News 16.01.2014, 10:48 Uhr

Hört die NSA beim Bund mit?

Der Bund setzt auf eine Überwachungssoftware, die mit der NSA und dem Mossad verbandelt ist. Die zuständigen Behörden reagieren hilflos.
Die Schweizer Strafverfolgungsbehörden müssen ihre Überwachungsanlagen austauschen. Das brachte bisher einige Probleme mit sich. Zuerst beauftragte man einen neuen Hersteller, sah aber nach drei Jahren ein, dass dieser mit der Aufgabe völlig überfordert war. Darum entschied man sich vor wenigen Wochen, weiterhin auf das bisher eingesetzte Lawful Interception System (LIS) zu setzen. Eine aktualisierte Version soll 2015 im Einsatz sein und im Vergleich zu Überwachungssystemen anderer Ländern lediglich das Minimum bieten. Vor allem bei der Usabilty wird man Abstriche machen müssen.
Dafür hat man die Sicherheit, dass der LIS-Hersteller den Support des alten Systems bis dahin weiterführen wird. Diese Eskapaden kosteten 31 Millionen Franken. Den Namen des Herstellers wollte der Bund geheim halten. Aus Sicherheitsgründen, hiess es damals auf Anfrage der Computerworld. Heute scheint klar, dass dies nur die halbe Wahrheit war. Man wollte sich in der Öffentlichkeit nicht noch mehr blamieren.

Verbindungen zu NSA und Mossad

Das US-Unternehmen Verint entwickelt und betreibt LIS, berichtet die französische Tageszeitung LeTemps (Artikel nur nach Anmeldung verfügbar). Das ist nicht unproblematisch. Denn Verint-Gründer Kobi Alexander wurde in den USA unter anderem wegen Betrugs im Zusammenhang mit elektronischen Daten, wegen Wertschriftenbetrugs und wegen Mailbetrugs angeklagt, floh nach Namibia und stand auf der Most Wanted List des FBI. Ein ehemaliger NSA-Direktor sitzt zudem im Vorsitz von Verint und das Unternehmen wurde in der Vergangenheit beschuldigt, der NSA Daten der US-Telekommunikationskonzerne Verizon und AT&T zugespielt zu haben.
Es gibt noch weitere Anzeichen dafür, dass Verint nicht die vertrauenswürdigste Unternehmung der Welt ist. So wird das Unternehmen teilweise von der israelischen Regierung mitfinanziert und nutzt Technik der Unit 8200, wie ein ehemaliger Kommandeur dieser Einheit kürzlich zugab. 8200 ist das NSA-Pendant des Mossads, dem israelischen Geheimdienst.
Die Zeit berichtet, dass ein deutsches Chaos-Computer-Club-Mitglied vor zehn Jahren an einer Siemens-Veranstaltung vor Sicherheitsproblemen warnte. Direkt an der Veranstaltung erhielt er Morddrohungen. Diese ausgesprochen hatte einer der Veranstaltungsteilnehmer: Kenneth Minihan, ehemaliger NSA-Chef und aktuelles Vorstandsmitglied von Verint. Ob es sich dabei um makaberen NSA-Humor handelte oder nicht, wurde nie aufgeklärt. Sicher aber ist, dass Verint nicht unbedingt die Firma ist, mit der die Schweizer Behörden Telefone überwachen oder Emails abfangen sollten.

«Keine Garantie»

Gemäss Matthias Ramsauer, Generalsekretär beim Eidgenössischen Justiz- und Polizeidepartement und für die Neubeschaffung des Überwachungssystems zuständig, gab es keine andere Möglichkeit. Es gebe nicht sehr viele Anbieter auf dem Markt und Verint sei darunter der Vertrauenswürdigste, sagt er gegenüber LeTemps. Der Bund habe sich überlegt, selbst ein System zu entwickeln. «Wir mussten aber einsehen, dass es keine internen Alternativen gibt.» In der Schweiz sei momentan niemand in der Lage, ein ähnliches System zu bauen.
Man werde darum alles versuchen, um die Sicherheit zu gewährleisten. Das System wird im eigenen Rechenzentrum betrieben und der Zugriff darauf so stark wie möglich eingeschränkt. «Eine Garantie, dass das System frei von Spionageelementen ist, gibt es aber nicht», muss Ramsauer im Tages-Anzeiger konstatieren. «Das muss man akzeptieren».

Fabian Vogt
Autor(in) Fabian Vogt



Kommentare
Avatar
Telaran
17.01.2014
Wir mussten aber einsehen, dass es keine internen Alternativen gibt.» In der Schweiz sei momentan niemand in der Lage, ein ähnliches System zu bauen. Die Schweiz hat genügend Firmen, welche Software und Hardware entwickeln. Es wäre durchaus denkbar, dass mehrere Firmen mit einander das System hätten realisieren können. Es wäre sogar Kostengünstiger und Effizienter, da man von Anfang an alle Datenschutztechnischen Bedenken und Vorgaben miteinbeziehen könnte und dabei die Usability nicht am Funktionsumfang koppeln müsste. Zusätzlich würde das verteilen der Komponenten/Bereiche die Sicherheit erhöhen (Aufwand wäre höher, aber man kann ein Auditing betreiben und bei Bedarf abkündigen des Teilpartners, sollten Vorgaben nicht eingehalten werden). Was ich hingegen nicht verstehe... ein Update dauert bis 2015? Weil das einzige Argument gegen eine Schweizer-Entwicklung: Die wäre frühestens Mitte/Ende 2015 realisierbar.. (Anforderungskataloge erarbeiten, Partnernetz aufbauen) Man werde darum alles versuchen, um die Sicherheit zu gewährleisten. Das System wird im eigenen Rechenzentrum betrieben und der Zugriff darauf so stark wie möglich eingeschränkt Diese Aussage ist das grösste Armutszeugnis. Man ist bereit diverse Risiken einzugestehen, weil man das System einfach haben will... Vielleicht sollte ich doch eine Weiterbildung in Security machen und mich beim Bund bewerben. Bei soviel öffentlich zur Schau gestellten Inkompetenz müsste die Einstiegshürde ja nicht so hoch sein ;) (obwohl diese Aussage wohl gleich in meine Akte landet). Der Bund beweist immer mehr, dass der grösste Fachkräfte-Mangel beim Bund besteht (Wenn man die letzten IT/Technik-Projekte betrachtet). Und die wollen nun ein Schweizer-Notfall Netz aufbauen? Gott bewahre!

Avatar
aandima
17.01.2014
Sicherheit bei Bund und Kantonen ist Mangelhaft Ich befürchte andere Ursachen als fachliche Inkompetenz @teleran Wenn man Stelleninserate des Bundes betreffend der Anforderungsprofile von IT Stellen durchsieht, so sieht es aus meiner Sicht recht gut aus. Ich habe allerdings trotzdem ebenfalls bemerkt, dass gerade die Sicherheit betreffende Aufgaben sinnlos naiv angegangen werden, so als ob man sich halt einfach keine Mühe gibt auch unter der Haube nach dem Rechten zu sehen. Mir erscheint es so als fahre man mit einem Ferrari, öffne aber die Motorenhaube nur alle 5 Jahre. Alles deutet auf ein miserables Quality Management hin, was durchaus auch politische Ursachen haben könnte. Ich habe hier schon berichtet dass die Bundesseite wo man als IT-Verantwortlicher Sicherheitslücken melden könnte zwar über https Verschlüsselt arbeitet, dass jedoch der SSL über einen sehr mangelhaften Schlüssel verfügt. Ich würde dort nie etwas eintragen. Die Betreiber der Seiten geben sich aber als DIE Sicherheitsexperten des Bundes aus welche auch die Privatwirtschaft beraten würden. Meine Ratschlag an den Bund ist, eine Sicherheitskommission sei zu benennen die solchen Vorwürfen schnell und innert wirklich nützlicher Frist nachgeht. Regelmässig soll der Öffentlichkeit Bericht erstattet werden. Die Sicherheitslücken bei Bund und Kantonen, aber auch bei Swisscom können nicht mehr länger hingenommen werden. Die politische Grosswetterlage sagt doch aus, man kann nicht mehr wie früher einfach den Kopf in den Sand stecken und sich finanziell nur auf glänzende Benutzeroberflächen und schöne Werbeprospekte beschränken.