Switzerland

Crypto-Leaks: 3 Gründe, wieso das Schweizer Image als Verschlüsselungs-Mekka bröckelt

Verschlüsselung bietet nur vermeintlich einen Schutz vor Hackern. Bild: KEYSTONE/symbolbild

Crypto-Leaks: 3 Gründe, wieso das Schweizer Image als Verschlüsselungs-Mekka bröckelt

Jahrelang profitierten die Firmen hinter Threema und Protonmail vom Ruf der Schweiz als sicherer Datenstandort. Das Image bröckelt, auch wegen der Spionage-Affäre rund um die Zuger Crypto AG.

Hackerinnen, Whistleblower, Oppositionelle, Journalistinnen und Diplomaten: Sie alle vertrauen der Kryptografie, wenn sie jemandem auf sicherem Weg etwas mitteilen wollen. Und sie vertrauen der Schweiz, weil sie sich immer wieder als unabhängiges und neutrales Land präsentiert hat.

Die Verschlüsselungsbranche profitierte davon. Die Crypto AG im Kanton Zug verkaufte jahrelang Chiffriergeräte, mit denen über hundert Staaten vermeintlich abhörsicher staatliche Geheiminformationen austauschen konnten. Ihr Slogan «Security Swiss made» war nichts als Täuschung: Hinter der Firma standen US- und deutsche Geheimdienste. Manipulationen an den Geräten ermöglichten es ihnen, diplomatische Nachrichten von fremden Staaten abzuhören.

Swissness auch nach Crypto-Leaks

Scheinbar unbeeindruckt vom Spionage-Skandal, werben Firmen wie Protonmail oder Threema weiterhin mit dem Image der Schweiz als sicheres Crypto-Mekka. Gelesen werden Sätze wie «Schweizer Privatsphäre: Datensicherheit und Neutralität» oder «100% Swiss Made».

Protonmail sagt zu watson, dass das Schweizer Rechtssystem seit Langem den «Schutz der Privatsphäre» kenne. «Das ist einer der Gründe, warum wir uns entschieden haben, Proton hier aufzubauen.» Die Enthüllungen rund um die Crypto AG liessen jedoch einige der rund 20 Millionen Protonmail-Nutzer aufhorchen, ob denn ihre Daten noch sicher seien.

Man habe eine «kleine Anzahl von Anfragen» erhalten, stellt Pressesprecher Edward Shone fest. Den Usern sei versichert worden, dass keine Verbindung zur Crypto AG bestehe. Zudem habe man darauf verwiesen, dass der Code hinter Protonmail öffentlich sei und regelmässig von Drittpersonen überprüft werde.

Auf die Frage, ob Verbindungen zum Schweizer Nachrichtendienst oder einem anderen Geheimdienst bestehen, sagt der Sprecher:

Schweiz hat unter Experten nur einen «durchschnittlichen» Ruf

Martin Steiger ist ein Zürcher Rechtsanwalt und kommentiert seit Jahren Fragen zum Thema Privatsphäre und Datensicherheit.

Der Zürcher IT-Rechtler Martin Steiger sagt zu watson, dass die Schweiz unter Cyber-Experten schon lange «nur» einen «durchschnittlichen Ruf» geniesst.

Wer wirklich auf sichere Kommunikation angewiesen sei, würde sich schon lange nicht mehr von sowas blenden lassen. Steiger vermutet jedoch:

Der Spionage-Skandal der Crypto AG habe sicher dazu mitgetragen, dass der Ruf der Schweiz als Crypto-Mekka beschädigt sei. Das Image sei aber schon länger am bröckeln. Er nennt im Gespräch mit watson drei Gründe:

Behörden verlangen Daten von Verschlüsselungs-Apps

Immer häufiger verlangen Behörden von der Schweizer Justiz, dass sie von hiesigen IT-Unternehmen die Herausgabe von User-Daten verlangen. Diese Rechtshilfe-Gesuche richten sich nicht immer gegen Verbrecher, wie Protonmail in ihrem Transparenz-Bericht schreibt.

Mit solchen Fällen rühmen sich die Internet-Firmen jeweils als Hüter der Daten ihrer User. Was Transparenz-Berichte von Protonmail und Threema jedoch auch zeigen: Viele Rechtshilfe-Gesuche werden von Schweizer Gerichten bestätigt oder einsprachslos erfüllt:

Bei solchen Rechtshilfeersuchen erhalten die Staaten in der Regel nur Metadaten. Gemeint sind Angaben wie Kontoname, Login-Uhrzeiten, teilweise IP-Adressen oder Handynummern. «Solche Metadaten können mit Hilfe der Vorratsdatenspeicherung verraten, wer ein Benutzerkonto genutzt hat», erklärt Steiger. watson zeigte 2014 am Beispiel des grünen Politikers Balthasar Glättli auf, was die Analyse solcher Verbindungsdaten verraten kann.

Verschlüsselungs-Apps kooperieren mit Behörden

Eine weitere Gefahr birgt auch das Geschäftsmodell von Verschlüsselungs-Apps. Letztes Jahr wurde bekannt, dass die Schweizer Bundesverwaltung für die über 38'000 Bundesangestellten auf das Geschäftskunden-Modell «Threema Work» setzt. Geht man vom günstigsten Paket aus, dürfte Threema dafür monatlich über 30'000 Franken vom Bund kassieren.

Der Datenschutz-Experte Steiger sagt zwar, dass Threema in Sachen Datenschutz «fast alles sehr gut» mache. Durch solche Aufträge bestehe aber Gefahr einer finanziellen Abhängigkeit. Entsprechende Be­gehr­lich­keit wurden erst letztes Jahr von FDP-Ständerat Josef Dittli geweckt. Er wollte in einem Vorstoss vom Bundesrat wissen:

Technologie wird zunehmend angreifbar

Steiger erwähnt im Gespräch mit watson einen dritten Grund, wieso Verschlüsselungsanbieter seit Jahren unter einem Vertrauensverlust leiden: «Einige Algorithmen, die durch Verschlüsselung eine sichere Kommunikation vorgaukeln, sind angreifbar geworden.»

Gemeint sind Mail-Verschlüsselungs-Standards wie «Pretty Good Privacy», kurz PGP. Journalistinnen, Whistleblower und Cyber-Experten des Bundes setzen darauf. Seit Jahren wird aber immer wieder vor «kritischen Schwachstellen» gewarnt. Die Lücken würden es Angreifern erlauben, verschlüsselte E-Mails mitzulesen.

Zur eingesetzten Technologie heisst es in der Stellungnahme von Protonmail: «Unsere Verschlüsselung funktioniert nach den Gesetzen der Mathematik, nicht nach den Gesetzen des Landes.» Threema hat auf eine Anfrage von watson bislang nicht Stellung genommen.

Das Mekka der Hacker und Nerds

Hacker finden Schwachstelle im E-Voting-System

Mehr über Hackerangriffe

Abonniere unseren Newsletter

Greta-Tweet hat Folgen für die Deutsche Bahn

Die kleine Twitter-Rangelei zwischen der Deutschen Bahn und der schwedischen Klimaaktivistin Greta Thunberg hat ein Nachspiel für das Unternehmen:

Greta hatte auf ihrem Heimweg nach Schweden auf Twitter ein Foto aus einem ICE der Deutschen Bahn gepostet. Darauf war zu sehen, dass die 16-Jährige am Boden sass.

Die Bahn hatte in einem ersten Tweet an Greta die Zugnummer genannt und in einer weiteren Mitteilung auf dem Online-Dienst geschrieben: «Noch schöner wäre es gewesen, wenn Du zusätzlich …

Link zum Artikel