Denkt man an einen Nachrichtendienst, fällt einem zuerst das Bild von Agenten und sensiblen Informationen ein, die grosse Auswirkungen haben können. Dieser Gedanke ist nicht falsch; auch wenn es selten so actionreich zugeht wie in einem Bond-Film, bleiben Informationen wertvolle Güter. Sie können Kriege auslösen, entscheiden oder verhindern – oder Diktatoren stürzen. Deshalb unterhalten die meisten souveränen Staaten einen eigenen Nachrichtendienst, um wichtige Informationen zu beschaffen und zu schützen.
SRF Investigativ hat enthüllt, dass das Cyberteam des Nachrichtendienstes NDB über mehrere Jahre eng mit der umstrittenen Softwarefirma Kaspersky zusammenarbeitete. Das Team beschaffte illegal Daten und teilte Geheimdienstinformationen mit Kaspersky. Über Kaspersky gelangten diese Daten mutmasslich an den russischen Militärgeheimdienst GRU.
Neben Kaspersky kooperierte das Team auch mit weiteren russlandnahen Firmen; Honorare flossen teilweise über Kaspersky.
Als ich diese Zusammenfassung schrieb, kam mir der Fall wie ein schlechter Scherz vor. Besonders betroffen machte mich folgende Passage aus dem Geheimbericht:
«Die Cybersicherheitsfirma sei essentiell für die Arbeit des Cyberteams, wird W. zitiert, denn der NDB verfüge nicht über ausreichende Kompetenzen und Mittel, um Hacking-Aktivitäten eigenständig präventiv zu erkennen.»
Wenn der NDB nicht über die nötigen Kompetenzen verfügt, müssen diese doch aufgebaut werden – alles andere ist kaum glaubwürdig. 2018 wiesen befreundete westliche Geheimdienste den NDB auf den Missstand hin; reagiert wurde jedoch erst Ende 2020, als man den Verantwortlichen beurlaubte.
Die Affäre erinnert an den Film The Imitation Game, der zeigt, wie die Alliierten im Zweiten Weltkrieg versuchten, die Enigma-Verschlüsselung zu brechen. Als dies gelang, verschaffte es ihnen einen entscheidenden Vorteil; Zeitzeugen schätzen, der Krieg sei dadurch um zwei bis vier Jahre verkürzt worden.
Wie steht es heute um den Schutz unserer Informationen? Die SRF-Recherche legt nahe, dass es in der Schweiz nicht gut aussieht. Fehlen dem NDB Kompetenzen, Hackerangriffe zu erkennen oder eigene Systeme zu entwickeln, müssen diese aufgebaut werden. Nutzt man dagegen proprietäre Fremdsoftware, öffnet man fremden Akteuren einen Einstiegspunkt.
Die letzten Jahre haben gezeigt, dass Kriege keine Relikte der Vergangenheit sind. Naivität kann sich heute niemand leisten, ein NDB schon gar nicht. Es ist Zeit, die Beschaffungsstrategie zu überdenken: Auch das Schweizer Militär vertraut oft auf ausländische Software; vielleicht sollte man wieder stärker auf einheimische Kompetenzen setzen. Wird Software nicht selbst entwickelt, muss zumindest sichergestellt werden, dass keine Daten abfliessen – dies ist nur mit Open-Source-Software überprüfbar.
