Genf steht fast still, an diesem 3. November 2020. Restaurants sind geschlossen, wenige Passanten unterwegs – ein zweiter Covid-Shutdown lässt das Leben erlahmen. Doch irgendwo in der stillen Weltstadt treffen sich zwei Kaliber der Geheimdienstwelt: Die obersten Verantwortlichen des Schweizer NDB und eines befreundeten ausländischen Geheimdiensts.
Der Schweiz droht ein Debakel.
Es geht, so wird es der NDB später selbst in einem geheimen Bericht festhalten, um Vorwürfe «bezüglich illegaler Datenweitergabe». Demnach hat ein Schweizer Geheimdienstmitarbeiter – wir nennen ihn W. – hochsensible Informationen weitergegeben. An Kaspersky, eine russische Cybersicherheitsfirma.
Die Informationen seien mittels Kaspersky an russische Geheimdienste abgeflossen, doppelt ein zweiter befreundeter Geheimdienst wenig später nach. Es bestehe «die Gefahr, dass Leben gefährdet wären.»
Nach diesen Interventionen dürften an der Papiermühlestrasse in Bern, dem Hauptquartier des NDB, alle Alarmglocken geschrillt haben. Denn zwei für die Schweiz wichtige Geheimdienste drohten mit nicht weniger, als dass sie «die Zusammenarbeit mit dem NDB einstellen wollten, sofern der Mitarbeitende weiterhin für den NDB arbeiten würde.»
Aus Cyber- wird Russland-Affäre
Diese Recherche von SRF Investigativ taucht tief in das Innenleben des Schweizer Nachrichtendienstes ein und zeigt: W. und sein Cyberteam haben nicht nur illegal Daten beschafft – so viel wurde in den letzten Jahren bereits öffentlich. Sie liessen sich auch auf eine umstrittene russische Firma ein und teilten Geheimdienstinformationen.
Für den bekannten Investigativjournalisten Christo Grozev, der für «The Insider» und «Spiegel» arbeitet und seit Jahren zu russischen Geheimdienstoperationen recherchiert, ist klar: «Das ist Spionage im Interesse Russlands.»
Ihren Anfang nimmt die Russland-Affäre in den Jahren 2014/2015.
Der NDB hat W. als Kopf des neuen Cyberteams geholt. Er wird von Weggefährten als charismatisch und selbstbestimmt beschrieben, ein Macher. W. und sein Team sollen die Schweiz im Cyberraum schützen. Das heisst unter anderem: Hackerangriffe aufklären.
W. baut zusammen mit seinem Team einen eigentlichen Dienst im Dienst auf. Das geht aus dem Geheimbericht hervor. Das Team betreibt eine eigene IT-Infrastruktur, baut auch so was wie eigene Hackergeräte, arbeitet losgelöst vom restlichen Nachrichtendienst. Mehrere Mitarbeitende des Cyberteams geben in der internen Untersuchung auch zu Protokoll, dass «die privaten Mobiltelefone für geschäftliche Kommunikationszwecke verwendet worden waren.»
Das Team ist zu jener Zeit, in den Jahren 2015 bis 2020, äusserst erfolgreich. Es habe Cyberangriffe abgewehrt und aufgeklärt und sich mit dieser Arbeit auch «bei ausländischen Partnerdiensten hohes Ansehen» verschafft, heisst es später etwa im externen Gutachten.
Kaspersky ist «essentiell» für den NDB
Um an möglichst gute Daten zur Cyberaufklärung heranzukommen, pflegen W. und sein Team auch Kontakte zu verschiedenen privaten Firmen. Teils vertraglich formalisiert, teils nicht.
Mehrere dieser Unternehmen werden im Geheimbericht unter «regelmässige Kontakte» aufgelistet. Zuoberst rangiert: Kaspersky.
Die Cybersicherheitsfirma sei «essentiell» für die Arbeit des Cyberteams, wird W. zitiert. Denn «der NDB verfüge nicht über ausreichende Kompetenzen und Mittel, um Hacking-Aktivitäten (...) eigenständig präventiv zu erkennen.»
Kaspersky ist ein gewichtiger Name. Die russische Cybersicherheitsfirma verkauft weltweit Virenschutzprogramme. Doch sie steht auch seit Jahren im Verdacht, mit russischen Geheimdiensten zu kooperieren. Etliche Länder verbieten seit 2017 gewissen Behörden, Kaspersky-Software zu nutzen, aus Angst vor Spionage.
Grozev sagt: «Kaspersky ist eines der wertvollsten Güter, das die russischen Geheimdienste haben, als Hintertür zum Rest der Welt.» Eine Firma mit Sitz in Russland, die im Cyberbereich arbeite, habe zwangsläufig eine Verbindung zu russischen Geheimdiensten, so der Investigativjournalist. Ganz einfach, weil russische Gesetze dies vorschrieben.
Mit dieser russischen Firma also pflegt das Cyberteam des Schweizer Geheimdienstes zwischen 2015 und 2020 einen engen Austausch.
Private E-Mails an Kaspersky
Insgesamt neun Kaspersky-Angestellte sind als Kontaktpersonen aufgeführt, eine wird als «personne de confiance» bezeichnet, als Vertrauensperson. Das Cyberteam setzt Kaspersky auch heimlich als Geldübermittler ein: Zahlungen an eine Providerfirma laufen über Kaspersky.
Laut Bericht werden diese Kontakte zwischen Kaspersky und dem Cyberteam nicht offiziell dokumentiert – so wie es der NDB eigentlich vorsieht. Darüber hinaus kommuniziert W. mit ihnen über seine private Emailadresse. Auch werden Geheimdienstinformationen über verschiedene, teils private Threema-Chats geteilt.
Die inoffizielle Zusammenarbeit
Was der NDB von Kaspersky erhält, ist zunächst mal alltägliches Geheimdienstgeschäft. Das Cyberteam hat einen Vertrag mit dem Unternehmen wie mit anderen auch, um Daten zur Aufklärung von Cyberangriffen zu erhalten.
Dann aber gibt es einen inoffiziellen Teil: Das Cyberteam soll Kaspersky nämlich auch eigene Informationen, etwa Malware-Samples, weitergegeben und eine Software von Kaspersky betrieben haben. Malware-Samples sind digitale Beweisstücke von schädlicher Software wie Viren oder Ransomware – sie helfen also, Hackerangriffe aufzuklären.
«Nur ein Geschenk»
Dazu kommt in diesem Zeitraum eine Art Datenhandel: Der Schweizer Geheimdienst sammelt nämlich offenbar aktiv Daten für Kaspersky und andere private Cybersicherheitsfirmen. Nüchtern steht im Geheimbericht: Der NDB gäbe Informationen an die Firmen weiter, «um bei anderer Gelegenheit von diesen ebenfalls nachrichtendienstlich wertvolle Informationen zu erhalten.»
Der NDB gibt z.B. via Serverabbild oder Aufzeichnung des Netzwerkverkehrs erlangte Informationen (…) an private Unternehmen (z.B. Cybersicherheitsfirma) weiter, um bei anderer Gelegenheit von diesen ebenfalls nachrichtendienstlich wertvolle Informationen zu erhalten.
Angefügt ist ein Screenshot eines internen Threema-Chats. Darin bittet W., Daten zu sammeln: «Can you please start a dump? It’s not APT related (…) Just a present to (…)». Ohne Zusammenhang mit einer konkreten kritischen Cyberattacke, bloss als Geschenk für die Firma.
Investigativjournalist Grozev findet die Zusammenarbeit mit Kaspersky «extrem naiv». Er sagt: «Die Hauptbegünstigte von Kasperskys Arbeit in Russland ist die russische Regierung.» Selbst etwas scheinbar Harmloses wie das Weitergeben von Malware-Samples sei für Russland von Nutzen. Die russischen Geheimdienste könnten anhand der Proben erkennen, warum eine bestimmte Cyberattacke durch russische Hacker nicht funktioniert habe, und ihre Taktik justieren.
Kaspersky weist auf Anfrage von SRF Investigativ den Vorwurf, mit russischen Behörden zu kooperieren, zurück. Auch sei die Firma nicht den entsprechenden Gesetzen unterworfen.
Informationsabfluss nach Russland
Wie oft und wie brisante Informationen W. und das Cyberteam an Kaspersky weitergegeben haben, weiss auch der NDB nicht. Das Untersuchungsteam hält im Geheimbericht fest, es sei «nicht nachvollziehbar», welche Daten konkret mit Partnerfirmen wie Kaspersky ausgetauscht worden seien. Mindestens ein konkreter «äusserst kritischer Datenabfluss» aber wird benannt.
Ein Mitarbeitender des NDB soll dem GRU Informationen mittels der Firma Kaspersky weitergegeben haben.
Ein NDB-Mitarbeiter soll dem russischen Militärgeheimdienst GRU Informationen mittels Kaspersky weitergegeben haben. Dabei handle es sich um «u.a. klassifizierte Informationen» zu russischen Geheimdienstagenten, die sich im März 2018 in Den Haag aufhielten. Das schreibt der NDB im Geheimbericht und bezieht sich dabei auf einen befreundeten Partnerdienst.
Gemäss dem Inhalt des Dokuments besteht die Gefahr, dass die Informationen an den FSB abfliessen könnten und somit Leben gefährdet wären.
Dieser Partner-Geheimdienst warnt die Schweiz: Die lebensgefährlichen Informationen seien beim russischen Militärgeheimdienst GRU gelandet, und könnten auch an den russischen Inlandsgeheimdienst FSB abgeflossen sein.
Nun datiert die erste Warnung zu einem Informationsabfluss an Kaspersky vom September 2018 – erfolgte also über zwei Jahre vor den erwähnten Interventionen im Herbst 2020. In diesen zwei Jahren, das geht aus der chronologischen Auflistung im Geheimbericht hervor, gelangen die zwei wichtigen westlichen Geheimdienste mehrfach an ihre Schweizer Kollegen. Sie monieren eine «illegale Datenweitergabe» an Kaspersky und warnen vor W., der sich «kompromittierend verhalten habe.»
Spätestens ab Frühling 2020 ist der Direktor NDB über Verdachtsmomente gegenüber W. im Bild. An wen die früheren Warnungen gerichtet waren – an ihn oder andere Personen –, lässt der Geheimbericht offen.
Zusammenarbeit stark belastet
Arndt Freytag von Loringhoven kennt beide Welten: Der deutsche Diplomat und ehemalige Botschafter war einst in Moskau stationiert; später war er Vizepräsident des deutschen Nachrichtendienstes BND und bei der Nato Geheimdienstkoordinator. Freytag sagt: «Immer wenn es um einen möglichen Datenabfluss nach Russland geht oder die Gefahr dazu besteht, dann ist allerhöchste Alarmstufe angesagt. Da verstehen die Partnerdienste überhaupt keinen Spass.»
Er könne sich kaum vorstellen, dass die Zusammenarbeit mit den Partnerdiensten bei einem solchen Verdachtsfall wie der vorliegenden Russland-Affäre nicht stark belastet gewesen sei. Der Austausch zwischen der Schweiz und ihren Partnerdiensten sei in dieser Zeit vielleicht nicht zum Stillstand gekommen. «Was man aber häufig in solchen Fällen beobachtet, ist, dass die Zusammenarbeit sozusagen formal weiterläuft, dass man keine totale Krise ausruft, aber eigentlich die Substanz ausgehöhlt wird», sagt Freytag. Dass aus mangelndem Vertrauen eben nichts mehr miteinander geteilt wird, was von nachrichtendienstlichem Wert ist.
Cyberteam vernichtet Datenspuren
Über zwei Jahre nach der ersten Warnung, reagiert der NDB im Dezember 2020 – so geht es aus dem Geheimbericht hervor. W. wird zuerst ins Homeoffice versetzt und verlässt dann den Geheimdienst. Im Frühling 2021 ordnet der NDB eine interne Untersuchung an.
Es gibt zahlreiche Ungereimtheiten, die den Abgang von W. betreffen. Beim Verlassen des NDB-Gebäudes nimmt er seinen «persönlichen, dienstlichen Laptop» mit. Und habe ihn erst im März 2021, über drei Monate später, «neu aufgesetzt» zurückgebracht, da sich auch private Informationen darauf befunden hätten. Sein eigenes Cyberteam habe dann den Computer mehrfach überschrieben. Dazu heisst es: «Ob und von wem die Löschung beauftragt wurde, bleibt ungeklärt.»
Gleichzeitig bekam der Nachrichtendienst intern Hinweise, dass «im grossen Stil bei Cyber NDB Daten gelöscht wurden.» Ein paar Wochen später wurden im Rahmen der internen Untersuchung Handys und Laptops von Mitarbeitenden des Cyberteams eingezogen und der Bundespolizei übergeben. Doch eine systematische Auswertung habe nie stattgefunden.
Viele Fragen bleiben offen
Der Geheimbericht lässt in dieser Russland-Affäre viele Fragen offen. Unklar bleibt etwa, ob die Zusammenarbeit mit Kaspersky ab 2021 fortbestand. Und ob es plausibel ist, dass W. diese Kontakte im Alleingang unterhielt.
Der Geheimbericht wurde den Verantwortlichen – vom NDB über die Aufsichtsbehörden bis zum Bundesrat – im Dezember 2021 zugestellt, also vor über drei Jahren. Welche Massnahmen wurden getroffen? Wie wurde verhindert, dass weiter inoffizielle russische Kontakte bestehen?
Den neusten Hinweis zur Aufarbeitung der Russlandaffäre gibt das Prüfverfahren der Aufsichtsbehörde AB-ND. Es fand im Februar 2024 seinen Abschluss; der Bericht wurde aber erst vor wenigen Wochen, im Mai 2025, veröffentlicht. Darin heisst es, die AB-ND nehme erstaunt zur Kenntnis, dass der NDB im Cyberteam keine neuen Kontrollen installiert habe. «Ein Vieraugenprinzip» mit Bezug auf das Cyberteam «fehlte weiterhin.»
Cyber NDB sei «umfassend reorganisiert»
Auf Anfrage von SRF Investigativ geht der NDB auf die detaillierten Fragen nicht ein, schreibt aber: Die Vorkommnisse im früheren Bereich Cyber des NDB zwischen 2015 und 2020 seien untersucht worden. Ausserdem sei der Bereich Cyber direkt nach der internen Untersuchung reorganisiert worden. Dabei habe es eine «grundlegende Erneuerung der Praxis in der Beschaffung von Cyberdaten, eine Ausweitung der Kontrollmechanismen und eine neue Leitung» gegeben. Die Leitung des Cyberteams sei im Laufe des letzten Jahres verbessert worden.
Zu den konkreten Fragen von SRF im Zusammenhang mit dem internen Untersuchungsbericht schreibt der Geheimdienst: «Der NDB kommentiert keine geheimen Berichte gegenüber den Medien.»
Bundesrat Pfister kündigt Untersuchung an
Für den Geheimdienst verantwortlich ist Bundesrat Martin Pfister, der neue Vorsteher des Verteidigungsdepartement VBS. Ein funktionierender Nachrichtendienst sei von zentraler Bedeutung, «gerade in dieser von Unsicherheit geprägten Weltlage», sagt Pfister im Interview mit SRF Investigativ.
Die Affäre soll erneut untersucht werden. Pfister kündet an: «Ich habe eine externe Administrativuntersuchung eingeleitet.» Damit soll überprüft werden, ob die Punkte aus den vergangenen Berichten umgesetzt worden seien. Auch die Frage, wer die Daten vernichtet habe, sei Teil der Untersuchung. Zu den Vorgängen 2015 bis 2020 seien keine Strafermittlungen im Gange.
«Das Vertrauen in den NDB ist von zentraler Bedeutung. Ich setze persönlich alles daran, dass dieses wieder hergestellt wird», so der Vorsteher des VBS.
Und Herr W.?
Warum hat W. diese Kontakte gepflegt? Was war seine Motivation? In einem internen Chat des Cyberteams steht einmal, als die Zusammenarbeit mit einer der wichtigen Providerfirmen zusammenzubrechen droht: Das wäre ein Albtraum – «we will be like everybody else.»
W. und sein als sehr erfolgreich geltendes Team befürchteten offenbar einen Bedeutungsverlust.
Auf Anfrage von SRF Investigativ weist der ehemalige Chef des Cyberteams die Vorwürfe zurück. Über seinen Anwalt lässt er verlauten, er habe anlässlich der internen Untersuchung des NDB 2021 umfassend kooperiert. Der Nachrichtendienst habe weder einen Vorwurf noch eine Anschuldigung erhoben. Bei den Vorwürfen handle es sich um falsche Vermutungen, die «völlig aus der Luft gegriffen» seien und aus «nicht professionell überprüften Quellen» stammten.
Klar ist: Die Russland-Affäre scheint ihm bislang wenig geschadet zu haben. W. ist heute immer noch im Cyberbereich tätig und ein gefragter Redner.
