Original-URL des Artikels: https://www.golem.de/news/verschluesselung-ist-die-crypto-ag-wirklich-geschichte-2003-147583.html    Veröffentlicht: 31.03.2020 09:07    Kurz-URL: https://glm.io/147583

Verschlüsselung

Ist die Crypto AG wirklich Geschichte?

Der Fall der Crypto AG wirbelt in der Schweiz immer noch Staub auf. In Deutschland hingegen ist es auffallend still.

Eine Nachfolgefirma der berüchtigten Crypto AG bekommt Probleme mit der Justiz. In der ersten Märzwoche hat die Schweizer Bundesanwaltschaft die Räumlichkeiten der Crypto International AG, wie das Unternehmen heißt, durchsucht. Der Verdacht lautet: Verstoß gegen das Exportkontrollrecht.

Bei der Razzia wurden Geräte beschlagnahmt, mehr wurde über die Durchsuchungen bisher nicht bekannt. Der Schweizer Handelszeitung teilte die Schweizer Bundesanwaltschaft mit, sie habe "die unaufschiebbaren sichernden Maßnahmen getroffen", die einem Strafverfahren vorangehen. Das Staatssekretariat für Wirtschaft (Seco) hatte Strafanzeige gegen die Firma gestellt.

Hintergrund ist, dass die Crypto AG, also die Vorgängerfirma, jahrzehntelang manipulierte Chiffriergeräte ausgeliefert und damit die Kommunikation anderer Staaten abgehört haben soll. Betreiber des Unternehmens sollen die CIA und der Bundesnachrichtendienst gewesen sein. Unter den mehr als 100 Kunden waren offenbar nicht nur Diktaturen, sondern auch Nato-Partner. Kompromittiert wurden die Geräte mit Hilfe von Siemens und BND-Chiffrierexperten nach Vorgaben der CIA, die das Unternehmen verdeckt steuerte.

Der BND stieg 1993 aus dem Unternehmen aus, die CIA zog sich erst 2018 zurück. Daraufhin übernahm der schwedische Unternehmer Dan Ove Andreas Linde das Unternehmen und nannte es in Crypto International AG um. Heute arbeiten rund 100 Mitarbeiter für die Firma, die IT-Sicherheitslösungen für Unternehmen und Behörden anbietet.

Schon im Dezember, als die ersten Recherchen anliefen, stoppte der Schweizer Wirtschaftsminister die bestehenden Generalausfuhrbewilligungen in sichere Länder. Seither werden Exportanträge einzeln geprüft. Laut Neuer Zürcher Zeitung (NZZ) brachte dies die Crypto International AG in existenzielle Probleme.

Nach den ersten Veröffentlichungen reichte das Seco Ende Februar Anzeige gegen unbekannt ein. Es ist nicht bekannt, ob konkrete Anhaltspunkte für einen Gesetzesverstoß vorliegen. Das Unternehmen kommentierte die Razzia mit einem Verweis auf laufende Gespräche zu den Generalexportlizenzen nicht.

Bislang gingen Schweizer Bundesbehörden Verdachtsmeldungen nicht nach und stellten Untersuchungen rasch ein. Anders könnte das nun bei den aktuellen Untersuchungen der Bundesanwaltschaft laufen.

Geheimnisvolle Eigentümer

Als Eigentümer der Crypto AG fungierte eine liechtensteinische Gesellschaft. Vergangene Woche wurde bekannt, dass ein zweites Schweizer Unternehmen von derselben liechtensteinischen Gesellschaft gesteuert wurde: die IT-Sicherheitsfirma Infoguard AG aus Baar. Über diese soll der US-Auslandsgeheimdienst von 2002 bis 2018 das Unternehmen kontrolliert haben.

Diese Umstände gehen aus einer komplizierten Holdingstruktur hervor, die sich aus dem Zuger Handelsregister erschließt. So gehörte Infoguard der The Crypto Group AG, deren Aktionärin die Anstalt Europäische Handelsgesellschaft (AEH) mit Sitz in Liechtenstein war. Infoguard beliefert nicht nur Behörden, sondern auch Großbanken wie die UBS und Credit Suisse. Es bezeichnete sich gegenüber Journalisten als "unabhängige Schwestergesellschaft" der Crypto AG.



Schwarze Kassen bleiben ungeklärt

Bislang stoßen die Enthüllungen nur in der Schweiz auf ein breites Echo. Dabei wusste die Parlamentarische Kontrollkommission im Bundestag nichts von der BND-Operation, die schwarze Gelder in die Kassen des Geheimdienstes spülte. In dem Mitte März ausgestrahlten ZDF-Dokufilm Operation Rubikon schilderte der Geheimdienstexperte Erich Schmidt-Eenbohm das Verfahren der Gewinnübergabe: "Die Gewinne der Crypto AG liefen in Liechtenstein bei der Stiftung auf, die wurden dann an München überwiesen. Dann gab es zwei Verfahren: Einmal holten zwei BND-Mitarbeiter die Hälfte des Gewinns bar ab und übergaben sie zwei CIA-Mitarbeitern in einer Münchner Tiefgarage. Die andere Hälfte wurde ebenfalls bar abgehoben und ging dann über den BND-Vizepräsidenten direkt ins Bundeskanzleramt."

Der BND muss seine Ein- und Ausgaben dem Bundestag offenlegen. Allerdings wurde die jährliche Gewinnausschüttung der Crypto AG dem BND-Haushalt zugeschlagen. Haushaltsausschuss und Rechnungshof hatten darüber keine Kontrolle. Der Grünen-Bundestagsabgeordnete Konstantin von Notz, der auch Mitglied des Parlamentarischen Kontrollausschusses ist, sagte den Fernsehjournalisten: "Wenn hier praktisch schwarze Kassen entstehen, aus denen dann irgendwas finanziert wird, ohne dass das parlamentarisch kontrolliert geschieht, dann wäre das ein sehr, sehr gravierender Vorgang."

Alles Geschichte?

1993 vereinbarte der damalige Geheimdienstkoordinator Bernd Schmidbauer mit der CIA den Ausstieg des BND aus der Crypto AG. Er schöpfte aber jahrelang weiter Informationen ab, da viele Länder die manipulierten Geräte noch nutzten. Außerdem stieg der BND von analogen auf digitale Aufklärungsmethoden um. Schmidbauer sagte in der TV-Doku vage: "Das Internet und andere soziale Dienste und Möglichkeiten haben Verknüpfungen zu Tage gebracht, die man heute nutzt, und mit denen man wesentlich mehr Material beschaffen kann - auch nachrichtendienstlich sehr wichtiges Material." Wie man sich das auf Seiten der CIA vorstellen kann, ist seit den Enthüllungen von Edward Snowden weitgehend bekannt.

Auf Seiten des BND wurde weniger bekannt. So steht die Frage im Raum, ob der Bundesnachrichtendienst das Geschäftsmodell der Crypto AG mit anderen Unternehmen weiter pflegt - möglicherweise auch in Zusammenarbeit mit britischen und US-Geheimdiensten. Während in der Schweiz die Untersuchungen an Fahrt aufnehmen, ist es in Deutschland noch sehr ruhig, etwas zu ruhig. Denn es stellt sich die Frage: Warum gibt das Bundeskanzleramt die Akten von damals nicht frei? Was hat der Bundesnachrichtendienst mit den Gewinnen gemacht? Hat er sie in andere, neue Unternehmen investiert?

Der Abnabelungsversuch

Bekannt ist etwa, dass der Bundesnachrichtendienst Anfang 2001 in den Finanzskandal um den ehemaligen Spezialisten für Spracherkennungssysteme, Lernout & Hauspie, verwickelt war. Er gründete über Tarnfirmen Startups, um Übersetzungskomponenten für Sprachen wie Farsi, Bahassa und Slawisch zu entwickeln. Die Komponenten setzten auf einer Technik auf, die zuvor von einer Siemens-Tochter entwickelt worden war. US-Geheimdienste waren, soweit bekannt ist, daran nicht beteiligt.

In den Jahren vor dem 11. September war der BND offenbar recht eigenständig unterwegs. Ende der 90er Jahre setzte sich das Bundeswirtschaftsministerium vehement für eine Lockerung der Krypto-Exportkontrollen ein. Das Argument: Unternehmen bräuchten eine sichere Krypto, um nicht Opfer von Wirtschaftsspionage zu werden. Eine wie auch immer staatlich organisierte Schlüsselhinterlegung (Key Recovery), wie sie von den USA favorisiert wurde, käme nicht infrage. Interessant im Rückblick: Zu den ersten Unternehmen, die aus einer internationalen Key Recovery Alliance von Unternehmen, die die US-Exportpolitik unterstützen sollten, ausscherten, gehörte die Siemens AG.



Erfolg mit GnuPG

Mit ihrem Kurs stieß die deutsche Regierung zunächst auf vehementen Widerstand der USA. Schließlich konnte sich die deutsche Regierung aber mit ihren im Juni 1999 beschlossenen liberalen Kryptoeckwerten durchsetzen - zumal sie ein halbes Jahr später mit der öffentlichen Förderung von GnuPG, der Open-Source-Variante von Pretty Good Privacy, Nägel mit Köpfen machte. Damit führte die Bundesregierung die US-Behörden vor: Sie konnten die Verbreitung und Weiterentwicklung der verlässlichen Krypto-Software nicht mehr bremsen. GnuPG gehörte denn auch zu den wenigen Kryptotools, die Edward Snowden als noch sicher einstufte.

Panne vor dem 11. September 2001

GnuPG dürfte einer der wenigen Erfolge der damaligen Kryptopolitik sein. Denn aus dem Plan des Bundeswirtschaftsministeriums, auf Basis der Kryptoeckwerte eine weltweit führende Kryptowirtschaft aufzubauen, wurde so gut wie nichts. Möglicherweise wurden die Deutschen nach den Ereignissen vom 11. September von den USA wieder eingefangen: Denn die Angriffe waren praktisch nicht nur von deutschem Boden aus geplant worden, der BND hatte auch einen deutlichen Hinweis auf die Angriffspläne erhalten, der aber nicht rechtzeitig zur Auswertung kam.

So berichtet der ZDF-Dokufilm Operation Rubikon, dass die damalige Zentrale für das Chiffrierwesen des BND dank der manipulierten Maschinen der Crypto AG die diplomatischen Verkehre der Italiener mitlesen konnte. Eine Linguistin fing die Nachricht auf, wonach junge Araber in den USA eine Flugausbildung aufnehmen sollten. Geld spiele keine Rolle. Es ginge nicht um Starten und Landen, sondern nur um das Geradeausfliegen. Schmidt-Eenbohm: "Entgegen der internen Dienstanweisung hat sie die brisante Meldung nicht dem Gruppenleiter vorgelegt, sondern ist ins Wochenende gegangen." In einem BND-Vermerk wird die Panne bestätigt: "Die schlafmützige Linguistin (habe) einen Teil der Meldung inhaltlich übersehen, falsch bewertet oder gar nicht erst bearbeitet." Ob 9/11 aufgrund der Meldung hätte verhindert werden können, dazu wollten sich weder BND noch Bundesregierung äußern.

Dubiose Firmenkonstruktionen

Möglicherweise kontrollieren britische und US-amerikanische Geheimdienste heute die IT-Sicherheitsunternehmen, die für deutsche Behörden taktische und strategische Aufklärungs- und Abhörsysteme für das Internet, Telefonie und Mobilfunk sowie Internet Messenger entwickeln. Ausschreibung und Auftragsvergabe erfolgen meist wenig transparent. An dieser Stelle sollen keine Firmennamen genannt werden, denn aktenkundig ist bislang zu wenig. Doch unverdächtig sind die Unternehmen keineswegs.

Ein Blick in das Handelsregister sowie in Börsenverkaufsprospekte und Börsenmitteilungen zeigen immer wieder Verbindungen zu britischen und US-amerikanischen IT-Sicherheitsunternehmen und Investmentgesellschaften. So der Fall eines deutschen IT-Sicherheitsunternehmens, das nach eigenen Angaben Abhörsysteme sowie Systeme zur Vorratsdatenspeicherung für Strafverfolgungsbehörden in nahezu 100 Staaten ausliefert: In einem Börsenverkaufsprospekt von 2003 ist zu lesen, dass über eine Investment-Gesellschaft auf den Cayman Islands eine Kapitalerhöhung organisiert wurde.

Alte, neue Fragen

Wenn es irgendetwas aus dem Fall der Crypto AG zu lernen gibt, dann doch eines: Die Parlamentarische Kontrollkommission im Bundestag sollte anfangen, Fragen zu stellen: Wie sicher ist die Technik tatsächlich, die IT-Unternehmen in Deutschland für deutsche Sicherheitsbehörden liefern? Was, in welchem Umfang und bis in welche Tiefe prüfen sowohl das Bundesamt für Sicherheit in der Informationstechnik als auch der Bundesdatenschutzbeauftragte diese Produkte? Gibt es noch Unternehmen, die der BND kontrolliert? Und was passiert mit deren Gewinnen?

 (csh)


Verwandte Artikel:
Schweizer Crypto AG: Wie BND und CIA eine Verschlüsselungsfirma hackten   
(11.02.2020, https://glm.io/146567 )
Zoombombing: Trolle übernehmen Zoom-Konferenzen   
(31.03.2020, https://glm.io/147606 )
Rechtswidrige Inhalte: Gibt es bald ein NetzDG-Light für Youtube?   
(04.03.2020, https://glm.io/147007 )
NSA-Ausschuss: SPD empört über "Schweigekartell" der US-Konzerne   
(19.01.2017, https://glm.io/125683 )
Remote Code Execution: Sicherheitslücke in Windows 10 geleakt   
(11.03.2020, https://glm.io/147174 )

© 1997–2021 Golem.de, https://www.golem.de/