Fischzüge des Überwachungs­staats

Am 13. Juni kommt das Anti-Terror-Gesetz zur Abstimmung. Damit sollen die Kompetenzen der Polizei bei der Überwachung potenzieller Täter ausgeweitet werden. Das sorgt für kontroverse Diskussionen. Vergessen geht dabei manchmal, dass in der Schweiz schon seit Jahren ein Gesetz gilt, das Strafverfolgungs­behörden viele Kompetenzen einräumt: das «Bundesgesetz betreffend die Überwachung des Post- und Fernmelde­verkehrs», kurz: Büpf.

Das Büpf wurde 2000 in Kraft gesetzt und erfuhr am 1. März 2018 ein digitales Update. Es gibt Straf­verfolgerinnen Rechte und Instrumente in die Hand, um im Datenstrom von Telekom­unternehmen gezielt nach Personen und Daten zu suchen.

Seither haben die Informations­anfragen bei Telekom­unternehmen und Internet­firmen massiv zugenommen. Sie richten sich an Firmen wie Swisscom oder Sunrise, aber auch an Internet-KMU wie den Mailanbieter Protonmail oder den Messenger Threema. Diese wehren sich zunehmend juristisch gegen die behördliche Praxis – aus Sorge um die Privat­sphäre ihrer Kunden und weil die Informations­anfragen zunehmend Kosten verursachen.

Und weil sie befürchten: Wird nach dem Büpf auch das Bundes­gesetz über polizeiliche Massnahmen zur Bekämpfung von Terrorismus in Kraft gesetzt, nimmt der staatliche Überwachungs­aktionismus noch mehr zu.

Grosser Aufwand für kleine Firmen

Seit den Snowden-Enthüllungen von 2013 ist klar: Das Internet ist permanent unsicher. Ob E-Mail oder Facebook-Nachrichten, potenziell kann der amerikanische Ausland­geheimdienst NSA alle Daten­ströme anzapfen. Daher haben sich neue Firmen auf Verschlüsselungen von Kommunikations­diensten spezialisiert. Threema und Protonmail sind zwei Start-ups, die einen Messenger und ein E-Mail-Programm entwickelt haben, welche verschlüsselte Nachrichten senden können.

Die Unternehmen profitieren von ihrer «Swissness» – und den jüngsten Entwicklungen in der Big-Tech-Welt. So sind die Downloads der App Threema geradezu explodiert, nachdem Facebook die Verknüpfung seiner Nutzer­profile mit dem Tochter­unternehmen Whatsapp bekannt gegeben hatte. Und auch Protonmail betont, man habe vom Bedürfnis nach abgesicherter Kommunikation während Homeoffice-Zeiten profitiert.

Doch beide Firmen haben in der Schweiz zunehmend ein Standort­problem. Und das hat mit dem bereits erwähnten Büpf zu tun.

Vor 2018, in den «guten alten Zeiten», wie sie Threema-Chef Martin Blatter nennt, mussten kantonale Staats­anwältinnen sogenannte «Editions­verfügungen» an Firmen richten, um Daten­auskünfte zu erhalten – also eingeschriebene Briefe mit ihren Forderungen. Tage konnten verstreichen, bis die Auskunft erteilt wurde. Waren die formellen Anforderungen für Auskunfts­gesuche nicht erfüllt, war es für die Firmen ein Leichtes, diese abzulehnen.

Doch dieser aus Sicht der Strafverfolger schwerfällige Prozess ist Geschichte, seit das revidierte Büpf in Kraft ist. Heute kann eine Kantons­polizistin oder ein Staats­anwalt eine Auskunft elektronisch über den sogenannten Dienst ÜPF («Überwachung Post- und Fernmeldeverkehr») verlangen und sollte innerhalb weniger Stunden eine Antwort erhalten. Die angefragte Firma erfährt dabei weder, um welches Delikt es sich handeln könnte, noch, wer Absender der Anfrage ist: kantonale Straf­verfolgerinnen, das Bundesamt für Polizei (Fedpol), der Nachrichten­dienst des Bundes, die Bundesanwaltschaft.

Eine Auskunft – also die Identifizierung von Personen – wird mit 3 Franken entschädigt, obwohl der Aufwand dafür mindestens 30 Minuten beträgt, wie verschiedene Unternehmen erklären. Behörden erfahren also die Namen und bestenfalls Telefon­nummern von Zielpersonen für sehr wenig Geld. «Das macht es für Straf­verfolger besonders attraktiv, auch für Bagatell­delikte Daten zu sammeln», sagt ein betroffener Unternehmer.

Die Höhe der Gebühr wird derzeit neu diskutiert, weil Fredy Künzler, Gründer des Telekom­unternehmens Init 7, erfolgreich gegen eine Verfügung des Dienstes ÜPF geklagt hat. Der Dienst hat das Urteil angefochten, der Fall liegt beim Bundes­gericht. Solange dessen Entscheid nicht vorliegt, bleiben die Abfragen billig.

Weite Netze werden ausgeworfen

Viele Firmen mutmassen: Gerade weil es so kostengünstig ist, grasen Schweizer Behörden Kontakt­listen zunehmend ziellos und in exzessivem Umfang ab. Die Zahlen, welche die Unternehmen dazu ausweisen, stützen diese Vermutung.

• 3426 Informations­anfragen gingen 2020 beim E-Mail-Service-Provider Protonmail ein, wie Sprecher Edward Shone sagt. Das sind mehr als doppelt so viele wie 2019, wie ein Abgleich mit dem firmen­eigenen Transparenz­bericht zeigt. Grund dafür sei das revidierte Büpf. «Bis Mitte 2019 war es ruhig», sagt Firmen­jurist Mark Loebekken. «Man merkte, dass der Staat Zeit brauchte, um die technischen Systeme für die Daten­auskünfte zu entwickeln. Doch dann explodierte es.»

• Eine ähnliche Dynamik zeigt sich bei Threema. 2018 wurden nur 28 Gesuche für personen­bezogene Auskünfte an die Firma gerichtet. 2020 waren es über 100. Pro Gesuch verlangen die Behörden im Schnitt die Daten von 5 Personen. In einem Fall wurden sogar die Daten von 44 Personen angefragt. «Man gibt den Behörden den Finger, und sie wollen die ganze Hand», kritisiert Threema-Chef Martin Blatter.

• Stark betroffen ist auch der verschlüsselte Messenger-Dienst Wire. Dessen Server stehen zwar in Deutschland, juristischer Sitz ist jedoch die Schweiz. Gemäss seinem Transparenz­bericht erhielt Wire 2018 nur eine einzige Anfrage für eine Daten­auskunft. 2019 waren es 192 und 2020 schliesslich 349.

Aus der offiziellen Statistik zum ÜPF geht hervor: Sehr oft stecken das Fedpol und der Nachrichten­dienst des Bundes hinter diesen sogenannten «einfachen Anfragen». 2020 hat alleine das Fedpol rund 115’000 dieser Anfragen an Firmen gerichtet – also etwa nachgefragt, welcher Name zu einer Mobil­nummer gehört, wer sich hinter einer IP-Adresse verbirgt oder wer eine gewisse Messenger-ID hat. 2019 waren es noch 15’000 Anfragen gewesen, also nur ein Achtel.

Die Gesamtzahl aller Anfragen hat sich von 2019 auf 2020 verdoppelt. Zuvor hatten sich die Behörden zurückgehalten. Dies, weil sie in der Handhabung des Systems erst ausgebildet werden mussten, wie Jean-Louis Biberstein vom Dienst ÜPF sagt. Nach der Einführung automatisierter und standardisierter Abfragen 2019 stiegt die Zahl jedoch auf ein Rekordhoch.

Eine weitere Anfrage­art betrifft die Meta­daten der digitalen Kommunikation, sie heisst «IR COM». Die Behörden wollen dabei von einer Firma alle Informationen erhalten, die irgendwie verfügbar sind. Relevant ist das etwa für Firmen mit datenschutz­orientierten Geschäfts­modellen wie Threema. Die Firma muss dann herausrücken, mit wem eine Userin kommuniziert hat.

«Stösst die Polizei bei Ermittlungen auf Hinweise, dass Kriminelle mit Messenger-Apps kommunizieren, sind IR-COM-Anfragen eine Möglichkeit, um mehr über die Personen herauszufinden, beispiels­weise hinterlegte E-Mail-Adressen», bestätigt Fedpol-Sprecher Florian Näf. Auch die Zahl der IR-COM-Anfragen hat sich von 2019 auf 2020 verdoppelt: von 764 auf 1425.

Der Nachrichten­dienst des Bundes will diese Zunahme nicht kommentieren. Das ist heikel: Die Aufsichts­behörde über die nachrichten­dienstlichen Tätigkeiten kritisiert den NDB in ihrem neuesten Bericht im Bereich Daten­bearbeitung. Es sei nicht klar, weshalb und welche personen­bezogenen Informationen in den Daten­banken gesammelt würden.

Nils Güggi, Sprecher des Dienstes ÜPF, erklärt das Anfrage­volumen mit den Schwierigkeiten der Tätersuche: «Ich kann mir sehr gut vorstellen, dass zur Identifikation eines Täters oder einer Täterin die Abfrage mehrerer Nutzerprofile nötig ist.»

Büpf-Anfragen werden zum Streitfall vor Gericht

Genau gegen diese Mehrfach-Abfragen hat sich Threema diesen Februar gewehrt. Der Messenger-Dienst hat dem Dienst ÜPF einen Brief geschrieben. Darin schreibt Threema: Gemäss Artikel 22 des Büpf sollten Internet-Unternehmen nur Auskünfte zur Identifizierung einer einzigen Person ausliefern – nicht mehrerer.

Der Dienst ÜPF antwortete prompt. Threema müsse gemäss besagtem Artikel sämtliche Daten zum Netzwerk eines Täters liefern: «Dies erfasst auch Informationen aus dem Umfeld der Täterschaft.» Das Schreiben beruft sich ausserdem auf Artikel 15. Darin ist die Rede von der Bestimmung von «Personen sowie der mit diesen in Verbindung stehenden Personen».

Im Brief, der der Republik vorliegt, steht ausserdem ein mahnender Satz, keinen grossen Widerstand gegen die Begehren des Überwachungs­diensts zu leisten: «Eine Infrage­stellung oder Überprüfung von Auskunfts­gesuchen durch die Mitwirkungs­pflichtigen ist im Gesetz auch nicht vorgesehen.»

Die Frage, welcher Gesetzes­artikel – 15 oder 22 – zum Zuge kommt, weist auf einen weiteren Konflikt hin, der zwischen Threema und dem Dienst ÜPF schwelte. Dabei ging es um die Deutungs­hoheit darüber, in welcher Kategorie der Messenger eingestuft wird. Für den Überwachungs­dienst ist klar: Threema mit seinem 20-köpfigen Team soll die gleichen Pflichten wie grosse Telekom­unternehmen haben, trotz unterschiedlichem Geschäftsmodell.

Dies hat sich Threema nicht so vorgestellt. Ähnlich wie Protonmail und weitere kleine Firmen war man bei der Revision des Büpf der Auffassung, künftig als «abgeleiteter Dienst» zu gelten. Also als Dienstleister, der kein eigenes Netz betreibt, sondern auf einem bestehenden Netz aufbaut und deshalb deutlich weniger umfangreiche Überwachungs­pflichten hat.

Doch rund einen Monat nachdem das revidierte Büpf in Kraft getreten war, publizierte der Dienst ÜPF ein Merkblatt. Darin steht, internet­basierte Dienste wie Messenger und Netzwerke seien funktional gleichzusetzen mit den «Fernmelde­diensten», also mit Netz­betreibern wie Swisscom oder Sunrise. Das heisst unter anderem auch, dass sie Daten darüber, welche Nutzerin mit wem auf welche Weise kommuniziert hat, 6 Monate lang speichern müssen.

Im Dezember 2018 flatterte bei Threema eine Verfügung ins Haus. Der Dienst ÜPF ordnete an, dass das Schwyzer Start-up eine Echtzeit­überwachung einführen und ausserdem die Verschlüsselung der Metadaten (also die Informationen: Wer chattet mit wem?) entfernen müsse.

Simon Schlauri, Anwalt von Threema, erachtete diese Forderungen als unhaltbar. In den Beratungen des Büpf in National- und Ständerat habe von links bis rechts ein Konsens bestanden, dass Kommunikations­dienste wie Threema als «abgeleitete Dienste» keine Echtzeit­überwachung leisten müssten, weil dies ihnen existenz­gefährdende Kosten aufbürden würde. Auch der Bundesrat habe dies in seiner Botschaft so geschrieben. Zudem würde der Dienst ÜPF seine Kompetenzen überschreiten, so Schlauri: Er dürfe nicht eigenmächtig entscheiden, welche Firmen in welche Kategorie fallen würden. Dies könne nur der Bundesrat.

Die Argumentation überzeugte offenbar zunächst auch die Richter des Bundes­verwaltungs­gerichts, die eine Beschwerde von Threema 2020 gutgeheissen haben. Der Dienst ÜPF zog das Urteil jedoch weiter und ignorierte in der Zwischen­zeit das Verdikt. Er listete in der soeben publizierten Statistik Threema weiter als «Fernmelde­anbieter» auf. Zu Unrecht, wie das Bundes­gericht nun entschied: Am 17. Mai wiesen die Bundes­richter die Beschwerde ab und hielten fest: Threema ist keine Fernmeldeanbieterin.

Ein Achtungs­erfolg für das Inner­schweizer Start-up, mit potenzieller Signal­wirkung für Firmen mit Verschlüsselungen als Kerngeschäft.

Der Sieg dürfte auch Protonmail Auftrieb geben. Der Genfer Firma drohte dasselbe Schicksal wie Threema. Auch sie wurde als Fernmelde­anbieter eingestuft. Protonmail legte ebenfalls Beschwerde ein beim Bundes­verwaltungs­gericht und plant ausserdem eine Aktion, in der sie die National- und Stände­rätinnen für die Überwachungs­thematik sensibilisieren will.

Doch weshalb sind die Sicherheits­behörden so erpicht darauf, immer mehr Nutzer­informationen von daten­sparsamen Internet-Start-ups wie Threema zu sammeln?

Antworten darauf liefert die allgemeine Entwicklung des globalen Internets und die sogenannte Echtzeit­überwachung – eine der zugelassenen Prozeduren im Rahmen des Büpf. Die Behörden werden damit ermächtigt, den Internet­verkehr einer verdächtigen Person vollständig zu überwachen. Nach Genehmigung durch ein Zwangsmassnahmen­gericht etwa soll einem Verdächtigten in der Theorie beim Surfen quasi über die Schulter geschaut werden: vom Artikel der NZZ über den aufgesuchten Wetter­bericht bis zur Google-Eingabe «Wie baue ich eine Bombe?».

In der Praxis wird diese Möglichkeit den Behörden zunehmend verwehrt. Aus technischen Gründen: Die meisten Browser wie Chrome und Firefox unterstützen seit einigen Jahren nur noch verschlüsselte Webseiten (man erkennt diese am Adress­zusatz «https»). Das bedeutet: Die Straf­verfolgerinnen sehen die Metadaten (zum Beispiel die URL nzz.ch), aber nicht die Inhalte, die überwachte Personen sich auf einer Webseite ansehen (also den konkreten NZZ-Artikel).

Kriminelle verlagern zudem ihre Kommunikation zunehmend in sichere, verschlüsselte Kanäle, wie Fedpol-Sprecher Florian Näf bestätigt. Und das macht Threema für die Behörden interessant. Sie drängen vermehrt auf Meta-Informationen, wie zum Beispiel hinterlegte Telefonnummern.

Threema-Chef Martin Blatter kritisiert dieses Vorgehen als wenig sinnvoll.

Wer sich beim Dienst anmeldet, hat die Wahl: Er kann sich mit seiner Mobil­nummer registrieren oder anonym ein Profil anlegen. «Ein Krimineller wird den anonymen Weg wählen», meint Blatter. «Er will ja keine Spuren hinterlassen.» Überdies kenne Threema die wahren Telefon­nummern und E-Mail-Adressen ohnehin nicht – man habe nur eine gehashte, also algorithmisch anonymisierte Version gespeichert. Bei einer Mehrheit der Anfragen könne man daher sowieso nichts Brauchbares liefern.

Anti-Terror-Gesetz würde auch Messenger-Apps treffen

Die zunehmende Verschlüsselung des Internets war ursprünglich auch der Anlass für die Revision des Büpf, schreibt der Jurist Thomas Hansjakob im Grundlagen­werk «Überwachungs­recht der Schweiz». Um diese zu knacken, brauche es sogenannte government software, Govware genannt. Dabei handelt es sich um aufwendige Programme, die – installiert auf dem Smartphone – die eintreffenden Nachrichten abfangen und an den Staat weiterleiten, noch bevor die Verschlüsselung passiert. Kantone verfügen über eine solche Software, um Messenger-Apps zu knacken, im Volksmund heisst sie: Staatstrojaner.

Solche Govware kam 2020 genau 13 Mal zum Einsatz. Anlass dafür waren gemäss ÜPF-Statistik Tätigkeiten von kriminellen Organisationen, Verstösse gegen das Betäubungsmittel­gesetz und Geldwäscherei.

Künftig könnten die Anwendung von Trojanern und die Daten­abfragen via ÜPF zunehmen. Wird am 13. Juni das Bundes­gesetz über polizeiliche Massnahmen zur Bekämpfung von Terrorismus angenommen, so würde sich das in der Überwachungs­statistik des Diensts ÜPF nieder­schlagen. Die im PMT-Gesetz behandelten Themen kämen nämlich neben Straftaten wie Diebstahl oder Drogen­handel als weitere Delikt-Kategorie hinzu. Dies bestätigt Jean-Louis Biberstein vom Dienst ÜPF.

Wie diese Kategorie genau heissen wird, ist noch unklar. «Das Anti-Terror-Gesetz muss als Grund für Überwachungen und Abfragen transparent ausgewiesen werden», sagt Jean-Louis Biberstein.

Dies hätte auch Konsequenzen für die Digital-Start-ups. Sie müssten aufgrund der zusätzlichen Polizei­kompetenzen im Bereich der Terrorismus­prävention wohl mit einer noch grösseren Anfrage­flut rechnen. Dabei ist diese schon heute kaum zu bewältigen: «Wir helfen gerne bei der Bekämpfung schwerer Kriminalität mit», sagt Threema-Chef Martin Blatter. «Doch die Überwachung droht zurzeit endgültig aus dem Ruder zu laufen.»

Zuspruch erhalten die Start-ups von der ehemaligen SP-Stände­rätin Anita Fetz. «Der Aufwand wird die junge Digital- und Internet­industrie stark behindern», sagt sie. Den Nutzen der Abfragen halte sie demgegenüber für gering. «Leider ist der Zeitgeist im Moment voll auf die vermeintliche Sicherheit ausgerichtet.»

FDP-Ständerat Thierry Burkart, ein Befürworter des Anti-Terror-Gesetzes, glaubt hingegen nicht, dass dieses zu mehr Überwachungen führen wird. «Gemäss Angaben des EJPD ist von ungefähr 30 Personen pro Jahr auszugehen, die meisten davon sind irgendwo bereits erfasst und werden bereits überwacht.»

Fakt ist: Viele Kantone wenden bereits heute algorithmus­basierte Prognose­tools an, um mutmassliche Gefährderinnen von morgen zu erfassen. Kantonale Polizei­gesetze ermächtigen die Behörden, bei häuslicher Gewalt präventiv einzugreifen. Und mit dem neuen Bundes­gesetz über polizeiliche Massnahmen zur Bekämpfung von Terrorismus wird der Begriff der «Gefährder» noch einmal deutlich ausgeweitet.

Wo Strassburg das letzte Wort hat

Das neue Büpf ist seit drei Jahren in Kraft. Seine Auswirkungen werden zunehmend spürbar: Behörden entwickeln einen immer grösseren Daten­hunger, Trojaner kommen zum Einsatz, Bürger­daten werden mit wenigen Klicks geliefert. Dies beeinträchtigt nicht nur die Privat­sphäre, sondern stellt auch die Standort­strategie des Bundes infrage. Der Bundesrat möchte ähnlich wie die EU eine ethische Digitalisierung mit Fokus auf Daten­schutz fördern.

Ob die Schweiz auf dem eingeschlagenen Weg weiter­machen kann, ist offen. Das Bundes­gericht hat 2018 eine Klage abgewiesen, die sich grundsätzlich gegen die Vorrats­daten­speicherung gerichtet hatte – also dagegen, dass Telekom­firmen die Verbindungs­daten ihrer Nutzerinnen 6 Monate lang aufbewahren müssen, damit Behörden im Bedarfsfall darauf zugreifen können. Beschwerde­führerin war unter anderem die Digitale Gesellschaft. Sie hat sich darauf an die höchste für die Schweiz zuständige Instanz gewendet: den Europäischen Gerichtshof für Menschen­rechte in Strassburg.

Ihre Erfolgs­chancen stehen gar nicht so schlecht. Mehrere andere Gerichte in Europa – das deutsche Verfassungs­gericht, der Europäische Gerichtshof in Luxemburg und das belgische Verfassungs­gericht – haben ähnlich lautende Klagen gegen die Vorrats­daten­speicherung zuletzt gutgeheissen.

Das letzte Wort darüber, was die Schweizer Strafverfolgungs­behörden im Internet tun dürfen, ist also noch nicht gesprochen.