Nun gerät auch die IT-Security-Firma InfoGuard in den Dunstkreis der Enthüllungen zur Crypto AG, die seit 1970 von der CIA und zeitweise auch vom deutschen Geheimdienst BND kontrolliert worden war.

Der Grund sind zwei Politiker im Verwaltungsrat von Crypto AG und InfoGuard, die sich als "Schwesterfirmen" bezeichnet haben.

Beweise, was sie genau wussten, fehlen bis anhin.

Es gab zur Zeit, als die CIA die Kontrolle über die Crypto AG gehabt haben soll, weitere personelle Verflechtungen zwischen Crypto AG und InfoGuard AG.

Genau dies hatten allerdings 'Washington Post, 'ZDF und die "Rundschau" von 'SRF' einhellig berichtet.

Ob sie von der CIA und den Backdoors in Crypto-Verschlüsslern wissen konnten, oder in ihren Funktionen wissen mussten, ist offen. Ebenso unklar ist laut den "Crypto-Leaks"-Enthüllungen die Rolle der CIA bei der Crypto AG zwischen 2000 und 2018.

Wie steht es mit Thomas Meier, seit 2001 InfoGuard-CEO und heute Delegierter des Verwaltungsrats und CEO? Meier will nicht persönlich mit inside-it.ch sprechen, schaltet eine Kommunikationsagentur und einen Anwalt vor. "Thomas Meier, CEO InfoGuard AG, hält fest, dass er keine Kenntnisse über die Verbindungen der ehemaligen Crypto AG zu Nachrichtendiensten hatte", lautet die schriftliche Antwort auf die Anfrage.

Des Weiteren heisst es seitens der Firma: "InfoGuard AG war eine unabhängige Schwestergesellschaft der Crypto AG. Aufgrund der unterschiedlichen Märkte war InfoGuard AG sowohl strategisch als auch operativ stets mit eigenem Management unterwegs, räumlich und personell getrennt. InfoGuard AG hat und hatte keine Beziehungen zu Nachrichtendiensten. Es bestanden keine Abhängigkeiten und es gab nie eine Einflussnahme auf Personen des Managements oder auf Mitarbeiter. InfoGuard AG liefert keine Daten irgendwohin."

Nun gibt es Unternehmen, bei denen beispielsweise Verwaltungsräte Zugriff auf interne Dokumente von Kunden haben. Wie war dies bei InfoGuard geregelt, seit sie unter Führung von Meier stand? "Weder Mitglieder des Verwaltungsrates noch andere Stellen hatten zu irgendeinem Zeitpunkt Zugriff auf Systeme oder Daten der InfoGuard AG. Der Zugriff ist strikt auf die Mitarbeitenden der InfoGuard AG limitiert und wird auch überwacht", schreiben die Firmenvertreter. "InfoGuard AG hält sich strikt an die gesetzlichen Vorgaben und mit den einzelnen Kunden vertraglich vereinbarten Vorgaben betreffend Datensicherheit. Diese schliessen typischerweise ein breites Spektrum von Massnahmen mit ein; Beispiele dafür sind eine strikte Definition von Rollen und Rechten, das Vier- und teils Sechsaugenprinzip bei delikaten Aufgaben, das Zurverfügungstellen aller Auditlogs, das Durchführen von Backgroundchecks und die ISO-Zertifizierung 27001."

Wenn die CIA oder allfällige Mitwisser bei Crypto AG/InfoGuard keinerlei Chancen hatten, an interne Dokumente von Kunden wie beispielsweise von Credit Suisse, Nationalbank, Kernkraftwerk Gösgen-Däniken, Pilatus Flugzeugwerke oder Novartis zu kommen, gab es einen weiteren Weg? Holten sich InfoGuard-Kunden gleichzeitig die CIA ins Haus, beispielsweise mit InfoGuard Layer-2-Verschlüsselungslösungen auf der Basis von Crypto-Hardware und -Software?

Alle Verschlüsselungsgeräte werden von InfoGuard laut eigenen Angaben auf der Website "vollumfänglich von InfoGuard hergestellt und erfüllen höchste Sicherheitsansprüche."

Laut Aussagen eines Ex-Mitarbeiters, der nicht namentlich genannt werden will, war Crypto AG an der Herstellung dieser Geräte beteiligt. "Ja, ich bin mir sicher, dass InfoGuard branded L2-Verschlüssler von Crypto gefertigt wurden. Und wer soll denn den Algorithmus (AES-256) implementiert haben, wenn nicht Crypto AG?" Dasselbe suggeriert auch die öffentlich zugängliche "Marktübersicht Ethernet-Verschlüssler für Metro und Carrier Ethernet" von Christoph Jaggi, welche inside-it.ch präsentiert.

In der Ausgabe 2015 sind auch die Spezifikationen zu den InfoGuard-Layer-2-Lösungen aufgelistet. Beim Thema "Used Platform" sowohl bei "Mainboard/Firmware" als auch bei Key Management wird "InfoGuard/Crypto" genannt.

Die Daten in der Marktübersicht basieren auf Selbstdeklaration der Anbieter und InfoGuard-CEO Thomas Meier sowie ein weiterer Mitarbeiter werden explizit verdankt. "Sie gehören zu den vielen Leuten, die diese Marktübersicht erst möglich gemacht haben", heisst es im Papier. InfoGuard/Crypto hat die 2015 publizierte Version nie korrigiert.

Frage an InfoGuard: Wurden diese Geräte von Crypto entwickelt und für InfoGuard anstatt mit einem proprietären Algorithmus mit einem AES-256 Algorithmus versehen? Dies sagen externe Experten, dasselbe suggeriert die beiliegende Marktübersicht 2015, oder warum sonst ist "InfoGuard/Crypto" im Kapitel "InfoGuard" gleichgestellt?

"Ja, die Verschlüsselungsprodukte von InfoGuard AG basieren auf dem international anerkannten Standard-Algorithmus (AES 256), wie er auch in allen anderen Sicherheitsprodukten auf dem Markt eingesetzt wird. Aufgrund des technologischen Wandels wurden dedizierte Verschlüsslungslösungen seit bald 10 Jahren zunehmend durch integrierte Sicherheitslösungen von international anerkannten Herstellern ersetzt. InfoGuard hat die Verschlüsselungslösungen mehrheitlich vor mehr als 10 Jahren verkauft – heute sind diese bei Schweizer Kunden auch nur noch vereinzelt im Einsatz. Somit haben die Verschlüsselungslösungen für InfoGuard seit vielen Jahren geschäftsmässig keine Relevanz mehr."

Zwei unabhängige Experten bestätigen, dass der AES-256-Standard öffentlich, oft verwendet und theoretisch sicher ist. "Das heisst aber nicht, dass die ingenieurmässige Umsetzung in den Verschlüsslern ebenfalls sicher ist", sagt einer von ihnen.

Darum die Frage an den IT-Security-Anbieter InfoGuard: Wenn BND/CIA über Jahrzehnte Sicherheitsorganisationen in über 100 Ländern überlisten konnten, wieso soll denn das beim implementierten AES-256 anders sein? Wenn die Geheimdienste Kryptologen in aller Welt täuschen konnten, dann dürfte ein kommerzieller Auditor, Pen-Tester oder anderer Spezialist solche Backdoors beziehungsweise Schwachstellen nur sehr schwer finden können. Wie stellen Sie als anerkannte Security-Experten sich dazu: Können Sie diese finden?

"InfoGuard AG weist nochmals darauf hin, dass die Verschlüsselungsprodukte, welche (wie oben geschildert) mehrheitlich vor mehr als 10 Jahren verkauft wurden und heute nur noch vereinzelt bei Kunden im Einsatz sind, weder manipuliert noch mit Hintertüren versehen sind. Verschiedene Kunden der InfoGuard AG haben die Verschlüsselungslösungen durch externe Schweizer Experten überprüfen lassen und stets als sicher eingestuft. InfoGuard AG weist in diesem Zusammenhang auch nochmals darauf hin, dass aus der aktuellen Medien-Berichterstattung klar hervorgeht, dass die Schweiz und Geschäftskunden nie Ziel der nachrichtendienstlichen Aktivitäten waren."

Die InfoGuard-Vertreter fügen hinzu: "Über die Details der internen oder externen Sicherheitsüberprüfungen kann InfoGuard AG – nicht zuletzt aus Sicherheitsüberlegungen – im Interesse der Kundinnen und Kunden keine Auskunft geben. InfoGuard AG hält aber ergänzend fest, dass es auch über die Betriebssicherheitserklärung des VBS verfügt, dessen Geheimschutzverfahren eine Fülle von Sicherheitsmassnahmen umfasst, und dass sich sämtliche Mitarbeitenden von InfoGuard AG periodisch einer Personensicherheitsüberprüfung des Bundes unterziehen müssen."

In der Tat stellt sich die Frage des Motivs: Welches Interesse hätte die CIA an Daten von vielen Schweizer Banken, Versicherungen, Chemiefirmen und Industriebetrieben gehabt haben können?

Es wird sich zeigen, ob die Geschäftskunden das bisherige Vertrauen in die "alte" InfoGuard auch in die "neue" InfoGuard haben werden.

Diese neue Firma ist durch ein Management-Buyout entstanden, das gleichzeitig mit einem Management-Buyout der alten Crypto AG stattfand. In diesem Zuge verschwand auch "The Crypto Group", welche früher über beiden Firmen stand.

Wem gehört das neue Unternehmen InfoGuard, das am 1. Februar 2018 entstand? "InfoGuard AG ist vollständig im Besitz von vier Schweizer Privatpersonen (Thomas Meier, Robert Schlup, Giuliano Otth und Markus Stadler) mit Beteiligung der Geschäftsleitung (Stefan Thomann, Franco Cerminara, Ricardo Balseiro, Ernesto Hartmann, Raphael Kugler) und der Führungscrew. InfoGuard AG hat und hatte keine Beziehungen zu Nachrichtendiensten. Es bestanden keine Abhängigkeiten und es gab nie eine Einflussnahme auf Personen des Managements oder auf Mitarbeiter."

Unbeantwortet liess die Firma einzelne Fragen: Was tun Sie konkret, um für Ihre Kunden ein vertrauenswürdiger und glaubwürdiger Partner zu bleiben? Auch zum möglichen Schaden für den Ruf der Schweiz und der Schweizer IT- und IT-Security-Industrie durch die Schwesterfirma Crypto AG sagt InfoGuard nichts.

Der Schweizer Geschäftsbereich der alten Crypto AG hiess nach deren Management-Buyout 2018 zuerst Crypto Schweiz AG und in einem weiteren Schritt CyOne Security. Der Management Buy-out der Schwesterfirma wurde laut Medienmitteilung angeführt von Robert Schlup, Giuliano Otth und Thomas Meier, dem CEO von InfoGuard AG.

Bei CyOne Security arbeitet Otth aktuell als CEO und InfoGuard-Mitbesitzer Stadler aktuell als CTO. Laut seinem LinkedIn-Profil war Stadler zuvor fast 20 Jahre bei Crypto AG und zwar in einer zentralen Funktion: Als Head of Development and Product Management.

CyOne Security bietet heute teilweise ähnliche Dienstleistungen wie InfoGuard im Schweizer Behördenmarkt an.

Zum Preis der beiden Management Buyouts wurden keine Angaben publiziert. Beide Firmen übernahmen laut Medienmitteilung je etwa die Hälfte der früheren 150 Mitarbeitenden beider Vorgänger-Unternehmen und deren Kunden.

Korrigenda (19.2.): im letzten Satz ist uns ein Fehler unterlaufen. Aus der Crypto AG entstand bei einem Management Buyout Crypto Schweiz AG (heute CyOne Scurity) und der internationale Teil der Firma ging an Schweden (heute Crypto International).  InfoGuard war eigenständig und hat im Rahmen des eigenen MBOs  von der ehemaligen Crypto AG keine Mitarbeitenden übernommen.