Zum Inhalt springen

Header

Zur Übersicht von Play SRF Audio-Übersicht

Russland-Affäre im NDB Geheimdienst arbeitete mit mehreren russlandnahen Firmen

Autoren: 

12.06.2025, 16:36

Teilen

Das Cyberteam des Nachrichtendienstes NDB hat über mehrere Jahre eng mit der umstrittenen Softwarefirma Kaspersky zusammengearbeitet. Hochsensible Daten sollen so an russische Geheimdienste abgeflossen sein. Das hat die Recherche von SRF Investigativ gezeigt.

Doch Kaspersky ist nicht der einzige Russlandkonnex des Cyberteams in den Jahren 2015 bis 2020. Zwei weitere wichtige Firmen haben auffällige Verbindungen.

Die Recherche zur Russland-Affäre

Box aufklappen Box zuklappen

Was bisher als Cyberaffäre im Schweizer Geheimdienst bekannt war, ist im Kern eine Russland-Affäre. Die Recherche von SRF Investigativ basiert auf Informationen aus einem internen Untersuchungsbericht des NDB. Zwei wichtige Partnerdienste der Schweiz intervenierten demnach mehrfach und drohten ultimativ mit dem Ende der Zusammenarbeit.

Die Recherche «Russland-Affäre im NDB» finden Sie als

Im internen Untersuchungsbericht, in den SRF Investigativ Einsicht hatte, listet der Geheimdienst eine Reihe von «regelmässigen Kontakten» des damaligen Cyberteams auf. Zuvorderst rangiert Kaspersky, gleich dahinter zwei Providerfirmen: Sie werden nachfolgend als Blau und Violett bezeichnet.

«Beginn der Beziehung in Moskau»

Providerfirma Blau hat zwar ihren Sitz in Zürich, doch gegründet wurde sie von zwei russischen Staatsangehörigen und einem Schweizer. Auch hat die Firma in Russland nach Personal gesucht, wie einschlägige Foren zeigen.

Illustrierte Szene des Cyberteams des NDB.
Legende: Das Cyberteam pflegte von 2015 bis 2020 russische Kontakte. (Illustrierte Szene) SRF

Den Kontakt zu Blau hat der NDB denn auch in Russland hergestellt: «Beginn der Beziehung (…) im Jahr 2016 oder 2017 in Moskau», heisst es im Geheimbericht.

Warum Providerfirmen für den NDB interessant sein können

Box aufklappen Box zuklappen

Providerfirmen betreiben Server, die gemietet werden können und manchmal auch von staatlichen Hackern – häufig zum Beispiel aus China, dem Iran oder Russland – benutzt werden. Die Hacker führen so auch über Server, die in Schweizer Rechenzentren stehen, Cyberangriffe auf Firmen oder Behörden in ganz Europa durch. In diesen Fällen ist es für den NDB, der solche Hackerangriffe aufklären und vorbeugen muss, interessant, mit den Providerfirmen zusammenzuarbeiten. Bekommt der Schweizer Geheimdienst Einblick in Daten der Server, kann er eruieren, welche Hackergruppe hinter einem Cyberangriff steht. In den Jahren 2015 bis 2020 hat das Cyberteam des NDB diese Daten teilweise illegal beschafft, das heisst ohne die nötigen Bewilligungen. Diese illegale Datenbeschaffung wurde als Cyberaffäre öffentlich und zog ab 2021 mehrere NDB-interne und externe Untersuchungen nach sich.

Die Zusammenarbeit zwischen dem Cyberteam des Schweizer Geheimdienstes und der Providerfirma Blau war in den Jahren 2015 bis 2020 eng. Mindestens ein Dutzend Mal soll die Firma Daten von Servern geliefert haben. Laut dem Geheimbericht hatte der NDB auch einen direkten Zugriff auf die Server von Blau – wie das technisch ausgestaltet war, bleibt offen.

Die Firma weist auf Anfrage Verbindungen zum NDB wie auch nach Russland zurück. Sie halte sich an alle geltenden Schweizer Gesetze.

Stellungnahme der Providerfirma Blau

Box aufklappen Box zuklappen

Die Providerfirma schreibt auf Anfrage von SRF Investigativ, sie habe sich von Anfang an «an das Schweizer Recht, internationale Rechtsstandards und die Grundsätze der Netzneutralität gehalten». Nur autorisierten Vertretern der Strafverfolgungsbehörden würden gegen Vorlage eines gültigen und rechtmässigen Beschlusses physischer Zugang zum Rechenzentrum gewährt. Dieser Zugang werde von einem Ingenieur des Unternehmens, der Schweizer Staatsbürger sei, überwacht. Weiter heisst es im Schreiben der Firma Blau: «Die Firma unterhält keine Kontakte zum Nachrichtendienst des Bundes (NDB). Weder das Management noch das derzeitige Personal unterhält irgendwelche Verbindungen mit dem NDB.» Sie äussere sich nicht zu den Aktivitäten des NDB oder zu Angelegenheiten, die die nationale Sicherheit betreffen. «Wir versichern jedoch, dass wir stets in gutem Glauben und im besten Interesse der Schweiz gehandelt haben.» Die Firma habe auch keine physische Präsenz in Russland. «Keine Büros, Partner, Bankkonti, Geschäftstätigkeiten, Transaktionen, Werbung oder Marktausrichtung. Der Anteil der Kunden aus Russland ist immer minimal geblieben.»

Neben Kaspersky und Provider Blau gehörte, so zeigt es die Auflistung im Geheimbericht, die Firma Violett zu den drei wichtigsten Partnerfirmen des Cyberteams in jener Zeit.

Kaspersky als Geldübermittler

Auch Violett betreibt Server in der Schweiz und war für das Cyberteam des Geheimdienstes «die wichtigste Informationsquelle». Laut Bericht gab es «Treffen im Kanton Tessin» und «Fondueessen in Bern».

Server in der Schweiz werden auch von staatlichen Hackern benutzt.
Legende: Server in der Schweiz werden auch von Hackern benutzt. (Symbolbild) SRF

Die Firma Violett fiel laut Geheimbericht durch «dubiose Kunden» auf. Besonders russische Hacker schienen die Server gerne zu nutzen. Für das Cyberteam des NDB, das Hackerangriffe aufklären soll, waren diese Serverdaten entsprechend interessant. Nun bestand eine Art Dreiecksbeziehung mit Kaspersky. Auch die Providerfirma Violett arbeitete über mehrere Jahre mit der russischen Cybersicherheitsfirma zusammen. Diese Konstellation nutzte der NDB offenbar: So liess der Schweizer Geheimdienst Geldzahlungen an die Firma Violett durch Kaspersky übermitteln. Ob es um Zahlungen für Serverdaten oder andere Gegenleistungen ging, bleibt offen.

Die Firma Violett hat auf Anfrage von SRF Investigativ nicht reagiert.

Bundesrat leitet Untersuchung ein

Was hat es mit diesen Firmenkontakten des Cyberteams auf sich? Der NDB nimmt auf Anfrage von SRF Investigativ inhaltlich keine Stellung und schreibt generell, er kommentiere «keine geheimen Berichte gegenüber den Medien». Das Cyberteam sei unterdessen umfassend reorganisiert worden.

Bundesrat Martin Pfister hat, mit der Recherche von SRF Investigativ konfrontiert, letzte Woche eine externe Administrativuntersuchung eingeleitet. Laut Recherchen laufen zudem Strafverfahren – die Aufsichtsbehörde über den Nachrichtendienst AB-ND hat Strafanzeige eingereicht.

Kontaktieren Sie SRF Investigativ

Box aufklappen Box zuklappen

Verfügen Sie über vertrauliche Informationen, die einen Missstand dokumentieren? Es gibt verschiedene Möglichkeiten, uns zu kontaktieren:

  • per E-Mail an investigativ@srf.ch
  • über die gesicherte Investigativbox von SRF (auch anonyme Hinweise über das Darkweb möglich)

SRF 4 News, 12.06.2025, 17 Uhr; wilh

Meistgelesene Artikel

Menü

Suche

Hauptnavigation

Umfrage in Modal

(Wird in einem neuen Fenster geöffnet.)