Das Cyberteam des Nachrichtendienstes NDB hat über mehrere Jahre eng mit der umstrittenen Softwarefirma Kaspersky zusammengearbeitet. Hochsensible Daten sollen so an russische Geheimdienste abgeflossen sein. Das hat die Recherche von SRF Investigativ gezeigt.
Doch Kaspersky ist nicht der einzige Russlandkonnex des Cyberteams in den Jahren 2015 bis 2020. Zwei weitere wichtige Firmen haben auffällige Verbindungen.
Die Recherche zur Russland-Affäre
Box aufklappenBox zuklappen
Was bisher als Cyberaffäre im Schweizer Geheimdienst bekannt war, ist im Kern eine Russland-Affäre. Die Recherche von SRF Investigativ basiert auf Informationen aus einem internen Untersuchungsbericht des NDB. Zwei wichtige Partnerdienste der Schweiz intervenierten demnach mehrfach und drohten ultimativ mit dem Ende der Zusammenarbeit.
Die Recherche «Russland-Affäre im NDB» finden Sie als
Im internen Untersuchungsbericht, in den SRF Investigativ Einsicht hatte, listet der Geheimdienst eine Reihe von «regelmässigen Kontakten» des damaligen Cyberteams auf. Zuvorderst rangiert Kaspersky, gleich dahinter zwei Providerfirmen: Sie werden nachfolgend als Blau und Violett bezeichnet.
«Beginn der Beziehung in Moskau»
Providerfirma Blau hat zwar ihren Sitz in Zürich, doch gegründet wurde sie von zwei russischen Staatsangehörigen und einem Schweizer. Auch hat die Firma in Russland nach Personal gesucht, wie einschlägige Foren zeigen.
Legende:
Das Cyberteam pflegte von 2015 bis 2020 russische Kontakte. (Illustrierte Szene)
SRF
Den Kontakt zu Blau hat der NDB denn auch in Russland hergestellt: «Beginn der Beziehung (…) im Jahr 2016 oder 2017 in Moskau», heisst es im Geheimbericht.
Warum Providerfirmen für den NDB interessant sein können
Box aufklappenBox zuklappen
Providerfirmen betreiben Server, die gemietet werden können und manchmal auch von staatlichen Hackern – häufig zum Beispiel aus China, dem Iran oder Russland – benutzt werden. Die Hacker führen so auch über Server, die in Schweizer Rechenzentren stehen, Cyberangriffe auf Firmen oder Behörden in ganz Europa durch. In diesen Fällen ist es für den NDB, der solche Hackerangriffe aufklären und vorbeugen muss, interessant, mit den Providerfirmen zusammenzuarbeiten. Bekommt der Schweizer Geheimdienst Einblick in Daten der Server, kann er eruieren, welche Hackergruppe hinter einem Cyberangriff steht. In den Jahren 2015 bis 2020 hat das Cyberteam des NDB diese Daten teilweise illegal beschafft, das heisst ohne die nötigen Bewilligungen. Diese illegale Datenbeschaffung wurde als Cyberaffäre öffentlich und zog ab 2021 mehrere NDB-interne und externe Untersuchungen nach sich.
Die Zusammenarbeit zwischen dem Cyberteam des Schweizer Geheimdienstes und der Providerfirma Blau war in den Jahren 2015 bis 2020 eng. Mindestens ein Dutzend Mal soll die Firma Daten von Servern geliefert haben. Laut dem Geheimbericht hatte der NDB auch einen direkten Zugriff auf die Server von Blau – wie das technisch ausgestaltet war, bleibt offen.
Die Firma weist auf Anfrage Verbindungen zum NDB wie auch nach Russland zurück. Sie halte sich an alle geltenden Schweizer Gesetze.
Stellungnahme der Providerfirma Blau
Box aufklappenBox zuklappen
Die Providerfirma schreibt auf Anfrage von SRF Investigativ, sie habe sich von Anfang an «an das Schweizer Recht, internationale Rechtsstandards und die Grundsätze der Netzneutralität gehalten». Nur autorisierten Vertretern der Strafverfolgungsbehörden würden gegen Vorlage eines gültigen und rechtmässigen Beschlusses physischer Zugang zum Rechenzentrum gewährt. Dieser Zugang werde von einem Ingenieur des Unternehmens, der Schweizer Staatsbürger sei, überwacht. Weiter heisst es im Schreiben der Firma Blau: «Die Firma unterhält keine Kontakte zum Nachrichtendienst des Bundes (NDB). Weder das Management noch das derzeitige Personal unterhält irgendwelche Verbindungen mit dem NDB.» Sie äussere sich nicht zu den Aktivitäten des NDB oder zu Angelegenheiten, die die nationale Sicherheit betreffen. «Wir versichern jedoch, dass wir stets in gutem Glauben und im besten Interesse der Schweiz gehandelt haben.» Die Firma habe auch keine physische Präsenz in Russland. «Keine Büros, Partner, Bankkonti, Geschäftstätigkeiten, Transaktionen, Werbung oder Marktausrichtung. Der Anteil der Kunden aus Russland ist immer minimal geblieben.»
Neben Kaspersky und Provider Blau gehörte, so zeigt es die Auflistung im Geheimbericht, die Firma Violett zu den drei wichtigsten Partnerfirmen des Cyberteams in jener Zeit.
Kaspersky als Geldübermittler
Auch Violett betreibt Server in der Schweiz und war für das Cyberteam des Geheimdienstes «die wichtigste Informationsquelle». Laut Bericht gab es «Treffen im Kanton Tessin» und «Fondueessen in Bern».
Legende:
Server in der Schweiz werden auch von Hackern benutzt. (Symbolbild)
SRF
Die Firma Violett fiel laut Geheimbericht durch «dubiose Kunden» auf. Besonders russische Hacker schienen die Server gerne zu nutzen. Für das Cyberteam des NDB, das Hackerangriffe aufklären soll, waren diese Serverdaten entsprechend interessant. Nun bestand eine Art Dreiecksbeziehung mit Kaspersky. Auch die Providerfirma Violett arbeitete über mehrere Jahre mit der russischen Cybersicherheitsfirma zusammen. Diese Konstellation nutzte der NDB offenbar: So liess der Schweizer Geheimdienst Geldzahlungen an die Firma Violett durch Kaspersky übermitteln. Ob es um Zahlungen für Serverdaten oder andere Gegenleistungen ging, bleibt offen.
Die Firma Violett hat auf Anfrage von SRF Investigativ nicht reagiert.
Bundesrat leitet Untersuchung ein
Was hat es mit diesen Firmenkontakten des Cyberteams auf sich? Der NDB nimmt auf Anfrage von SRF Investigativ inhaltlich keine Stellung und schreibt generell, er kommentiere «keine geheimen Berichte gegenüber den Medien». Das Cyberteam sei unterdessen umfassend reorganisiert worden.
Bundesrat Martin Pfister hat, mit der Recherche von SRF Investigativ konfrontiert, letzte Woche eine externe Administrativuntersuchung eingeleitet. Laut Recherchen laufen zudem Strafverfahren – die Aufsichtsbehörde über den Nachrichtendienst AB-ND hat Strafanzeige eingereicht.
Kontaktieren Sie SRF Investigativ
Box aufklappenBox zuklappen
Verfügen Sie über vertrauliche Informationen, die einen Missstand dokumentieren? Es gibt verschiedene Möglichkeiten, uns zu kontaktieren:
per E-Mail an investigativ@srf.ch
über die gesicherte Investigativbox von SRF (auch anonyme Hinweise über das Darkweb möglich)
Die maximale Anzahl an Codes für die angegebene Nummer ist erreicht. Es können keine weiteren Codes erstellt werden.
Mobilnummer ändern
An diese Nummer senden wir Ihnen einen Aktivierungscode.
Diese Mobilnummer wird bereits verwendet
E-Mail bestätigen
Wir haben Ihnen ein E-Mail an die Adresse {* emailAddressData *} gesendet. Prüfen Sie bitte Ihr E-Mail-Postfach und bestätigen Sie Ihren Account über den erhaltenen Aktivierungslink.
Keine Nachricht erhalten?
Wenn Sie nach 10 Minuten kein E-Mail erhalten haben, prüfen Sie bitte Ihren SPAM-Ordner und die Angabe Ihrer E-Mail-Adresse.
Wir haben Ihnen ein E-Mail an die Adresse {* emailAddressData *} gesendet. Prüfen Sie bitte Ihr E-Mail-Postfach und bestätigen Sie Ihren Account über den erhaltenen Aktivierungslink.
Keine Nachricht erhalten?
Wenn Sie nach 10 Minuten kein E-Mail erhalten haben, prüfen Sie bitte Ihren SPAM-Ordner und die Angabe Ihrer E-Mail-Adresse.
Sie können sich nun im Artikel mit Ihrem neuen Passwort anmelden.
Ein neues Passwort erstellen
Wir haben den Code zum Passwort neusetzen nicht erkannt. Bitte geben Sie Ihre E-Mail-Adresse erneut ein, damit wir Ihnen einen neuen Link zuschicken können.
Ihr Account wurde deaktiviert und kann nicht weiter verwendet werden.
Wenn Sie sich erneut für die Kommentarfunktion registrieren möchten, melden Sie sich bitte beim Kundendienst von SRF.
