Vertrauen ist gut, dagegen stimmen besser

15. April 2016

von Vol­ker Birk, NZZ

NZZ-Re­dak­tor Jan Flü­cki­ger for­dert ei­ne zeit­ge­mäs­se Straf­ver­fol­gung ein. Die­se For­de­rung tei­len die Büpf-Geg­ner. Das mag über­ra­schen, wenn man die Al­li­anz ge­gen das Büpf nicht kennt.

Stän­de­rat und Na­tio­nal­rat ha­ben sich am Bun­des­ge­setz be­tref­fend die Über­wa­chung des Post- und Fern­mel­de­ver­kehrs nicht ge­stos­sen. Sie soll­ten es aber tun. Das ge­mein­sa­me Ziel al­ler De­mo­kra­ten ist hier die För­de­rung des Rechts­staa­tes. Ein Gross­teil der Pro­jekt­trä­ger des Büpf-Re­fe­ren­dums sind im­mer­hin Bür­ger­recht­ler. Und Bür­ger­rech­te be­ste­hen in der Pra­xis oh­ne den Rechts­staat nicht. Über die Art und Wei­se, wie die ge­nann­te Rechts­staats­för­de­rung je­doch ge­nau aus­schau­en soll, kann und muss dis­ku­tiert wer­den. Denn die Ge­set­zes­vor­la­ge fährt wei­ter auf ei­nem Weg, der bis­her kei­nen Er­folg vor­wei­sen kann, da­für aber we­sent­li­che Ele­men­te der frei­en Ge­sell­schaft in Fra­ge stellt.

Ein Blick auf den Ori­gi­nal­text des Büpf-Ent­wur­fes zeigt die Stoss­rich­tung: noch mehr Vor­rats­da­ten­spei­che­rung, IM­SI-Cat­cher, Staats­tro­ja­ner. Da­bei sind al­le drei Mit­tel höchst frag­wür­dig in ei­ner Straf­un­ter­su­chung. Zur Vor­rats­da­ten­spei­che­rung ist vor den Ver­fas­sungs­ge­rich­ten Eu­ro­pas bis hin zum Eu­ro­päi­schen Ge­richts­hof viel ge­sagt wor­den. Die Ur­tei­le al­ler Ver­fas­sungs­ge­rich­te und auch des EuGH sind im Te­nor prak­tisch gleich­lau­tend: die Mass­nah­me ist un­ver­hält­nis­mäs­sig. Nun be­sitzt die Schweiz kein Ver­fas­sungs­ge­richt. Es kann ent­spre­chend für den Stimm­bür­ger loh­nend sein, die eu­ro­päi­schen Ur­tei­le zur Kennt­nis zu neh­men - und vor al­lem auch, wie es da­zu kam.

Er­folgs­bei­spie­le ge­sucht

Denn bei je­dem sol­chen Pro­zess, sei es in Deutsch­land, in Tsche­chi­en oder in Lu­xem­burg, ist von den Geg­nern der Vor­rats­da­ten­spei­che­rung an ih­re Be­für­wor­ter die­sel­be Fra­ge ge­stellt wor­den: man mö­ge bit­te die Fäl­le auf­zei­gen, bei de­nen die­se Mass­nah­me ei­ne po­si­ti­ve Wir­kung zur Auf­klä­rung schwe­rer Ver­bre­chen ge­zeigt hat. Und vor kei­nem ein­zi­gen Ge­richt, in kei­nem der Pro­zes­se konn­te auch nur ein ein­zi­ger sol­cher nach­voll­zieh­ba­rer Fall vor­ge­bracht wer­den. Ei­ne be­mer­kens­wer­te Ar­gu­men­ta­ti­ons­not, in die man die Be­für­wor­ter mit ei­ner der­art ein­fa­chen Fra­ge brin­gen kann - je­doch für In­si­der nicht über­ra­schend.

Sehr gut auf den Punkt ge­bracht hat das Ver­sa­gen der Vor­rats­da­ten­spei­che­rung der Tech­nik­chef von Eu­ro­pol, Mi­chel Quillé, in ei­ner Po­di­ums­dis­kus­si­on zum The­ma Cy­per­cri­me in Genf, an der der Au­tor die­ser Zei­len eben­falls teil­nahm. Quillé er­klär­te in sei­ner Ei­gen­schaft als Exe­cu­ti­ve Pre­si­dent of the Fo­rum In­ter­na­tio­nal des Tech­no­lo­gies de Sécu­rité: «You ha­ve to be swift!» Da­ten, die Wo­chen oder gar Mo­na­te alt sind, hel­fen bei ei­ner Strafer­mitt­lung ge­gen das or­ga­ni­sier­te Ver­bre­chen we­nig. Statt der Vor­rats­da­ten­spei­che­rung wünscht sich der Ex­per­te «Quick Free­ze», al­so den so­for­ti­gen Zu­griff auf Da­ten, die ak­tu­ell beim Pro­vi­der an­fal­len. Kei­ner der Büpf-Geg­ner hät­te da­mit ein Pro­blem. Lei­der ist die Stoss­rich­tung des Büpf ge­nau ent­ge­gen­ge­setzt.

Ho­her Preis

Bei den IM­SI-Cat­chern kann we­nigs­tens fest­ge­stellt wer­den, dass sie über­haupt funk­tio­nie­ren. Je­doch zu wel­chem Preis! Bei ei­nem IM­SI-Cat­cher geht es um ein Ge­rät, was ei­ne Funk­zel­le si­mu­liert, so dass sich da­mit al­le Mo­bil­te­le­fo­ne in der Nä­he über­wa­chen las­sen. Und ge­nau das pas­siert auch: Man über­wacht wirk­lich al­le Funk­te­le­fo­ne gleich­zei­tig qua­si per Streu­schuss. Wer jetzt die Stirn run­zelt, liegt rich­tig: Es leuch­tet wohl je­dem ein, dass die Straf­ver­fol­gungs­be­hör­den Te­le­fo­ne bei­spiels­wei­se von Ver­bre­chern der Ma­fia ab­hö­ren kön­nen müs­sen, wenn sie ei­nen kon­kre­ten Ver­dacht vor­lie­gen ha­ben, dass mal wie­der et­was im Busch ist. Wes­halb je­doch soll man die Te­le­fo­ne von Tau­sen­den von un­be­schol­te­nen Bür­gern über­wa­chen, nur um dann nach­träg­lich her­aus­zu­fin­den, dass gar nichts Re­le­van­tes da­bei war?

Lei­der pas­siert mit IM­SI-Cat­chern meis­tens letz­te­res. Die Mel­dun­gen aus dem na­hen Aus­land, in dem IM­SI-Cat­cher schon län­ger ein­ge­setzt wer­den, sind ent­spre­chend al­le gleich­lau­tend: «Funk­zel­len­ab­fra­ge in Mün­chen: Po­li­zei ras­ter­te an ei­nem Tag ei­ne hal­be Mil­li­on Han­dy-Da­ten von 70.000 Men­schen», be­rich­te­te bei­spiels­wei­se das Por­tal Netz­po­li­tik.org be­reits 2014. Das Er­geb­nis auch bei die­ser Mass­nah­me: kein Tref­fer. Der Te­nor sol­cher Mel­dun­gen än­dert sich nicht, al­lei­ne die Zah­len wer­den im­mer grös­ser und ab­sur­der. Es fragt sich, ob sich die Schweiz wirk­lich sol­chen Mass­nah­men an­schlies­sen soll­te. Nicht nur ge­fähr­den sie die Mei­nungs­frei­heit, wenn man nie mehr weiss, wer ge­ra­de mit­hört. Schwer­ver­bre­cher fängt man auch nicht da­durch, dass man ein Schlepp­netz durch den Gar­ten­teich zieht.

Trü­ge­ri­sche Hoff­nung

Völ­lig un­ver­ständ­lich ist für Ex­per­ten je­doch das Fest­hal­ten am so­ge­nann­ten Staats­tro­ja­ner, al­so dem Ver­wan­zen von End­ge­rä­ten durch die Be­hör­den. Aus der Plei­te, die die Ka­po Zü­rich mit dem ita­lie­ni­schen An­bie­ter Hacking Team er­lebt hat, wür­de die Po­li­tik nun schon die rich­ti­gen Schlüs­se zie­hen, mein­ten ei­ni­ge. Die­se Hoff­nung hat sich lei­der als trü­ge­risch er­wie­sen. Of­fen­bar ist das Haupt­pro­blem sol­cher Staats­vi­ren­soft­ware wei­ters un­ver­stan­den: die Be­weis­kraft der da­mit ge­sam­mel­ten Er­geb­nis­se ist prak­tisch Null. Das liegt je­doch nicht nur an tech­ni­schen Pro­ble­men - je­ne könn­ten ja ir­gend­wann be­ho­ben wer­den. Son­dern es ist ein prin­zi­pi­el­les und da­mit un­lös­ba­res Pro­blem der Vor­ge­hens­wei­se, dass die Po­li­zei statt of­fen auf­zu­tre­ten der­art selbst wie ein Ein­bre­cher und Com­pu­ter­kri­mi­nel­ler ver­fährt.

Es sei an die­ser Stel­le noch ein­mal ex­pli­zit dar­auf hin­ge­wie­sen: der Hacking Team-Tro­ja­ner hat ei­ne do­ku­men­tier­te Funk­ti­on na­mens Upload Child­porn. Es ist al­so Teil der of­fi­zi­el­len Funk­ti­on die­ser An­griffs­soft­ware, dass man Be­wei­se un­ter­ju­beln kann, und zwar er­klär­ter­mas­sen sol­che, ge­gen die man sich kaum mehr zu ver­tei­di­gen weiss, wird man ein­mal Op­fer sol­cher Um­trie­be. Wenn jetzt NZZ-Re­dak­tor Flü­cki­ger zu­recht dar­auf hin­weist, dass man in die Be­hör­den auch Ver­trau­en ha­ben muss, so geht sei­ne Ar­gu­men­ta­ti­on da­mit lei­der völ­lig an der Sa­che vor­bei. Denn selbst wenn die Ka­po Zü­rich die­sen Staats­tro­ja­ner ein­setzt - und die Ka­po ge­niesst ver­dien­ter­mas­sen ei­nen ex­zel­len­ten Ruf - so ist es eben ge­ra­de nicht nur sie, die die­se Funk­ti­on aus­lö­sen kann.

Die Macht ist mit dem Pro­gram­mie­rer

Man kann es gar nicht ge­nug be­to­nen: Macht über ein Soft­ware­pro­gramm hat im­mer und zu­al­ler­erst der Her­stel­ler die­ses Pro­gram­mes. Was der An­wen­der - im Bei­spiel die Ka­po Zü­rich - wünscht, äus­sert er durch das Be­nüt­zen der Be­dien­ober­flä­che. Was das Pro­gramm je­doch in Wirk­lich­keit macht, das be­stimmt ein­zig und al­lei­ne der Pro­gram­mie­rer. Und der ar­bei­tet in ei­nem du­bio­sen und höchst zwei­fel­haf­ten La­den wie Hacking-Team, oder ei­nem der an­de­ren An­bie­ter in die­sem per se grau­en Markt.

Tat­säch­lich ist die La­ge so­gar noch schwie­ri­ger. Denn Her­stel­ler wie Hacking Team oder ih­re Mit­be­wer­ber sind es gar nicht, die den ei­gent­li­chen An­griff­scode schrei­ben. Sie kau­fen näm­lich die Ze­ro Day Ex­ploit ge­nann­ten Teil­pro­gram­me, die die ei­gent­li­chen An­grif­fe aus­füh­ren, selbst zu. Wer jetzt nicht ge­nü­gend Fan­ta­sie ent­wi­ckelt, wie denn der Markt wohl ge­stal­tet ist, auf dem man sol­che In­for­ma­tio­nen und Pro­gram­me er­wer­ben kann, dem sei hier ein­mal deut­lich ge­sagt: es ist er ist nicht grau, son­dern tief­schwarz.

Zu­satz­funk­ti­on ein­ge­baut

Nun wird sich der ge­neig­te Le­ser wohl fra­gen, wie man die Ma­fia be­kämp­fen kann, in­dem man sie fi­nan­ziert. Tat­säch­lich ist es je­doch so­gar noch schlim­mer: Noch ein­mal, was ein Pro­gramm tat­säch­lich macht, das be­stimmt nur und aus­schliess­lich der Pro­gram­mie­rer. Und der ist jetzt aus­ge­rech­net bei den Pro­gramm­tei­len, die die ei­gent­li­chen An­grif­fe durch­füh­ren, für ge­wöhn­lich selbst Teil des or­ga­ni­sier­ten Ver­bre­chens. Muss die Fra­ge, wie zu­ver­läs­sig ei­ne sol­che Soft­ware aus­schliess­lich dem Ge­setz fol­gend agiert, wirk­lich noch ge­stellt wer­den? Und glaubt ir­gend­je­mand wirk­lich, dass die Schwarz­markt-An­bie­ter von Ze­ro Days nur den Staats­tro­ja­ner-Her­stel­ler be­lie­fern, wenn man ge­nau­so­gut In­for­ma­tio­nen und Pro­gram­me in Ko­pie ein zwei­tes Mal an an­de­re in­ter­es­sier­te Par­tei­en ver­hö­kern kann, viel­leicht noch mit ei­ner klei­nen Zu­satz­funk­ti­on, die Zu­griff auf all­fäl­li­ge Staats­tro­ja­ner­ein­sät­ze mit ein­schliesst?

Jan Flü­cki­ger hat tat­säch­lich recht: man kann den Schwei­zer Be­hör­den im Gros­sen und Gan­zen ver­trau­en, und liegt da­mit in den al­ler­meis­ten Fäl­len rich­tig. Sie, die Be­hör­den, sind es in ers­ter Li­nie nicht, wes­we­gen man es sich zwei­mal über­le­gen soll­te, ob ein Staats­tro­ja­ner wirk­lich ein Mit­tel für die Po­li­zei in ei­nem Rechts­staat sein kann.

Die Schweiz hat kein Ver­fas­sungs­ge­richt. An des­sen Stel­le tritt bei schwie­ri­gen und um­strit­te­nen Ent­schei­dun­gen der Stimm­bür­ger selbst. Es steht zu hof­fen, dass in die­sem Fal­le der­sel­be die Weis­heit ha­ben wird, den BÜPF-Ent­wurf ab­zu­wei­sen und der Po­li­tik auf­zu­er­le­gen, sich die Sa­che noch ein­mal gründ­lich zu über­le­gen. Es drängt sich näm­lich der Ein­druck auf, das sei drin­gend not­wen­dig.

Der Au­tor ist Mit­glied im Cha­os Com­pu­ter Club Schweiz und Stif­tungs­rats­vor­sit­zen­der der p≡p Stif­tung, ei­ner Schwei­zer Stif­tung, die sich für die Men­schen­rech­te auf Mei­nungs­frei­heit, Pri­vat­heit und In­for­ma­ti­ons­frei­heit ein­setzt. So­wohl Cha­os Com­pu­ter Club als auch die p≡p Stif­tung sind Trä­ger des Re­fe­ren­dums ge­gen die Neu­fas­sung des Bun­des­ge­set­zes be­tref­fend die Über­wa­chung des Post- und Fern­mel­de­ver­kehrs (BÜPF).