End-to-End-verschlüsselten Seppmail-Nachrichten könnten nur vom End-User entschlüsselt werden. Direkt bei Seppmail gespeicherte Daten würden dem Geheimdienst nicht viel bringen.
 
"Threema ist von der Kabelaufklärung (also dem Abhören und Mitlesen von Nachrichteninhalten) im NDG nicht betroffen, weil die starke Ende-zu-Ende-Verschlüsselung vom Nutzer selbst angebracht wird", sagt Martin Blatter, Mitgründer des App-Startups.
 
Was die Metadaten (wer wann mit wem wo kommuniziert hat) angeht, so sind diese für die Behörden durchaus interessant, es gäbe aber bei Threema nicht viel zu holen, da Threema nur Public Keys und anonyme IDs zentral verwalte. Gruppen und Kontaktlisten seien rein dezentral organisiert und würden nicht auf Servern gespeichert. "Im Fall der Gruppen kennen nur die Gruppenmitglieder die anderen Teilnehmer", so Blatter.
 
"Auf keinen Fall, sagen unsere Anwälte"
Aber kann der Staat bei ernsthafter Terrorbedrohung Seppmail, Threema und Co. nun dazu zwingen, ihre Nutzer zu hacken? Protonmail ist überzeugt, nein: "Auf keinen Fall, sagen unsere Anwälte." Und falls es dazu kommen sollte, dann "würden wir Mittel suchen, um es nicht zu machen, auch wenn das Auslagerung ins Ausland bedeuten könnte", so der Seppmail-Chef.
 
Ralf Hauser, CEO und Gründer von Privasphere erweitert die Diskussionsbasis: "Wenn eine gesetzliche Pflicht entstünde, müsste diese durch jede Schweizer Firma umgesetzt werden. Wir sind der Meinung, dass gerade auch die öffentliche Hand mehr Verschlüsselungszertifikate publizieren sollte, damit Bürger die Gerichte und Behörden erhöht datenschutzkonform auf elektronischem Weg erreichen können."
 
Der Snowden-Effekt dauerte drei Monate
Unterschiedlich sind die geschäftlichen Hoffnungen der Secure-Mail-Anbieter. Mit einem "Run" von Firmen und Privaten auf die Services rechnet niemand. Bei Seppmail hielt der "Snowden-Effekt" gerade mal drei Monate lang, Threema hat noch keine auf die Abstimmung zurückzuführende Download-Steigerung bemerkt und Incamail meint: "Wir gehen davon aus, dass der Markt von IncaMail unabhängig vom neuen NDG weiter wächst."
 
Und Privasphere fasst es weiter: "Die Auswirkungen des BÜPF werden voraussichtlich grösser sein. Der Markt wird weiter stark wachsen, da ein Schutz mit NDG/BÜPF-Prozeduren immer noch 'viel' besser ist als gar keiner."
 
Behalten die Secure-Mail- und App-Anbieter recht, so dürfte sich der Geheimdienst mit Metadaten begnügen müssen. Doch auch diese können durchaus aussagekräftig sein, meinen Security-Experten.
 
Nun werden wichtige Details geklärt
Das Gesetz tritt voraussichtlich am 1. September 2017 in Kraft. Vorher - in diesen Tagen - beginnt die Ämterkonsultation für drei Verordnungen: über den Nachrichtendienst, über die Informations- und Speichersysteme des NDB und über die Details der unabhängigen Aufsichtsbehörde. Dann müssen die Kantone und betroffenen Behörden befragt werden, bevor der Bundesrat die Verordnungen absegnen wird. (Marcel Gamma)