Das Vertrauen ist nachhaltig beschädigt. Nachdem der Fall der Schweizer Crypto AG hochgekocht ist, herrscht grosse Verunsicherung in der digitalen Sicherheitsbranche in der Schweiz. Sowohl bei den Herstellern von Hochsicherheitslösungen als auch bei den Käufern, Unternehmen und regierungsnahen Institutionen inner- und ausserhalb der Schweiz. «Wir haben einige Anfragen von Partnern», sagt Securosys-Gründer und -Chef Robert Rogenmoser.

Der Zürcher Hersteller von Hardware-Security-Modulen (HSM) rechnet damit, dass das erst der Anfang für eine Branche ist, die jetzt im Krisenmodus steckt. «Der aktuelle Vertrauensverlust ist bedeutend», sagt Thales-Sprecherin Petra Keller.

Die meisten wussten Bescheid

Chefs renommierter Datensicherheitsfirmen schicken derweil Krisen-PR-Firmen und Anwaltskanzleien vor. Äussern wollen sich die wenigsten. Der Grund: Die meisten wussten seit Jahren Bescheid, dass nicht nur die Crypto AG durch ihre Eigentümer, den US-Geheimdienst CIA und den deutschen Bundesnachrichtendienst, kontaminiert war, sondern die Sicherheitslandschaft in der Schweiz und darüber hinaus von Lücken und Hintertürchen durchsetzt ist. Bis heute.

Und das in zweierlei Hinsicht: aufgrund der Eigentümerstruktur einiger Anbieter sowie aufgrund der technischen Ausstattung. Die in den Geräten verbauten Chips kommen grossteils aus den USA oder über China. «Das sind die eigent­lichen Hintertüren. Lässt man das unverändert, kann sich jemand Zugang zu den Geräten verschaffen», erklärt Rogenmoser. Bei einem Intel-Motherboard zum Beispiel müsse man davon ausgehen.

Anzeige

NSA durch die Hintertür

Marktführer im Bereich Verschlüsselung und Datensicherheit ist die französische Thales-Gruppe. Bis anhin hatte sich niemand daran gestossen, dass der staatsnahe Rüstungskonzern Schweizer Regierungsstellen und Firmen beliefert.

Die Krux: Thales hat nicht nur den französischen Staat im Rücken, sondern kaufte im April 2019 auch die niederländische Sicherheitsfirma Gemalto, welche wiederum die amerikanische Safenet kaufte. Safenet wurde von Ex-Ingenieuren der National Security Agency gegründet und ist 14 Autominuten von deren Hauptsitz entfernt. Die US-Regierung gehört zu den grössten Kunden.

Über Safenet verkaufen die Franzosen HSM-Geräte auch in der Schweiz an Banken und den Bund. Thales-Sprecherin Keller: «Die französische Rüstungsindustrie als europäische Stütze geniesst grosses Vertrauen.

Thales setzt auf Transparenz

Thales setzt auf Transparenz und lässt ihre Produkte bei nationalen Standardisierungsorganisationen auf allen Kontinenten prüfen und zertifizieren.» Das VBS versichert, «gemäss heutigem Kenntnisstand können Schwächen in den an Schweizer Behörden gelieferten Verschlüsselungssystemen ausgeschlossen werden. Deren Prüfung wurde erneut auf mögliche Sicherheitslücken hin analysiert.» So viel zum Vertrauen.

Warum Kontrolle besser ist, erklärt der Gründer der Securosys SA. Bei der Gründung 2014 war branchenweit klar, dass bei der Crypto AG längst etwas nicht stimmte. Das ging so weit, dass man im eigenen Firmennamen SA statt AG stehen haben wollte, um jede Assoziation zu vermeiden. Die einzige Lösung für die rufgeschädigte Branche ist laut Rogenmoser jetzt: Transparenz. «Wir legen gegenüber unseren Kunden den Herstellungsprozess unserer Geräte und unsere Eigentümerstruktur offen.»

Anzeige

Dem Kunden alles offenlegen

Securosys ist fest in Schweizer Hand. Der Kunde hat die Kontrolle über Hardware, Schlüssel und Software. Physische und digitale Siegel sowie eine Vielzahl von Sensoren verhindern, dass das Gerät geknackt oder manipuliert wird. Der Kunde kennt Schaltpläne und Quellcode. Die Bauteile kommen von vielen verschiedenen, kleineren Herstellern.

Aus informierten Kreisen heisst es, diese Massnahmen, der Firmensitz und die Eigentümer seien es der Schweizer Börse und der Nationalbank wert gewesen, den US-Einfluss zu beschränken und von Safenet zu Securosys zu wechseln.

Rogenmoser kommentiert das nicht. Nur so viel: «Man wollte verunmöglichen, dass ein Aussenstehender Transaktionen beobachten kann oder einfach den Kill Switch betätigen könnte.»

Bund offen für neue Lösungen

Die beiden Institutionen werden als Betreiber kritischer Infrastruktur eingestuft. Über die Geräte der Securosys laufen pro Tag Transaktionen im Wert von mehr als 100 Milliarden Euro. Das Unternehmen bedient mittlerweile mehr als die Hälfte der weltgrössten Banken mit ihrer Lösung – made and owned in Switzerland. «Wir verkaufen ein Schweizer Produkt, kein amerikanisches, kein britisches, kein chinesisches.» Jetzt interessiert sich auch der Bund dafür.

Anzeige