Razzia bei Mullvad

Beim schwedischen VPN- und Browser-Anbieter Mullvad gab es eine Razzia:

https://mullvad.net/en/blog/2023/4/20/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised/

Übersetzung mit Deepl:

Mullvad VPN war Gegenstand eines Durchsuchungsbefehls. Kundendaten wurden nicht kompromittiert

Am 18. April besuchten mindestens sechs Polizeibeamte der Nationalen Einsatzabteilung (NOA) der schwedischen Polizei mit einem Durchsuchungsbefehl das Mullvad VPN-Büro in Göteborg.
Sie beabsichtigten, Computer mit Kundendaten zu beschlagnahmen.

In Übereinstimmung mit unseren Richtlinien existierten solche Kundendaten nicht. Wir argumentierten, dass sie keinen Grund hatten zu erwarten, dass sie finden würden, wonach sie suchten, und dass jegliche Beschlagnahmung daher nach schwedischem Recht illegal wäre. Nachdem wir ihnen gezeigt hatten, dass unser Dienst tatsächlich so funktioniert, und sie den Staatsanwalt konsultiert hatten, zogen sie ab, ohne etwas mitzunehmen und ohne irgendwelche Kundendaten.

Selbst wenn sie etwas mitgenommen hätten, hätten sie dadurch keinen Zugang zu Kundeninformationen erhalten.

Mullvad betreibt seinen VPN-Dienst seit über 14 Jahren. Dies ist das erste Mal, dass unsere Büros mit einem Durchsuchungsbefehl aufgesucht wurden.

Liest sich doch gut (naja, abgesehen davon, dass die Polizei halt da war…).

Das ist halt so wenn eine sehr schwere Straftat, mit einer IP in der Range von Mullvad in Zusammenhang steht.
Böse Zungen behaupten, alles inszenier,t um den Provider good standings zu verpassen
Ich möchte auch betonen das so was äußerst selten vorkommt, normalerweise werden die Anträge schriftlich an die Provider gestellt, die dann meist mit den Worten, wir haben leider nichts, beantwortet werden.

Neben diesem positiven Background einmal mehr lobenswert, dass Mullvad im hauseigenen Blog zeitnah über diesen unschönen Vorfall berichtet.

Hallo M-u-m-p-i-t-z,

danke für deinen Beitrag.

Hast du einen Link zu diesen „bösen Zungen“? Aber es wundert mich nicht, dass dann ganz schnell solche fatalistischen Behauptungen gemacht werden. Ich für meinen Teil habe bisher sehr gute Erfahrungen mit Mullvad gemacht und habe großes Vertrauen in ihren Dienst (und Vertrauen muss ich in Freie Software und die Community haben, da ich keinen Code lesen und beurteilen kann).

Nein,
das habe ich jetzt nur vorweg nehmen wollen bevor jemand das schreibt, das zu viel Aufmerksamkeit darum gemacht wird, normalerweise läuft das ohne viel tam tam. Ich kenne Mullvad auch als einer der Guten, auch schon Ewig dabei. Bis auf den Sitz in Schweden gibt es da nichts auszusetzen.

Erstaunlich und verwunderlich zugleich, dass ein solcher Anbieter in einem Land wie Schweden seine Dienste so kontinuierlich anbieten und auch so lange (~15 Jahre) aufrechterhalten kann.

Was meinst du damit? Ich habe Schweden bisher nicht als sonderlich auffällig angesehen, was Missachtung der Privatsphäre oder der Kampf gegen Computersicherheit angeht. Hast du da ein paar Infos außer, dass Schweden zur 14-Eyes alliance gehört?

Tiefgreifendere Hintergrundinformationen stehen mir leider keine zur Verfügung.
Aber: „14-Eyes alliance“ ist das Stichwort. Schweden gehört eben leider auch zu den europäischen Ländern, wo Privatsphäreschutz und vor allem Kryptografie zu den „Hindernissen“ in einer modernen, vernetzten Gesellschaft (europa-/weltweit gesehen) zählen.

Ich habe Schweden bisher nicht als sonderlich auffällig angesehen, was Missachtung der Privatsphäre oder der Kampf gegen Computersicherheit angeht.

Hinsichtlich der Razzia war mein erster Gedanke, dass Schweden momentan die Ratspräsidentschaft inne hat und bspw. in Sachen Chatkontrolle enormen Druck macht, dass die EU-Innenkommissarin Johansson, die die Chatkontrolle verantwortet, Schwedin ist und dass Mullvad eine beeindruckende Kampagne gegen die Chatkontrolle (Link) gestartet hat.

Das kann alles bedeuten oder auch nichts, aber ein Schuft, wer Böses dabei denkt. (Schuft=Ich)

Moin runaroundman,

das ist ein guter Hinweis. Danke dafür und für den Link zum Text von Mullvad. Werde ich mir heute zu Gemüte führen.
Und sooo schuftig bist du gar nicht…

Kleines Beispiel aus der Kampagne: https://mastodon.online/@mullvadnet/109983378820495741

Auch ich habe das im Hinterkopf. Allerdings fehlte mir die Kenntnis über den Blogbeitrag (Feb. 23).
Dankeschön, @runaroundman!

Ich habe mal in die zwei großen schwedischen Tageszeitungen reingeschaut und beide haben letzten Monat Leitartikel veröffentlicht, die die Chatkontrolle scharf kritisieren. Es ist also keineswegs so, dass die schwedische EU Kommissarin starken Rückenwind aus dem eigenen Land hat.

Dreimal Daumen hoch:

Wie kann so ein Vorschlag überhaupt Rückenwind haben, schon beim ersten Vorstellen des Antrags hätte man denjenigen mit Fackeln und Mistgabeln aus dem Parlament jagen müssen.

Die Expertengruppe geht zurück auf einen Vorschlag der schwedischen Präsidentschaft im Rat der Europäischen Union aus Januar 2023

https://www.patrick-breyer.de/vorratsdatenspeicherung-und-aushoehlung-von-verschluesselung-expertengruppe-soll-bis-mitte-2024-vorschlaege-fuer-ausweitung-von-ueberwachung-vorlegen/

EDIT:
Neuigkeiten zur Razzia: Deutschland ist schuld :
https://mullvad.net/en/blog/2023/5/2/update-the-swedish-authorities-answered-our-protocol-request/

Mullvad hat eine Antwort der schwedischen Strafverfolgungsbehörden auf ihre Nachfrage zu den Hintergründen der Razzia bekommen:

https://mullvad.net/de/blog/2023/5/2/update-the-swedish-authorities-answered-our-protocol-request/

Deepl-Übersetzung:

Update: Die schwedischen Behörden haben unsere Protokollanfrage beantwortet

2 Mai 2023

Seit dem Durchsuchungsbefehl der schwedischen Polizei im Büro von Mullvad in Göteborg haben wir versucht, an Dokumente und Protokolle im Zusammenhang mit der Operation zu gelangen.
Dies ist die Antwort der Behörden.

Am 18. April besuchten mindestens sechs Polizeibeamte der Nationalen Einsatzabteilung (NOA) der schwedischen Polizei mit einem Durchsuchungsbefehl das Büro von Mullvad VPN in Göteborg. Sie verließen das Büro ohne irgendetwas mitzunehmen und ohne jegliche Kundeninformationen.

Seitdem hat Mullvad den vom Staatsanwalt unterzeichneten Durchsuchungsbefehl sowie das Hausdurchsuchungsprotokoll der Polizei (das nach schwedischem Recht verpflichtend zu erstellen ist) angefordert. Wir haben die Dokumente angefordert, um besser zu verstehen, warum die Polizei uns zu diesem Zeitpunkt mit einem Durchsuchungsbefehl besuchen wollte. In all den Jahren bis jetzt war ihnen klar, dass sie nicht in der Lage sind, nicht vorhandene Daten zu beschlagnahmen.

Wir haben nun eine Antwort von der schwedischen Staatsanwaltschaft und dem zuständigen Staatsanwalt erhalten, die uns mitteilten, dass der Durchsuchungsbefehl eine Entscheidung war, die in internationaler rechtlicher Zusammenarbeit mit Deutschland getroffen wurde. Die schwedische Staatsanwaltschaft will jedoch keine näheren Angaben machen, und es wurden uns auch keine Protokolle mit Verweis auf die Vertraulichkeit vorgelegt.

Nachstehend finden Sie das Schreiben der Staatsanwaltschaft in vollem Wortlaut:

"Bezüglich Ihres Ersuchens um Kopien von Entscheidungen und Berichten

Die schwedische Strafverfolgungsbehörde hat ein Ersuchen um internationale
justizielle Zusammenarbeit von einem anderen Staat, Deutschland, erhalten zu einem Fall in
diesem Staat. In Übereinstimmung mit diesem Ersuchen habe ich am 17. Februar 2023 eine
Durchsuchung der Räumlichkeiten von Mullvad VPN AB und Amagicom AB angeordnet. Dieser Beschluss wurde am 18. April 2023 umgesetzt.
Gemäß Abschnitt 17, Kapitel 18 des schwedischen Gesetzes über den Zugang der Öffentlichkeit zu Informations- und Geheimhaltungsgesetz gilt die Geheimhaltung bei Tätigkeiten im Zusammenhang mit der justiziellen Zusammenarbeit auf Ersuchen eines anderen Staates um Informationen im Zusammenhang mit einer Ermittlungen gemäß den Bestimmungen über Voruntersuchungen in
Strafsachen oder Angelegenheiten, die Zwangsmaßnahmen betreffen, wenn angenommen werden kann dass es eine Voraussetzung für das Ersuchen des anderen Staates war, dass die Informationen nicht offengelegt werden sollten.
Aus Ihrem Schreiben geht auch hervor, dass die Frage bereits bei der schwedischen Staatsanwaltschaft zu diesem Vorfall gestellt wurde. Leider kann ich kein solches Ersuchen oder eine solche Anfrage finden."

Wir haben keine weiteren Informationen von der Nationalen Einsatzabteilung (NOA) der schwedischen Polizei erhalten, aber sie gaben ein Interview im schwedischen Fernsehen (SVT). Das schwedische Fernsehen hat auch einen Kommentar von der deutschen Staatsanwaltschaft erhalten:

"Laut Paul Pfeiffer, Staatsanwalt in der norddeutschen Stadt Rostock, steht die Operation im Zusammenhang mit einem Erpressungsangriff, der im Oktober 2021 mehrere kommunale Einrichtungen in Mecklenburg-Vorpommern traf. Infolge des Angriffs waren die Einrichtungen nicht in der Lage, ihre Aufgaben zu erfüllen.

• Bei den noch andauernden Ermittlungen wurde eine IP-Adresse gefunden, die zu dem VPN-Dienst Mullvad führte. Die Ermittlungen richten sich nicht gegen den VPN-Dienst", schreibt der Staatsanwalt in einer E-Mail.

In dem Fernsehbeitrag antwortet die schwedische Polizei (NOA) auch auf die Frage: „Sie haben sechs Polizeibeamte zu Mullvad geschickt und sind nicht fündig geworden, weil die von Ihnen angeforderten Daten nicht existierten. Würden Sie trotzdem sagen, dass es eine erfolgreiche Operation war?“

NOA: „Basierend auf dem Ermittlungsauftrag, den wir erhalten haben, sind wir der Meinung, dass wir getan haben, was sie verlangt haben.“

Während der Hausdurchsuchung argumentierten wir, dass sie (NOA) keinen Grund hatten zu erwarten, dass sie finden würden, wonach sie suchten, und dass jegliche Beschlagnahme daher illegal wäre. Nachdem wir ihnen gezeigt hatten, dass unser Dienst tatsächlich so funktioniert, und sie den Staatsanwalt konsultiert hatten, verließen sie das Haus, ohne etwas mitzunehmen und ohne irgendwelche Kundeninformationen.

Hätten sie jedoch etwas mitgenommen, hätten sie damit keinen Zugang zu den Kundeninformationen erhalten.

Dies sind die nationalen Gesetze, die es ermöglichen, einen datenschutzfreundlichen VPN-Dienst in Schweden zu betreiben:

Gesetz über elektronische Kommunikation (2022:482) (LEK) Gilt nicht für Mullvad VPN AB

Gemäß den Definitionen des LEK gilt das LEK nicht für Mullvad, da wir als VPN-Dienstleister weder als elektronisches Kommunikationsnetz noch als elektronischer Kommunikationsdienst angesehen werden.
Gesetz (2012:278) über die Sammlung von Daten in der elektronischen Kommunikation im Nachrichtendienst der Behörden zur Verbrechensbekämpfung (IHL)

Dieses Gesetz kann nur verwendet werden, um Nutzerdaten von Unternehmen anzufordern, die der LEK-Meldepflicht unterliegen. Das bedeutet, dass die Behörden weder LEK noch IHL nutzen können, um Informationen von Mullvad anzufordern.
Die schwedische Gerichtsverfassung (1942:740) (RB)

Demnach kann eine Hausdurchsuchung nicht nur bei der Person, die aus triftigen Gründen verdächtigt wird, sondern bei jeder Person veranlasst werden, sofern ein tatsächlicher Umstand vorliegt und konkret nachgewiesen werden kann, dass eine begründete Erwartung besteht, Gegenstände, die beschlagnahmt werden sollen, oder andere Beweise für die betreffende Straftat zu finden. Es können auch Gegenstände beschlagnahmt werden, von denen angenommen wird, dass sie für die Ermittlungen von Bedeutung sind.
Zusammenfassung

Da Mullvad VPN gesetzlich nicht verpflichtet ist, Daten über die Online-Aktivitäten unserer Nutzer zu sammeln - und da der reine Zweck unseres Dienstes darin besteht, die Nutzer vor der Sammlung solcher Daten zu schützen - liegt es in unserem Interesse, im Interesse unserer Kunden, im Interesse aller unserer Mitarbeiter und Eigentümer, keine Daten zu sammeln, und daher gibt es keinen vernünftigen Grund zu bezweifeln, dass wir keine Daten über die Online-Aktivitäten unserer Nutzer sammeln.

Lesen Sie alles über unsere No-Logging- und Datenschutzrichtlinien.

Edit: Ups, hab runaroundmans Edit übersehen…
Edit 2: Auf Bitte Zitat-Formatierung eingefügt