SlideShare ist ein Scribd-Unternehmen logo
Ein Szenario, wie Access
Provider ihrer Pflicht
gemeinschaftlich
nachkommen können
Mutual Solution for Lawful
Interception
Ein Szenario, wie Access Provider ihrer Pflicht gemeinschaftlich nachkommen können



Flavio Trolese
11. April 2012
Technopark Zürich
Introduction
Flavio Trolese
12 Jahre Software Engineering
4 Jahre Business Development

2005    Umsetzung erste xDSL-Überwachung für DBA/UVEK

2007 Referenzimplementierung LI Schweiz
Was Sie erwarten dürfen…….
Problemanalyse Lawful Interception für «Kleine»

Evaluation Lösungsoptionen

Mutual LI Solution
Wieso wir heute
zusammengekommen sind
Pflichten der FDA gegenüber ÜPF
Pflichten der FDA gegenüber ÜPF
«Jede FDA ist verpflichtet, Überwachungsaufträge
gemäss den Richtlinien und Verfügungen des Dienstes
ÜPF auszuführen…




https://www.li.admin.ch/de/themes/duties.html
Pflichten der FDA gegenüber ÜPF
Um Überwachungen vornehmen zu können, muss jede
FDA eine geeignete Anlage bereithalten. Alle FDA
müssen jederzeit in der Lage sein,
Überwachungsmassnahmen durchzuführen.
Pflichten der FDA gegenüber ÜPF
Um die Überwachungsbereitschaft der FDA
sicherzustellen, führt der Dienst ÜPF bei diesen ein
Compliance-Verfahren durch.
Pflichten der FDA gegenüber ÜPF
Die FDA sind gemäss VÜPF verpflichtet, dem Dienst
ÜPF die Namen ihrer Kontaktpersonen (Lawful
Interception Officer bzw. LI Officer) zu nennen (Art.
18 Abs. 3 und 26 Abs. 3 VÜPF).»
Mutual Lawful Interception Solution Switzerland
Problemanalyse
“A problem well defined is a
 problem half-solved.”

– John Dewey
• Wo bewegen wir uns? Was ist der Kontext?
• Welche Kräfte wirken in diesem Kontext?
• Wo stehe ich mit meiner Pflicht?
• Wo bewegen wir uns? Was ist der Kontext?
• Welche Kräfte wirken in diesem Kontext?
• Wo stehe ich mit meiner Pflicht?
Kontext
 Politische & gesellschaftliche                                         Finanzielle
 Aspekte                                                                Aspekte
       Missbrauch                                           «jederzeit in der Lage»
     Eingriff in Grundrechte   Vorratsdatenspeicherung
                                                             Compliance-Verfahren

      BÜPF Revision                                         «geeignete Anlage»

        VÜPF      ÜPF                 Digitale Vernetzung

    Gesetze    Verfügungen                    Provider
                         Überwachungsaufträge Fernmeldedienstanbieter    Technische
 Juristische                                  FDA
                 Richtlinien                                             Aspekte
 Aspekte                                      ISP
Kontext
 Politische & gesellschaftliche                                         Finanzielle
 Aspekte                                                                Aspekte
       Missbrauch                                           «jederzeit in der Lage»
     Eingriff in Grundrechte   Vorratsdatenspeicherung
                                                             Compliance-Verfahren

      BÜPF Revision                                         «geeignete Anlage»

        VÜPF      ÜPF                 Digitale Vernetzung

    Gesetze    Verfügungen                    Provider
                         Überwachungsaufträge Fernmeldedienstanbieter    Technische
 Juristische                                  FDA
                 Richtlinien                                             Aspekte
 Aspekte                                      ISP
Kontext
 Politische & gesellschaftliche                                         Finanzielle
 Aspekte                                                                Aspekte
       Missbrauch                                           «jederzeit in der Lage»
     Eingriff in Grundrechte   Vorratsdatenspeicherung
                                                             Compliance-Verfahren

      BÜPF Revision                                         «geeignete Anlage»

        VÜPF      ÜPF                 Digitale Vernetzung

    Gesetze    Verfügungen                    Provider
                         Überwachungsaufträge Fernmeldedienstanbieter    Technische
 Juristische                                  FDA
                 Richtlinien                                             Aspekte
 Aspekte                                      ISP
Kontext
 Politische & gesellschaftliche                                         Finanzielle
 Aspekte                                                                Aspekte
       Missbrauch                                           «jederzeit in der Lage»
     Eingriff in Grundrechte   Vorratsdatenspeicherung
                                                             Compliance-Verfahren

      BÜPF Revision                                         «geeignete Anlage»

        VÜPF      ÜPF                 Digitale Vernetzung

    Gesetze    Verfügungen                    Provider
                         Überwachungsaufträge Fernmeldedienstanbieter    Technische
 Juristische                                  FDA
                 Richtlinien                                             Aspekte
 Aspekte                                      ISP
Kontext
 Politische & gesellschaftliche                                         Finanzielle
 Aspekte                                                                Aspekte
       Missbrauch                                           «jederzeit in der Lage»
     Eingriff in Grundrechte   Vorratsdatenspeicherung
                                                             Compliance-Verfahren

      BÜPF Revision                                         «geeignete Anlage»

        VÜPF      ÜPF                 Digitale Vernetzung

    Gesetze    Verfügungen                    Provider
                         Überwachungsaufträge Fernmeldedienstanbieter    Technische
 Juristische                                  FDA
                 Richtlinien                                             Aspekte
 Aspekte                                      ISP
• Wo bewegen wir uns? Was ist der Kontext?
• Welche Kräfte wirken in diesem Kontext?
• Wo stehe ich mit meiner Pflicht?
Interessen
Strafverfolgungsbehörden ÜPF            Die «Kleinen»        «Die Grossen»

Aufklärung schwerer     technische      Konzentration auf
Verbrechen              Überwachungen   Kernbusiness
                                        Mehraufwände         Alternatives Business
                                                             Model LI?
                                        Kosten
                                        Investitionsschutz
• Wo bewegen wir uns? Was ist der Kontext?
• Welche Kräfte wirken in diesem Kontext?
• Wo stehe ich mit meiner Pflicht?
Juristische Pflicht
Ausführung
Überwachungsaufträge
Technisches          Juristische Pflicht
                     Ausführung
                     Überwachungsaufträge
«geeignete Anlage»
Technisches          Juristische Pflicht    Finanzielles
                     Ausführung
                     Überwachungsaufträge
«geeignete Anlage»
                                            Beschaffung
Technisches          Juristische Pflicht    Finanzielles
                     Ausführung
                     Überwachungsaufträge
«geeignete Anlage»
                                            Beschaffung
                                            Integration
Technisches          Juristische Pflicht    Finanzielles
                     Ausführung
                     Überwachungsaufträge
«geeignete Anlage»
                                            Beschaffung
Compliance                                  Integration
Technisches          Juristische Pflicht       Finanzielles
                     Ausführung
                     Überwachungsaufträge
«geeignete Anlage»
                                               Beschaffung
Compliance                                     Integration
                     «jederzeit in der Lage»
Technisches          Juristische Pflicht       Finanzielles
                     Ausführung
                     Überwachungsaufträge
«geeignete Anlage»
                                               Beschaffung
Compliance                                     Integration
                     «jederzeit in der Lage»
                                               Betrieb
Technisches          Juristische Pflicht          Finanzielles
                     Ausführung
                     Überwachungsaufträge
«geeignete Anlage»
                                                  Beschaffung
Compliance                                        Integration
                     «jederzeit in der Lage»
                                                  Betrieb
                     Vorratsdatenspeicherung...
Technisches          Juristische Pflicht          Finanzielles
                     Ausführung
                     Überwachungsaufträge
«geeignete Anlage»
                                                  Beschaffung
Compliance                                        Integration
                     «jederzeit in der Lage»
                                                  Betrieb
                     Vorratsdatenspeicherung...
                                                  goto 0
Ausschliesslich eine Beschaffungsfrage?
Technisches           Juristische Pflicht          Finanzielles
                      Ausführung
                      Überwachungsaufträge
 «geeignete Anlage»
                                                   Beschaffung
 Compliance                                        Integration
                      «jederzeit in der Lage»
                                                   Betrieb
                      Vorratsdatenspeicherung...
                                                   goto 0
Ausschliesslich eine Beschaffungsproblem?
Nein!
«Jede FDA ist verpflichtet, Überwachungsaufträge
gemäss den Richtlinien und Verfügungen des Dienstes
ÜPF auszuführen…»
«Jede FDA ist verpflichtet, …»
2 Optionen:
Nicht Okay:    Ignorieren (Stichwort «Email»)
               Risiko Konventionalstrafe

Okay:          Beschaffen (Wann, wie, was, wieviel?)
               Integrieren (Wie, wieviel?)
               Betreiben (Wie, wieviel?)
Klassische Beschaffung
Requirements Engineering:                   4 PT    4K
Offerten einholen/vergleichen:              4 PT    4K
Eigentliche Beschaffung:                            50K
Integration: Delivery Network               5 PT    5K
Compliance: Technische Richtlinien, Tests   10 PT   10K
Juristisches                                4 PT    4K
Pikettt, Wartung, SLA
Administration
Mutual Lawful Interception Solution Switzerland
Ingredienzien
                             Requirements Engineering, Offertenvergleich,
min(Beschaffungskosten)
                             Anlage beschaffen, Integration, …

min(Betriebskosten)          Pikettt, Wartung, SLA


min(Mehraufwände)            Administration, Juristisches


max(Investitionsschutz)      Amortisation, Nachhaltigkeit, Vorratsdatenspeicherung, …

max(Compliance)              Technische Richtlinien, Delivery Network, Tests, …

max(Interessensvertretung)   Entschädigung, zukünftige Anforderungen
Erfolgsfaktoren
min(Beschaffungskosten)


min(Betriebskosten)


min(Mehraufwände)


max(Investitionsschutz)


max(Compliance)


max(Interessensvertretung)
Mutual Lawful Interception Solution Switzerland
Mutual Lawful Interception Solution Switzerland
«Der Bundesrat ist den FDA
in einem weiteren Punkt
entgegen gekommen…
Er hat entschieden, dass die Anbieterinnen die Infrastruktur, die
für die Überwachung nötig ist, nicht selber beschaffen und die
Überwachung auch nicht selber durchführen müssen.
Sie können einen Dritten beauftragen oder sich mit
anderen zusammenschliessen, um die nötige Infrastruktur
gemeinsam zu kaufen oder zu mieten.
Mutual Lawful Interception Solution Switzerland
… gemeinsame Beschaffung/Miete der
min(Beschaffungskosten)
                              technischen Lösung (Ausleihprinzip)


min(Betriebskosten)          … geteilte Betriebskosten (Shared Use,
                              Pikett, Administratives, Amortisation)

min(Mehraufwände)            … Reduktion von Administrativem,
                              Juristischem (SPOC)

max(Investitionsschutz)      … Investitionsschutz durch Interessensvertretung


max(Compliance)              … einmalige Compliance Tests


max(Interessensvertretung)   … Interessensvertretung durch Verbandslösung
Die vom BR formulierte «Gemeinschafts»-
Option ist ein Türöffner
Mutual Lawful Interception Solution Switzerland
Mutual LI Solution CH
          Geteiltes Leid ist halbes Leid
          Selbsthilfemassnahme
          Zweckgemeinschaft
MLS
Vision
Genossenschaft (Zweckgemeinschaft) die …
 Technische Infrastruktur bereitstellt
 Pikettleistungen garantiert
 Delivery Network betreibt (Compliance)
 Juristisches und Administratives klärt
 Interessen vertritt (Transparenz, Nachhaltigkeit,
  Vorratdatenspeicherung, …)
Vision
Genossenschaft (Zweckgemeinschaft) die …
 Technische Infrastruktur bereitstellt
 Pikettleistungen garantiert
 Delivery Network betreibt (Compliance)
 Juristisches und Administratives klärt
 Interessen vertritt (Transparenz, Nachhaltigkeit,
  Vorratdatenspeicherung, …)
Gemeinschaftslösung




                      «geeignete Anlage»
Gemeinschaftslösung




           Technische Infrastruktur
           Pikettorganisation         «geeignete Anlage»
           Compliance
Gemeinschaftslösung




           Technische Infrastruktur
           Pikettorganisation         «geeignete Anlage»
           Compliance


                                       Zertifizierung, SPOC
Gemeinschaftslösung




           Technische Infrastruktur
           Pikettorganisation         «geeignete Anlage»     min (Beschaffungskosten)
           Compliance                                        min (Betriebskosten)


                                       Zertifizierung, SPOC   max(Compliance)
Vision
Genossenschaft (Zweckgemeinschaft) die …
 Technische Infrastruktur bereitstellt
 Pikettleistungen garantiert
 Delivery Network betreibt (Compliance)
 Juristisches und Administratives klärt
 Interessen vertritt (Transparenz, Nachhaltigkeit,
  Vorratdatenspeicherung, …)
Gemeinschaftslösung




           Technische Infrastruktur
           Pikettorganisation         «geeignete Anlage»     min (Beschaffungskosten)
           Compliance                                        min (Betriebskosten)


                                       Zertifizierung, SPOC   max(Compliance)
Gemeinschaftslösung



                                       Juristisches & «Postfach»   min (Mehraufwände)




           Technische Infrastruktur
           Pikettorganisation         «geeignete Anlage»          min (Beschaffungskosten)
           Compliance                                             min (Betriebskosten)


                                       Zertifizierung, SPOC        max(Compliance)
Gemeinschaftslösung
                                       Parlament


                                       Interessensvertretung
                                                                       max(Investitionsschutz)
                                       (Nachhaltigkeit, Transparenz)

                                       Juristisches & «Postfach»       min (Mehraufwände)




           Technische Infrastruktur
           Pikettorganisation         «geeignete Anlage»              min (Beschaffungskosten)
           Compliance                                                 min (Betriebskosten)


                                       Zertifizierung, SPOC            max(Compliance)
Gemeinschaftslösung
                                       Parlament


                                       Interessensvertretung
                                                                       max(Investitionsschutz)
                                       (Nachhaltigkeit, Transparenz)

                                       Juristisches & «Postfach»       min (Mehraufwände)

                                       Zweckgemeinschaft
   Genossenschaft MLS
           Technische Infrastruktur
           Pikettorganisation         «geeignete Anlage»              min (Beschaffungskosten)
           Compliance                                                 min (Betriebskosten)


                                       Zertifizierung, SPOC            max(Compliance)
Gemeinschaftslösung
                                       Parlament


                                       Interessensvertretung
                                                                       max(Investitionsschutz)
                                       (Nachhaltigkeit, Transparenz)

                                       Juristisches & «Postfach»       min (Mehraufwände)

                                       Zweckgemeinschaft
   Genossenschaft MLS
           Technische Infrastruktur
           Pikettorganisation         «geeignete Anlage»              min (Beschaffungskosten)
           Compliance                                                 min (Betriebskosten)


                                       Zertifizierung, SPOC            max(Compliance)
Technische Infrastruktur
                  «geeignete Anlage»

Beschaffung/Miete
 Compliance (HI1-3)
 Investitionsschutz
 Transparenz
 Mandantentauglichkeit
Technische Infrastruktur
                  «geeignete Anlage»

Beschaffung/Miete
 Compliance (HI1-3)
 Investitionsschutz
 Transparenz
 Mandantentauglichkeit
                oder gemeinsame «Eigenentwicklung»
«geeignete Anlage»
                      Network      Probe                              Internet
                      Element
Target CPE



     Provisioning                       Passiv


                    Aktiv




                                Mediation
                                 Device                                    ÜPF

                                                 Handover Interface
                                                       HI-2/3
Ablauf Überwachung

  ÜPF           MLS        MLS Member Coordinator MLS & Member         Member              MLS
                                                                       Network        Mediation Device

    HI-1
    Verfügung                Prüft
                        Verfügung
                      und gibt frei

                  Freigabe
                  Auftrag zur                Koordination
                  Umsetzung                                 Setup LI-Case
                                                                             Ausleitung an
                                                                             Mediation Dev.

                                                                                 Verpackung in ETSI HI-2/3 &
                                                                                                Auslieferung
Ablauf Überwachung

  ÜPF           MLS        MLS Member Coordinator MLS & Member         Member              MLS
                                                                       Network        Mediation Device

    HI-1
    Verfügung                Prüft
                        Verfügung
                      und gibt frei

                  Freigabe
                  Auftrag zur                Koordination
                  Umsetzung                                 Setup LI-Case
                                                                             Ausleitung an
                                                                             Mediation Dev.

                                                                                 Verpackung in ETSI HI-2/3 &
                                                                                                Auslieferung
Initial Costs «Eigenentwicklung»
   Requirement Eng.     ~ 10K
   Development          ~ 120K
   Testing              ~ 10K
   HW-Kosten            ~ 40K
   ÜPF-Zertifizierung   ~ 30K
   Setup bei Telcos     ~ 90K
                         ~ 300K
Recurring Costs (yearly)
   Pikettt/Supportline    ~ 80K
   Koordination (SPOC)    ~ 30K
   Further Development    ~ 40K
   Project office         ~ 40K
   Legals (SPOC)          ~ 40K
                          ~ 250K
Mutual Lawful Interception Solution Switzerland
Ist eine gemeinschaftliche «Eigenentwicklung» in
eine Option?

 Ja!
Ist eine Gemeinschaftslösung «feasible»?

 Ja, ab 20 FDA
Interessensvertretung
«Die Kosten für diese
Überwachungsmassnahmen geben
immer wieder Anlass zu Konflikten.
Hier besteht eben ein klarer
Interessenkonflikt, und dieser wird auch
mit der heute verabschiedeten Revision
der Gebührenverordnung nicht gelöst.
Der Interessenkonflikt spielt sich zwischen drei
Akteuren ab:
Die Bundesanwaltschaft und die Kantone verlangen,
dass ihre Überwachungsaufträge möglichst wenig
kosten. Das ist nachvollziehbar.
Die Fernmeldedienstanbieterinnen wollen
demgegenüber für ihre Leistungen vollständig
entschädigt werden. Auch das ist verständlich.
Und der Dienst ÜPF im EJPD, der im Auftrag von
Kantonen und Bundesanwaltschaft handelt, soll
seinen Kostendeckungsgrad erhöhen. Das ist ein
klarer Auftrag des Parlaments.
Damit wird deutlich, dass das alles nicht
zusammengeht. Wir konnten diese Zielkonflikte
kurzfristig nicht lösen, aber wir werden im Rahmen
der Totalrevision des BÜPF gemeinsam mit den
Beteiligten nach einem gangbaren Weg suchen.»
Mutual Lawful Interception Solution Switzerland
Interessensvertretung auf Verbandsebene macht
Investitionsschutz wirklich möglich


      Win – Win - Win

  «Kleine»   ÜPF   Strafverfolgung
Was ist wichtig?
 Ich habe 2 Optionen
 Frau Sommaruga ermöglicht 3. Szenario: MLS
 MLS und die «Erfolgsfaktoren» matchen
 MLS ist «feasible» ab 20 FDA
 Je mehr FDA mitmachen, desto interessanter
 Win-Win-Win
Next Steps
 Commitment durch Unterzeichnung Letter Of Intent
 Workshop
 Bildung der Interessensgemeinschaft
  (Genossenschaft)
 Beschaffung «Eigenentwicklung» technische
  Infrastruktur durch Genossenschaft
 Betrieb durch Genossenschaft
"don't call us, we'll call you."


Copyrights: Bilder aus http://alltheragefaces.com/ und Wikipedia

Weitere ähnliche Inhalte

Andere mochten auch

Mitel Hospitality Solutions
Mitel Hospitality SolutionsMitel Hospitality Solutions
Mitel Hospitality Solutions
MicrotelSystems
 
The Power of Community-Driven Transformative Redevelopment
The Power of Community-Driven Transformative RedevelopmentThe Power of Community-Driven Transformative Redevelopment
The Power of Community-Driven Transformative Redevelopment
Renaissance Downtowns
 
QROPS Pension Brochure[1]
QROPS Pension Brochure[1]QROPS Pension Brochure[1]
QROPS Pension Brochure[1]
Andrew Menzies
 
Enlazando
EnlazandoEnlazando
Enlazando
Rozonda Salas
 
Media City Uk Presetation 3rd Dec
Media City Uk Presetation 3rd DecMedia City Uk Presetation 3rd Dec
Media City Uk Presetation 3rd Dec
Enda Carey
 
credit-suisse Environmental Report 1997/1998 Short version
credit-suisse Environmental Report 1997/1998 Short versioncredit-suisse Environmental Report 1997/1998 Short version
credit-suisse Environmental Report 1997/1998 Short version
QuarterlyEarningsReports2
 
13º Domingo Tiempo Ordinario - Déjalo todo y sígueme
13º Domingo Tiempo Ordinario - Déjalo todo y sígueme13º Domingo Tiempo Ordinario - Déjalo todo y sígueme
13º Domingo Tiempo Ordinario - Déjalo todo y sígueme
JoaquinIglesias
 
Business analysis in the new normal
Business analysis in the new normalBusiness analysis in the new normal
Business analysis in the new normal
IIBA UK Chapter
 
Marcelo Funes-Gallanzi - Simplish - Computational intelligence unconference
Marcelo Funes-Gallanzi - Simplish - Computational intelligence unconferenceMarcelo Funes-Gallanzi - Simplish - Computational intelligence unconference
Marcelo Funes-Gallanzi - Simplish - Computational intelligence unconference
Daniel Lewis
 
Top 10 ways to maximize productivity with Multi Channel Communications.
Top 10 ways to maximize productivity with Multi Channel Communications.Top 10 ways to maximize productivity with Multi Channel Communications.
Top 10 ways to maximize productivity with Multi Channel Communications.
Contact Centre Management Group
 
Juan carlos camus
Juan carlos camusJuan carlos camus
Juan carlos camus
giglia vaccani
 
ESPACIOS CARDIOPROTEGIDOS SAMU DE JALISCO
ESPACIOS CARDIOPROTEGIDOS SAMU DE JALISCOESPACIOS CARDIOPROTEGIDOS SAMU DE JALISCO
ESPACIOS CARDIOPROTEGIDOS SAMU DE JALISCO
FERNANDO IBARRARAN STORM
 
Varnish, the high performance valhalla?
Varnish, the high performance valhalla?Varnish, the high performance valhalla?
Varnish, the high performance valhalla?
Jeroen van Dijk
 
Sex, lies and magnetic tapes: Confessions of a sysadmin
Sex, lies and magnetic tapes: Confessions of a sysadminSex, lies and magnetic tapes: Confessions of a sysadmin
Sex, lies and magnetic tapes: Confessions of a sysadmin
Antonio Sanz Alcober
 
Neumonia
NeumoniaNeumonia
Neumonia
Maria José
 

Andere mochten auch (15)

Mitel Hospitality Solutions
Mitel Hospitality SolutionsMitel Hospitality Solutions
Mitel Hospitality Solutions
 
The Power of Community-Driven Transformative Redevelopment
The Power of Community-Driven Transformative RedevelopmentThe Power of Community-Driven Transformative Redevelopment
The Power of Community-Driven Transformative Redevelopment
 
QROPS Pension Brochure[1]
QROPS Pension Brochure[1]QROPS Pension Brochure[1]
QROPS Pension Brochure[1]
 
Enlazando
EnlazandoEnlazando
Enlazando
 
Media City Uk Presetation 3rd Dec
Media City Uk Presetation 3rd DecMedia City Uk Presetation 3rd Dec
Media City Uk Presetation 3rd Dec
 
credit-suisse Environmental Report 1997/1998 Short version
credit-suisse Environmental Report 1997/1998 Short versioncredit-suisse Environmental Report 1997/1998 Short version
credit-suisse Environmental Report 1997/1998 Short version
 
13º Domingo Tiempo Ordinario - Déjalo todo y sígueme
13º Domingo Tiempo Ordinario - Déjalo todo y sígueme13º Domingo Tiempo Ordinario - Déjalo todo y sígueme
13º Domingo Tiempo Ordinario - Déjalo todo y sígueme
 
Business analysis in the new normal
Business analysis in the new normalBusiness analysis in the new normal
Business analysis in the new normal
 
Marcelo Funes-Gallanzi - Simplish - Computational intelligence unconference
Marcelo Funes-Gallanzi - Simplish - Computational intelligence unconferenceMarcelo Funes-Gallanzi - Simplish - Computational intelligence unconference
Marcelo Funes-Gallanzi - Simplish - Computational intelligence unconference
 
Top 10 ways to maximize productivity with Multi Channel Communications.
Top 10 ways to maximize productivity with Multi Channel Communications.Top 10 ways to maximize productivity with Multi Channel Communications.
Top 10 ways to maximize productivity with Multi Channel Communications.
 
Juan carlos camus
Juan carlos camusJuan carlos camus
Juan carlos camus
 
ESPACIOS CARDIOPROTEGIDOS SAMU DE JALISCO
ESPACIOS CARDIOPROTEGIDOS SAMU DE JALISCOESPACIOS CARDIOPROTEGIDOS SAMU DE JALISCO
ESPACIOS CARDIOPROTEGIDOS SAMU DE JALISCO
 
Varnish, the high performance valhalla?
Varnish, the high performance valhalla?Varnish, the high performance valhalla?
Varnish, the high performance valhalla?
 
Sex, lies and magnetic tapes: Confessions of a sysadmin
Sex, lies and magnetic tapes: Confessions of a sysadminSex, lies and magnetic tapes: Confessions of a sysadmin
Sex, lies and magnetic tapes: Confessions of a sysadmin
 
Neumonia
NeumoniaNeumonia
Neumonia
 

Mutual Lawful Interception Solution Switzerland

  • 1. Ein Szenario, wie Access Provider ihrer Pflicht gemeinschaftlich nachkommen können
  • 2. Mutual Solution for Lawful Interception Ein Szenario, wie Access Provider ihrer Pflicht gemeinschaftlich nachkommen können Flavio Trolese 11. April 2012 Technopark Zürich
  • 3. Introduction Flavio Trolese 12 Jahre Software Engineering 4 Jahre Business Development 2005 Umsetzung erste xDSL-Überwachung für DBA/UVEK 2007 Referenzimplementierung LI Schweiz
  • 4. Was Sie erwarten dürfen……. Problemanalyse Lawful Interception für «Kleine» Evaluation Lösungsoptionen Mutual LI Solution
  • 6. Pflichten der FDA gegenüber ÜPF
  • 7. Pflichten der FDA gegenüber ÜPF «Jede FDA ist verpflichtet, Überwachungsaufträge gemäss den Richtlinien und Verfügungen des Dienstes ÜPF auszuführen… https://www.li.admin.ch/de/themes/duties.html
  • 8. Pflichten der FDA gegenüber ÜPF Um Überwachungen vornehmen zu können, muss jede FDA eine geeignete Anlage bereithalten. Alle FDA müssen jederzeit in der Lage sein, Überwachungsmassnahmen durchzuführen.
  • 9. Pflichten der FDA gegenüber ÜPF Um die Überwachungsbereitschaft der FDA sicherzustellen, führt der Dienst ÜPF bei diesen ein Compliance-Verfahren durch.
  • 10. Pflichten der FDA gegenüber ÜPF Die FDA sind gemäss VÜPF verpflichtet, dem Dienst ÜPF die Namen ihrer Kontaktpersonen (Lawful Interception Officer bzw. LI Officer) zu nennen (Art. 18 Abs. 3 und 26 Abs. 3 VÜPF).»
  • 12. Problemanalyse “A problem well defined is a problem half-solved.” – John Dewey
  • 13. • Wo bewegen wir uns? Was ist der Kontext? • Welche Kräfte wirken in diesem Kontext? • Wo stehe ich mit meiner Pflicht?
  • 14. • Wo bewegen wir uns? Was ist der Kontext? • Welche Kräfte wirken in diesem Kontext? • Wo stehe ich mit meiner Pflicht?
  • 15. Kontext Politische & gesellschaftliche Finanzielle Aspekte Aspekte Missbrauch «jederzeit in der Lage» Eingriff in Grundrechte Vorratsdatenspeicherung Compliance-Verfahren BÜPF Revision «geeignete Anlage» VÜPF ÜPF Digitale Vernetzung Gesetze Verfügungen Provider Überwachungsaufträge Fernmeldedienstanbieter Technische Juristische FDA Richtlinien Aspekte Aspekte ISP
  • 16. Kontext Politische & gesellschaftliche Finanzielle Aspekte Aspekte Missbrauch «jederzeit in der Lage» Eingriff in Grundrechte Vorratsdatenspeicherung Compliance-Verfahren BÜPF Revision «geeignete Anlage» VÜPF ÜPF Digitale Vernetzung Gesetze Verfügungen Provider Überwachungsaufträge Fernmeldedienstanbieter Technische Juristische FDA Richtlinien Aspekte Aspekte ISP
  • 17. Kontext Politische & gesellschaftliche Finanzielle Aspekte Aspekte Missbrauch «jederzeit in der Lage» Eingriff in Grundrechte Vorratsdatenspeicherung Compliance-Verfahren BÜPF Revision «geeignete Anlage» VÜPF ÜPF Digitale Vernetzung Gesetze Verfügungen Provider Überwachungsaufträge Fernmeldedienstanbieter Technische Juristische FDA Richtlinien Aspekte Aspekte ISP
  • 18. Kontext Politische & gesellschaftliche Finanzielle Aspekte Aspekte Missbrauch «jederzeit in der Lage» Eingriff in Grundrechte Vorratsdatenspeicherung Compliance-Verfahren BÜPF Revision «geeignete Anlage» VÜPF ÜPF Digitale Vernetzung Gesetze Verfügungen Provider Überwachungsaufträge Fernmeldedienstanbieter Technische Juristische FDA Richtlinien Aspekte Aspekte ISP
  • 19. Kontext Politische & gesellschaftliche Finanzielle Aspekte Aspekte Missbrauch «jederzeit in der Lage» Eingriff in Grundrechte Vorratsdatenspeicherung Compliance-Verfahren BÜPF Revision «geeignete Anlage» VÜPF ÜPF Digitale Vernetzung Gesetze Verfügungen Provider Überwachungsaufträge Fernmeldedienstanbieter Technische Juristische FDA Richtlinien Aspekte Aspekte ISP
  • 20. • Wo bewegen wir uns? Was ist der Kontext? • Welche Kräfte wirken in diesem Kontext? • Wo stehe ich mit meiner Pflicht?
  • 21. Interessen Strafverfolgungsbehörden ÜPF Die «Kleinen» «Die Grossen» Aufklärung schwerer technische Konzentration auf Verbrechen Überwachungen Kernbusiness Mehraufwände Alternatives Business Model LI? Kosten Investitionsschutz
  • 22. • Wo bewegen wir uns? Was ist der Kontext? • Welche Kräfte wirken in diesem Kontext? • Wo stehe ich mit meiner Pflicht?
  • 24. Technisches Juristische Pflicht Ausführung Überwachungsaufträge «geeignete Anlage»
  • 25. Technisches Juristische Pflicht Finanzielles Ausführung Überwachungsaufträge «geeignete Anlage» Beschaffung
  • 26. Technisches Juristische Pflicht Finanzielles Ausführung Überwachungsaufträge «geeignete Anlage» Beschaffung Integration
  • 27. Technisches Juristische Pflicht Finanzielles Ausführung Überwachungsaufträge «geeignete Anlage» Beschaffung Compliance Integration
  • 28. Technisches Juristische Pflicht Finanzielles Ausführung Überwachungsaufträge «geeignete Anlage» Beschaffung Compliance Integration «jederzeit in der Lage»
  • 29. Technisches Juristische Pflicht Finanzielles Ausführung Überwachungsaufträge «geeignete Anlage» Beschaffung Compliance Integration «jederzeit in der Lage» Betrieb
  • 30. Technisches Juristische Pflicht Finanzielles Ausführung Überwachungsaufträge «geeignete Anlage» Beschaffung Compliance Integration «jederzeit in der Lage» Betrieb Vorratsdatenspeicherung...
  • 31. Technisches Juristische Pflicht Finanzielles Ausführung Überwachungsaufträge «geeignete Anlage» Beschaffung Compliance Integration «jederzeit in der Lage» Betrieb Vorratsdatenspeicherung... goto 0
  • 32. Ausschliesslich eine Beschaffungsfrage? Technisches Juristische Pflicht Finanzielles Ausführung Überwachungsaufträge «geeignete Anlage» Beschaffung Compliance Integration «jederzeit in der Lage» Betrieb Vorratsdatenspeicherung... goto 0
  • 34. «Jede FDA ist verpflichtet, Überwachungsaufträge gemäss den Richtlinien und Verfügungen des Dienstes ÜPF auszuführen…»
  • 35. «Jede FDA ist verpflichtet, …» 2 Optionen: Nicht Okay: Ignorieren (Stichwort «Email») Risiko Konventionalstrafe Okay: Beschaffen (Wann, wie, was, wieviel?) Integrieren (Wie, wieviel?) Betreiben (Wie, wieviel?)
  • 36. Klassische Beschaffung Requirements Engineering: 4 PT 4K Offerten einholen/vergleichen: 4 PT 4K Eigentliche Beschaffung: 50K Integration: Delivery Network 5 PT 5K Compliance: Technische Richtlinien, Tests 10 PT 10K Juristisches 4 PT 4K Pikettt, Wartung, SLA Administration
  • 38. Ingredienzien Requirements Engineering, Offertenvergleich, min(Beschaffungskosten) Anlage beschaffen, Integration, … min(Betriebskosten) Pikettt, Wartung, SLA min(Mehraufwände) Administration, Juristisches max(Investitionsschutz) Amortisation, Nachhaltigkeit, Vorratsdatenspeicherung, … max(Compliance) Technische Richtlinien, Delivery Network, Tests, … max(Interessensvertretung) Entschädigung, zukünftige Anforderungen
  • 42. «Der Bundesrat ist den FDA in einem weiteren Punkt entgegen gekommen…
  • 43. Er hat entschieden, dass die Anbieterinnen die Infrastruktur, die für die Überwachung nötig ist, nicht selber beschaffen und die Überwachung auch nicht selber durchführen müssen.
  • 44. Sie können einen Dritten beauftragen oder sich mit anderen zusammenschliessen, um die nötige Infrastruktur gemeinsam zu kaufen oder zu mieten.
  • 46. … gemeinsame Beschaffung/Miete der min(Beschaffungskosten) technischen Lösung (Ausleihprinzip) min(Betriebskosten) … geteilte Betriebskosten (Shared Use, Pikett, Administratives, Amortisation) min(Mehraufwände) … Reduktion von Administrativem, Juristischem (SPOC) max(Investitionsschutz) … Investitionsschutz durch Interessensvertretung max(Compliance) … einmalige Compliance Tests max(Interessensvertretung) … Interessensvertretung durch Verbandslösung
  • 47. Die vom BR formulierte «Gemeinschafts»- Option ist ein Türöffner
  • 49. Mutual LI Solution CH Geteiltes Leid ist halbes Leid Selbsthilfemassnahme Zweckgemeinschaft MLS
  • 50. Vision Genossenschaft (Zweckgemeinschaft) die …  Technische Infrastruktur bereitstellt  Pikettleistungen garantiert  Delivery Network betreibt (Compliance)  Juristisches und Administratives klärt  Interessen vertritt (Transparenz, Nachhaltigkeit, Vorratdatenspeicherung, …)
  • 51. Vision Genossenschaft (Zweckgemeinschaft) die …  Technische Infrastruktur bereitstellt  Pikettleistungen garantiert  Delivery Network betreibt (Compliance)  Juristisches und Administratives klärt  Interessen vertritt (Transparenz, Nachhaltigkeit, Vorratdatenspeicherung, …)
  • 52. Gemeinschaftslösung «geeignete Anlage»
  • 53. Gemeinschaftslösung  Technische Infrastruktur  Pikettorganisation «geeignete Anlage»  Compliance
  • 54. Gemeinschaftslösung  Technische Infrastruktur  Pikettorganisation «geeignete Anlage»  Compliance Zertifizierung, SPOC
  • 55. Gemeinschaftslösung  Technische Infrastruktur  Pikettorganisation «geeignete Anlage» min (Beschaffungskosten)  Compliance min (Betriebskosten) Zertifizierung, SPOC max(Compliance)
  • 56. Vision Genossenschaft (Zweckgemeinschaft) die …  Technische Infrastruktur bereitstellt  Pikettleistungen garantiert  Delivery Network betreibt (Compliance)  Juristisches und Administratives klärt  Interessen vertritt (Transparenz, Nachhaltigkeit, Vorratdatenspeicherung, …)
  • 57. Gemeinschaftslösung  Technische Infrastruktur  Pikettorganisation «geeignete Anlage» min (Beschaffungskosten)  Compliance min (Betriebskosten) Zertifizierung, SPOC max(Compliance)
  • 58. Gemeinschaftslösung Juristisches & «Postfach» min (Mehraufwände)  Technische Infrastruktur  Pikettorganisation «geeignete Anlage» min (Beschaffungskosten)  Compliance min (Betriebskosten) Zertifizierung, SPOC max(Compliance)
  • 59. Gemeinschaftslösung Parlament Interessensvertretung max(Investitionsschutz) (Nachhaltigkeit, Transparenz) Juristisches & «Postfach» min (Mehraufwände)  Technische Infrastruktur  Pikettorganisation «geeignete Anlage» min (Beschaffungskosten)  Compliance min (Betriebskosten) Zertifizierung, SPOC max(Compliance)
  • 60. Gemeinschaftslösung Parlament Interessensvertretung max(Investitionsschutz) (Nachhaltigkeit, Transparenz) Juristisches & «Postfach» min (Mehraufwände) Zweckgemeinschaft Genossenschaft MLS  Technische Infrastruktur  Pikettorganisation «geeignete Anlage» min (Beschaffungskosten)  Compliance min (Betriebskosten) Zertifizierung, SPOC max(Compliance)
  • 61. Gemeinschaftslösung Parlament Interessensvertretung max(Investitionsschutz) (Nachhaltigkeit, Transparenz) Juristisches & «Postfach» min (Mehraufwände) Zweckgemeinschaft Genossenschaft MLS  Technische Infrastruktur  Pikettorganisation «geeignete Anlage» min (Beschaffungskosten)  Compliance min (Betriebskosten) Zertifizierung, SPOC max(Compliance)
  • 62. Technische Infrastruktur «geeignete Anlage» Beschaffung/Miete  Compliance (HI1-3)  Investitionsschutz  Transparenz  Mandantentauglichkeit
  • 63. Technische Infrastruktur «geeignete Anlage» Beschaffung/Miete  Compliance (HI1-3)  Investitionsschutz  Transparenz  Mandantentauglichkeit oder gemeinsame «Eigenentwicklung»
  • 64. «geeignete Anlage» Network Probe Internet Element Target CPE Provisioning Passiv Aktiv Mediation Device ÜPF Handover Interface HI-2/3
  • 65. Ablauf Überwachung ÜPF MLS MLS Member Coordinator MLS & Member Member MLS Network Mediation Device HI-1 Verfügung Prüft Verfügung und gibt frei Freigabe Auftrag zur Koordination Umsetzung Setup LI-Case Ausleitung an Mediation Dev. Verpackung in ETSI HI-2/3 & Auslieferung
  • 66. Ablauf Überwachung ÜPF MLS MLS Member Coordinator MLS & Member Member MLS Network Mediation Device HI-1 Verfügung Prüft Verfügung und gibt frei Freigabe Auftrag zur Koordination Umsetzung Setup LI-Case Ausleitung an Mediation Dev. Verpackung in ETSI HI-2/3 & Auslieferung
  • 67. Initial Costs «Eigenentwicklung»  Requirement Eng. ~ 10K  Development ~ 120K  Testing ~ 10K  HW-Kosten ~ 40K  ÜPF-Zertifizierung ~ 30K  Setup bei Telcos ~ 90K ~ 300K
  • 68. Recurring Costs (yearly)  Pikettt/Supportline ~ 80K  Koordination (SPOC) ~ 30K  Further Development ~ 40K  Project office ~ 40K  Legals (SPOC) ~ 40K ~ 250K
  • 70. Ist eine gemeinschaftliche «Eigenentwicklung» in eine Option? Ja!
  • 71. Ist eine Gemeinschaftslösung «feasible»? Ja, ab 20 FDA
  • 72. Interessensvertretung «Die Kosten für diese Überwachungsmassnahmen geben immer wieder Anlass zu Konflikten. Hier besteht eben ein klarer Interessenkonflikt, und dieser wird auch mit der heute verabschiedeten Revision der Gebührenverordnung nicht gelöst.
  • 73. Der Interessenkonflikt spielt sich zwischen drei Akteuren ab: Die Bundesanwaltschaft und die Kantone verlangen, dass ihre Überwachungsaufträge möglichst wenig kosten. Das ist nachvollziehbar.
  • 74. Die Fernmeldedienstanbieterinnen wollen demgegenüber für ihre Leistungen vollständig entschädigt werden. Auch das ist verständlich.
  • 75. Und der Dienst ÜPF im EJPD, der im Auftrag von Kantonen und Bundesanwaltschaft handelt, soll seinen Kostendeckungsgrad erhöhen. Das ist ein klarer Auftrag des Parlaments.
  • 76. Damit wird deutlich, dass das alles nicht zusammengeht. Wir konnten diese Zielkonflikte kurzfristig nicht lösen, aber wir werden im Rahmen der Totalrevision des BÜPF gemeinsam mit den Beteiligten nach einem gangbaren Weg suchen.»
  • 78. Interessensvertretung auf Verbandsebene macht Investitionsschutz wirklich möglich Win – Win - Win «Kleine» ÜPF Strafverfolgung
  • 79. Was ist wichtig?  Ich habe 2 Optionen  Frau Sommaruga ermöglicht 3. Szenario: MLS  MLS und die «Erfolgsfaktoren» matchen  MLS ist «feasible» ab 20 FDA  Je mehr FDA mitmachen, desto interessanter  Win-Win-Win
  • 80. Next Steps  Commitment durch Unterzeichnung Letter Of Intent  Workshop  Bildung der Interessensgemeinschaft (Genossenschaft)  Beschaffung «Eigenentwicklung» technische Infrastruktur durch Genossenschaft  Betrieb durch Genossenschaft
  • 81. "don't call us, we'll call you." Copyrights: Bilder aus http://alltheragefaces.com/ und Wikipedia