Das Dokument beschreibt ein Konzept für einen gemeinschaftlichen Ansatz zur Umsetzung von Überwachungsauflagen für Internetanbieter, um deren rechtlichen Verpflichtungen nachzukommen. Es betont die Notwendigkeit einer geeigneten technischen Infrastruktur und einer Compliance-Strategie sowie die Möglichkeit für Anbieter, sich zusammengeschlossen zu organisieren, um Kosten und administrative Belastungen zu minimieren. Die vorgeschlagene Lösung, die als 'Schutzgemeinschaft' bezeichnet wird, soll Transparenz, Nachhaltigkeit und die Verteidigung gemeinsamer Interessen gewährleisten.

1. Ein Szenario, wie Access
Provider ihrer Pflicht
gemeinschaftlich
nachkommen können

2. Mutual Solution for Lawful
Interception
Ein Szenario, wie Access Provider ihrer Pflicht gemeinschaftlich nachkommen können
Flavio Trolese
11. April 2012
Technopark Zürich

3. Introduction
Flavio Trolese
12 Jahre Software Engineering
4 Jahre Business Development
2005 Umsetzung erste xDSL-Überwachung für DBA/UVEK
2007 Referenzimplementierung LI Schweiz

4. Was Sie erwarten dürfen…….
Problemanalyse Lawful Interception für «Kleine»
Evaluation Lösungsoptionen
Mutual LI Solution

5. Wieso wir heute
zusammengekommen sind

6. Pflichten der FDA gegenüber ÜPF

7. Pflichten der FDA gegenüber ÜPF
«Jede FDA ist verpflichtet, Überwachungsaufträge
gemäss den Richtlinien und Verfügungen des Dienstes
ÜPF auszuführen…
https://www.li.admin.ch/de/themes/duties.html

8. Pflichten der FDA gegenüber ÜPF
Um Überwachungen vornehmen zu können, muss jede
FDA eine geeignete Anlage bereithalten. Alle FDA
müssen jederzeit in der Lage sein,
Überwachungsmassnahmen durchzuführen.

9. Pflichten der FDA gegenüber ÜPF
Um die Überwachungsbereitschaft der FDA
sicherzustellen, führt der Dienst ÜPF bei diesen ein
Compliance-Verfahren durch.

10. Pflichten der FDA gegenüber ÜPF
Die FDA sind gemäss VÜPF verpflichtet, dem Dienst
ÜPF die Namen ihrer Kontaktpersonen (Lawful
Interception Officer bzw. LI Officer) zu nennen (Art.
18 Abs. 3 und 26 Abs. 3 VÜPF).»

12. Problemanalyse
“A problem well defined is a
problem half-solved.”
– John Dewey

13. • Wo bewegen wir uns? Was ist der Kontext?
• Welche Kräfte wirken in diesem Kontext?
• Wo stehe ich mit meiner Pflicht?

14. • Wo bewegen wir uns? Was ist der Kontext?
• Welche Kräfte wirken in diesem Kontext?
• Wo stehe ich mit meiner Pflicht?

15. Kontext
Politische & gesellschaftliche Finanzielle
Aspekte Aspekte
Missbrauch «jederzeit in der Lage»
Eingriff in Grundrechte Vorratsdatenspeicherung
Compliance-Verfahren
BÜPF Revision «geeignete Anlage»
VÜPF ÜPF Digitale Vernetzung
Gesetze Verfügungen Provider
Überwachungsaufträge Fernmeldedienstanbieter Technische
Juristische FDA
Richtlinien Aspekte
Aspekte ISP

16. Kontext
Politische & gesellschaftliche Finanzielle
Aspekte Aspekte
Missbrauch «jederzeit in der Lage»
Eingriff in Grundrechte Vorratsdatenspeicherung
Compliance-Verfahren
BÜPF Revision «geeignete Anlage»
VÜPF ÜPF Digitale Vernetzung
Gesetze Verfügungen Provider
Überwachungsaufträge Fernmeldedienstanbieter Technische
Juristische FDA
Richtlinien Aspekte
Aspekte ISP

17. Kontext
Politische & gesellschaftliche Finanzielle
Aspekte Aspekte
Missbrauch «jederzeit in der Lage»
Eingriff in Grundrechte Vorratsdatenspeicherung
Compliance-Verfahren
BÜPF Revision «geeignete Anlage»
VÜPF ÜPF Digitale Vernetzung
Gesetze Verfügungen Provider
Überwachungsaufträge Fernmeldedienstanbieter Technische
Juristische FDA
Richtlinien Aspekte
Aspekte ISP

18. Kontext
Politische & gesellschaftliche Finanzielle
Aspekte Aspekte
Missbrauch «jederzeit in der Lage»
Eingriff in Grundrechte Vorratsdatenspeicherung
Compliance-Verfahren
BÜPF Revision «geeignete Anlage»
VÜPF ÜPF Digitale Vernetzung
Gesetze Verfügungen Provider
Überwachungsaufträge Fernmeldedienstanbieter Technische
Juristische FDA
Richtlinien Aspekte
Aspekte ISP

19. Kontext
Politische & gesellschaftliche Finanzielle
Aspekte Aspekte
Missbrauch «jederzeit in der Lage»
Eingriff in Grundrechte Vorratsdatenspeicherung
Compliance-Verfahren
BÜPF Revision «geeignete Anlage»
VÜPF ÜPF Digitale Vernetzung
Gesetze Verfügungen Provider
Überwachungsaufträge Fernmeldedienstanbieter Technische
Juristische FDA
Richtlinien Aspekte
Aspekte ISP

20. • Wo bewegen wir uns? Was ist der Kontext?
• Welche Kräfte wirken in diesem Kontext?
• Wo stehe ich mit meiner Pflicht?

21. Interessen
Strafverfolgungsbehörden ÜPF Die «Kleinen» «Die Grossen»
Aufklärung schwerer technische Konzentration auf
Verbrechen Überwachungen Kernbusiness
Mehraufwände Alternatives Business
Model LI?
Kosten
Investitionsschutz

22. • Wo bewegen wir uns? Was ist der Kontext?
• Welche Kräfte wirken in diesem Kontext?
• Wo stehe ich mit meiner Pflicht?

23. Juristische Pflicht
Ausführung
Überwachungsaufträge

24. Technisches Juristische Pflicht
Ausführung
Überwachungsaufträge
«geeignete Anlage»

25. Technisches Juristische Pflicht Finanzielles
Ausführung
Überwachungsaufträge
«geeignete Anlage»
Beschaffung

26. Technisches Juristische Pflicht Finanzielles
Ausführung
Überwachungsaufträge
«geeignete Anlage»
Beschaffung
Integration

27. Technisches Juristische Pflicht Finanzielles
Ausführung
Überwachungsaufträge
«geeignete Anlage»
Beschaffung
Compliance Integration

28. Technisches Juristische Pflicht Finanzielles
Ausführung
Überwachungsaufträge
«geeignete Anlage»
Beschaffung
Compliance Integration
«jederzeit in der Lage»

29. Technisches Juristische Pflicht Finanzielles
Ausführung
Überwachungsaufträge
«geeignete Anlage»
Beschaffung
Compliance Integration
«jederzeit in der Lage»
Betrieb

30. Technisches Juristische Pflicht Finanzielles
Ausführung
Überwachungsaufträge
«geeignete Anlage»
Beschaffung
Compliance Integration
«jederzeit in der Lage»
Betrieb
Vorratsdatenspeicherung...

31. Technisches Juristische Pflicht Finanzielles
Ausführung
Überwachungsaufträge
«geeignete Anlage»
Beschaffung
Compliance Integration
«jederzeit in der Lage»
Betrieb
Vorratsdatenspeicherung...
goto 0

32. Ausschliesslich eine Beschaffungsfrage?
Technisches Juristische Pflicht Finanzielles
Ausführung
Überwachungsaufträge
«geeignete Anlage»
Beschaffung
Compliance Integration
«jederzeit in der Lage»
Betrieb
Vorratsdatenspeicherung...
goto 0

33. Ausschliesslich eine Beschaffungsproblem?
Nein!

34. «Jede FDA ist verpflichtet, Überwachungsaufträge
gemäss den Richtlinien und Verfügungen des Dienstes
ÜPF auszuführen…»

35. «Jede FDA ist verpflichtet, …»
2 Optionen:
Nicht Okay: Ignorieren (Stichwort «Email»)
Risiko Konventionalstrafe
Okay: Beschaffen (Wann, wie, was, wieviel?)
Integrieren (Wie, wieviel?)
Betreiben (Wie, wieviel?)

36. Klassische Beschaffung
Requirements Engineering: 4 PT 4K
Offerten einholen/vergleichen: 4 PT 4K
Eigentliche Beschaffung: 50K
Integration: Delivery Network 5 PT 5K
Compliance: Technische Richtlinien, Tests 10 PT 10K
Juristisches 4 PT 4K
Pikettt, Wartung, SLA
Administration

38. Ingredienzien
Requirements Engineering, Offertenvergleich,
min(Beschaffungskosten)
Anlage beschaffen, Integration, …
min(Betriebskosten) Pikettt, Wartung, SLA
min(Mehraufwände) Administration, Juristisches
max(Investitionsschutz) Amortisation, Nachhaltigkeit, Vorratsdatenspeicherung, …
max(Compliance) Technische Richtlinien, Delivery Network, Tests, …
max(Interessensvertretung) Entschädigung, zukünftige Anforderungen

39. Erfolgsfaktoren
min(Beschaffungskosten)
min(Betriebskosten)
min(Mehraufwände)
max(Investitionsschutz)
max(Compliance)
max(Interessensvertretung)

42. «Der Bundesrat ist den FDA
in einem weiteren Punkt
entgegen gekommen…

43. Er hat entschieden, dass die Anbieterinnen die Infrastruktur, die
für die Überwachung nötig ist, nicht selber beschaffen und die
Überwachung auch nicht selber durchführen müssen.

44. Sie können einen Dritten beauftragen oder sich mit
anderen zusammenschliessen, um die nötige Infrastruktur
gemeinsam zu kaufen oder zu mieten.

46. … gemeinsame Beschaffung/Miete der
min(Beschaffungskosten)
technischen Lösung (Ausleihprinzip)
min(Betriebskosten) … geteilte Betriebskosten (Shared Use,
Pikett, Administratives, Amortisation)
min(Mehraufwände) … Reduktion von Administrativem,
Juristischem (SPOC)
max(Investitionsschutz) … Investitionsschutz durch Interessensvertretung
max(Compliance) … einmalige Compliance Tests
max(Interessensvertretung) … Interessensvertretung durch Verbandslösung

47. Die vom BR formulierte «Gemeinschafts»-
Option ist ein Türöffner

49. Mutual LI Solution CH
Geteiltes Leid ist halbes Leid
Selbsthilfemassnahme
Zweckgemeinschaft
MLS

50. Vision
Genossenschaft (Zweckgemeinschaft) die …
 Technische Infrastruktur bereitstellt
 Pikettleistungen garantiert
 Delivery Network betreibt (Compliance)
 Juristisches und Administratives klärt
 Interessen vertritt (Transparenz, Nachhaltigkeit,
Vorratdatenspeicherung, …)

51. Vision
Genossenschaft (Zweckgemeinschaft) die …
 Technische Infrastruktur bereitstellt
 Pikettleistungen garantiert
 Delivery Network betreibt (Compliance)
 Juristisches und Administratives klärt
 Interessen vertritt (Transparenz, Nachhaltigkeit,
Vorratdatenspeicherung, …)

52. Gemeinschaftslösung
«geeignete Anlage»

53. Gemeinschaftslösung
 Technische Infrastruktur
 Pikettorganisation «geeignete Anlage»
 Compliance

54. Gemeinschaftslösung
 Technische Infrastruktur
 Pikettorganisation «geeignete Anlage»
 Compliance
Zertifizierung, SPOC

55. Gemeinschaftslösung
 Technische Infrastruktur
 Pikettorganisation «geeignete Anlage» min (Beschaffungskosten)
 Compliance min (Betriebskosten)
Zertifizierung, SPOC max(Compliance)

56. Vision
Genossenschaft (Zweckgemeinschaft) die …
 Technische Infrastruktur bereitstellt
 Pikettleistungen garantiert
 Delivery Network betreibt (Compliance)
 Juristisches und Administratives klärt
 Interessen vertritt (Transparenz, Nachhaltigkeit,
Vorratdatenspeicherung, …)

57. Gemeinschaftslösung
 Technische Infrastruktur
 Pikettorganisation «geeignete Anlage» min (Beschaffungskosten)
 Compliance min (Betriebskosten)
Zertifizierung, SPOC max(Compliance)

58. Gemeinschaftslösung
Juristisches & «Postfach» min (Mehraufwände)
 Technische Infrastruktur
 Pikettorganisation «geeignete Anlage» min (Beschaffungskosten)
 Compliance min (Betriebskosten)
Zertifizierung, SPOC max(Compliance)

59. Gemeinschaftslösung
Parlament
Interessensvertretung
max(Investitionsschutz)
(Nachhaltigkeit, Transparenz)
Juristisches & «Postfach» min (Mehraufwände)
 Technische Infrastruktur
 Pikettorganisation «geeignete Anlage» min (Beschaffungskosten)
 Compliance min (Betriebskosten)
Zertifizierung, SPOC max(Compliance)

60. Gemeinschaftslösung
Parlament
Interessensvertretung
max(Investitionsschutz)
(Nachhaltigkeit, Transparenz)
Juristisches & «Postfach» min (Mehraufwände)
Zweckgemeinschaft
Genossenschaft MLS
 Technische Infrastruktur
 Pikettorganisation «geeignete Anlage» min (Beschaffungskosten)
 Compliance min (Betriebskosten)
Zertifizierung, SPOC max(Compliance)

61. Gemeinschaftslösung
Parlament
Interessensvertretung
max(Investitionsschutz)
(Nachhaltigkeit, Transparenz)
Juristisches & «Postfach» min (Mehraufwände)
Zweckgemeinschaft
Genossenschaft MLS
 Technische Infrastruktur
 Pikettorganisation «geeignete Anlage» min (Beschaffungskosten)
 Compliance min (Betriebskosten)
Zertifizierung, SPOC max(Compliance)

62. Technische Infrastruktur
«geeignete Anlage»
Beschaffung/Miete
 Compliance (HI1-3)
 Investitionsschutz
 Transparenz
 Mandantentauglichkeit

63. Technische Infrastruktur
«geeignete Anlage»
Beschaffung/Miete
 Compliance (HI1-3)
 Investitionsschutz
 Transparenz
 Mandantentauglichkeit
oder gemeinsame «Eigenentwicklung»

64. «geeignete Anlage»
Network Probe Internet
Element
Target CPE
Provisioning Passiv
Aktiv
Mediation
Device ÜPF
Handover Interface
HI-2/3

65. Ablauf Überwachung
ÜPF MLS MLS Member Coordinator MLS & Member Member MLS
Network Mediation Device
HI-1
Verfügung Prüft
Verfügung
und gibt frei
Freigabe
Auftrag zur Koordination
Umsetzung Setup LI-Case
Ausleitung an
Mediation Dev.
Verpackung in ETSI HI-2/3 &
Auslieferung

66. Ablauf Überwachung
ÜPF MLS MLS Member Coordinator MLS & Member Member MLS
Network Mediation Device
HI-1
Verfügung Prüft
Verfügung
und gibt frei
Freigabe
Auftrag zur Koordination
Umsetzung Setup LI-Case
Ausleitung an
Mediation Dev.
Verpackung in ETSI HI-2/3 &
Auslieferung

67. Initial Costs «Eigenentwicklung»
 Requirement Eng. ~ 10K
 Development ~ 120K
 Testing ~ 10K
 HW-Kosten ~ 40K
 ÜPF-Zertifizierung ~ 30K
 Setup bei Telcos ~ 90K
~ 300K

68. Recurring Costs (yearly)
 Pikettt/Supportline ~ 80K
 Koordination (SPOC) ~ 30K
 Further Development ~ 40K
 Project office ~ 40K
 Legals (SPOC) ~ 40K
~ 250K

70. Ist eine gemeinschaftliche «Eigenentwicklung» in
eine Option?
Ja!

71. Ist eine Gemeinschaftslösung «feasible»?
Ja, ab 20 FDA

72. Interessensvertretung
«Die Kosten für diese
Überwachungsmassnahmen geben
immer wieder Anlass zu Konflikten.
Hier besteht eben ein klarer
Interessenkonflikt, und dieser wird auch
mit der heute verabschiedeten Revision
der Gebührenverordnung nicht gelöst.

73. Der Interessenkonflikt spielt sich zwischen drei
Akteuren ab:
Die Bundesanwaltschaft und die Kantone verlangen,
dass ihre Überwachungsaufträge möglichst wenig
kosten. Das ist nachvollziehbar.

74. Die Fernmeldedienstanbieterinnen wollen
demgegenüber für ihre Leistungen vollständig
entschädigt werden. Auch das ist verständlich.

75. Und der Dienst ÜPF im EJPD, der im Auftrag von
Kantonen und Bundesanwaltschaft handelt, soll
seinen Kostendeckungsgrad erhöhen. Das ist ein
klarer Auftrag des Parlaments.

76. Damit wird deutlich, dass das alles nicht
zusammengeht. Wir konnten diese Zielkonflikte
kurzfristig nicht lösen, aber wir werden im Rahmen
der Totalrevision des BÜPF gemeinsam mit den
Beteiligten nach einem gangbaren Weg suchen.»

78. Interessensvertretung auf Verbandsebene macht
Investitionsschutz wirklich möglich
Win – Win - Win
«Kleine» ÜPF Strafverfolgung

79. Was ist wichtig?
 Ich habe 2 Optionen
 Frau Sommaruga ermöglicht 3. Szenario: MLS
 MLS und die «Erfolgsfaktoren» matchen
 MLS ist «feasible» ab 20 FDA
 Je mehr FDA mitmachen, desto interessanter
 Win-Win-Win

80. Next Steps
 Commitment durch Unterzeichnung Letter Of Intent
 Workshop
 Bildung der Interessensgemeinschaft
(Genossenschaft)
 Beschaffung «Eigenentwicklung» technische
Infrastruktur durch Genossenschaft
 Betrieb durch Genossenschaft

81. "don't call us, we'll call you."
Copyrights: Bilder aus http://alltheragefaces.com/ und Wikipedia