DNS-Umleitung und ein paar Fragezeichen
In einem Beschwerdeverfahren vor der I. Beschwerdekammer des Bundesstrafgerichts (BStGer BB.2009.4 vom 22.07.2009) war nicht die Frage der Rechtmässigkeit einer Internet-Überwachung strittig, sondern die Frage der Entschädigung an den Provider. Interessant sind aber zunächst die Ausführungen zum Sachverhalt:
Unter Bezugnahme auf die obgenannten Genehmigungsentscheide des Präsidenten der I. Beschwerdekammer und die Besprechung vom 8. Mai 2008 forderte die Bundesanwaltschaft die A. AG mit E-Mails vom 10. und 11. Juli 2008 auf, eine „DNS redirection from the Hotmail login page to one of C.’S servers“ einzurichten (act. 1.1, Beilage 10). Die A. AG kam dieser Aufforderung zunächst nicht nach. Zur Begründung führte sie an, die von der Bundesanwaltschaft direkt ergangene Aufforderung sei durch die frühere Genehmigung der I. Beschwerdekammer des Bundesstrafgerichts und die Verfügung des ÜPF nicht gedeckt. Es handle sich nicht um einen Überwachungstyp gemäss Art. 24 der Verordnung vom 31. Oktober 2001 über die Überwachung des Fernmeldeverkehrs (VÜPF), weshalb sie nicht zur Durchführung dieser Überwachungsmassnahme verpflichtet werden könne. Die A. AG verlangte von der Bundesanwaltschaft, ihr die richterliche Genehmigung der Überwachungsanordnung vorzulegen (act. 1.1, Beilagen 13-15).
Am 15. Juli 2008 bediente die Bundesanwaltschaft die A. AG per E-Mail mit einer Kopie der jeweils letzten Seite der Entscheide des Präsidenten der I. Beschwerdekammer des Bundesstrafgerichts TK.2008.47 vom 16. April 2008 und TK.2008.80 vom 3. Juli 2008 (act. 1.1., Beilage 12). Mit Schreiben vom 30. Juli 2008 bestätigte die Vertreterin des Präsidenten der I. Beschwerdekammer des Bundesstrafgerichts auf Anfrage der Bundesanwaltschaft, dass die Entscheide TK.2008.47 und TK.2008.80 rechtskräftig seien. Die genehmigten Überwachungsanordnungen seien von der A. AG gemäss Art. 1 Abs. 4 des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs vom 6. Oktober 2000 (BÜPF; SR 780.1) zu dulden beziehungsweise durchzuführen (act. 1.1, Beilage 16).
Wurde die DNS-Umleitung nun genehmigt oder doch nicht? Zur Sache dann das Bundesstrafgericht:
2.2.1 Art. 24 BÜPF definiert die momentan möglichen Überwachungstypen. Die Überwachung des Internets beschränkt sich zur Zeit auf E-Mails und Verbindungen über ein öffentliches Telefonnetz (…). DNS bezeichnet einen weltweit auf tausende von Servern verteilten hierarchischen Verzeichnisdienst, der den Namensraum des Internets verwaltet. In Analogie zu einer Telefonauskunft gibt DNS bei Anfragen nach Hostnamen, d.h. dem „Adressaten“ im Internet als Antwort die zugehörige IP-Adresse an, d.h. die „Anschlussnummer“. Mit DNS ist auch eine umgekehrte Auflösung von IP-Adressen in Namen („reverse lookup“) möglich. Zu einer bestimmten IP-Adresse (Anschlussnummer) wird dann die entsprechende E-Mail-Adresse der anfragenden Person ermittelt. Es ist mittlerweile üblich, für lokale Anforderungen – etwa innerhalb eines Firmennetzes – ein vom Internet unabhängiges DNS zu betreiben. Die Beschwerdegegnerin verlangte die Umleitung der Anfragen, die auf den Servern der Beschwerdeführerin für eine Website (skype) gestellt wurden. Dies stellt eine von der Normallösung (Überwachung einer oder mehrer E-Mail/IP-Adressen und des darüber abgewickelten E-Mail-Verkehrs bei der Betreiberin) abweichende Massnahme dar, die eine einzelfallgerechte Speziallösung erforderte.
2.2.2 Da die angeordnete Überwachung nicht einem in Art. 24 VÜPF geregelten Überwachungstypen entspricht, ist deren Entschädigungshöhe nicht im Katalog der pauschal zu entschädigenden Leistungen der Verordnung enthalten, so dass in analoger Anwendung von Art. 4 der Tarifverordnung die zu entrichtende Entschädigung festzulegen ist. Bei der Berechnung der Entschädigung sind der technische und zeitliche Aufwand zu berücksichtigen (Urteil des Bundesverwaltungsgerichts 1A-255/2006 vom 20. März 2007 E. 3.4). Bei der Anwendung von Art. 4 der Tarifverordnung ist Art. 16 Abs. 1 BÜPF zu beachten, der dem Grundsatz nach bestimmt, welche Kosten von der Anbieterin von Post- und Fernmeldediensten zu tragen sind und welche Entschädigung die anordnende Behörde zu leisten hat (Entscheid der REKO/INUM J-2005-268 vom 25. Oktober 2006 E. 12).
Und worauf stützt sich denn die in Gesetz und Verordnung gar nicht vorgesehene DNS-Umleitung? Kommt “sykpe” beim Provider nicht verschlüsselt an? Ich verstehe nur Bahnhof.
Mit den gemäss BÜPF offiziell zulässigen Massnahmen kann der Internet-Verkehr nur passiv überwacht bezw. gespeichert werden, ohne dass eine Beeinflussung desselben möglich wäre.
Wird dagegen die m.E. von keinem CH-Gesetz erlaubte DNS-Redirection vorgenommen, so sind auch sog. “man in the middle” Atacken möglich.
Es würde mich überhaupt nicht erstaunen wenn so etwas gemacht würde, um den in der Presse bereits erwähnten Trojaner zum Ausspäen von Passwörtern einzuschleusen.
Orwell lässt grüssen und wer noch nicht gemerkt hat dass unsere beste aller Demokratien längst eine Bananerpublik übelster Machart wurde ist selber schuld.