Geplante VÜPF-Revision bedroht Grundrechte und kompromittiert Verschlüsselung
Zürch, 6. Mai 2025 – Die heute endende Vernehmlassung zur Teilrevision der Verordnung über die Überwachung des Post- und Fernmeldeverkehrs (VÜPF) sowie der Verordnung des EJPD (VD-ÜPF) [1] wirft grosse Fragen auf und sorgt für massive Bedenken. Die geplanten Änderungen gefährden nicht nur das Grundrecht auf Privatsphäre, sondern auch die Sicherheit von Verschlüsselung. Insbesondere VPN und andere verschlüsselte Kommunikationsdienste stehen im Fokus – mit potenziell verheerenden Folgen für Bürger und Unternehmen.
Angriff auf die Privatsphäre
Die VÜPF-Revision sieht eine Ausweitung der Überwachungspflichten für Anbieterinnen von Fernmeldediensten (FDA) sowie abgeleiteter Kommunikationsdienste (AAKD) vor, einschliesslich erweiterter Pflichten zur Identifikation von Nutzern und Vorratsdatenspeicherung. Diese Massnahmen greifen tief in die Privatsphäre der Bürger ein. Dadurch wird auch das Arzt-Geheimnis oder der journalistische Quellenschutz beeinträchtigt.
Missbrauchsrisiko von unnötigerweise gespeicherten Daten
Jedes zusätzliche Speichern von Daten erhöht das Risiko für deren Missbrauch. Metadaten können detaillierte Einblicke in Kommunikationspartner, Standorte und Gewohnheiten geben. Die verpflichtende Vorratsdatenspeicherung von Metadaten über sechs Monate ermöglicht nicht nur eine Massenüberwachung, sondern grundsätzlich auch andere unrechtmässige Zugriffe von Dritten, wie Hackern, Kriminellen oder Mitarbeitern der FDA bzw. AAKD. Wenn solche Daten beispielsweise in die Hände von Kriminellen geraten, könnten diese für Erpressung, Telefonbetrug, Phishing, Identitätsdiebstahl oder andere Formen von Missbrauch verwendet werden.
Kompromittierung der Verschlüsselung
Die vorgeschlagene Pflicht, angebrachte Verschlüsselungen zu entfernen, kompromittiert die Sicherheit der Verschlüsselung. Anbieterinnen würden gezwungen, Hintertüren anzubringen oder andere Methoden einzusetzen, welche die Verschlüsselung bewusst schwächen, um unverschlüsselte Inhalte den Behörden ausliefern zu können. Das Anbringen solcher Sicherheitslücken ermöglicht nicht nur den Behörden, sondern potenziell auch Hackern, Kriminellen oder anderen Unbefugten den Zugriff auf vertrauliche Daten.
Die britische Regierung hat kürzlich ähnliche Vorschriften beschlossen, worauf Apple entschied, diese nicht umzusetzen. Stattdessen kündigte Apple den Rückzug der verschlüsselten Dienste für ihre Kunden in Grossbritannien an.
Zitat: «Apple und viele IT-Sicherheitsexperten argumentieren, dass eine Hintertür jede Verschlüsselung ad absurdum führt. Sobald ein Weg existiert, um verschlüsselte Daten zu entschlüsseln, ist es nur eine Frage der Zeit, bis Kriminelle oder autoritäre Regime ihn ausnutzen. End-to-End-Verschlüsselung bedeutet genau das: Niemand außer dem Nutzer selbst – nicht einmal Apple – kann auf die Daten zugreifen. Eine Hintertür ist daher immer eine massive Sicherheitslücke.» [2]
In der Schweiz haben Dienste mit Privatsphäre-freundlichen Lösungen traditionell eine starke Stellung. Schweizer Anbieterinnen wie Proton, NymVPN, PVY.swiss oder Threema sind durch die neue Regulierung besonders betroffen. Proton hat bereits angekündigt, die Schweiz zu verlassen, wenn sie hier keine ordnungsgemässen Geschäfte mehr tätigen kann. [3]
