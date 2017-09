Mit der Kabelaufklärung hat der Schweizer Geheimdienst umfassenden Zugriff auf die Kommunikation im Internet bekommen. Wie genau er die Daten abzapfen will, ist aber noch nicht klar. Offen ist auch, ob dabei wirklich nur die Kommunikation ins Ausland überwacht wird, wie das Gesetz verlangt.

Das Abstimmungsergebnis war klar: 65,5 Prozent der Schweizerinnen und Schweizer sagten Ja zum Bundesgesetz über den Nachrichtendienst. Kein einziger Kanton lehnte die Vorlage ab. Doch was sie da genau angenommen hatten, war wohl den wenigsten klar. Denn auch nach Inkrafttreten des Gesetzes am 1. September scheint in wichtigen Punkten noch offen, wie der Geheimdienst seine neuen Machtbefugnisse im Internet einsetzen wird.

Mit dem neuen Nachrichtendienstgesetz wird die sogenannte Kabelaufklärung möglich. Das bedeutet, dass der grenzüberschreitende Datenverkehr nach bestimmten Stichworten durchsucht werden kann – nicht ständig, sondern nur bei einem gegebenen Verdacht. Zuständig für die Überwachung ist der Nachrichtendienst des Bundes (NDB). Das eigentliche Abzapfen der Daten übernimmt das Zentrum für elektronische Operationen (ZEO) der Armee.

Das ZEO installiert im Auftrag des NDB bei den Schweizer Internet-Providern Software und Geräte, die für die Umsetzung der Kabelaufklärung nötig sind. Die Provider müssen den Mitarbeitern des Zentrums dazu jederzeit Zugang zu ihren Räumen gewähren. So steht es im Gesetz.

Wie lässt sich erkennen, ob Daten wirklich ins Ausland gehen?

Das Gesetz schreibt auch vor, dass der Geheimdienst keine Daten sichern und verwenden darf, bei denen sowohl der Sender als auch der Empfänger in der Schweiz sind. Doch auch nach dem Inkrafttreten des Gesetzes gibt es in diesem Punkt noch Fragezeichen. Denn ein grosser Teil des Schweizer Internetverkehrs läuft über Server im Ausland. Und das auch, wenn sich sowohl der Sender als auch der Empfänger einer Anfrage in der Schweiz befinden.

« Daten werden unverzüglich vernichtet, sobald die schweizerische Herkunft und Zieladresse erkannt wird. » Carolina Bohren

Sprecherin des NDB

Dass sich die grenzüberschreitende Kommunikation kaum von der inländischen unterscheiden lässt, hat schon im Abstimmungskampf für Aufregung gesorgt. Und der Unmut hat sich bis heute nicht gelegt. Denn für die Kritiker wird mit dem neuen Gesetz die Massenüberwachung der Schweizer Bevölkerung möglich. Jeder könne ins Visier des NDB geraten, denn wenn aus technischen Gründen sämtlicher Internetverkehr durchsucht werde, dann seien nicht mehr nur Leute von der Kabelaufklärung betroffen, gegen die ein Anfangsverdacht bestehe.

Beschwerde gegen die Kabelaufklärung

Beim Geheimdienst sieht man das anders. NDB-Sprecherin Carolina Bohren schreibt auf Anfrage von SRF Digital: «Wo die Ausfilterung von Inland-Kommunikation technisch nicht möglich ist, werden solche Daten unverzüglich vernichtet, sobald ihre schweizerische Herkunft und Zieladresse erkannt wird.» Der NDB erhalte ausschliesslich Resultate, die von einem Mitarbeiter des ZEO im Einklang mit den gesetzlichen Grundlagen ausgewertet wurden.

« Der Geheimdienst untersucht auch die Internet-Kommunikation im Inland. » Erik Schönenberger

Digitale Gesellschaft

Doch Erik Schönenberger von der Digitalen Gesellschaft genügt das nicht. «Die Überwachung beginnt mit der Auswertung durch das ZEO», erklärt er gegenüber SRF Digital. «Und laut Gesetz kann der Geheimdienst auch inländische Kommunikation verwenden, wenn das ZEO bei der Auswertung zum Schluss kommt, dass darin sicherheitsrelevante Dinge vorkommen.». Die digitale Gesellschaft hat deshalb Beschwerde gegen die Kabelaufklärung erhoben und verlangt vom NDB, die umstrittene Aufklärungsmethode zu unterlassen.

Internet-Provider sind noch im Unklaren

Ob die Kabelaufklärung die Massenüberwachung der Schweizer Internetkommunikation bedeutet, ist nicht die einzige ungeklärte Frage beim neuen Nachrichtendienstgesetz. Auch auf technischer Ebene ist in vielen Punkten noch nicht klar, wie der Geheimdienst beziehungsweise das Zentrum für elektronische Operationen ihrem Auftrag nachkommen werden. Kaum ein Internet-Provider weiss heute schon, was dabei genau auf ihn zukommen wird.

Auch beim Nachrichtendienst ist dazu nichts Konkretes zu erfahren: «Ein Provider ist verantwortlich, dem ZEO eine Kopie seines Signals zugänglich zu machen. Die weitere Verarbeitung und der Transport des Signals ist dann Sache des ZEO», schreibt Carolina Bohren vom NDB. Und erklärt, zu weiteren Details könne sie aufgrund der Geheimhaltung keine Stellung nehmen.

Im vertraulichen Gespräch mit SRF Digital war von einem Provider zu erfahren, dass erste Gespräche mit dem Geheimdienst erst in den nächsten Wochen stattfinden werden. Erst dann wird sich klären, wie die Überwachung im Einzelfall genau aussehen kann und wie das ZEO und schliesslich der NDB zu den abgezapften Daten kommen.

ZEO kopiert den grenzüberschreitenden Datenverkehr

Fragt man Spezialisten, dann sind verschiedene Methoden denkbar. Zum Beispiel, dass das ZEO an einem Knotenpunkt im Glasfasernetz einen sogenannten «optical splitter» installiert und so den gesamten ins Ausland gehenden Datenverkehr abzapft und zu sich umleitet. Das vermutet zumindest einer der von SRF Digital befragten Provider. Das ZEO würde den Datenstrom dann nach Stichworten durchsuchen und die Treffer schliesslich an den Nachrichtendienst weiterleitet.

Anderen Experten scheint diese Lösung zu aufwändig. Sie gehen stattdessen davon aus, dass das ZEO direkt bei den Providern den grenzüberschreitenden Datenverkehr kopiert und vor Ort nach Stichworten durchsucht. Dazu kommt ein Gerät zum Einsatz, das nicht viel grösser als ein Router in einem Industrienetzwerk ist und dessen Software die Entsprechung der vorgegebenen Suchbegriffe im immensen Datenstrom finden und aussortieren kann.

Über eine verschlüsselte Internetleitung werden die Treffer dann direkt zum ZEO übermittelt. Dieses untersucht sie noch einmal, bevor es die vom Gesetz zur Verwendung erlaubten Daten schliesslich an den NDB weiterleitet.