Mutual Lawful Interception Solution Switzerland
-
Upload
flavio-trolese -
Category
Documents
-
view
864 -
download
1
Transcript of Mutual Lawful Interception Solution Switzerland
Ein Szenario, wie Access
Provider ihrer Pflicht
gemeinschaftlich
nachkommen können
Mutual Solution for Lawful
Interception
Ein Szenario, wie Access Provider ihrer Pflicht gemeinschaftlich nachkommen können
Flavio Trolese 11. April 2012
Technopark Zürich
Introduction Flavio Trolese
12 Jahre Software Engineering
4 Jahre Business Development
2005 Umsetzung erste xDSL-Überwachung für DBA/UVEK
2007 Referenzimplementierung LI Schweiz
Was Sie erwarten dürfen…….
Problemanalyse Lawful Interception für «Kleine»
Evaluation Lösungsoptionen
Mutual LI Solution
Wieso wir heute
zusammengekommen sind
Pflichten der FDA gegenüber ÜPF
«Jede FDA ist verpflichtet, Überwachungsaufträge
gemäss den Richtlinien und Verfügungen des Dienstes
ÜPF auszuführen…
Pflichten der FDA gegenüber ÜPF
https://www.li.admin.ch/de/themes/duties.html
Um Überwachungen vornehmen zu können, muss jede
FDA eine geeignete Anlage bereithalten. Alle FDA
müssen jederzeit in der Lage sein,
Überwachungsmassnahmen durchzuführen.
Pflichten der FDA gegenüber ÜPF
Um die Überwachungsbereitschaft der FDA
sicherzustellen, führt der Dienst ÜPF bei diesen ein
Compliance-Verfahren durch.
Pflichten der FDA gegenüber ÜPF
Die FDA sind gemäss VÜPF verpflichtet, dem Dienst
ÜPF die Namen ihrer Kontaktpersonen (Lawful
Interception Officer bzw. LI Officer) zu nennen (Art.
18 Abs. 3 und 26 Abs. 3 VÜPF).»
Pflichten der FDA gegenüber ÜPF
“A problem well defined is a
problem half-solved.”
– John Dewey
Problemanalyse
• Wo bewegen wir uns? Was ist der Kontext?
• Welche Kräfte wirken in diesem Kontext?
• Wo stehe ich mit meiner Pflicht?
• Wo bewegen wir uns? Was ist der Kontext?
• Welche Kräfte wirken in diesem Kontext?
• Wo stehe ich mit meiner Pflicht?
Kontext
Überwachungsaufträge
Richtlinien
Verfügungen
ÜPF
Provider
Fernmeldedienstanbieter
FDA
ISP
«geeignete Anlage»
«jederzeit in der Lage»
Compliance-Verfahren Vorratsdatenspeicherung
VÜPF
BÜPF Revision
Politische & gesellschaftliche
Aspekte
Technische
Aspekte
Finanzielle
Aspekte
Juristische
Aspekte
Eingriff in Grundrechte
Missbrauch
Digitale Vernetzung
Gesetze
Kontext
Überwachungsaufträge
Richtlinien
Verfügungen
ÜPF
Provider
Fernmeldedienstanbieter
FDA
ISP
«geeignete Anlage»
«jederzeit in der Lage»
Compliance-Verfahren Vorratsdatenspeicherung
VÜPF
BÜPF Revision
Politische & gesellschaftliche
Aspekte
Technische
Aspekte
Finanzielle
Aspekte
Juristische
Aspekte
Eingriff in Grundrechte
Missbrauch
Digitale Vernetzung
Gesetze
Kontext
Überwachungsaufträge
Richtlinien
Verfügungen
ÜPF
Provider
Fernmeldedienstanbieter
FDA
ISP
«geeignete Anlage»
«jederzeit in der Lage»
Compliance-Verfahren Vorratsdatenspeicherung
VÜPF
BÜPF Revision
Politische & gesellschaftliche
Aspekte
Technische
Aspekte
Finanzielle
Aspekte
Juristische
Aspekte
Eingriff in Grundrechte
Missbrauch
Digitale Vernetzung
Gesetze
Kontext
Überwachungsaufträge
Richtlinien
Verfügungen
ÜPF
Provider
Fernmeldedienstanbieter
FDA
ISP
«geeignete Anlage»
«jederzeit in der Lage»
Compliance-Verfahren Vorratsdatenspeicherung
VÜPF
BÜPF Revision
Politische & gesellschaftliche
Aspekte
Technische
Aspekte
Finanzielle
Aspekte
Juristische
Aspekte
Eingriff in Grundrechte
Missbrauch
Digitale Vernetzung
Gesetze
Kontext
Überwachungsaufträge
Richtlinien
Verfügungen
ÜPF
Provider
Fernmeldedienstanbieter
FDA
ISP
«geeignete Anlage»
«jederzeit in der Lage»
Compliance-Verfahren Vorratsdatenspeicherung
VÜPF
BÜPF Revision
Politische & gesellschaftliche
Aspekte
Technische
Aspekte
Finanzielle
Aspekte
Juristische
Aspekte
Eingriff in Grundrechte
Missbrauch
Digitale Vernetzung
Gesetze
• Wo bewegen wir uns? Was ist der Kontext?
• Welche Kräfte wirken in diesem Kontext?
• Wo stehe ich mit meiner Pflicht?
Interessen
Aufklärung schwerer
Verbrechen
ÜPF «Die Grossen» Die «Kleinen» Strafverfolgungsbehörden
Alternatives Business
Model LI?
Konzentration auf
Kernbusiness
technische
Überwachungen
Investitionsschutz
Mehraufwände
Kosten
• Wo bewegen wir uns? Was ist der Kontext?
• Welche Kräfte wirken in diesem Kontext?
• Wo stehe ich mit meiner Pflicht?
Ausführung
Überwachungsaufträge
Juristische Pflicht
Ausführung
Überwachungsaufträge
Juristische Pflicht
«geeignete Anlage»
Technisches
Ausführung
Überwachungsaufträge
Beschaffung
Juristische Pflicht
«geeignete Anlage»
Technisches Finanzielles
Ausführung
Überwachungsaufträge
Beschaffung
Integration
Juristische Pflicht
«geeignete Anlage»
Technisches Finanzielles
Ausführung
Überwachungsaufträge
Beschaffung
Integration
Juristische Pflicht
«geeignete Anlage»
Technisches
Compliance
Finanzielles
Ausführung
Überwachungsaufträge
Beschaffung
Integration
Juristische Pflicht Finanzielles
«geeignete Anlage»
Technisches
Compliance
«jederzeit in der Lage»
Ausführung
Überwachungsaufträge
Beschaffung
Integration
Juristische Pflicht Finanzielles
«geeignete Anlage»
Technisches
Compliance
«jederzeit in der Lage»
Betrieb
Ausführung
Überwachungsaufträge
Beschaffung
Integration
Juristische Pflicht Finanzielles
«geeignete Anlage»
Technisches
Compliance
«jederzeit in der Lage»
Betrieb
Vorratsdatenspeicherung...
Compliance
«geeignete Anlage»
«jederzeit in der Lage»
Beschaffung
Vorratsdatenspeicherung...
Technisches Finanzielles
Ausführung
Überwachungsaufträge
Betrieb
Integration
goto 0
Juristische Pflicht
Ausschliesslich eine Beschaffungsfrage?
Compliance
«geeignete Anlage»
«jederzeit in der Lage»
Beschaffung
Vorratsdatenspeicherung...
Technisches Finanzielles
Ausführung
Überwachungsaufträge
Betrieb
Integration
goto 0
Juristische Pflicht
Ausschliesslich eine Beschaffungsproblem?
Nein!
«Jede FDA ist verpflichtet, Überwachungsaufträge
gemäss den Richtlinien und Verfügungen des Dienstes
ÜPF auszuführen…»
«Jede FDA ist verpflichtet, …»
2 Optionen:
Nicht Okay: Ignorieren (Stichwort «Email»)
Risiko Konventionalstrafe
Okay: Beschaffen (Wann, wie, was, wieviel?)
Integrieren (Wie, wieviel?)
Betreiben (Wie, wieviel?)
Klassische Beschaffung
Requirements Engineering: 4 PT 4K
Offerten einholen/vergleichen: 4 PT 4K
Eigentliche Beschaffung: 50K
Integration: Delivery Network 5 PT 5K
Compliance: Technische Richtlinien, Tests 10 PT 10K
Juristisches 4 PT 4K
Pikettt, Wartung, SLA
Administration
Ingredienzien
max(Compliance)
min(Mehraufwände)
min(Beschaffungskosten)
max(Interessensvertretung)
max(Investitionsschutz)
min(Betriebskosten)
Entschädigung, zukünftige Anforderungen
Administration, Juristisches
Technische Richtlinien, Delivery Network, Tests, …
Pikettt, Wartung, SLA
Amortisation, Nachhaltigkeit, Vorratsdatenspeicherung, …
Requirements Engineering, Offertenvergleich,
Anlage beschaffen, Integration, …
Erfolgsfaktoren
max(Compliance)
min(Mehraufwände)
min(Beschaffungskosten)
max(Interessensvertretung)
max(Investitionsschutz)
min(Betriebskosten)
«Der Bundesrat ist den FDA in einem weiteren Punkt entgegen gekommen…
Er hat entschieden, dass die Anbieterinnen die Infrastruktur, die für die Überwachung nötig ist, nicht selber beschaffen und die Überwachung auch nicht selber durchführen müssen.
Sie können einen Dritten beauftragen oder sich mit anderen zusammenschliessen, um die nötige Infrastruktur gemeinsam zu kaufen oder zu mieten.
max(Compliance)
min(Mehraufwände)
min(Beschaffungskosten)
max(Interessensvertretung)
max(Investitionsschutz)
min(Betriebskosten)
… gemeinsame Beschaffung/Miete der
technischen Lösung (Ausleihprinzip)
… geteilte Betriebskosten (Shared Use,
Pikett, Administratives, Amortisation)
… Reduktion von Administrativem,
Juristischem (SPOC)
… einmalige Compliance Tests
… Investitionsschutz durch Interessensvertretung
… Interessensvertretung durch Verbandslösung
Die vom BR formulierte «Gemeinschafts»-
Option ist ein Türöffner
Mutual LI Solution CH
MLS
Geteiltes Leid ist halbes Leid
Selbsthilfemassnahme
Zweckgemeinschaft
Vision
Genossenschaft (Zweckgemeinschaft) die …
Technische Infrastruktur bereitstellt
Pikettleistungen garantiert
Delivery Network betreibt (Compliance)
Juristisches und Administratives klärt
Interessen vertritt (Transparenz, Nachhaltigkeit, Vorratdatenspeicherung, …)
Vision
Genossenschaft (Zweckgemeinschaft) die …
Technische Infrastruktur bereitstellt
Pikettleistungen garantiert
Delivery Network betreibt (Compliance)
Juristisches und Administratives klärt
Interessen vertritt (Transparenz, Nachhaltigkeit, Vorratdatenspeicherung, …)
«geeignete Anlage»
Gemeinschaftslösung
«geeignete Anlage»
Technische Infrastruktur
Pikettorganisation
Compliance
Gemeinschaftslösung
«geeignete Anlage»
Technische Infrastruktur
Pikettorganisation
Compliance
Zertifizierung, SPOC
Gemeinschaftslösung
Technische Infrastruktur
Pikettorganisation
Compliance «geeignete Anlage»
Zertifizierung, SPOC max(Compliance)
min (Beschaffungskosten)
min (Betriebskosten)
Gemeinschaftslösung
Vision
Genossenschaft (Zweckgemeinschaft) die …
Technische Infrastruktur bereitstellt
Pikettleistungen garantiert
Delivery Network betreibt (Compliance)
Juristisches und Administratives klärt
Interessen vertritt (Transparenz, Nachhaltigkeit, Vorratdatenspeicherung, …)
Technische Infrastruktur
Pikettorganisation
Compliance «geeignete Anlage»
Zertifizierung, SPOC max(Compliance)
min (Beschaffungskosten)
min (Betriebskosten)
Gemeinschaftslösung
Technische Infrastruktur
Pikettorganisation
Compliance «geeignete Anlage»
Zertifizierung, SPOC max(Compliance)
min (Beschaffungskosten)
min (Betriebskosten)
Juristisches & «Postfach» min (Mehraufwände)
Gemeinschaftslösung
Technische Infrastruktur
Pikettorganisation
Compliance «geeignete Anlage»
Zertifizierung, SPOC max(Compliance)
min (Beschaffungskosten)
min (Betriebskosten)
Juristisches & «Postfach» min (Mehraufwände)
Interessensvertretung
(Nachhaltigkeit, Transparenz)
Parlament
max(Investitionsschutz)
Gemeinschaftslösung
Genossenschaft MLS
Juristisches & «Postfach»
Interessensvertretung
(Nachhaltigkeit, Transparenz)
Parlament
Zweckgemeinschaft
Technische Infrastruktur
Pikettorganisation
Compliance «geeignete Anlage»
Zertifizierung, SPOC max(Compliance)
min (Mehraufwände)
min (Beschaffungskosten)
max(Investitionsschutz)
min (Betriebskosten)
Gemeinschaftslösung
Genossenschaft MLS
Juristisches & «Postfach»
Interessensvertretung
(Nachhaltigkeit, Transparenz)
Parlament
Zweckgemeinschaft
Technische Infrastruktur
Pikettorganisation
Compliance «geeignete Anlage»
Zertifizierung, SPOC max(Compliance)
min (Mehraufwände)
min (Beschaffungskosten)
max(Investitionsschutz)
min (Betriebskosten)
Gemeinschaftslösung
Technische Infrastruktur «geeignete Anlage»
Beschaffung/Miete
Compliance (HI1-3)
Investitionsschutz
Transparenz
Mandantentauglichkeit
Technische Infrastruktur «geeignete Anlage»
Beschaffung/Miete
Compliance (HI1-3)
Investitionsschutz
Transparenz
Mandantentauglichkeit
oder gemeinsame «Eigenentwicklung»
«geeignete Anlage»
Target CPE
Network
Element Internet
ÜPF
Aktiv
Provisioning
Mediation
Device
HI-2/3
Handover Interface
Probe
Passiv
ÜPF MLS
HI-1
Verfügung
MLS Member
Prüft
Verfügung
und gibt frei
Coordinator MLS & Member Member
Network
MLS
Mediation Device
Verpackung in ETSI HI-2/3 &
Auslieferung
Koordination Freigabe
Auftrag zur
Umsetzung
Ausleitung an
Mediation Dev.
Setup LI-Case
Ablauf Überwachung
ÜPF MLS
HI-1
Verfügung
MLS Member
Prüft
Verfügung
und gibt frei
Coordinator MLS & Member Member
Network
MLS
Mediation Device
Verpackung in ETSI HI-2/3 &
Auslieferung
Koordination Freigabe
Auftrag zur
Umsetzung
Ausleitung an
Mediation Dev.
Setup LI-Case
Ablauf Überwachung
Initial Costs «Eigenentwicklung»
Requirement Eng. ~ 10K
Development ~ 120K
Testing ~ 10K
HW-Kosten ~ 40K
ÜPF-Zertifizierung ~ 30K
Setup bei Telcos ~ 90K
~ 300K
Pikettt/Supportline ~ 80K
Koordination (SPOC) ~ 30K
Further Development ~ 40K
Project office ~ 40K
Legals (SPOC) ~ 40K
Recurring Costs (yearly)
~ 250K
Ist eine gemeinschaftliche «Eigenentwicklung» in
eine Option?
Ja!
Ist eine Gemeinschaftslösung «feasible»?
Ja, ab 20 FDA
Interessensvertretung
«Die Kosten für diese
Überwachungsmassnahmen geben
immer wieder Anlass zu Konflikten.
Hier besteht eben ein klarer
Interessenkonflikt, und dieser wird auch
mit der heute verabschiedeten Revision
der Gebührenverordnung nicht gelöst.
Der Interessenkonflikt spielt sich zwischen drei
Akteuren ab:
Die Bundesanwaltschaft und die Kantone verlangen,
dass ihre Überwachungsaufträge möglichst wenig
kosten. Das ist nachvollziehbar.
Die Fernmeldedienstanbieterinnen wollen
demgegenüber für ihre Leistungen vollständig
entschädigt werden. Auch das ist verständlich.
Und der Dienst ÜPF im EJPD, der im Auftrag von
Kantonen und Bundesanwaltschaft handelt, soll
seinen Kostendeckungsgrad erhöhen. Das ist ein
klarer Auftrag des Parlaments.
Damit wird deutlich, dass das alles nicht
zusammengeht. Wir konnten diese Zielkonflikte
kurzfristig nicht lösen, aber wir werden im Rahmen
der Totalrevision des BÜPF gemeinsam mit den
Beteiligten nach einem gangbaren Weg suchen.»
Interessensvertretung auf Verbandsebene macht
Investitionsschutz wirklich möglich
Win – Win - Win
«Kleine» ÜPF Strafverfolgung
Was ist wichtig?
Ich habe 2 Optionen
Frau Sommaruga ermöglicht 3. Szenario: MLS
MLS und die «Erfolgsfaktoren» matchen
MLS ist «feasible» ab 20 FDA
Je mehr FDA mitmachen, desto interessanter
Win-Win-Win
Next Steps
Commitment durch Unterzeichnung Letter Of Intent
Workshop
Bildung der Interessensgemeinschaft
(Genossenschaft)
Beschaffung «Eigenentwicklung» technische
Infrastruktur durch Genossenschaft
Betrieb durch Genossenschaft
Copyrights: Bilder aus http://alltheragefaces.com/ und Wikipedia
"don't call us, we'll call you."