Schweizer Behörden wollten Messenger-Chats mitlesen

4. Juli 2022, 09:35
  • security
  • privatsphäre
  • datenschutz
  • ÜPF
image
Foto: Adam Ay / Unsplash

Laut einem Bericht startete der Dienst ÜPF ein Projekt namens "Counter Encryption". Dessen Ziel: Die Kommunikation bei Whatsapp und anderen Diensten auf einfache Art zu entschlüsseln.

Vor 4 Jahren fassten Bund und Kantone den Plan, eine Technologie zu finden, um einfach Chats von Messengern wie Whatsapp und anderen mitlesen zu können. Angesiedelt wurde das Projekt "Counter Encryption" beim Dienst Überwachung Post- und Fernmeldeverkehr (ÜPF), wie die 'NZZ' berichtet. Die Zeitung erhielt gestützt auf das Öffentlichkeitsgesetz Einsicht in den stark geschwärzten Bericht "Proof of Concept Counter Encryption".
Ziel des Projekts war es, die verschlüsselte Internetkommunikation mittels einer passiven Überwachung auf eine einfachere Weise zu knacken, als dies mit Spionage- und Überwachungssoftware (Govware) der Fall ist. Ein nicht namentlich genannter Hersteller bot eine entsprechende Lösung an. Diese sollte es den Ermittlern ermöglichen, bei einer verdächtigen Person die Schlüssel beziehungsweise Zertifikate auszutauschen, mit denen die Internetkommunikation verschlüsselt wird. "Die betroffenen Programme auf dem Handy oder dem Computer kommunizieren ab diesem Zeitpunkt zwar weiterhin so, dass Aussenstehende nicht mitlesen können. Da die Behörden aber den Schlüssel kennen, können sie die Inhalte im Klartext einsehen", schreibt die 'NZZ' (Paywall) zum Vorgehen.

Überwachung ohne aufwendige Bewilligungsverfahren

Eine solche rein "passive Lösung" wäre dem ÜPF erlaubt, heisst es weiter, und hätte gegenüber einem aktiven Vorgehen mittels Govware einige Vorteile. Sie würde unter den Artikel 269 der Strafprozessordnung fallen, der die herkömmliche Telefonüberwachung regelt. Die Ermittler müssten nicht belegen, ob sie alle anderen Überwachungsmethoden bereits ausgeschöpft haben, und könnten sich so das aufwendige Bewilligungsverfahren ersparen.
Im März 2018 startete eine Testreihe mit 6 Konfigurationen. Mit dabei waren laut 'NZZ' Mitarbeiter des Dienstes ÜPF sowie Vertreter des Bundesamts für Polizei (Fedpol), der Kantonspolizeien Zürich, Genf, Bern und Waadt sowie der Stadtpolizei Zürich.

"Produkt ist nicht praxistauglich"

Der Tests seien vernichtend ausgefallen, schreibt die Zeitung und zitiert aus dem Bericht: "Das Produkt ist nicht praxistauglich." Aufgrund zahlreicher technischer Einschränkungen "kann das System nur in ganz seltenen Fällen eingesetzt werden". Und im Falle eines Einsatzes "ist die Gefahr hoch", dass die Durchführung fehlschlägt oder die Installation auf dem Zielgerät entdeckt wird.
Ausserdem habe man festgestellt, dass es sich bei der angebotenen Lösung "nicht wie ursprünglich angenommen um eine passive Lösung", sondern um eine Govware handle. Der einzige Unterschied zu Überwachungssoftware wie zum Beispiel Pegasus sei, dass die installierte Software auf dem Zielgerät keine Befehle zur Fernsteuerung empfangen könne.
Da es sich um Govware handle, sei daher nicht ÜPF, sondern Fedpol zuständig. Das Projekt "Counter Encryption" wurde nicht weiterverfolgt. "Es bestanden unterschiedliche Ansichten zum Einsatz dieser Lösung", schreibt der Dienst auf Anfrage der 'NZZ'. Gerade um Klarheit zu schaffen, sei der Proof of Concept durchgeführt worden. Das Fedpol seinerseits verfügt seit einiger Zeit über Govware. Laut offizieller Statistik des Eidgenössischen Justiz- und Polizeidepartements (EJPD) setzten die Schweizer Strafverfolgungsbehörden Govware 2019 insgesamt 12-mal und 2020 13-mal ein.

Loading

Mehr zum Thema

image

Apple schliesst Sicherheitslücken, lässt aber VPN auf iOS weiter löchrig

Der iPhone-Konzern hat Patches für zwei kritische Lücken veröffentlicht. VPNs sollen auf iOS-Geräten aber seit Jahren Daten leaken – trotz Apples Kenntnissen davon.

publiziert am 19.8.2022
image

Fachhochschule Neuenburg äussert sich zu Ransomware-Angriff

Die Systeme der Schule sind knapp 2 Monate nach dem Angriff wieder im Normalbetrieb.

publiziert am 19.8.2022
image

Die SBB wussten viel länger über ernste Sicherheitslücke Bescheid, als sie zugaben

Im Januar 2022 hatten die SBB eine Lücke geschlossen, die Millionen Kundendaten betraf. Offenbar war schon seit 2018 mehrfach auf das Problem hingewiesen worden.

publiziert am 18.8.2022
image

Cyberangriff: Bülach ist nicht auf Forderungen eingegangen

Die Stadt Bülach hat ausführlich über den Cyberangriff auf seine Verwaltung informiert. Auf Lösegeldforderungen sei man nicht eingegangen.

publiziert am 17.8.2022