So belastet die Cryptoleaks-Affäre die Schweizer IT-Branche
Die Enthüllungen um die Machenschaften der Crypto AG gehen nicht spurlos an der Schweizer Cybersecurity-Branche vorbei. Einige machen sich Sorgen um ihren Ruf. Andere sehe aber auch Chancen, wie eine Recherche zeigt.
Vor knapp drei Wochen hat die "Rundschau" des Schweizer Fernsehens ausführlich über dubiose Geschäfte der Zuger Sicherheitsfirma Crypto AG berichtet. Die Geschichte schlug hohe Wellen in den Medien. Sie schade der ganzen Industrie, zitierte etwa der "Tagesanzeiger" einen IT-Unternehmer. FDP-Politikerin Doris Fiala forderte eine parlamentarische Untersuchungskommission, während Dreamlab-CEO Nicolas Mayencourt im Netzmedien-Podcast die "Skandalisierung als den eigentlichen Skandal" bezeichnete. Hier lesen Sie weitere Hintergründe zur Cryptoleaks-Affäre.
Doch welchen Schaden hat die Cryptoleaks-Affäre tatsächlich angerichtet? Und zieht die Schweizer Cybersecurity-Branche irgendwelche Lehren aus der Geschichte?
Enthüllungen? Oder auch nicht.
Zumindest manche Cybersecurity-Unternehmer konnten den Braten riechen: "Den Branchenkennern waren die Gerüchte seit der Bühler-Affäre in den 90er-Jahren hinlänglich bekannt und sind nicht einfach vergessen gegangen", schreibt Geraldine Critchley von Securosys auf Anfrage.
Sie spielt damit an auf Hans Bühler, einen ehemaligen Verkäufer der Crypto AG. Dieser wurde 1992 in Theheran verhaftet. Der Vorwurf:
"Mithilfe bei der Enthüllung klassifizierter Informationen", schreibt die "NZZ". Bühler kam erst nach neuneinhalb Monaten und nach einer Zahlung von einer Million Franken wieder frei.
Dass man in der Branche von der Spionageaffäre gewusst habe, bestätigt auch Sepp Huber, Head Newsdesk & Media Relations von Swisscom: "Vieles von dem, was in den letzten Wochen rund um die Crypto AG berichtet wurde, war bereits bekannt, respektive wurde vermutet." Swisscom setze keine Geräte der Crypto AG ein, und habe dies gemäss eigener Abklärungen auch nie getan.
Adrian Kyburz, Head of Business Development von Xorlab, war allerdings überrascht von den Dimensionen der Affäre: "Einerseits begrüsse ich, dass nun mehr Klarheit herrscht, dass nun endlich Beweise für die bereits länger existierenden Gerüchte aufgetaucht sind. Andererseits ist es verstörend zu sehen, wie direkt der ausländische Einfluss war und wie gross das Ausmass der Affäre ist." Seine Firma habe seither aufgehört, bei Gesprächen mit potenziellen Kunden aus dem Ausland die Neutralität der Schweiz speziell hervorzuheben.
Für Beat Fluri, CTO von Adnovum, zeige der Fall die grosse Bedeutung einer sorgfältigen Due Diligence. "Die grosse Frage für mich ist, wie es möglich war, eine Backdoor zu entwickeln, die trotz internationalem und derart sicherheitskritischem Einsatz und der damit verbundenen Prüfung durch Kryptologen während 50 Jahren praktisch unentdeckt blieb."
Schaden oder Chance
"Meine Güte, was für ein Reputationsschaden für den Werkplatz Schweiz!", habe sich Palo Stacho von Lucy Security gedacht, als er zum ersten Mal von der Cryptoleaks-Affäre hörte. Für Hersteller von Schweizer IT-Securitylösungen sei Swissness ohne NSA-Backdoors "ein riesen Verkaufsargument". Gefragt, wie gross der Schaden für die Branche sei, gibt er sich aber hoffnungsvoll: "Wir glauben nicht an einen Schaden, eher an eine Chance. Die Schweizer Infosec Szene fristete global gesehen ein Schattendasein. Nun sind wir im Rampenlicht." Wenn die Bundesbehörden beweisen könnten, dass es sich bei der Affäre um einen ausgesprochenen Einzelfall handle, sei es sogar gut für die Schweizer Cybersecurity-Branche.
Auch Gaetano Mecenero, Chief Marketing Officer von Futurae, zeigt sich zuversichtlich und glaubt daran, "dass viele diese Sache sehr wohl differenziert beurteilen und die Schweiz in der Nachkriegszeit nicht mit der heutigen vergleichen". Negative Einflüsse auf ihr Geschäft habe es bei seiner Firma bisher nicht gegeben, fügt er an. Und gefragt, wie das Vertrauen in die Branche wiederhergestellt werden könne, verweist er auf die Wichtigkeit der Ethik: "Unternehmen müssen ihre Kernwerte leben. Auch wäre eine Art Charta mit Prinzipien denkbar, hinter der alle betroffenen Unternehmen geschlossen stehen."
Etwas pessimistischer gibt sich Adrian Kyburz von Xorlab. Zwar sei es schwierig, den Schaden zu quantifizieren. "Ich bin aber davon überzeugt, dass es der Branche schaden wird." Das Ausmass des Schadens hänge massgeblich von den Untersuchungsergebnissen ab, findet auch Beat Fluri von Adnovum. Bei Securosys habe sich die Produktnachfrage ebenfalls nicht vermindert, schreibt Geraldine Critchley. Und Lucy Security erhalte nach wie vor auch viele Anfragen aus den Ländern, die von Cryptoleaks betroffen seien, schreibt Palo Stacho.
Weitermachen wie bisher
Doch was tut die Branche heute, um eine erneute Cryptoleaks-Affäre zu verhindern? "Die Prozesse und Architekturen ermöglichen eine Minimierung allfälliger Risiken", schreibt Sepp Huber von Swisscom. "Zudem führen wir regelmässig Security-Audits der Infrastruktur, Systeme und Applikationen durch, tauschen uns zu solchen sicherheitsrelevanten Themen auch regelmässig mit anderen europäischen Anbietern und den Schweizer Behörden aus."
Bei Lucy Security sei dies ziemlich einfach, schreibt Palo Stacho: "Einerseits haben wir bei der Produkteentwicklung die entsprechenden Vorkehrungen getroffen, wie interne Penetrationstests, Codeanalysen und so weiter. Andererseits ist bei uns öffentlich ersichtlich, wie unsere Software mit welchen Servern im Internet kommuniziert." Securosys wiederum versehe all ihre Produkte mit einem überprüfbaren "digitalen Siegel", schreibt Geraldine Critchley. Werde dieses gebrochen, erfahre dies der Kunde und wisse, dass "die Möglichkeit einer Manipulation bestanden" habe.
Bei Adnovum wolle man in Zukunft noch verstärkter auf die Due Diligence achten, schreibt CTO Beat Fluri. Und bei Xorlab werde man im Hinblick auf die Erschliessung ausländischer Märkte zukünftig "nochmals überlegen, wo es momentan Sinn ergibt beziehungsweise wo wir eventuell an Glaubwürdigkeit verloren haben."
PUK kommt vorerst nicht
Derweil gibt das Büro des Nationalrats bekannt, vorerst keine Parlamentarische Untersuchungskommission (PUK) einzusetzen, schreibt der "Blick". Die Meinung, dass die bereits laufende Untersuchung der Geschäftsprüfungsdelegation (GPDel) vorerst reiche, habe zuletzt auch die FDP vertreten, schreibt die Zeitung weiter.
Die SP und die Grünen hingegen wollen an der Forderung festhalten und je eine entsprechende parlamentarische Initiative einreichen.