22nd February 2011

VÜPF/BÜPF

Diese Angaben stammen ursprünglich von 2001/2002 und beziehen sich auf die ursprüngliche Version des VÜPF/BÜPF vom Oktober 2000/2001. Die Informationen wurden aus historischen Gründen hier belassen, auch wenn sie nicht mehr aktuell sind vor dem Kontext der aktuell laufenden Überarbeitung von VÜPF/BÜPF.

Verordnung und Bundesgesetz über die Überwachung des Post- und Fernmeldeverkehrs (VÜPF/BÜPF)

Das Gesetz

  • Pressemitteilung: Überwachung des Post- und Fernmeldeverkehrs wird harmonisiert
  • SR 780.1: Bundesgesetz vom 6. Oktober 2000 betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF)
  • SR 780.11: Verordnung vom 31. Oktober 2001 über die Überwachung des Post- und Fernmeldeverkehrs (VÜPF)
  • ch-ilets-regs1: (Begleitbrief) Technische Vorschriften zur Überwachung des Fernmeldeverkehrs
  • ch-ilets-regs2: Technical Requirements for the Delivery of Intercepted Electronic Mail

Folgen für E-Mail-Benutzer

  • Der “Dienst für besondere Aufgaben” (DBA) hat die Möglichkeit, private E-Mail-Accounts komplett und in Echtzeit mitzulesen.
  • Informationen über gesendete und empfangene Nachrichten der vorangegangenen 6 Monate können vom “Dienst” jederzeit in Erfahrung gebracht werden.
  • Eine Überwachung muss von einer Behörde beantragt, und von einer Genehmigungsbehörde genehmigt werden; welche Behörde was anordnen darf, ist kantonal geregelt.
  • Fazit: Es hilft nur eins: endlich sämtliche E-Mails verschlüsseln, und wo möglich eigene Mailserver mit TLS betreiben.
    • PGP: Pretty Good Privacy; das Original von Phil Zimmerman, derzeit von PGP, Inc. weiterentwickelt. Es gibt z.B. auch eine Anleitung für Anfänger und eine Einführung rund um PGP.
    • GPG: GNU Privacy Guard; freie, zu PGP kompatible Implementation des OpenPGP Standards, ohne patentrechtliche Limitationen (IDEA nicht implementiert). Die obigen Einführungen gelten zu grossen Teilen auch für GnuPG; detaillierte und GPG-spezifische Informationen finden sich auch auf der GnuPG-Website.
    • S/MIME: Von vielen vor allem kommerziellen E-Mail-Clients unterstütztes Verschlüsselungsverfahren. Benötigt im Gegensatz zu OpenPGP von einer zentralen Certificate Authority (CA) ausgestellte Zertifikate. Thawte stellt kostenlos Zertifikate aus, ebenso Web.de.
    • TLS: Auf eigenen Mailservern Transport Layer Security mit SMTP verwenden; somit wird die Verbindung zwischen sendendem und empfangendem Mailserver verschlüsselt. Wenn Sender und Empfänger je einen eigenen Mailserver betreiben, werden so sämtliche Schnüffelstellen umgangen.

Folgen für Serverbetreiber

  • Unter die Verordnung fallen gemäss unserer Interpretation sämtliche Serverbetreiber, welche öffentlichen Personen E-Mail-Dienste zu Verfügung stellen, sei es kostenlos oder nicht. Private Mailserver, oder vereinsinterne Mailserver fallen unseres Erachtens nicht unter die Verordnung.
  • Serverbetreiber müssen jederzeit und so rasch wie möglich die in der Verordnung genannten Überwachungsmassnahmen nach Abschnitt 6, Art. 24 treffen können, und zwar für ein- sowie ausgehende Mails: [Art. 25, Art. 26]
    • Echtzeit-Überwachung: simultane Bereitstellung ein- und ausgehender E-Mails von überwachten Accounts, mit Header und Body der Nachrichten [Art. 24 a,d.]
    • Bereitstellung (simultan oder periodisch) von Log-Informationen über ein- und ausgehende Mails von überwachten Accounts: Zeitstempel, SMTP-Envelope, und IP-Adressen der SMTP-Peers (MTA und sendender E-Mail-Client) [Art. 24 b,e.]
    • Bereitstellung (simultan oder periodisch) von Log-Informationen über Postfachzugriffe: Zeitstempel, IP-Adresse des Clients, und verwendetes Protokoll [Art. 24 c.]
    • Rückwirkende Überwachung: Lieferung von Log-Informationen über ein- und ausgehende E-Mails von überwachten Accounts; Zeitstempel, SMTP-Envelope, und IP-Adressen der SMTP-Peers (MTA und sendender E-Mail-Client) [Art. 24 h.]
    • ISP’s und Telco’s müssen zudem Informationen über dynamisch zugeteilte IP-Adressen, sowie Daten über die Telefon-Punkt-Punkt-Verbindung herausrücken können (u.a. Rufnummern) [Art. 24 f,g.].
    • An Überwachungsaktionen beteiligte Systeme dürfen maximal 5 Sekunden vom schweizer Zeitnormal abweichen ;–) [Art. 26 5]
    • Die grossen ISP’s haben im April 2002 vertrauliche technische Richtlinien vom UVEK erhalten. Dank Cryptome auch als PDF der Öffentlichkeit zugänglich.
    • Fazit: Lage unklar; wichtig wäre definitiv zu wissen, inwiefern private oder vereinsinterne Server betroffen sind. Unserer Ansicht nach gilt die Verordnung lediglich für Anbieter, welche Dienste der Öffentlichkeit anbieten; wobei Öffentlichkeit nicht ganz klar definiert ist. Diese Haltung wird dadurch gestützt, da lediglich die grossen ISP’s, welche die vertraulichen Richtlinien erhalten haben, der Verfügung überhaupt nachkommen können. Hingegen schreibt das UVEK im Begleitbrief zu den technischen Vorschriften: “Sämtliche Anbieterinnen elektronischer Postdienste (E-Mail)” — da haperts definitiv mit der Logik.

Presse

Literatur

7a892d8
Ƿ