Das schwedische Gesetz über die verdeckte Datenüberwachung (2020:62) ist ein neues Gesetz, das in Schweden am 1. April 2020 in Kraft getreten ist. Das neue Gesetz bedeutet, dass Polizei und andere Vollzugsbehörden sich in verschiedene technische Geräte einhacken dürfen, um einen Teil der Daten, die sich auf dem Gerät befinden oder durch das Gerät hindurchgehen, zu erfassen.
Um es kurz zu machen: OVPN ist vom Gesetz nicht betroffen, und als solches sind wir nicht verpflichtet - und werden es auch nie tun -, jemandem dabei zu helfen, unsere Benutzer auszuspionieren.
Zum Gesetzt
Die Datenüberwachung kann im Rahmen einer Voruntersuchung, für nachrichtendienstliche Zwecke und "eine gewisse Einwanderungskontrolle" eingesetzt werden. Sie kann nur bei besonders abscheulichen Verbrechen mit einer Mindesthaftstrafe von mindestens 2 Jahren eingesetzt werden.
Das Gesetz soll der Polizei ein weiteres Instrument zur Bekämpfung des organisierten Verbrechens an die Hand geben, da diese Kriminellen oft verschlüsselte Apps zur Kommunikation verwenden und öffentliche Orte, an denen es irgendeine Art von Kamera- oder Tonüberwachung gibt, oft meiden.
Für jede Art der eingesetzten Überwachung muss von einem Richter eine Genehmigung erteilt werden, wobei für die in Kapitel 27, Abschnitt 2, Unterabschnitt 2, 2-7 der Verfahrensordnung aufgeführten Straftaten, zu denen Sabotage, Brandstiftung, allgemeine Zerstörung, Entführung, Aufstand, bewaffnete Bedrohung der Rechtsordnung, Verletzung der bürgerlichen Freiheit, Hochverrat, Kriegsaufwiegelung, Spionage, illegale Geheimdienstoperationen, Wirtschaftsspionage und terroristische Straftaten gehören, besondere Genehmigungen erteilt werden müssen.
Welche Bereiche fallen unter das Gesetz?
Das Gesetz sieht die Überwachung der folgenden Bereiche vor:
- Abfangen von Daten
- Daten-Überwachung
- Informationen zur Geolokalisierung
- Kamera-Überwachung
- Schallüberwachung
- Daten, die auf einem Datenträger gespeichert sind, aber nicht von 1-5
- Daten, die zeigen, wie ein Speichermedium verwendet wurde, die aber nicht von 1-6
Wie wirkt sich das Gesetz auf die Benutzer von OVPN aus?
Das Gesetz erlaubt es einer Strafverfolgungsbehörde, durch technische Überwachung - entweder in Form von Malware oder durch physische Manipulation - Daten abzufangen, bevor sie verschlüsselt werden. Das bedeutet, dass, wenn Sie das Ziel einer solchen Überwachungsmethode sind, eine VPN-Verbindung nicht hilft, solange die technische Überwachung direkt auf das Gerät selbst angewendet wird.
Die Überwachungsmethode variiert von Verdächtigem zu Verdächtigem, von Gerät zu Gerät und sogar, welche Erlaubnis von einem Richter erteilt wurde. Falls erforderlich, ist es der Strafverfolgungsbehörde sogar gestattet, verschiedene Exploits zu verwenden sowie verschiedene Systemschutzmechanismen zu entfernen oder zu umgehen, vorausgesetzt, die Strafverfolgungsbehörde kann den Systemschutz zumindest auf den gleichen Stand wie vor Beginn der Überwachung wiederherstellen.
Die Strafverfolgungsbehörde kann, wenn die Erlaubnis dazu erteilt wurde, verschiedene Schwachstellen in Telefonen oder Fernsehgeräten nutzen, um das Mikrofon in diesen Geräten zu aktivieren und Gespräche mitzuhören. Schwachstellen in Kameras können auch genutzt werden, um aufzuzeichnen, was immer dort vor sich geht, wo sich die Kamera befindet. Genehmigungen für die Kameraüberwachung können für den ständigen Wohnsitz einer Person nicht für Straftaten erteilt werden, die unter die erste Kategorie fallen, nämlich Straftaten mit einer Freiheitsstrafe von mindestens 2 Jahren.
Wenn jedoch eine Person eines Verbrechens verdächtigt wird, das in Kapitel 27, Abschnitt 2, Unterabschnitt 2, 2-7 der Verfahrensordnung definiert ist, kann eine Kameraüberwachung nicht nur für den ständigen Wohnsitz einer Person gewährt werden - sondern auch für Freunde, Familienangehörige und andere Bekannte des Verdächtigen, solange Grund zu der Annahme besteht, dass sich diese Person während des Zeitraums, für den die Genehmigung erteilt wird, an diesem Wohnsitz aufhält.
Wie ist OVPN davon betroffen?
Das Gesetz besagt:
Abschnitt 24 Jeder, der Aktivitäten ausführt, die gemäß Kapitel 2 meldepflichtig sind. Abschnitt 1 des Gesetzes über elektronische Kommunikation (2003: 389) ist auf Ersuchen der Vollstreckungsbehörde verpflichtet, sich an der Durchführung der verdeckten Datenüberwachung zu beteiligen.
VPN-Dienste unterliegen nicht der Meldepflicht gemäß Kapitel 2. Abschnitt 1 des Gesetzes über elektronische Kommunikation (2003: 389), was bedeutet, dass OVPN nicht zur Hilfeleistung gezwungen werden kann.
OVPN wird weiterhin monatliche Transparenzberichte veröffentlichen, die Informationen über Anfragen von Behörden, Polizei und anderen Unternehmen enthalten.
Wie wirkt sich das Gesetz auf die Internet-Service-Provider von OVPN aus?
Unsere schwedischen Internet-Provider sind meldepflichtig und können daher gezwungen sein, den Strafverfolgungsbehörden zu helfen. Unsere Server-Infrastruktur ist jedoch auf eine ganz besondere Weise konzipiert, die diese Art von Angriffen verhindert.
Im Gegensatz zu den meisten VPN-Anbietern sind alle unsere Server vollständig in unserem Besitz. Alle unsere VPN-Server verwenden unsere eigene modifizierte Hardware und modifizierte Software, und wir setzen mehrere Methoden ein, um alle Versuche zur Manipulation unserer Server sowohl auf Software- als auch auf Hardwareebene zu unterbinden. Wir garantieren auch, dass solche Versuche dazu führen, dass wir in ein neues Rechenzentrum wechseln.
Die gesamte Hardware, die für die Ausführung unseres Dienstes verwendet wird, befindet sich in unserem Besitz und ist in isolierten Rackschränken untergebracht. Alle VPN-Server laufen ohne Festplatten - stattdessen befindet sich das gesamte Betriebssystem nur im RAM-Speicher. Es ist auch nicht möglich, die Server über Konsole, Tastatur oder USB zu manipulieren, was es unmöglich macht, Kaltstart-Angriffe durchzuführen, um Daten zu lesen oder zu manipulieren oder irgendetwas im Server selbst zu verändern.
Wenn unsere Server booten, holen sie sich das korrekte Disk-Image per iPXE von unseren verschlüsselten Boot-Servern. Sobald das Disk-Image heruntergeladen wurde, wird eine Überprüfung des Kernels und der initrd-Signatur durchgeführt, um sicherzustellen, dass nichts manipuliert wurde.
Das Betriebssystem wird in den RAM-Speicher geladen, und der Server kann schließlich booten, wenn die Überprüfung erfolgreich war. Wenn die Verifizierung fehlschlägt, startet der Server neu und versucht diesen Prozess erneut, bis die Verifizierungssignatur gültig ist und er sicher gestartet werden kann.
Was kann ich tun?
Wenn Sie besorgt sind, dass einer unserer Server manipuliert werden könnte, oder wenn Sie zusätzliche Maßnahmen zum Schutz Ihrer Privatsphäre ergreifen möchten, bieten wir Ihnen das Multihop-Add-on an, das bei Halbjahres- und Jahresabonnements kostenlos enthalten ist. Dieses Feature tunnelt Ihren Datenverkehr durch zwei Server in verschiedenen Gerichtsbarkeiten und verbessert so Ihre Integrität, indem es Ihre Nachverfolgung erheblich erschwert.
Heutiges Datum
Obwohl Streiche am 1. April (allgemein als Aprilscherztag bezeichnet) üblich sind, würden wir uns freuen, wenn es sich dabei um einen geschmacklosen Scherz handeln würde. Leider ist es kein Witz.