Gedanken zum Geldspielgesetz

Im 52-seitigen Bundesgesetz über Geldspiele (Geldspielgesetz, BGS) existiert der Artikel 86 mit 5 Absätzen, der so weitreichende Konsequenzen haben kann, dass ich alle übrigen (vielleicht super tollen) Artikel dieses Gesetzes ignorieren muss!

Der Artikel 86 bedeutet im Klartext, dass die Internetanbieter (Provider) gezwungen werden können, den Netzwerkverkehr zu Spielangeboten die auf einer Sperrliste aufgeführt sind zu sperren.

Tönt auf den ersten Blick gut und einleuchtend. Aber… wie kann eine solche Sperre konkret umgesetzt werden?

Stand heute kann die konsequente Durchsetzung dieses Artikels nur folgendermassen realisiert werden: Jeglicher Netzwerkverkehr wird vom Provider durchsucht und falls dieser zu einem auf der Sperrliste aufgeführten Spielangebot geht wird die Verbindung gesperrt.

Dies setzt gemäss heutigem Wissensstand eine sogenannte Deep Packet Inspection voraus. Kurz gesagt wird jedes beim Provider ein- und ausgehende Netzwerkpaket (Internetverkehr) auf Stichworte, Adressen etc. durchsucht. Bei verschlüsseltem Netzwerkverkehr funktioniert dies nicht so einfach, da die Daten ja nicht im Klartext vorliegen. Der Verkehr muss vor der Durchsuchung mit einem passenden Schlüssel geöffnet (entschlüsselt) werden. Dieser Schlüssel hat im Normalfall jedoch nur der Empfänger, so kann der Netzwerkverkehr durch den Provider nicht durchsucht werden. Gemäss erwähntem Artikel 86 ist der Provider jedoch verpflichtet den Netzwerkverkehr zu durchsuchen, damit auf der Sperrliste aufgeführte Spielangebote gesperrt werden können. Um dem Artikel gerecht zu werden, wird der Provider diesen verschlüsselten Netzwerkverkehr vorsorglich sperren müssen – kein Zugang zu der gewünschten Webseite (z.B. Microsoft Office 365, iCloud etc.)!

Damit der Zugang zu diesen verschlüsselten Angeboten wieder funktioniert, muss der Provider in den Besitz des Schlüssels kommen, der den verschlüsselten Netzwerkverkehr öffnen kann. Dazu muss er folgenden Trick anwenden: Er gaukelt dem Benutzer vor, der gesuchte Server (z.B. Office 365) stehe bei ihm im Rechencenter. Dies funktioniert jedoch nur bedingt, da der Original-Server seine Antwort mit einem von einem beglaubigten Aussteller ausgestellten Zertifikat unterzeichnet. Der Provider kann für den vorgegaukelten Server ebenfalls ein solches Zertifikat ausstellen, jedoch ist dieses nicht von einer offiziellen Stelle beglaubigt worden. Daher wird die Verbindung beim Benutzer mit einem Zertifikatsfehler (siehe unten) angezeigt und vorerst gesperrt. Der Benutzer kann in vielen Fällen das gefälschte Zertifikat des Providers akzeptieren und gelangt auf die entsprechende Seite. Der Provider hängt nun in diesem Datenverkehr und kann alle ausgetauschten Daten inhaltlich durchsuchen und gegebenenfalls gar verändern! Insbesondere im Falle von E-Banking nicht unbedingt gewünscht, oder?

Die vielen auftauchenden Zertifikatsfehler werden über kurz oder lang lästig werden (wer kennt diese Meldungen nicht ):Auch dafür hat der Provider eine Abhilfe, er lässt den Benutzer sein Gerät so konfigurieren, damit alle von ihm ausgestellten Zertifikate ebenfalls als vertrauenswürdig beurteilt werden. Und von nun kann sämtlicher Internetverkehr von dem Provider überwacht und verändert werden! Dieses Vorgehen muss übrigens für jeden Provider wiederholt werden (d.h. in jedem neuen WLAN, Netzwerk etc.). Schlussendlich wäre der verschlüsselte Netzwerkverkehr mit dem Internet eine reine Farce.

Konsequenz: Alle Benutzernamen und Passwörter werden vom Provider gelesen und können abgegriffen und gespeichert werden! Falls dies nicht gewünscht ist, hilft nur ein NEIN zum Geldspielgesetz am 10. Juni!

Die Konsequenzen dieses Gesetzes für Firmen wage ich mir momentan nur am Ansatz auszumalen…