Switzerland

Cryptoleaks: «Das Vertrauen in Schweizer Produkte ist gesunken»

2017 haben Sie gegenüber dieser Zeitung behauptet, es sei ein Vorteil, dass ID Quantique eine Schweizer Firma sei. Denn in der Schweiz greife die Regierung in keiner Weise in die Sicherheitsgeschäfte ein.
Das stimmt auch heute noch.

Durch die Cryptoleaks wissen wir aber, dass ausländische Geheimdienste die Crypto AG aus Zug heimlich aufkauften, um manipulierte Geräte zu verkaufen. Und vor allem: Die Schweizer Regierung wusste davon. Damit ist das Swissness-Argument doch hinfällig.
Dass die Schweizer Regierung davon wusste und es duldete, ist natürlich keine gute Neuigkeit für die Branche. Das reduziert in der Tat das Vertrauen in Schweizer Verschlüsselungsprodukte.

Welche Folgen hat das für Ihr Unternehmen?
Das ist schwierig zu beurteilen. Die Auswirkungen werden sich erst über die Monate oder Jahre hinweg zeigen. Was ich sagen kann: Seit Bekanntwerden der Cryptoleaks vor zwei Wochen wurden keine Bestellungen storniert.

Warum hat Vertrauen in die Hersteller bei der Kryptografie eine so grosse Bedeutung?
Unsere Kunden können im Grunde nicht prüfen, ob die Sicherheit, für die sie bezahlen, auch tatsächlich gewährleistet ist.

Man könnte so ein Gerät doch zerlegen und jedes Detail prüfen.
Dazu brauchten Sie ein grosses Team an Experten und viel Zeit. Wenn man diese Kapazitäten hätte, könnte man auch gleich sein eigenes Kryptografiesystem entwickeln. Man muss sich nur anschauen, in welche Länder Produkte der Crypto AG verkauft wurden. Das waren vorwiegend kleinere oder technologisch weniger weit entwickelte Länder. Die konnten sich keine eigene Kryptoindustrie leisten. Für diese Länder war es die beste Wahl, Produkte aus einem neutralen Land wie der Schweiz zu kaufen. Länder wie die USA, Frankreich oder Deutschland haben entsprechende Kryptofirmen im eigenen Land.

Wie schafft man Vertrauen in Kryptografieprodukte?
Die beste Art, die Funktionalität sicherzustellen, ist eine externe Zertifizierung.

Hat IDQ Kontakt zu Geheimdiensten aus anderen Ländern?
Organisationen wie die National Security Agency in den USA oder der BND in Deutschland haben einerseits eine defensive Sparte. Diese hat die Aufgabe, die Informationssicherheit zu gewährleisten. Dann gibt es die offensive Sparte. Die versucht, ausländische Firmen oder Regierungen auszuspähen. Jede im Bereich der Kryptografie tätige Firma hat Kontakt mit der defensiven Sparte der Geheimdienste, etwa wegen der Zertifizierung der Produkte. Aussergewöhnlich und meines Wissens einzigartig am Fall der Crypto AG war, dass offenbar ein Kontakt mit der offensiven Sparte dieser Organisationen bestand.

Welchen Vorteil hat denn die Quantenverschlüsselung gegenüber der klassischen Verschlüsselung?
Die klassische Verschlüsselungstechnologie kann zum Beispiel einem Angriff mit einem künftigen Quantencomputer nicht standhalten. Zumindest aus einer theoretischen Perspektive lässt sich hingegen beweisen, dass die Quantenverschlüsselung nicht zu knacken ist. Dafür bürgen die Gesetze der Quantenphysik.

Hat die Quantenverschlüsselung auch einen Vorteil, was das Risiko von Hintertürchen in den Geräten anbelangt?
Bei den aktuell kommerziell erhältlichen Geräten leider nicht. Auf Ebene der Forschung gibt es aber eine Methode, bei der ein Nutzer prüfen kann, ob das Gerät tatsächlich macht, was es verspricht. Diese Zukunftstechnologie nennt man geräteunabhängige Quantenkryptografie. Hier würde der Nutzer erkennen, ob ein Hintertürchen eingebaut ist. Er kann sicher sein, dass das Gerät funktioniert.

Es braucht in dem Sinne kein Vertrauen mehr in den Hersteller?
Nein. Die Technologie ist aber noch zu langsam, zu komplex und daher zu teuer. Aber das kommt.