Schweizer Behörden wollten Messenger-Chats mitlesen

4. Juli 2022, 09:35
  • security
  • privatsphäre
  • datenschutz
  • ÜPF
image
Foto: Adam Ay / Unsplash

Laut einem Bericht startete der Dienst ÜPF ein Projekt namens "Counter Encryption". Dessen Ziel: Die Kommunikation bei Whatsapp und anderen Diensten auf einfache Art zu entschlüsseln.

Vor 4 Jahren fassten Bund und Kantone den Plan, eine Technologie zu finden, um einfach Chats von Messengern wie Whatsapp und anderen mitlesen zu können. Angesiedelt wurde das Projekt "Counter Encryption" beim Dienst Überwachung Post- und Fernmeldeverkehr (ÜPF), wie die 'NZZ' berichtet. Die Zeitung erhielt gestützt auf das Öffentlichkeitsgesetz Einsicht in den stark geschwärzten Bericht "Proof of Concept Counter Encryption".
Ziel des Projekts war es, die verschlüsselte Internetkommunikation mittels einer passiven Überwachung auf eine einfachere Weise zu knacken, als dies mit Spionage- und Überwachungssoftware (Govware) der Fall ist. Ein nicht namentlich genannter Hersteller bot eine entsprechende Lösung an. Diese sollte es den Ermittlern ermöglichen, bei einer verdächtigen Person die Schlüssel beziehungsweise Zertifikate auszutauschen, mit denen die Internetkommunikation verschlüsselt wird. "Die betroffenen Programme auf dem Handy oder dem Computer kommunizieren ab diesem Zeitpunkt zwar weiterhin so, dass Aussenstehende nicht mitlesen können. Da die Behörden aber den Schlüssel kennen, können sie die Inhalte im Klartext einsehen", schreibt die 'NZZ' (Paywall) zum Vorgehen.

Überwachung ohne aufwendige Bewilligungsverfahren

Eine solche rein "passive Lösung" wäre dem ÜPF erlaubt, heisst es weiter, und hätte gegenüber einem aktiven Vorgehen mittels Govware einige Vorteile. Sie würde unter den Artikel 269 der Strafprozessordnung fallen, der die herkömmliche Telefonüberwachung regelt. Die Ermittler müssten nicht belegen, ob sie alle anderen Überwachungsmethoden bereits ausgeschöpft haben, und könnten sich so das aufwendige Bewilligungsverfahren ersparen.
Im März 2018 startete eine Testreihe mit 6 Konfigurationen. Mit dabei waren laut 'NZZ' Mitarbeiter des Dienstes ÜPF sowie Vertreter des Bundesamts für Polizei (Fedpol), der Kantonspolizeien Zürich, Genf, Bern und Waadt sowie der Stadtpolizei Zürich.

"Produkt ist nicht praxistauglich"

Der Tests seien vernichtend ausgefallen, schreibt die Zeitung und zitiert aus dem Bericht: "Das Produkt ist nicht praxistauglich." Aufgrund zahlreicher technischer Einschränkungen "kann das System nur in ganz seltenen Fällen eingesetzt werden". Und im Falle eines Einsatzes "ist die Gefahr hoch", dass die Durchführung fehlschlägt oder die Installation auf dem Zielgerät entdeckt wird.
Ausserdem habe man festgestellt, dass es sich bei der angebotenen Lösung "nicht wie ursprünglich angenommen um eine passive Lösung", sondern um eine Govware handle. Der einzige Unterschied zu Überwachungssoftware wie zum Beispiel Pegasus sei, dass die installierte Software auf dem Zielgerät keine Befehle zur Fernsteuerung empfangen könne.
Da es sich um Govware handle, sei daher nicht ÜPF, sondern Fedpol zuständig. Das Projekt "Counter Encryption" wurde nicht weiterverfolgt. "Es bestanden unterschiedliche Ansichten zum Einsatz dieser Lösung", schreibt der Dienst auf Anfrage der 'NZZ'. Gerade um Klarheit zu schaffen, sei der Proof of Concept durchgeführt worden. Das Fedpol seinerseits verfügt seit einiger Zeit über Govware. Laut offizieller Statistik des Eidgenössischen Justiz- und Polizeidepartements (EJPD) setzten die Schweizer Strafverfolgungsbehörden Govware 2019 insgesamt 12-mal und 2020 13-mal ein.

Loading

Mehr zum Thema

image

Zürcher Datenschützerin zum Cloudeinsatz: "Der Regierungsratsbeschluss ändert gar nichts"

Bei Dominika Blonski häufen sich seit dem Frühling Anfragen von Behörden zur Cloudnutzung. Im Gespräch sagt die Datenschützerin: "Ich weiss nicht, was die Absicht der Zürcher Regierung war."

publiziert am 30.9.2022 7
image

IT-Woche: Datenschutz vs. Anwälte – wer gewinnt?

Es läuft die Schlussviertelstunde des Spiels. Aktuell steht es Unentschieden. Die Anwälte sind im Angriff, aber die Datenschützer haben eine starke Verteidigung im Aufgebot.

publiziert am 30.9.2022
image

Datenschützer äussern harsche Kritik an Cloud-Entscheiden von Behörden

Die Konferenz der schweizerischen Datenschutzbeauftragten (Privatim) fordert: Kein Freipass für Microsoft 365.

publiziert am 30.9.2022
image

EPD-Infoplattform von eHealth Suisse gehackt

Unbekannte haben von der Website Patientendossier.ch Nutzerdaten abgegriffen. Das BAG erstattet Anzeige, gibt aber Entwarnung.

publiziert am 30.9.2022 2