Hoster und Provider weiterhin unsicher
Die Wolken lichten sich, aber noch ist längst nicht klar, wer alles von den neuen Verordnungen zur Kommunikationsüberwachung (VÜPF) betroffen ist und wie diese vor allem kleine Hoster und Serviceprovider umsetzen wollen. Der Bericht zum diesjährigen Provider Day der Simsa.
In der Hosting- und Provider-Branche herrscht seit längerer Zeit Verunsicherung. Das Problem: Noch ist nicht abschliessend geklärt, wen die am 1.1.2012 mit einer Übergangsfrist von zwölf Monaten in Kraft getretenen Verordnungen der Überwachung des Post- und Fernmeldeverkehrs (VÜPF) betreffen und wie genau diese umgesetzt werden müssen.
Etwas Licht ins Dunkel brachten die Referenten am Provider Day des Branchenverbands Simsa, der am Mittwoch im Zürcher Technopark über die Bühne ging. An die Veranstaltung im Zürcher Technopark kamen laut den Organisatoren rund 60 Teilnehmer.
ISS als Schnittstelle
Klar ist bis jetzt, dass im noch in Revision befindenden Gesetz BÜPF der Einsatz neuer Systeme für das "Lawful Interception" (gesetzeskonformes Eingreifen) vorgesehen ist. Dazu dient das Interception System Schweiz (ISS). Das ISS stellt eine Schnittstelle zwischen den IT-Systemen der Hoster und den Behörden dar.
Über diese Schnittstelle wird der Dienst "Überwachung des Post- und Fernmeldeverkehrs (ÜPF)", der dem EJPD unterstellt ist, bei Bedarf auf die von den Hostern und Providern gespeicherten Daten zugreifen, wenn dies für die Strafverfolgung nötig ist.
In Echtzeit sowie rückwirked
Mit dem Aufbau des ISS ist für IT-Unternehmen gleichzeitig die Auflage verbunden, alle Kommunikationsdaten über einen Zeitraum von zwölf Monaten aufzubewahren und eine Echtzeit-Überwachung zu ermöglichen.
Um alle diese Ansprüche für die spätere Strafverfolgung zu erfüllen, soll die Inbetriebnahme dieser neuen Überwachung durch ein Compliance-Verfahren erfolgen, das vom Dienst ÜPF durchgeführt wird.
WLAN von Hotels nicht betroffen
Klar sei nun zudem, so Simon Schlauri von Sunrise, dass die Verordnungen (VÜPF) ausschliesslich Internetzugangsanbieter wie Telkos betrifft. Von der Regelung ausgeschlossen sind somit beispielsweise Hotels, die ihren Kunden WLAN anbieten.
Es stört Schlauri allerdings, dass den Zugangsanbietern weitergehende Pflichten aufgebrummt werden. So sind sie dazu angehalten, eigene VoIP- und Messaging-Dienste sowie Foren zu loggen. Reine Inhalteanbieter, die ähnliche Dienste anbieten, müssten das nicht tun, so Schlauri.
Fast keine Internetüberwachungen
Beat Kirchhofer von der Kantonspolizei Zürich gab derweil in seinem Referat einige Kennzahlen zur Ermittlungsarbeit bekannt. Bei insgesamt 127'589 Straftaten 2011 im Kanton Zürich fand in 0,52 Prozent der Fälle (669) eine Kommunikationsüberwachung statt, davon seien "nicht mehr als zehn" Internetüberwachungen, der Rest Telefonüberwachungen.
Ist eine Überwachung von allen Instanzen gutgeheissen, koste sie rund 2400 Franken, so Kirchhofer. Kommunikationsüberwachungen würden nur bei schweren Straftaten zum Thema.
Gemeinschaftlicher Ansatz für die Kleinen?
Die restlichen Referate drehten sich um technische Lösungsansätze. So skizzierte etwa Kurt Waber vom Verband asut, der im Kernteam ISS mitarbeitet, in welchen Formaten die Daten geliefert werden müssten. Eine Herausforderung für die Ermittlungsbehörden bestünde insbesondere darin, die Daten der verschiedenen Provider zusammenzuführen, da Personen kaum alles bei einem Anbieter hätten.
Flavio Trolese vom IT-Dienstleister Panter plädierte in seinem Referat für einen genossenschaftlichen Ansatz bei Bau und Implementierung der Überwachungsinfrastruktur. Dies sei eine Lösung für die kleineren Anbieter, für die eine gemeinschaftliche Lösung weniger teuer zu stehen komme als bei einem Alleingang.
Die Simsa will in den nächsten Wochen abklären, ob für so eine Lösung in der Branche Interesse besteht.