Der Nachrichtendienst hat private IT-Sicherheitsfirmen Daten weitergegeben – das war unrechtmäßig, aber nützlich

Die Spionageabwehr steht im Pflichtenheft des Nachrichtendienstes weit oben. Wenn ausländische Spione Schweizer Behörden oder Unternehmen ausspionieren, soll der Nachrichtendienst des Bundes (NDB) dies erkennen und unterbinden können. Doch im digitalen Raum ist dieser Kampf seit gut zwei Jahren nur eingeschränkt möglich. Die frühere Praxis musste gestoppt werden, weil sie unrechtmässig war.

Jetzt wird klar, dass sich der NDB nicht nur Informationen über Cyberangriffe beschafft hat, ohne dass dies erlaubt gewesen wäre. Er hat in diesem Zusammenhang Daten auch mit privaten Cybersicherheitsfirmen geteilt. Das bestätigen gegenüber SRF die Präsidentin der Geschäftsprüfungsdelegation, Ständerätin Maya Graf, und der alte Bundesrichter Niklaus Oberholzer, der eine Administrativuntersuchung durchgeführt hat. Dieser Umstand war bisher nicht öffentlich bekannt.

Doch erstaunlich ist dieser Umstand nicht. Die internationale Kooperation gilt als Schlüssel für die Abwehr von Cyberangriffen. Der Informationsaustausch zwischen staatlichen Behörden, aber auch mit privaten IT-Firmen ermöglicht es, Cyberangriffe potenziell zu erkennen, zu unterbinden und Schaden abzuwehren. Zudem hilft die Zusammenarbeit auch, Cyberangriffe einer bestimmten Gruppe bzw. einem Staat zuzuordnen.

Die privaten IT-Sicherheitsfirmen spielen dabei eine entscheidende Rolle. Sie besitzen heute oft mehr Informationen über internationale Spionageaktionen als die meisten Staaten. Firmen wie Google mit ihren Cloud-Dienstleistungen oder Microsoft mit ihren Sicherheitslösungen beim Endkunden haben einen Einblick in den Netzwerkverkehr, wie ihn Nachrichtendienste kaum haben.

Diese Unternehmen betreiben nämlich auch eigene Sicherheitsabteilungen, welche selbständig die Angreifergruppen im Netz beobachten, nachverfolgen und deren Verhalten analysieren. Einzelne Firmen, wie zum Beispiel Mandiant, die heute zu Google gehört, führen auch Attributionen durch: Sie schreiben Attacken bestimmter Staaten zu – manchmal mit größerer Treffsicherheit als Geheimdienste. Es ist erstaunt deshalb nicht, dass auch staatliche Behörden wie der NDB mit diesen IT-Sicherheitsfirmen zusammenarbeiten.

Jeder Angreifer hat sein bestimmtes Vorgehen

Im konkreten Fall soll es dem NDB meist um bestimmte Angriffsmuster gegangen sein, wie eine Quelle sagt. Die Cybersicherheitsfirmen wurden angefragt, ob sie Hinweise auf ein ähnliches Angriffsmuster hätten. Dazu musste der NDB auch selbst technische Angaben liefern. Die große Frage ist, ob sich in diesen Daten auch schützenswerte Informationen zum Beispiel des Opfers befunden haben.

Die Weitergabe dieser Informationen diente zwar der Cybersicherheit der Schweiz. Stossend ist sie aber dennoch, weil die Daten bereits unrechtmäßig erstellt wurden. Hinzu kommt, dass alt Bundesrichter Oberholzer die Zusammenarbeit mit privaten Firmen zwar in seiner Untersuchung beleuchtete. Das zuständige Verteidigungsdepartement nahm diese Informationen aber nicht in die öffentliche Version des Berichts auf.

Der NDB liegt daran, dass nicht zu viele Details über seine Arbeitsmethoden bekannt werden. Allerdings verstärkt diese Geheimniskrämerei das Misstrauen in die Arbeit des NDB. In der Öffentlichkeit entsteht der Eindruck einer unkontrollierten Überwachung des Internetverkehrs. Erschwerend kommt hinzu, dass die Tätigkeit der Cyber-Abteilung nicht dokumentiert wurde. Das öffnet Raum für Spekulationen.

Dazu gehört auch, dass der NDB nicht nur die Randdaten der Kommunikation, sondern auch deren Inhalte erfasst hat. Darunter können sich auch Daten unbeteiligter Dritter befunden haben, die – falls unverschlüsselt – einsehbar gewesen wären. Für die Spionageabwehr von Interesse waren sie aber kaum.

Der Nachrichtendienst hat Abbilder von Servern erhalten

Ebenfalls beunruhigend klingt, dass der NDB laut SRF in über fünfzig Fällen auch ein Server-Abbild erhalten hat – vermutlich von Cloud-Anbietern. Dabei könnte es sich um drei Arten von Servern gehandelt haben: um einen reinen Steuerungsserver der Angreifer ohne weitere Daten von Dritten; um einen infizierten Server beispielsweise einer Firma, die Opfer von Wirtschaftsspionage wurde; oder um infizierte Server von Dritten, welche die Angreifer für ihre Angriffe verwendet haben.

In einer Medienmitteilung der Geschäftsprüfungsdelegation vom Januar 2022 ist von Servern die Rede, welche «unter fremder Kontrolle geraten waren». Das deutet auf den letzten Fall hin. Es kommt immer wieder vor, dass Angreifer in fremde Webserver eindringen, um diese zum Beispiel zum Verbreiten von Schadsoftware oder zur Steuerung ihrer Angriffe zu verwenden. Wenn der NDB nun Abbilder eines solchen Servers zur Analyse erhalten hat, gelangten auch Daten von Unbeteiligten in seinen Besitz.

Die Untersuchung des Alt-Bundesrichters hat zwar ergeben, dass die Unrechtmässigkeiten nicht bewusst begonnen wurden und nicht strafrechtlich relevant waren. Solange aber nicht mehr Klarheit über die Arbeitsweise des Nachrichtendienstes herrscht, werden auch offene Fragen zurückbleiben.