Interne Dokumente rollen einen alten Fall auf, der bereits drei Mal untersucht wurde. Das Cyberteam des NDB hat Informationen an eine russische IT-Sicherheitsfirma weitergeleitet.
Der Hauptsitz der IT-Sicherheitsfirma Kaspersky in Moskau.
Seit dem Angriff Russlands auf die Ukraine ist Europas Sicherheitslage angespannt. Cyberattacken, Sabotage und Desinformation gehören in diversen Ländern zum Alltag. Geheimdienste stehen unter Druck – auch in der Schweiz. Der Nachrichtendienst des Bundes (NDB), der kleinste Europas, ist mehr denn je auf die Kooperation mit Partnerdiensten angewiesen. Dafür braucht es Vertrauen, das wichtigste Gut beim nachrichtendienstlichen Arbeiten. Umso schädlicher sind Indiskretionen in diesem Metier.
SRF publizierte am Mittwoch eine solche unter dem Titel «Russland-Affäre im Schweizer Geheimdienst». Laut einem internen Bericht des Verteidigungsdepartements (VBS) von 2021 soll ein ehemaliger Mitarbeiter des NDB-Cyberteams hochsensible Informationen an die IT-Sicherheitsfirma Kaspersky weitergegeben haben. Der Kontakt soll das Verhältnis zu ausländischen Partnerdiensten belastet haben. Zwei von ihnen drohten demnach, die Zusammenarbeit einzustellen.
Unbestritten ist, dass das damals neu gebildete Cyberteam des NDB ab 2015 Kontakte zu Kaspersky gepflegt hatte. Eine solche Zusammenarbeit war nichts Aussergewöhnliches und bestand auch mit anderen privaten IT-Sicherheitsfirmen. Denn diese Unternehmen verfügen über viele Daten zu staatlichen Cybereinheiten, die für Nachrichtendienste spannend sind.
Kaspersky deckte Ruag-Cyberangriff auf
Dass eine Schweizer Behörde mit Kaspersky kooperiert, war zumindest zu diesem Zeitpunkt – lange vor dem offenen Angriff Russlands auf die Ukraine – ebenfalls verständlich. Die Firma Kaspersky wurde 1997 in Moskau gegründet und verlegte später ihren Firmensitz nach Grossbritannien. Sie hat zumindest bis 2019 auch regelmässig technische Details zu Angriffen der russischen Gruppe Turla veröffentlicht. Diese wird mutmasslich vom russischen Inlandsgeheimdienst gesteuert und stand hinter dem Cyberangriff auf die Ruag 2016.
Im Frühjahr 2021 wurde der Chef des NDB-Cyberteams abgesetzt, weil er Informationen mit privaten Firmen austauschte, obwohl das in dieser Form nicht rechtmässig war. Seither wurde die Arbeit des Cyberteams bereits dreimal untersucht: intern, extern und durch die nachrichtendienstliche Aufsichtsbehörde.
Der Bericht, aus dem SRF zitiert, ist die erste, interne Untersuchung. Die wohl brisanteste Erkenntnis daraus ist, dass Informationen des NDB von Kaspersky zum Militärgeheimdienst GRU geflossen sein sollen. Ein westlicher Partnerdienst des NDB habe 2018 die Schweiz darüber informiert.
Dass der NDB zuvor von der Datenweitergabe an den GRU gewusst hat, erscheint nicht besonders plausibel. Denn 2016 gelang es Angreifern des GRU in Lausanne, an Daten der Antidoping-Behörde Wada zu gelangen. Sie konnten über das WLAN eines Hotels in Computer eindringen. In der Folge konnte der NDB diese zwei Agenten identifizieren.
Auch dank dem NDB: russische Agenten in Den Haag enttarnt
Zwei Jahre später, im Frühjahr 2018, gelang es dem niederländischen Geheimdienst auch dank diesen Informationen aus der Schweiz, mehrere Agenten des GRU in Den Haag zu enttarnen. Diese wollten in die Schweiz weiterreisen, um dort vermutlich das Labor Spiez auszuspionieren. Dieses ist auf chemische Kampfstoffe spezialisiert und war an Analysen im Fall des vergifteten russischen Agenten Sergei Skripal beteiligt.
Interessant ist dabei die zeitliche Abfolge. Die Schweiz erhielt die Warnung bezüglich der NDB-Daten beim GRU im September 2018, offensichtlich nachdem dieser Partnerdienst Zugang zu gewissen GRU-Systemen gehabt hatte. Die Enttarnung der GRU-Agenten fand wenige Monate vorher im April statt. Es wäre deshalb naheliegend, wenn der niederländische Militärgeheimdienst dank den beschlagnahmten Geräten an die Informationen aus dem Inneren des GRU gelangt wäre – und in der Folge den NDB gewarnt hat. Die Warnung zeigt auch, dass die gute Zusammenarbeit funktioniert.
Dass ein westlicher Dienst beim GRU Informationen gefunden hat, die von Kaspersky stammen, ist eine der grössten Neuigkeiten aus dem internen VBS-Bericht. Bisher stand nur ein Verdacht im Raum, dass Kaspersky mit der russischen Regierung zusammenarbeiten könnte. Die amerikanischen Behörden haben deswegen die Sicherheitssoftware 2017 aus ihren eigenen Rechnern verbannt. 2024 erliess die US-Regierung zudem Sanktionen gegen Kaspersky, die einem Verbot der Software entsprechen.
Dennoch ist die Datenweitergabe an den GRU kein Beleg dafür, dass Kaspersky systematisch an russische Geheimdienste oder andere Behörden Informationen weitergibt. Ein solcher Informationsfluss kann auch nur vereinzelt über inoffizielle Kanäle oder über einzelne Mitarbeiter stattfinden.
Cyberabteilung wurde reorganisiert
Nach der internen Untersuchung im VBS folgte eine externe. Diese kam 2022 zum Schluss: Das Cyberteam des NDB habe ohne eine Lizenz Jagd auf Cyberspione gemacht. Es wurde jedoch kein strafrechtlich relevantes Verhalten gefunden, die Mitarbeitenden hätten nicht vorsätzlich gehandelt. Doch in der Folge blieben die Möglichkeiten des NDB zur Cyberabwehr beschränkt, und die Abteilung wurde umgebaut.
Auch die unabhängige Aufsichtsbehörde des NDB beschäftigte sich mit der Cyberabteilung. Im vergangenen März schrieb sie, die gesetzlichen Vorgaben würden eingehalten und Aktionen in diesem Bereich würden «effektiv und effizient» verlaufen.
Dennoch leitet der VBS-Chef Martin Pfister nun eine weitere, externe Administrativuntersuchung ein, wie es in einer Medienmitteilung heisst. Diese solle prüfen, «ob die Massnahmen aus den bisherigen Untersuchungen umgesetzt wurden».
Der NDB selbst bedauert in derselben Mitteilung die Veröffentlichung zum geheimen Bericht. Die Publikation könne «potenziell weitreichende Auswirkungen» auf die Arbeit des Dienstes haben. Auch eine «allfällige Gefahr der konkreten Bedrohung für Leib und Leben von Personen» wird angemerkt. Der NDB hat ausserdem Strafanzeige gegen Unbekannt eingereicht wegen des Verdachts der Amtsgeheimnisverletzung.
