Vor 4 Jahren fassten Bund und Kantone den Plan, eine Technologie zu finden, um einfach Chats von Messengern wie Whatsapp und anderen mitlesen zu können. Angesiedelt wurde das Projekt "Counter Encryption" beim Dienst Überwachung Post- und Fernmeldeverkehr (ÜPF), wie die 'NZZ' berichtet. Die Zeitung erhielt gestützt auf das Öffentlichkeitsgesetz Einsicht in den stark geschwärzten Bericht "Proof of Concept Counter Encryption".
Ziel des Projekts war es, die verschlüsselte Internetkommunikation mittels einer passiven Überwachung auf eine einfachere Weise zu knacken, als dies mit Spionage- und Überwachungssoftware (Govware) der Fall ist. Ein nicht namentlich genannter Hersteller bot eine entsprechende Lösung an. Diese sollte es den Ermittlern ermöglichen, bei einer verdächtigen Person die Schlüssel beziehungsweise Zertifikate auszutauschen, mit denen die Internetkommunikation verschlüsselt wird. "Die betroffenen Programme auf dem Handy oder dem Computer kommunizieren ab diesem Zeitpunkt zwar weiterhin so, dass Aussenstehende nicht mitlesen können. Da die Behörden aber den Schlüssel kennen, können sie die Inhalte im Klartext einsehen", schreibt die
'NZZ' (Paywall) zum Vorgehen.
Überwachung ohne aufwendige Bewilligungsverfahren
Eine solche rein "passive Lösung" wäre dem ÜPF erlaubt, heisst es weiter, und hätte gegenüber einem aktiven Vorgehen mittels Govware einige Vorteile. Sie würde unter den Artikel 269 der Strafprozessordnung fallen, der die herkömmliche Telefonüberwachung regelt. Die Ermittler müssten nicht belegen, ob sie alle anderen Überwachungsmethoden bereits ausgeschöpft haben, und könnten sich so das aufwendige Bewilligungsverfahren ersparen.
Im März 2018 startete eine Testreihe mit 6 Konfigurationen. Mit dabei waren laut 'NZZ' Mitarbeiter des Dienstes ÜPF sowie Vertreter des Bundesamts für Polizei (Fedpol), der Kantonspolizeien Zürich, Genf, Bern und Waadt sowie der Stadtpolizei Zürich.
"Produkt ist nicht praxistauglich"
Der Tests seien vernichtend ausgefallen, schreibt die Zeitung und zitiert aus dem Bericht: "Das Produkt ist nicht praxistauglich." Aufgrund zahlreicher technischer Einschränkungen "kann das System nur in ganz seltenen Fällen eingesetzt werden". Und im Falle eines Einsatzes "ist die Gefahr hoch", dass die Durchführung fehlschlägt oder die Installation auf dem Zielgerät entdeckt wird.
Ausserdem habe man festgestellt, dass es sich bei der angebotenen Lösung "nicht wie ursprünglich angenommen um eine passive Lösung", sondern um eine Govware handle. Der einzige Unterschied zu Überwachungssoftware wie zum Beispiel Pegasus sei, dass die installierte Software auf dem Zielgerät keine Befehle zur Fernsteuerung empfangen könne.
Da es sich um Govware handle, sei daher nicht ÜPF, sondern Fedpol zuständig. Das Projekt "Counter Encryption" wurde nicht weiterverfolgt. "Es bestanden unterschiedliche Ansichten zum Einsatz dieser Lösung", schreibt der Dienst auf Anfrage der 'NZZ'. Gerade um Klarheit zu schaffen, sei der Proof of Concept durchgeführt worden. Das Fedpol seinerseits verfügt
seit einiger Zeit über Govware. Laut offizieller Statistik des Eidgenössischen Justiz- und Polizeidepartements (EJPD) setzten die Schweizer Strafverfolgungsbehörden Govware 2019 insgesamt 12-mal und 2020 13-mal ein.