Der Schweizer Geheimdienst hatte Kontakte zu russischen Firmen. Das hat auch Vorteile

Was Kaspersky vor zehn Jahren veröffentlicht, hat Sprengkraft. Die russische IT-Sicherheits-Firma publiziert Details über eine technologisch äusserst ausgeklügelte Schadsoftware und macht diese damit unbrauchbar. Ein westlicher Geheimdienst hatte die Malware für seine Spionageaktionen eingesetzt. Zu den Zielen gehörten die Atomgespräche mit Iran und die russische Firma Kaspersky selbst. Und mittendrin war die Schweiz.

Im Frühjahr 2015 finden in Lausanne und Genf hochrangige Gespräche über ein Atomabkommen mit Iran statt. Beteiligt daran sind unter anderem die USA, Russland, China und Deutschland. Was die Diplomaten in den Konferenzräumen der Schweizer Luxushotels besprechen, interessiert einen Staat brennend, der nicht am Tisch sitzt: Israel.

Das Land startet deshalb eine Spionageaktion. Die Angreifer dringen in die IT-Systeme der Hotels ein. Sie benutzen dafür die Malware Duqu 2.0, eine Schadsoftware, so raffiniert, wie sie nur wenige Staaten entwickeln können.

Erst seit kurzem hat der Nachrichtendienst des Bundes (NDB) im Frühjahr 2015 ein Cyberteam. Es beginnt der Spionageaktion nachzuspüren. Dabei arbeitet der NDB laut einer Quelle mit der Firma Kaspersky zusammen, die Duqu 2.0 zuvor auf ihren Systemen entdeckt hat. Dem NDB gelingt es, an drei Orten zahlreiche infizierte Rechner sicherzustellen. Es kommt zu einem Verfahren der Bundesanwaltschaft, das später eingestellt wird. Doch auf diplomatischem Weg soll die Schweiz bei Israel interveniert haben.

Bei diesem Vorfall soll die Zusammenarbeit zwischen dem NDB und der IT-Sicherheits-Firma Kaspersky begonnen haben, die über mehrere Jahre dauerte. Dabei hatten besonders der Chef des Cyberteams des NDB und eine Vertrauensperson bei Kaspersky mehrmals Kontakt. Es dürfte sich dabei um den langjährigen Chef der Forschungs- und Analyseabteilung von Kaspersky gehandelt haben, einen angesehenen IT-Sicherheits-Spezialisten, der bis 2023 bei Kaspersky gearbeitet hat – und notabene nicht aus Russland, sondern aus Rumänien stammt.

Heute, zehn Jahre später, steht diese Kooperation mit Kaspersky in der Kritik. SRF hatte Einsicht in einen vertraulichen Untersuchungsbericht des NDB, welcher die Tätigkeit des Cyberteams thematisiert. Der Eindruck, den die Recherche von SRF erweckt: Das Cyberteam und vor allem dessen Chef seien Russland nahegestanden und hätten womöglich gar mit russischen Geheimdiensten kooperiert.

Doch diese Sichtweise überzeugt nicht. Mehrere IT-Sicherheits-Experten zweifeln im Gespräch mit der NZZ die Interpretation von SRF an. Sie beurteilen die Zusammenarbeit mit Kaspersky nicht als grundsätzlich problematisch. Die Fakten, die SRF nun publik gemacht hat, lassen zudem viele Fragen offen. Die Quellen der Vorwürfe, die SRF übernimmt, sind nicht unbefangen.

Insgesamt erscheint eine ganz andere Aussage plausibel: Die Zusammenarbeit mit Kaspersky kann für die Schweiz von grossem Vorteil gewesen sein. Das zeigt eine Analyse der umstrittenen Punkte.

IT-Sicherheits-Firmen sind für Nachrichtendienste interessante Kooperationspartner. Die privaten Firmen sehen Cyberoperationen von Staaten oder Kriminellen oft früher als die meisten Geheimdienste. Sie verfügen auch über Informationen, die sich mit anderen Daten zu einem grösseren Bild zusammenfügen lassen. Der Austausch von Informationen ist deshalb für beide Seiten attraktiv.

Die Firma Kaspersky, 1997 in Moskau gegründet, gehörte früh zu den wichtigsten IT-Sicherheits-Firmen und Anbietern von Antiviren-Software. Technisch hatte sie einen guten Ruf. Bei ihren Publikationen schonte die Firma lange auch die Cyberoperationen der russischen Geheimdienste nicht. Kaspersky publizierte viel über die Turla-Gruppe, die dem Inlandgeheimdienst FSB zugerechnet wird, aber auch zu APT 28, einer Cybereinheit des Militärgeheimdienstes GRU.

Dass der NDB ab 2015 im Cyberbereich nicht nur mit westlichen Firmen zusammenarbeitete, sondern auch mit Kaspersky, ist deshalb verständlich. Zwar annektierte Russland bereits im Jahr zuvor die ukrainische Halbinsel Krim, der Westen erliess in der Folge aber nur wenige Sanktionen. Der offene Konflikt zwischen Moskau und dem Westen war noch nicht ausgebrochen.

Gleichzeitig war schon damals, 2015, klar, dass Kaspersky gewisse Kontakte zum russischen Staat haben könnte – ohne gleich eine Scheinfirma russischer Geheimdienste zu sein. Einzelne Mitarbeiter können – offiziell oder inoffiziell – Informationen weitergeben und russischen Diensten als Quelle dienen.

Solche Verbindungen gibt es nicht nur in Russland oder anderen autoritären Staaten. Auch bei amerikanischen Firmen im Bereich Cybersicherheit wie Crowdstrike oder Microsoft ist davon auszugehen, dass es zumindest vereinzelt Kontakte zu US-Geheimdiensten gibt. So fällt zum Beispiel auf, dass amerikanische Sicherheitsfirmen praktisch nie technische Details über amerikanische oder andere westliche Cyberoperationen publizieren. Dass dies daran liegt, dass sie keine solchen Aktionen beobachten, ist eher unwahrscheinlich.

Entscheidend bei der Zusammenarbeit mit privaten IT-Sicherheits-Firmen ist es, die Risiken zu berücksichtigen. So ist es unproblematisch, von solchen Anbietern Informationen über Cyberoperationen und Angreifergruppen zu beziehen. Auch das Teilen von Informationen ist meist kein Sicherheitsrisiko.

Die grösste Bedrohung geht von der Software aus, welche solche Sicherheitsfirmen zur Abwehr von Angriffen anbieten. Der Kunde muss diese auf seinen Systemen installieren und mit weitreichenden Rechten ausstatten. Dies erlaubt einem Angreifer, die Software als Hintertüre zu den entsprechenden Systemen zu benutzen. Im Fall des NDB ging es jedoch nicht um solche Sicherheitssoftware, weil der Bund diese nicht installiert hat.

Der NDB ist laut SRF noch mit zwei weiteren Firmen in Kontakt gestanden, die Verbindungen zu Russland hatten. Diese Kooperation ist für SRF ein weiteres Indiz dafür, dass es beim NDB eine Russland-Affäre gebe. Doch die Verbindungen mit den beiden Anbietern von Serverdiensten, wie sie SRF beschreibt, scheinen unproblematisch gewesen zu sein.

Von der einen Firma, die von zwei Russen mitgegründet worden sei, habe der NDB mehrmals Daten von Servern erhalten. Die zweite Firma sei laut internem NDB-Bericht «die wichtigste Informationsquelle» für das Cyberteam gewesen. Das mag damit zusammenhängen, dass laut SRF «russische Hacker» die Server der Firma gerne nutzten. Dabei floss auch Geld vom NDB über Kaspersky an diese zweite Firma.

Diese Sachverhalte sind jedoch kein Hinweis auf eine Nähe des Cyberteams zu Russland. Im Gegenteil. Der NDB scheint über die Firmen an Informationen über russische Akteure herangekommen zu sein – was für seine Arbeit wichtig gewesen sein dürfte. Dass dabei Geld geflossen ist, stützt diese Interpretation. Denn bei Geheimdiensten ist es üblich, Quellen für ihre Informationen bezahlen. Dem NDB ist dies laut Gesetz sogar explizit erlaubt.

Der vielleicht spannendste Punkt in der SRF-Recherche ist die Warnung eines befreundeten Dienstes an den NDB. Im September 2018 hatte ein nicht genannter westlicher Partnerdienst den NDB darüber informiert, dass der russische Militärgeheimdienst GRU über «klassifizierte Informationen» verfüge, die ein NDB-Mitarbeiter über die Firma Kaspersky weitergegeben haben soll.

Die vertraulichen Angaben sollen russische Agenten betreffen, die sich im März 2018 in Den Haag befunden haben. Die genauen Umstände der Datenweitergabe sind ebenso unklar wie die Art der Informationen. Das macht eine Einschätzung schwierig. Doch es gibt auch für diesen Vorfall plausible Erklärungen, ohne dem NDB ein zweifelhaftes Verhalten attestieren zu müssen.

Im September 2016 führte der GRU in einem Hotel in Lausanne einen Cyberangriff auf Funktionäre der Welt-Anti-Doping-Agentur (Wada) durch. Der NDB konnte in der Folge mit seinen Cyberexperten jene zwei Agenten identifizieren, die für die Spionageaktion in die Schweiz gereist waren. Diese Informationen halfen den Niederlanden, im April 2018 vier GRU-Agenten zu enttarnen, die einen Angriff auf die Organisation für ein Verbot von Chemiewaffen (OPCW) in Den Haag geplant hatten. Zwei von ihnen waren die Agenten von Lausanne.

Die Informationen, die aus der Schweiz an den GRU geflossen sind, scheinen diesen Fall zu betreffen. Deshalb erscheint es höchst unwahrscheinlich, dass ein NDB-Mitarbeiter oder gar der Chef des Cyberteams zugunsten Russlands spionierte und die Informationen dem GRU weitergab. Denn das Cyberteam war ja zuvor an der Enttarnung der GRU-Agenten selbst massgeblich beteiligt. Zudem waren die Daten offensichtlich keine Warnung an den GRU. Sonst hätte dieser seine Agenten im Frühjahr 2018 nicht nach Den Haag geschickt.

Dass Informationen des NDB über Kaspersky an den GRU geflossen sind, lässt sich auch anders erklären. Der NDB hat aufgrund der Kooperation mit Kaspersky möglicherweise technische Indikatoren des Angriffs in Lausanne wie IP-Adressen, E-Mail-Adressen oder Teile der Schadsoftware mit der IT-Sicherheits-Firma geteilt. Denn Kaspersky hat auch zu dieser GRU-Gruppe APT 28 geforscht.

Die Weitergabe solcher Informationen stellt ein gewisses Risiko dar. Bei Kaspersky muss der NDB davon ausgehen, dass die Angaben an russische Behörden gehen könnten. Gleichzeitig hat Kaspersky gerade als russische Firma möglicherweise interessante Informationen, welche dem NDB im Fall des Angriffs auf die Wada helfen konnten, die Agenten zu identifizieren.

Eine Frage ist auch, ob die Informationen zum Zeitpunkt der Weitergabe bereits als heikel einzustufen waren. Bei technischen Indikatoren war das nicht unbedingt der Fall. Möglicherweise haben die Informationen erst im Nachhinein – durch den Kontext des GRU – jene Brisanz erhalten, die den Partnerdienst des NDB zu einer Warnung veranlasste.

Einzelne westliche Partnerdienste sahen das Cyberteam des NDB als Problem. Diese Erkenntnis lässt sich aus der Recherche von SRF ableiten. Von 2018 bis Herbst 2020 kam es mehrfach zu Interventionen von zwei befreundeten Nachrichtendiensten, die eine angeblich «illegale Datenweitergabe» und ein kompromittierendes Verhalten des Cyberteam-Chefs monierten. Was sie genau damit meinten, ist unklar.

Die beiden Dienste gingen offenbar so weit, dem NDB mit einem Ende der Zusammenarbeit zu drohen, falls der Chef des Cyberteams weiterbeschäftigt werde. Im Frühjahr 2021 wurde der betreffende Mitarbeiter abgesetzt und wechselte innerhalb des Bundes die Stelle.

Als Grund für den Abgang galt damals, dass der NDB jahrelang Informationen im Cyberbereich erhalten und verarbeitet hatte, ohne die dafür nötige rechtliche Grundlage zu besitzen. Dass die Interventionen der ausländischen Partnerdienste zur Absetzung des Mitarbeiters zumindest beigetragen haben, erscheint heute wahrscheinlich.

Die entscheidende Frage ist, welche Motivation hinter den ausländischen Drohungen stand. Dass die Zusammenarbeit des NDB mit Kaspersky den Partnerdiensten ein Dorn im Auge war, ist noch kein Beleg für ein falsches Verhalten. Es könnten auch politische Gründe oder ein Unmut über den generell eher offenen Datenaustausch mit privaten Firmen entscheidend gewesen sein.

Welche zwei Staaten in Bern intervenierten, ist nicht bekannt. Doch es ist plausibel, dass die USA oder ein anderer Staat der Geheimdienstallianz «Five Eyes» dabei waren. Die Beziehungen zwischen den USA und Kaspersky verschlechtern sich spätestens ab 2017 stark. Damals beschliessen die USA, die Anti-Viren-Software bei den Behörden zu verbieten, weil es auf dem privaten Computer eines Mitarbeiters zu einem Datenabfluss gekommen sein soll.

Im Frühjahr 2018 publiziert Kaspersky technische Details über eine Cyberoperation namens «Slingshot». Hinter der Aktion steht das amerikanische Militär, das damit jahrelang auf Tausenden Geräten im Mittleren und Nahen Osten sowie in Afrika Informationen über Terroristen sammelte. Kaspersky lässt mit dieser Veröffentlichung die Operation auffliegen, möglicherweise absichtlich als Antwort auf das Verbot. Die USA waren darüber wohl kaum erfreut.

Vor diesem Hintergrund erscheint das Szenario nicht weit hergeholt, bei dem die USA oder andere westliche Staaten wie Israel eine Kooperation des NDB mit Kaspersky unterbinden wollen. Vielleicht aus echter Sorge um einen möglichen Datenabfluss an Russland, vielleicht aber auch aus grundsätzlich politischen Überlegungen.

Was auf jeden Fall klar ist: Die Vorwürfe der ausländischen Geheimdienste sind kein unabhängiger Beleg dafür, dass sich Mitarbeiter des NDB tatsächlich fahrlässig oder gar entgegen den Interessen der Schweiz verhalten hätten.

Aufgrund der vorliegenden Fakten ist eine abschliessende Bewertung der Arbeit des NDB nicht möglich. Bereits seit langem ist bekannt, dass das Cyberteam des NDB für sein Vorgehen jahrelang keine ausreichende gesetzliche Grundlage hatte. Das war jedoch in erster Linie ein Versagen der Führung.

Die Fragmente aus dem vertraulichen NDB-Bericht, die SRF nun publik macht, geben zwar einige interessante Einblicke. Eine klare Bewertung der Vorgänge lassen sie aber nicht zu. Aus den vorliegenden Informationen eine «Russland-Affäre» zu zimmern, wie SRF das mit grosser Vehemenz tut, erscheint gewagt.

Viel wahrscheinlicher ist deshalb, dass sich die Ereignisse, die nur in wenigen Ausschnitten bekannt sind, durch normales nachrichtendienstliches Vorgehen im Cyberbereich erklären lassen.