Schweiz
Digital

Crypto AG Affäre: 3 Gründe, warum Schweizer IT-Firmen nun Probleme kriegen

Über die Zuger Firma Crypto sollen ausländische Geheimdienste Staaten abgehört haben. Der Bundesrat hat aufgrund von Recherchen der "Rundschau" eine Untersuchung veranlasst. (Symbolbild)
Verschlüsselung bietet nur vermeintlich einen Schutz vor Hackern.Bild: KEYSTONE/symbolbild

Crypto-Leaks: 3 Gründe, wieso das Schweizer Image als Verschlüsselungs-Mekka bröckelt

Jahrelang profitierten die Firmen hinter Threema und Protonmail vom Ruf der Schweiz als sicherer Datenstandort. Das Image bröckelt, auch wegen der Spionage-Affäre rund um die Zuger Crypto AG.
19.02.2020, 07:2319.02.2020, 16:48
Mehr «Schweiz»

Hackerinnen, Whistleblower, Oppositionelle, Journalistinnen und Diplomaten: Sie alle vertrauen der Kryptografie, wenn sie jemandem auf sicherem Weg etwas mitteilen wollen. Und sie vertrauen der Schweiz, weil sie sich immer wieder als unabhängiges und neutrales Land präsentiert hat.

Die Verschlüsselungsbranche profitierte davon. Die Crypto AG im Kanton Zug verkaufte jahrelang Chiffriergeräte, mit denen über hundert Staaten vermeintlich abhörsicher staatliche Geheiminformationen austauschen konnten. Ihr Slogan «Security Swiss made» war nichts als Täuschung: Hinter der Firma standen US- und deutsche Geheimdienste. Manipulationen an den Geräten ermöglichten es ihnen, diplomatische Nachrichten von fremden Staaten abzuhören.

Swissness auch nach Crypto-Leaks

Scheinbar unbeeindruckt vom Spionage-Skandal, werben Firmen wie Protonmail oder Threema weiterhin mit dem Image der Schweiz als sicheres Crypto-Mekka. Gelesen werden Sätze wie «Schweizer Privatsphäre: Datensicherheit und Neutralität» oder «100% Swiss Made».

Die Schweizer Crypto-Apps Threema und Protonmail in Kürze
Threema ist seit 2012 eine der bekanntesten Chat-Apps für Smartphones und Desktops. Entwickelt wird es von einem Unternehmen mit Sitz in Pfäffikon SZ.
Protonmail bietet seit 2013 kostenlose Email-Konten an, über die im Browser und in der App verschlüsselte Mails verschickt werden können.

Protonmail sagt zu watson, dass das Schweizer Rechtssystem seit Langem den «Schutz der Privatsphäre» kenne. «Das ist einer der Gründe, warum wir uns entschieden haben, Proton hier aufzubauen.» Die Enthüllungen rund um die Crypto AG liessen jedoch einige der rund 20 Millionen Protonmail-Nutzer aufhorchen, ob denn ihre Daten noch sicher seien.

1 / 9
Keine Lust Facebook noch mehr Daten zu liefern? – Hier sind 6 Alternativen zu WhatsApp
Hast du keine Lust mehr, Facebook deine Daten zu liefern? In den folgenden sechs Bildern siehst du Alternativen.
Auf Facebook teilenAuf X teilen

Man habe eine «kleine Anzahl von Anfragen» erhalten, stellt Pressesprecher Edward Shone fest. Den Usern sei versichert worden, dass keine Verbindung zur Crypto AG bestehe. Zudem habe man darauf verwiesen, dass der Code hinter Protonmail öffentlich sei und regelmässig von Drittpersonen überprüft werde.

Auf die Frage, ob Verbindungen zum Schweizer Nachrichtendienst oder einem anderen Geheimdienst bestehen, sagt der Sprecher:

«Nein, wir wurden noch nie von einem Geheimdienst kontaktiert.»
Protonmail-Pressesprecher Edward Shone

Schweiz hat unter Experten nur einen «durchschnittlichen» Ruf

Martin Steiger
Martin Steiger ist ein Zürcher Rechtsanwalt und kommentiert seit Jahren Fragen zum Thema Privatsphäre und Datensicherheit.

Der Zürcher IT-Rechtler Martin Steiger sagt zu watson, dass die Schweiz unter Cyber-Experten schon lange «nur» einen «durchschnittlichen Ruf» geniesst.

Wer wirklich auf sichere Kommunikation angewiesen sei, würde sich schon lange nicht mehr von sowas blenden lassen. Steiger vermutet jedoch:

«Wer sich bislang von der Marke Schweiz blenden liess, wird sich weiterhin einreden, die Schweiz sei ein sicherer Hafen für Daten.»

Der Spionage-Skandal der Crypto AG habe sicher dazu mitgetragen, dass der Ruf der Schweiz als Crypto-Mekka beschädigt sei. Das Image sei aber schon länger am bröckeln. Er nennt im Gespräch mit watson drei Gründe:

Behörden verlangen Daten von Verschlüsselungs-Apps

Immer häufiger verlangen Behörden von der Schweizer Justiz, dass sie von hiesigen IT-Unternehmen die Herausgabe von User-Daten verlangen. Diese Rechtshilfe-Gesuche richten sich nicht immer gegen Verbrecher, wie Protonmail in ihrem Transparenz-Bericht schreibt.

  • Im August 2017 verlangten Schweizer Strafverfolgungsbehörden im Auftrag der Türkei die Kooperation von Protonmail. Das Unternehmen lehnte das Gesuch wegen der «Menschenrechtsverletzungen der türkischen Regierung» ab.
  • Ein osteuropäisches EU-Land verlangte die Daten eines Informanten, der die «Korruption unter Beteiligung eines hochrangigen Politikers aufdeckte». Protonmail wehrte sich im Januar 2019 gegen die Anordnung einer Schweizer Staatsanwaltschaft auf Kooperation.

Mit solchen Fällen rühmen sich die Internet-Firmen jeweils als Hüter der Daten ihrer User. Was Transparenz-Berichte von Protonmail und Threema jedoch auch zeigen: Viele Rechtshilfe-Gesuche werden von Schweizer Gerichten bestätigt oder einsprachlos erfüllt:

  • Protonmail: 2018 lieferte der Email-Provider in über 300 Fällen Nutzerdaten, in je einem Fall auch an Jordanien, den Oman und an Indonesien – allesamt Länder, deren Menschenrechts-Praxis und Rechtsstaatlichkeit von Amnesty International kritisiert wurde.
  • Threema: Letztes Jahr lieferte das Schwyzer Unternehmen insgesamt 317 Benutzerdaten an die Schweizer Justiz. Welche Staaten Rechtshilfe-Gesuche eingereicht hatten, wird nicht erwähnt.

Bei solchen Rechtshilfeersuchen erhalten die Staaten in der Regel nur Metadaten. Gemeint sind Angaben wie Kontoname, Login-Uhrzeiten, teilweise IP-Adressen oder Handynummern. «Solche Metadaten können mit Hilfe der Vorratsdatenspeicherung verraten, wer ein Benutzerkonto genutzt hat», erklärt Steiger. watson zeigte 2014 am Beispiel des grünen Politikers Balthasar Glättli auf, was die Analyse solcher Verbindungsdaten verraten kann.

Verschlüsselungs-Apps kooperieren mit Behörden

Eine weitere Gefahr birgt auch das Geschäftsmodell von Verschlüsselungs-Apps. Letztes Jahr wurde bekannt, dass die Schweizer Bundesverwaltung für die über 38'000 Bundesangestellten auf das Geschäftskunden-Modell «Threema Work» setzt. Geht man vom günstigsten Paket aus, dürfte Threema dafür monatlich über 30'000 Franken vom Bund kassieren.

Der Datenschutz-Experte Steiger sagt zwar, dass Threema in Sachen Datenschutz «fast alles sehr gut» mache. Durch solche Aufträge bestehe aber Gefahr einer finanziellen Abhängigkeit. Entsprechende Be­gehr­lich­keit wurden erst letztes Jahr von FDP-Ständerat Josef Dittli geweckt. Er wollte in einem Vorstoss vom Bundesrat wissen:

«Ist die Ende-zu-Ende-Verschlüsselung von Messengerdiensten wie Whatsapp, Telegram oder Threema auch für die Sicherheit der Schweiz ein Thema?»
Interpellation von FDP-Ständerat Josef Dittli

Technologie wird zunehmend angreifbar

Steiger erwähnt im Gespräch mit watson einen dritten Grund, wieso Verschlüsselungsanbieter seit Jahren unter einem Vertrauensverlust leiden: «Einige Algorithmen, die durch Verschlüsselung eine sichere Kommunikation vorgaukeln, sind angreifbar geworden.»

Gemeint sind Mail-Verschlüsselungs-Standards wie «Pretty Good Privacy», kurz PGP. Journalistinnen, Whistleblower und Cyber-Experten des Bundes setzen darauf. Seit Jahren wird aber immer wieder vor «kritischen Schwachstellen» gewarnt. Die Lücken würden es Angreifern erlauben, verschlüsselte Emails mitzulesen.

Zur eingesetzten Technologie heisst es in der Stellungnahme von Protonmail: «Unsere Verschlüsselung funktioniert nach den Gesetzen der Mathematik, nicht nach den Gesetzen des Landes.» Threema hat auf eine Anfrage von watson bislang nicht Stellung genommen.

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das Mekka der Hacker und Nerds
1 / 26
Das Mekka der Hacker und Nerds
Von Sonntag bis Mittwoch wird im Congress Center Hamburg gebastelt, gelernt, diskutiert und gefeiert. 12'000 Hacker erwartet der Chaos Computer Club zur Jahreskonferenz (32C3).
Auf Facebook teilenAuf X teilen
Hacker finden Schwachstelle im E-Voting-System
Video: srf
Das könnte dich auch noch interessieren:
4 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Omegon
19.02.2020 09:31registriert Oktober 2015
Völlig OT aber das Stockbild ist einfach geil: Irgend ein Dude mit schwarzen Kapuzenpulli kniet vor einem Regal mit ein paar alten Towers, gestapelten alten Mac Keyboards, gestapelten Blades und tippt wild auf seinem Asus Eee PC etwas in eine Comandline im Fullscreen (DoS?). Aaja, abgesehen das der Eee PC am Strom hängt, ist keine weiter Hardware angeschlossen. HAAACKKEEERR
360
Melden
Zum Kommentar
avatar
El Vals del Obrero
19.02.2020 09:02registriert Mai 2016
Closed Source-Verschlüsselungen ohne Möglichkeiten den Code oder die Funktionalität zu überprüfen (oder solche per Online-Apps) sind letztendlich mit "keine Verschlüsselung" gleichzusetzen.
394
Melden
Zum Kommentar
avatar
mrmikech
19.02.2020 07:39registriert Juni 2016
4. Grund: Schweizer Neutralität = wir wählen selbst mit wem wir Geschäfte machen, die das Tageslicht nicht vertragen.
210
Melden
Zum Kommentar
4
Gemeinde Glarus Nord nach gefälschtem Mailverkehr um fast 50'000 Franken betrogen

Die Gemeindeverwaltung Glarus Nord ist von einer kriminellen Organisation um 48'000 Franken betrogen worden. Eine eingeleitete Strafuntersuchung soll nun helfen, das Delikt aufzuklären. Ausserdem untersucht die Geschäftsprüfungskommission den Vorfall.

Zur Story