Crypto AG: Schweiz profitierte von schwachen Verschlüsslern

10. November 2020, 16:40
image

Die Geschäftsprüfungsdelegation ortet in ihrem Bericht politische Mitverantwortlichkeiten, aber keine Gesetzesverstösse.

Die Geschäftsprüfungsdelegation (GPDel) des Parlaments hat ihren "Inspektionsbericht" veröffentlicht, der die Vorgänge rund um den Schweizer Verschlüsselungshersteller Crypto AG beleuchten soll.
Parallel dazu untersuchte ein Alt-Bundesrichter die Aktenlage zur Spionageaffäre, die vor einigen Monaten durch Medienrecherchen aufgedeckt worden war. Dieser Bericht allerdings sei als geheim klassifiziert, so Alfred Heer, Nationalrat und Präsident der GPDel, an einer Medienkonferenz, "da seine Offenlegung den Landesinteressen schaden und Menschen an Leib und Leben gefährden könnte".
Einige Erkenntnisse seien in den publizierten Bericht der GPDel eingeflossen und inhaltlich wie in der rechtlichen Beurteilung stimmten beide im Wesentlichen überein.
Der Inspektionsbericht basiert hauptsächlich auf Akten, die "durch einen Glücksfall" in einem Bunker gefunden wurden, wo der Nachrichtendienst des Bundes (NDB) sie gelagert habe.
Zu den Akten kam die Befragung von 32 Angestellten des Bundes, darunter aktive Bundesräte und mit Kaspar Villiger, Samuel Schmid und Arnold Koller 3 ehemalige Bundesräte. Angestellte der Crypto AG oder dem Firmendach The Crypto Group AG wurden hingegen nicht befragt, diese befänden sich ausserhalb der Zuständigkeit der GPDel, wie Heer sagte. Ebensowenig wurde Alt-Bundesrat Adolf Ogi (VBS-Vorsteher 1995 – 2000) befragt. Er sei "nicht betroffen gewesen", hiess auf die Frage eines Journalisten.
Die Untersuchung war auf die rechtlichen und politischen Fakten und Einschätzungen sowie klar auf die Firma Crypto AG fokussiert, hielten die GPDel-Mitglieder fest. Sowohl die damalige Schwesterfirma Infoguard als auch die Crypto Group waren also nicht Untersuchungsgegenstand und werden im Inspektionsbericht mit keinem Wort erwähnt.
Die Resultate: der damalige Strategische Nachrichtendienst (SND), eine Vorgängerorganisation des Nachrichtendienstes des Bundes (NDB), wusste seit 1993, dass ausländische Nachrichtendienste hinter der Crypto AG standen.
Im Rahmen einer Vereinbarung arbeiteten die Schweizer mit den US-Geheimdiensten zusammen, die Schweiz habe dabei von Informationen profitiert, an welche das Land sonst nie herangekommen wäre.
Es sei gesetzlich zulässig, dass der Schweizer Nachrichtendienst und ausländische Dienste ein Tarn-Unternehmen in der Schweiz gemeinsam nutzten, um Informationen im Ausland zu beschaffen, so die juristische Beurteilung des Falles. Das Nachrichtendienstgesetz NDG gebe den entsprechend grossen Spielraum, sagten die Parlamentarier der GPDel.

Bundesrat in der Mitverantwortung

Allerdings war dabei laut GPDel ein "Nachrichtendienst im Nachrichtendienst" während Jahrzehnten aktiv, teilweise, ohne dass Vorgesetzte informiert waren, geschweige denn der Bundesrat oder die GPDel. Erst 2019, und damit nach der Aufspaltung von Crypto AG in zwei Nachfolgefirmen, sei der Bundesrat informiert worden.
Weil diese Kooperation "eine grosse politische Tragweite" aufweise, erachte die GPDel diese späte Information als falsch. "Die Tatsache, dass diese Zusammenarbeit so lange vor dem Bundesrat verborgen blieb, stellt aber auch einen Mangel in der Führung und in der Aufsicht durch den Bundesrat dar. Infolgedessen trägt der Bundesrat eine Mitverantwortung für den jahrelangen Export von 'schwachen' Geräten durch die Crypto AG."

Die Verschlüssler der Schweiz hatten Backdoors, aber...

Eine grosse Frage will die GPDel abschliessend beantworten können: Hat die Schweizer Armee selbst mit Crypto-AG-Verschlüsslern kommuniziert, die Backdoors hatten?
GPDel-Mitglied und Ständerat Werner Salzmann verneinte dies. Alle von Crypto AG bezogenen Geräte seien systematisch überprüft worden. Die Schweiz habe vom Hersteller nie Geräte mit schwacher Verschlüsselung erhalten. "Hingegen hat man in Geräten eines anderen Herstellers solche gefunden, einer Firma, die seit einigen Jahren nicht mehr existiert", sagte Salzmann. Den Firmennamen nennt die GPDel aber nicht.
Dies führte zur Empfehlung der GPDel bezüglich Beschaffung: Der "Bund bezieht keine Verschlüsselungslösungen von ausländischen Lieferanten. Inländische Lieferanten müssen dem Bund Gewähr geben, die sicherheitsrelevanten Aspekte der Entwicklung und Produktion kontrollieren zu können." Gleichzeitig müsse insbesondere beim VBS das nötige kryptografische Wissen vorhanden sein. Zudem müsse das VBS sicherstellen, dass die Fähigkeiten zur Kryptoanalyse mit den Bedürfnissen der Kommunikationsaufklärung, deren Möglichkeiten mit dem NDG auf die Kabelaufklärung ausgedehnt wurden, Schritt halten."

"Wir haben die Vergangenheit aufgearbeitet"

Der Bericht ist als PDF verfügbar und führt die Erkenntnisse und speziell die vollständigen Empfehlungen zur laut GPDel wünschbaren Aufsichtsrolle der politischen Führung auf.
Damit sei die Crypto-AG-Geschichte aufgearbeitet, sagte GPDel-Präsident Heer: "Wir haben die Vergangenheit aufgearbeitet und wir können nicht nur Vergangenheit betrachten. Das bringt uns nichts. Die entscheidenden Fragen für die Schweiz stellen sich jetzt: Wie geht es weiter mit den beiden Nachfolge-Firmen, politisch, bezüglich Verschlüsselungs-Geräten und der Zusammenarbeiten mit anderen Nachrichtendiensten. Was geschehen ist, ist geschehen, die Antworten liegen vor."
Bis am 1. Juni 2021 soll der Bundesrat dazu Stellung nehmen.

Loading

Mehr zum Thema

image

EPD-Infoplattform von eHealth Suisse gehackt

Unbekannte haben von der Website Patientendossier.ch Nutzerdaten abgegriffen. Das BAG erstattet Anzeige, gibt aber Entwarnung.

publiziert am 30.9.2022 3
image

Atos lehnt Übernahmeangebot des Konkurrenten Onepoint ab

Der kriselnde Konzern sollte für seine Cybersecurity-Sparte 4,2 Milliarden Euro erhalten. "Nicht im Interesse der Stakeholder", sagt der Verwaltungsrat.

publiziert am 30.9.2022
image

Softwareone erhält an einem Tag 2 Freihänder für fast 14 Millionen Franken

Der Stanser IT-Dienstleister ist bei Swissgrid Reseller für Standardsoftware und kann fürs Stadtzürcher OIZ die Lizenzen für die Microsoft-EDR-Lösung liefern. Dafür kassiert Softwareone Millionen.

publiziert am 30.9.2022
image

ALV braucht IT-Know-how für bis zu 55 Millionen Franken

In 8 Arbeitsgebieten sucht das Seco Digitalisierungs-Knowhow für die RAVs und die Arbeitslosenversicherung.

publiziert am 30.9.2022