Wieso das Schweizer Image als Verschlüsselungs-Mekka bröckelt

Hackerinnen, Whistleblower, Oppositionelle, Journalistinnen und Diplomaten: Sie alle vertrauen der Kryptografie, wenn sie jemandem auf sicherem Weg etwas mitteilen wollen. Und sie vertrauen der Schweiz, weil sie sich immer wieder als unabhängiges und neutrales Land präsentiert hat.

Die Verschlüsselungsbranche profitierte davon. Die Crypto AG im Kanton Zug verkaufte jahrelang Chiffriergeräte, mit denen über hundert Staaten vermeintlich abhörsicher staatliche Geheiminformationen austauschen konnten. Ihr Slogan "Security Swiss made" war nichts als Täuschung: Hinter der Firma standen US- und deutsche Geheimdienste. Manipulationen an den Geräten ermöglichten es ihnen, diplomatische Nachrichten von fremden Staaten abzuhören.

Swissness auch nach Cryptoleaks

Scheinbar unbeeindruckt vom Spionage-Skandal, werben Firmen wie Protonmail oder Threema weiterhin mit dem Image der Schweiz als sicheres Crypto-Mekka. Gelesen werden Sätze wie "Schweizer Privatsphäre: Datensicherheit und Neutralität" oder "100% Swiss Made".

Protonmail sagt zu Watson, dass das Schweizer Rechtssystem seit Langem den "Schutz der Privatsphäre" kenne. "Das ist einer der Gründe, warum wir uns entschieden haben, Proton hier aufzubauen." Die Enthüllungen rund um die Crypto AG liessen jedoch einige der rund 20 Millionen Protonmail-Nutzer aufhorchen, ob denn ihre Daten noch sicher seien.

Man habe eine "kleine Anzahl von Anfragen" erhalten, stellt Pressesprecher Edward Shone fest. Den Usern sei versichert worden, dass keine Verbindung zur Crypto AG bestehe. Zudem habe man darauf verwiesen, dass der Code hinter Protonmail öffentlich sei und regelmässig von Drittpersonen überprüft werde.

Auf die Frage, ob Verbindungen zum Schweizer Nachrichtendienst oder einem anderen Geheimdienst bestehen, sagt Edward Shone: "Nein, wir wurden noch nie von einem Geheimdienst kontaktiert."

Schweiz hat unter Experten nur einen "durchschnittlichen" Ruf

Der Zürcher IT-Rechtler Martin Steiger sagt zu Watson, dass die Schweiz unter Cyber-Experten schon lange nur einen "durchschnittlichen Ruf" geniesst.

Wer wirklich auf sichere Kommunikation angewiesen sei, würde sich schon lange nicht mehr von sowas blenden lassen. Steiger vermutet jedoch: "Wer sich bislang von der Marke Schweiz blenden liess, wird sich weiterhin einreden, die Schweiz sei ein sicherer Hafen für Daten."

Der Spionage-Skandal der Crypto AG habe sicher dazu mitgetragen, dass der Ruf der Schweiz als Crypto-Mekka beschädigt sei. Das Image sei aber schon länger am bröckeln. Er nennt im Gespräch mit Watson drei Gründe:

1. Behörden verlangen Daten von Verschlüsselungs-Apps

Immer häufiger verlangen Behörden von der Schweizer Justiz, dass sie von hiesigen IT-Unternehmen die Herausgabe von User-Daten verlangen. Diese Rechtshilfe-Gesuche richten sich nicht immer gegen Verbrecher, wie Protonmail in ihrem Transparenz-Bericht schreibt.

• Im August 2017 verlangten Schweizer Strafverfolgungsbehörden im Auftrag der Türkei die Kooperation von Protonmail. Das Unternehmen lehnte das Gesuch wegen der "Menschenrechtsverletzungen der türkischen Regierung" ab.

• Ein osteuropäisches EU-Land verlangte die Daten eines Informanten, der die "Korruption unter Beteiligung eines hochrangigen Politikers aufdeckte". Protonmail wehrte sich im Januar 2019 gegen die Anordnung einer Schweizer Staatsanwaltschaft auf Kooperation.

Mit solchen Fällen rühmen sich die Internet-Firmen jeweils als Hüter der Daten ihrer User. Was Transparenz-Berichte von Protonmail und Threema jedoch auch zeigen: Viele Rechtshilfe-Gesuche werden von Schweizer Gerichten bestätigt oder einsprachslos erfüllt:

• Protonmail: 2018 lieferte der E-Mailprovider über 300 Fällen Nutzerdaten, in je einem Fall auch an Jordanien, den Oman und an Indonesien – allesamt Länder, deren Menschenrechts-Praxis und Rechtsstaatlichkeit von Amnesty International kritisiert wurde.

• Threema: Letztes Jahr lieferte das Schwyzer Unternehmen insgesamt 317 Benutzerdaten an die Schweizer Justiz. Welche Staaten Rechtshilfe-Gesuche eingereicht hatten, wird nicht erwähnt.

Bei solchen Rechtshilfeersuchen erhalten die Staaten in der Regel nur Metadaten. Gemeint sind Angaben wie Kontoname, Login-Uhrzeiten, teilweise IP-Adressen oder Handynummern. "Solche Metadaten können mit Hilfe der Vorratsdatenspeicherung verraten, wer ein Benutzerkonto genutzt hat", erklärt Steiger. Watson zeigte 2014 am Beispiel des grünen Politikers Balthasar Glättli auf, was die Analyse solcher Verbindungsdaten verraten kann.

2. Verschlüsselungs-Apps kooperieren mit Behörden

Eine weitere Gefahr birgt auch das Geschäftsmodell von Verschlüsselungs-Apps. Letztes Jahr wurde bekannt, dass die Schweizer Bundesverwaltung für die über 38'000 Bundesangestellten auf das Geschäftskunden-Modell "Threema Work" setzt. Geht man vom günstigsten Paket aus, dürfte Threema dafür monatlich über 30'000 Franken vom Bund kassieren.

Der Datenschutz-Experte Steiger sagt zwar, dass Threema in Sachen Datenschutz "fast alles sehr gut" mache. Durch solche Aufträge bestehe aber Gefahr einer finanziellen Abhängigkeit. Entsprechende Begehrlichkeit wurden erst letztes Jahr von FDP-Ständerat Josef Dittli geweckt. Er wollte in einem Vorstoss vom Bundesrat wissen: "Ist die Ende-zu-Ende-Verschlüsselung von Messengerdiensten wie Whatsapp, Telegram oder Threema auch für die Sicherheit der Schweiz ein Thema?"

3. Technologie wird zunehmend angreifbar

Steiger erwähnt im Gespräch mit Watson einen dritten Grund, wieso Verschlüsselungsanbieter seit Jahren unter einem Vertrauensverlust leiden: "Einige Algorithmen, die durch Verschlüsselung eine sichere Kommunikation vorgaukeln, sind angreifbar geworden."

Gemeint sind Mail-Verschlüsselungs-Standards wie "Pretty Good Privacy", kurz PGP. Journalistinnen, Whistleblower und Cyber-Experten des Bundes setzen darauf. Seit Jahren wird aber immer wieder vor "kritischen Schwachstellen" gewarnt. Die Lücken würden es Angreifern erlauben, verschlüsselte E-Mails mitzulesen.

Zur eingesetzten Technologie heisst es in der Stellungnahme von Protonmail: "Unsere Verschlüsselung funktioniert nach den Gesetzen der Mathematik, nicht nach den Gesetzen des Landes." Threema hat auf eine Anfrage von Watson bislang nicht Stellung genommen.

Dieser Artikel erschien zuerst am 19. Februar 2020 auf watson.ch.