logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo logo
star Bookmark: Tag Tag Tag Tag Tag
Switzerland

Die Crypto-Affäre zeigt gefährliche Sicherheitsmängel in den Lieferketten auf

Die Affäre um die manipulierten Chiffriergeräte der Crypto AG zeigt: Technologie-Risiken werden oft ignoriert und Lieferketten zu wenig überprüft. Für die Schweiz gehen Branchenkenner davon aus, dass der politische Schaden grösser ist als der wirtschaftliche.

Im Datenzentrum von Green.ch bringen die Kunden meist ihre eigene Hardware mit. Sie sind auch für deren Sicherheit verantwortlich.

Im Datenzentrum von Green.ch bringen die Kunden meist ihre eigene Hardware mit. Sie sind auch für deren Sicherheit verantwortlich.

Christian Beutler / Keystone

Gewissen Unfällen kann auch etwas Gutes abgewonnen werden. In diese Kategorie fallen neue Technologien. Zuerst muss etwas passieren, bevor die potenziellen Gefahren auch wirklich wahrgenommen werden. Für seine Arbeit sei die Crypto-Affäre geradezu eine Steilvorlage, sagt Stefan Frei, Dozent Cyber Security an der ETH Zürich. Nun müsse er nicht mehr so viel Überzeugungsarbeit leisten, denn jetzt herrsche Klarheit: «Die Schweiz hatte 20 Jahre lang eine korrumpierte Lieferkette». Mit dem Label «Swiss Made» allein könne man nicht mehr punkten. Das hätten nicht zuletzt auch die wiederholten technischen Schwierigkeiten der Swisscom gezeigt, fügt er bei. 

Es braucht Hardware-Tests

Frei leitet die Arbeitsgruppe Supply Chain Security der Kommission Cybersecurity von ICT Switzerland, dem Dachverband der IT-Branche. Manipulierte Hardware beziehungsweise unsichere Lieferketten von IT-Komponenten sind sein Steckenpferd. Wenn IT-Geräte nicht sicher sind, brauche es nicht einmal einen Hackerangriff, um unbefugt an Daten und Informationen zu kommen. Deshalb müssten auch IT-Geräte vor der Inbetriebnahme getestet werden. Zudem müssten Minimalstandards für die Sicherheit festgelegt werden, fordert Frei. Handelt es sich dabei um heikle Infrastruktur – bei Chiffriergeräten zur Übermittlung geheimer Nachrichten ist das zweifellos der Fall – müsse sogar ein Reengineering möglich sein. In allen anderen Gebieten, in der die Sicherheit wichtig ist – Frei erwähnt explizit die Luftfahrt, die Nahrungsmittel- und Automobilindustrie –  seien solche grundlegende Überprüfungen schon lange gang und gäbe. Dieser Ansicht ist offenbar sogar der Chef der Schweizer Armee: «Der Fall Crypto AG zeigt, wie wichtig die Lieferketten im Cyberbereich sind. Es ist wichtig, dass sich Technologie bis zum Hersteller zurückverfolgen lässt», erklärte Thomas Süssli in seinem Referat an den Swiss Cyber Security Days 2020, die diese Woche in Fribourg stattgefunden haben.

Die Geräte von Crypto kennt der ETH-Dozent Frei seit Jahren. Es habe ihn schon damals stutzig gemacht, dass die Firma die Algorithmen als «hoch geheim» bezeichnete. Denn bei proprietären Algorithmen kann die Sicherheit von Dritten nicht überprüft werden, die es für eine wirksame Sicherheitszertifizierung brauche. Schon in der ersten Lektion Kryptografie werde den Studenten eingetrichtert, die Sicherheit eines Verschlüsselungsgeräts liege nicht im Algorithmus,  sondern beim Schlüssel. Überrascht von den jüngsten Aufdeckungen sei er nicht gewesen. «Darüber wusste man in der Branche seit Jahren», meint Frei. Hingegen habe ihn erstaunt, wie lange noch solche Geräte von diversen Staaten gekauft worden sind. Offenbar hätten sich diese selbst etwas vorgemacht und sich in falscher Sicherheit gewiegt. Laut Frei ist das Hauptproblem bei der Cybersicherheit die fehlende Risikowahrnehmung, weil es sich dabei für den Menschen um ein abstraktes, unsichtbares Risiko handelt. 

Auf eine heilende Wirkung durch die Affäre hofft auch Alexander Hermann, der das operative Geschäft der in Bern und Zürich vertretenen Firma Redguard leitet. Der IT-Fachmann ist Vizepräsident der Information Security Society Switzerland (ISSS),  dem rund 1200 Fachleute und 150 Firmen aus dem Cybersicherheitsbereich in der Schweiz angeschlossen sind. Der unabhängige Verein befasst sich mit technischen, wirtschaftlichen, regulatorischen und gesellschaftspolitischen Aspekten der Informationssicherheit. Wie gross der Schaden für die Schweiz als Datenstandort ist, sei schwer abschätzbar, meint Hermann. Er könne sich aber vorstellen, dass es bei ausländischen Kunden zu einem Vertrauensverlust kommen könnte. Laut Armee-Chef Süssli ist «das Vertrauen in die Schweizer Firmen ist auf längere Zeit beeinträchtigt». Ähnlich wie Frei und Süssli hofft auch Hermann darauf, dass im Nachgang dieser Affäre wenigstens die richtigen Schlüsse gezogen und die Lieferketten im Hardwarebereich genauer unter die Lupe genommen werden. 

Politischer Schaden grösser

Keine wirtschaftlichen Nachteile befürchtet hingegen Franz Grüter: «Auf den Datenstandort Schweiz wird die Affäre keine Auswirkungen haben», ist der SVP-Nationalrat und IT-Unternehmer überzeugt. Im Hardwaregeschäft würden hierzulande sowieso keine Geräte mehr hergestellt. Früher habe es noch die Ascom, die Mobiltelefone in der Schweiz gefertigt hat, gegeben. Die Crypto AG ist deshalb eine Ausnahme, ein Konkurrent für Chiffriergeräte ist vor einigen Jahren liquidiert worden. Heute kommt fast alle Hardware aus Asien oder den USA.

Grüter ist Mitgründer und Mitinhaber verschiedener Internetfirmen. 2008 fusionierte er seine TIC The Internet Company mit der Green.ch, die er anschliessend als Konzernchef geleitet hat und in der er seit Anfang 2016 das Verwaltungsratspräsidium inne hat. Bei diesem Unternehmen forcierte er vor allem das Geschäft mit Datenzentren, ein wichtiger Bestandteil des Cloud Computings. Das erste Center nahm 2002 den Betrieb auf, mittlerweile betreibt das Unternehmen fünf Datenzentren in der Schweiz. Mehr als 100 Mio. Fr. seien dafür investiert worden. Das Unternehmen wirbt damit, Daten in der Schweiz wegen der guten Sicherheit zu lagern.

Den Kunden von Green.ch werden vom Unternehmen lediglich die Lokalität und die kommunikative Anbindung angeboten. Welche Server, Router und sonstige Hardware sie mitbringen, ist ihnen überlassen. Sie sind auch für deren Sicherheit verantwortlich. «Wir bauen nur die Betonhülle, wird sind quasi ein Hotel», umschreibt Grüter vereinfacht die Ausgangslage als Datencenter-Betreiber. Ausländische Kunden würden hierher kommen, weil sie die sichere Infrastruktur des Landes schätzen sowie die politische Stabilität. Das garantiere die jederzeitige Verfügbarkeit der Rechenkapazitäten, ein wichtiger Wettbewerbsvorteil. 

Laut Einschätzung von Grüter hat die Affäre jedoch staatspolitisch eine grosse Dimension. Wenn sich herausstellen sollte, dass der Chef des Nachrichtendienstes der Schweiz davon gewusst habe, wäre das neutralitätspolitisch ein riesiger Vertrauensbruch, meint Grüter, der seit gut vier Jahren für die SVP im Nationalrat sitzt. Zudem ist er Vizepräsident von ICT Switzerland, dem Dachverband der IT-Branche sowie Co-Präsident der parlamentarischen Gruppe für digitale Nachhaltigkeit. Dass die Affäre vor allem dem Ruf der Schweiz als neutrales Land grossen Schaden zugefügt hat, glaubt auch Frei. Er liebe es zwar, aus Fehlern anderer zu lernen. Aber es sei natürlich «doof», dass dies gerade bei uns passiert sei.

Themes
ICO