Das neue BÜPF: Ab heute gilts ernst

← zurück zum Blog

Heute Donnerstag trat das umstrittene, revidierte BÜPF Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs zusammen mit dessen Ausführungsverordnungen (VÜPF) in Kraft. Damit erhalte die Schweiz, wie es der Bund ausdrückt, «zeitgemässe, klare Rechtsgrundlagen» für die Verfolgung von Straftaten im Internet.

Das neue BÜPF: Ab heute gilts ernst

Auch wir haben im Vorfeld bereits verschiedentlich über das neue Gesetz berichtet und fragten uns 2015, ob ein Überwachungsstaat drohe und bezeichneten 2016 das BÜPF als Gefahr für den Internetstandort Schweiz. Ein Referendum gegen die Gesetzesrevision kam mangels genügend Unterschriften nicht zustande.

Trotzdem wurde das Gesetz an verschiedenen Ecken nochmal überarbeitet und im Vergleich zu den ersten Entwürfen in Teilen etwas abgeschwächt. Mit den ab 1. März 2018 geltenden, neuen Gesetzesbestimmungen sollen Strafuntersucher nun zum Beispiel bei besonders schweren Straftaten neu sogenannte «Government Software» einsetzen dürfen. Ein solcher «Staatstrojaner» darf bei bestimmten, schweren Straftaten eingesetzt werden und bedarf der Genehmigung des zuständigen Zwangsmassnahmengerichts. Damit soll verhindert werden, dass Überwachungen präventiv stattfinden können.

Ebenfalls neu gibt es eine Pflicht zur Identifizierung der Nutzer von öffentlichen WLANs. Hier hat der Bund entgegen seinen ersten Entwürfen nachgegeben: Hat die Identifizierungspflicht in den ersten Versionen noch für alle Betreiber gegolten, so sieht das jetzt in Kraft tretende Gesetz nur noch vor, dass kommerzielle Anbieter die Nutzer Ihrer WiFi’s identifizieren müssen. Wer also sein WiFi zuhause, im Hotel, in Bars und Restaurants oder gar am Open-Air selbst betreibt und das nicht an einen Anbieter auslagert, muss die verbundenen Nutzer nicht identifizieren.

Und was bedeutet das neue BÜPF für unsere Kunden?

Für die Anbieter sogenannt abgeleiteter Kommunikationsdienste, unter welche auch wir als Webhosting-Provider fallen, ändert sich glücklicherweise nur wenig. Maximalforderungen, wie eine automatische Auskunftserteilung oder die Installation von Anlagen, die es erlaubt hätten, Überwachungsaufträge automatisiert zu starten, sind, zumindest für uns, vom Tisch.

Allerdings haben wir eine allfällige Überwachung zu «dulden». Im Falle eines Falles müssten wir also Randdaten zur Kommunikation einer überwachten Person herausgeben, beispielsweise die E-Mail-Adresse des Empfängers, dem die überwachte Person eine E-Mail schreibt, oder die IP-Adresse des empfangenden oder sendenden E-Mail-Servers aus unseren Logfiles. NICHT herausgeben müssen wir jedoch den Inhalt der E-Mail-Korrespondenz. Dazu wären wir aber sowieso nicht in der Lage, da wir diese Daten – selbstverständlich – auch gar nicht aufzeichnen.

Im Extremfall müssten wir zudem gemäss Art. 27 Abs. 1 BÜPF eine Überwachung betreffend der Daten, welche die überwachte Person unter Verwendung abgeleiteter Kommunikationsdienste übermittelt oder speichert, durch den Dienst ÜPF oder durch dessen Beauftragte dulden. Auf gut Deutsch: Wird eine Überwachung in Echtzeit angeordnet, müssen wir diese zwar nicht selbst durchführen, wären wir in einem solchen Fall aber verpflichtet, der Behörde entsprechend Zugang zu «Gebäuden, Geräten, Leitungen, Systemen, Netzen und Diensten» zu gewähren, wie es in der Verordnung über die Überwachung des Post- und Fernmeldeverkehrs (VÜPF) heisst. Wir werden über solche Auskunftsanfragen auch in Zukunft in unserem jährlich erscheinenden Transparenzbericht informieren.

13 Kommentare

  1. Plant Cyon in Zukunft Warrant Canaries (https://en.m.wikipedia.org/wiki/Warrant_canary) einzusetzen, falls es zu einer überwachung kommt? Falls nein, warum nicht?

  2. Wie, ihr speichert nicht die Inhalte von E-Mails? Also mein Webmail bei euch funktioniert problemlos und hat noch nie ein Mail vergessen… :-) Ist aber sowieso ein Witz, jeder, der nur genügend will, kann meine E-Mails mitlesen. Just sayin’…

    • Hi Marcel, Du hast recht, E-Mail ist von Haus aus eine unsichere, da unverschlüsselte Technologie. Unsere Server kommunizieren wenn möglich via TLS, dann ist zumindest die Übertragung der Daten gesichert. PGP bietet bei der Verschlüsselung der eigentlichen Inhalte Abhilfe, leider ist die Technologie aber nicht wirklich verbreitet.

      • Dass PGP/GnuPG nicht so verbreitet sind liegt meiner Meinung auch daran, dass die wenigsten Webhoster ihren Kunden richtige Hilfe zum Thema bieten.
        (Cyon hat zumindest ein paar gute Anleitungen)

        Wie wäre es, wenn man in my.cyon per Knopfdruck entsprechende Key-Pairs generieren könnte und sie optional automatisch auf einem Public-Key-Server veröffentlichen kann…?

        • Merci fürs Feedback, Wolf. Du hast recht, da dürfte unsere Gilde in der Tat noch mehr machen. Wir sind gegenüber serverseitig generierten Private-Keys immer etwas skeptisch, nehmen die Idee mit dem Automatismus aber sehr gerne auf.

  3. Besser wäre wenn man bei Cyon endlich mal die Domain könnte Anonym registrieren. Seit ich eine .com Domain habe bekomme ich täglich dutzende Spam-Mails.

  4. Besten Dank für diese Informationen. Wie immer seid ihr der Konkurrenz was Transparenz anbetrifft mindestens ebenbürtig, aber meistens sogar voraus.

  5. Ich verstehe, dass das neue Gesetz für Cyon allenfalls Mehraufwand bedeutet. Doch ehrlich gesagt fühle ich mich damit eher beruhigt. Es gibt mehr Sicherheit für die Bürger als Nachteile. Denn wir leben nun einmal in einer Zeit der Transparenz, aber auch des Terrorismus, Cyber wars und zunehmenden schweren Verbrechen. Wieso sollten wir also die vorhanden Möglichkeiten nicht für unseren Schutz nutzen und uns (mit gleich langen Spiessen wehren) können?

Kommentar hinzufügen

Ihre E-Mail-Adresse wird nicht veröffentlicht.
Auszufüllende Felder sind mit einem * gekennzeichnet.

*
*
*
Einfache HTML Anweisungen wie a, strong, blockquote etc. sind möglich.

Hinweis

Wir behalten uns vor, Spam-, beleidigende oder anderweitig unpassende Kommentare zu entfernen.

← zurück zum Blog