Schon seit Längerem kursierten Gerüchte, dass Geheimdienste im Hintergrund der Zuger Crypto AG stehen. Eine gemeinsame Recherche der «Rundschau», des «ZDF» und der «Washington Post» haben diese nun bestätigt. Einem 280-seitigen Geheimdienst-Dossier zufolge half die Security-Firma der amerikanischen CIA und dem deutschen Bundesnachrichtendienst BND dabei, jahrzehntelang über hundert Staaten abzuhören. Dazu wurde in den Chiffriergeräten der Crypto AG eine Hintertür eingebaut. Wie «SRF» berichtet, konnten so Hunderttausende Nachrichten zwischen Regierungsstellen, Behörden, Botschaften oder militärischen Stellen systematisch abgefangen werden.

Die Recherchen zeigen, dass der westdeutsche BND und die CIA im Jahr 1970 die Crypto AG zu gleichen Teilen aufkauften. Getarnt wurde dies über eine Stiftung in Liechtenstein. Die Firma war damals Marktführerin für Chiffriergeräte, mit denen man Nachrichten verschlüsseln konnte. Allerdings, so wird ein ehemaliger Crypto-Mitarbeiter im Bericht zitiert, baute das Unternehmen zwei verschiedene Versionen des Geräts – eine sichere und eine unsichere. Die unknackbare Maschine sollen nur wenige Staaten erhalten haben, darunter etwa die Schweiz.

Die manipulierten Chiffriergeräte aus Zug sind laut Angaben im Bericht unter anderem an Länder wie Saudi-Arabien, Argentinien oder den Iran verkauft worden. Die Neutralität der Schweizer Firma sei dabei jeweils ein wichtiges Verkaufsargument gewesen, heisst es. Die Informationen, die etwa die CIA so sammeln konnte, verschaffte den Vereinigten Staaten laut «SRF» einen enormen Vorteil bei Verhandlungen oder bei der strategischen Kriegsführung. So hätten die Crypto-Geräte etwa bei den Camp-David-Verhandlungen 1979 oder bei der US-Invasion in Panama 1989 eine entscheidende Rolle gespielt. Auch das belegt das Geheimdienst-Dossier. Aus diesem geht ebenfalls hervor, dass die Schweizer Geheimdienste von der «Operation Rubikon» wussten. Auch gebe es Hinweise, dass «Schlüsselpersonen in der Regierung» eingeweiht waren.

Der BND stieg laut Bericht bereits 1993 aus der Operation aus. Die CIA übernahm daraufhin die gesamte Firma. Unter dem US-Geheimdienst soll diese dann noch mindestens bis 2018 fortgeführt worden sein. 2018 spaltete sich die Crypto AG auch in zwei neue Gesellschaften auf: Das Schweizer Geschäft wurde in Form der CyOne Security weitergeführt, das internationale Geschäft unter der Crypto International. Beide Unternehmen streiten Beziehungen zu ausländischen Geheimdiensten ab.

Die Spionage-Affäre wirft unangenehme Fragen zur Neutralität der Schweiz auf. Die Angelegenheit soll deshalb schonungslos aufgeklärt werden. An seiner Sitzung vom 15. Januar hat der Bundesrat bereits eine unabhängige Untersuchung der Affäre unter der Leitung des Alt-Bundesrichters Niklaus Oberholzer beschlossen. Und Wirtschaftsminister Guy Parmelin Mitte Dezember bereits die Generalausfuhrbewilligung der Firma Crypto International, nachdem er mit den Recherchen konfrontiert wurde. Die Grünen fordern derweil eine parlamentarische Untersuchungskommission (PUK).

Die Reaktionen auf die brisante Story fielen unterschiedlich aus. Aus Sicht des Wirtschaftsdachverbands Economiesuisse handelt es sich bei den Ereignissen rund um die Geheimdienst-Affäre um ein «Relikt aus dem Kalten Krieg». Man dürfe die Angelegenheit daher nicht überbewerten. Es sei noch zu früh, um sagen zu können, ob aus der Angelegenheit einen Reputationsschaden für die Schweiz entstehe, sagt Jan Atteslander, Mitglied der Geschäftsleitung von Economiesuisse, gegenüber Keystone-SDA. Gestern sei es eine «ganz grosse Geschichte gewesen», am Mittwoch sei die Resonanz in den internationalen Medien bereits wieder gesunken.

Welche Firmen etwas zur spüren bekommen werden, kann Atteslander nicht sagen. Es sei ein Einzelfall, der eine Firma betreffe. Atteslander glaubt daher nicht, dass es Auswirkungen gebe auf weitere Firmen in der Schweiz. Ob es weitere Effekte geben werde, sei abhängig davon, was die Regierung mache. Mit der Untersuchung schaffe der Bundesrat Transparenz. Dies sei eine Voraussetzung, um das Vertrauen international wieder zu bekommen, sagt Atteslander.

Anbietern und Herstellern von Dienstleistungen, Hardware und Software kann nach Einschätzung des Vereins Digitale Gesellschaft nicht vertraut werden. «Wir müssen leider davon ausgehen, dass wir keinen Anbietern und Herstellern von Dienstleistungen, Hardware und Software vertrauen können», sagte der Jurist und DigiGes-Sprecher Martin Steiger der Keystone-SDA. Unabhängig von der Crypto AG würden «am Laufmeter» Hintertürchen bekannt. Und man müsse sich selbstverständlich fragen, wer die heutigen Crypto AG's seien.

Gerade auch Dienste, die mit Privatsphäre werben, seien besonders gefährdet, bewusst oder unbewusst zu Honigtöpfen zu werden: Wer beispielsweise den E-Mail-Dienst ProtonMail nutze, sei häufig ein besonders interessantes Ziel für Sicherheitsbehörden. «In jedem Fall war und ist die Schweiz kein Land, wo Daten als besonders gut geschützt gelten können», sagte Steiger weiter. «Im Gegenteil: Der Datenschutz ist unterentwickelt und die Sicherheitsbehörden dürfen umfassend überwachen, ohne dass eine wirksame Kontrolle besteht», sagte er weiter. Anbieter in der Schweiz würden häufig mit irreführenden Aussagen werben, was den hiesigen Datenschutz und den schweizerischen Überwachungsstaat betreffe.

Dazu komme, dass auch die Sicherheitsbehörden in der Schweiz die Daten- und IT-Sicherheit untergraben würden. So zum Beispiel mit Trojanern, für welche Sicherheitslücken gekauft und geheimgehalten würden. Dazu kämen geheime Aktivitäten des Nachrichtendienstes des Bundes (NDB) und anderer Sicherheitsbehörden. «Da müssen wir davon ausgehen, dass alles, was möglich ist, auch gemacht wird, Rechtsgrundlagen hin oder her», sagt der Anwalt weiter.

Beim Instant-Messaging-Dienst Threema, der ein hohes Vertrauen geniesst, bestehe das Grundproblem darin, dass es sich nicht um Open-Source-Software handle. Man müsse darauf vertrauen, dass es bei dieser Anwendung keine Sicherheitslücken gebe, die ausgenützt werden könnten, und dass auch keine Kooperation mit Sicherheitsbehörden stattfinde. Bei Verschlüsselung gelte der Grundsatz , dass nur quellenoffene Software verwendet werden sollte. Im Alltag seien Lösungen wie Threema oder auch WhatsApp gut genug, zumal es an nutzerfreundlichen Alternativen häufig mangle.

Auch bestehe ein weiteres Problem darin, dass Sicherheitsbehörden Verschlüsselungsstandards gezielt schwächten, was schwierig zu entdecken sei. «Wenn eine solche Sicherheitslücke entdeckt wird, kann behauptet werden, es handle sich um einen Fehler und nicht um Absicht», sagt Steiger weiter.