«Wir suchen nicht den jungen Nerd, der im Keller Computer hackt»

Erstmals gibt der Cyber-Chef des Nachrichtendienstes ein Interview. Er sagt, wie oft die Schweiz angegriffen wird und wo er Mitarbeiter findet, die hacken können.

Karikatur: Felix Schaad

Karikatur: Felix Schaad

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Er ist der Mann, der für den Nachrichtendienst des Bundes (NDB) Cyberangriffe abwehrt – und seit dem Ja zum neuen Nachrichtendienstgesetz auch zum Gegenangriff übergehen kann. Wir treffen den Chef der Cyberabteilung des NDB am Sitz des Nachrichtendienstes in Bern, dem sogenannten Pentagon an der Papiermühlestrasse. Es ist das erste Mal, dass der Cyber-Chef ein Interview gibt – unter der Bedingung vollständiger Anonymität. Nachdem der Besucher beim Eingang Identitätskarte und Mobiltelefon deponiert hat, kann das Interview in einem unscheinbaren Büro der Geheimdienstzentrale beginnen. Das Gegenüber ist ein zuvorkommender Mann knapp über 40, der weder dem ­Klischee eines Agenten noch dem eines Computernerds entspricht. Früher in der Privatwirtschaft tätig, arbeitet der Mann laut eigenen Angaben «seit längerem» für den NDB. Unter dem wachsamen Auge der Kommunikationschefin antwortet der Cyber-Chef in der Regel ohne Umschweife – blockt aber sofort ab, wenn es um operative Details geht.

Das neue Nachrichtendienstgesetz ist klar angenommen worden. Was heisst das für Ihre Abteilung?
Bisher stiessen wir an Grenzen, wenn wir es mit einem Cyberangriff zu tun hatten. Nehmen Sie den Vorfall während der Verhandlungen über das iranische Atomprogramm 2015 in Genf. Wir registrierten, dass mit einem Computervirus ein Angriff auf die IT-Systeme von Luxushotels erfolgte. So kann man zum Beispiel Telefongespräche abhören. Wir konnten den Angriff feststellen und die Schadsoftware identifizieren. Uns fehlte damals jedoch die gesetzliche Grundlage, mehr Informationen über die Verursacher des Angriffs zu beschaffen. Es war uns nicht erlaubt, in das feindliche Computernetzwerk einzudringen, dort Informationen zu sammeln und allenfalls Gegenmassnahmen zu ergreifen.

Werden Sie das nun nachholen?
Das neue Gesetz tritt erst am 1. September 2017 in Kraft. Über operative Belange geben wir keine Auskunft.

Wenn hinter einem solchen Cyberangriff ein ausländischer Staat steckt, kann ein Gegenangriff Ihrer Abteilung rasch eskalieren.
Darum sind solche Operationen auch streng reglementiert. Ohnehin würden wir zunächst alle möglichen Alternativen prüfen, bevor wir die Erlaubnis beantragen, in ein Computersystem oder -netzwerk im Ausland einzudringen, um dort den Zugang zu Informationen zu stören, zu verhindern oder zu verlangsamen, wie es das Gesetz vorsieht. Dafür wäre die Zustimmung des Gesamtbundesrats erforderlich. Also auch der Aussenminister, der für die guten Beziehungen zum Ausland zuständig ist, müsste einwilligen, bevor wir starten könnten.

Dürfen Sie auch Gegenangriffe auf Computer unternehmen, die sich in der Schweiz befinden?
Nein. In der Schweiz dürfen wir nur in Computer eindringen, wenn eine konkrete schwere Bedrohung vorliegt und die bisherigen nachrichtendienstlichen Abklärungen erfolglos waren. Und auch dann benötigen wir die Genehmigung des Bundesverwaltungsgerichts sowie des Verteidigungsministers. Gegenmassnahmen sind jedoch nicht erlaubt, es geht um Informationsbeschaffung.

Sind für Ihre Operationen das Vorliegen von Angriffen oder Bedrohungen zwingend? Oder dringen Sie auch von sich aus in Computer ein?
Wie gesagt, ist das im Inland nur beim Vorliegen einer schweren Bedrohung erlaubt. Im Ausland ist diese Voraussetzung nicht zwingend. Allerdings beschaffen wir nur Informationen in den Bereichen Spionage, Proliferation und Terrorismus – wobei die Hürden hoch sind: Für eine solche Operation im Ausland müssen das Bundesverwaltungsgericht, der Verteidigungs- und der Aussenminister sowie die Justizministerin zustimmen.

«Wir stellen jeden Monat mehrere Fälle von Cyber­angriffen in den Bereichen Spionage, Proliferation und Terrorismus fest.»

Wie viele Operationen – sei es zur Informationsbeschaffung oder als Gegenangriff – werden Sie pro Jahr etwa ausführen?
Das wird selten der Fall sein. Wir rechnen beim NDB mit insgesamt zehn bis zwölf Fällen pro Jahr, in denen besondere Beschaffungsmassnahmen eingesetzt werden. Gleichzeitig stellen wir ­jeden Monat mehrere Fälle von Cyber­angriffen in den Bereichen Spionage, Proliferation und Terrorismus fest.

Wer ist das Ziel solcher Angriffe?
Bekannt wurde der Angriff auf den ­Rüstungskonzern Ruag, den wir diesen Januar aufdeckten. Ziele sind aber auch das internationale Genf, der Bankenplatz – oder auch kleinere Firmen, die ­interessante Technologie anbieten.

Unterstützen Sie auch Private bei der Abwehr eines Cyberangriffs?
Der NDB ist im Rahmen eines Präventivprogramms in Kontakt mit diversen Firmen. Es geht auch darum, diese Unternehmen vor Cyberattacken zu schützen. Wenn wir Attacken feststellen, sprechen wir die Firmen an. Grundsätzlich ist der NDB zuständig, wenn mutmasslich staatliche Stellen aus dem Ausland Schweizer Interessen attackieren. Dabei kann es sich um Angriffe auf kritische Infrastrukturen, um Attacken auf Grossbanken oder auf Privatpersonen handeln, wenn die von besonderem Interesse für einen fremden Staat sind.

Wie gehen Sie vor, wenn Sie von einem solchen Angriff erfahren?
In der Regel erhalten wir eine Erstinformation. Dieser gehen wir nach und stützen uns dabei auf diverse Quellen. Wir versuchen dann, die Computernetzwerke der Angreifer zu identifizieren: Von wo aus wurde der Angriff lanciert, wo stehen die Server, wie hat sich der Angriff genau abgespielt, wurden Spuren hinterlassen? Wir analysieren, wer Opfer des Angriffs wurde – gibt es da ein ­Muster, eine Opfertypologie? Das kann Rückschlüsse auf die Motivation des ­Angreifers und damit auf den Angreifer selbst ermöglichen.

Und wenn Sie den Angreifer identifiziert haben?
Wenn es staatliche Stellen sind, muss der Bundesrat entscheiden, wie reagiert wird. Das Spektrum reicht von der Diplomatie bis zur erwähnten Möglichkeit des Cybergegenangriffs.

«Wir haben die Ressourcen, Schadsoftware wie Staatstrojaner selber zu entwickeln.»

Für Ihre Operationen benötigen Sie auch Schadsoftware. Wo kauft man solche Staatstrojaner?
Es gibt Anbieter auf dem Markt. Zudem haben wir die Ressourcen, solche Software selber zu entwickeln. Das hängt ­davon ab, was unsere Bedürfnisse in einem konkreten Fall sind.

Der Zürcher Sicherheitsdirektor Mario Fehr stand 2015 in der Kritik, weil er die Überwachungssoftware Galileo der italienischen Firma Hacking Team gekauft hatte. Ist der NDB auch Kunde dieser Firma?
Darüber informieren wir nicht.

Die erweiterten Möglichkeiten, die das neue Nachrichtendienstgesetz bietet, bedeuten auch mehr Personalbedarf. Wie stark wird Ihre Abteilung wachsen?
Der Bundesrat hat in der Botschaft zum neuen Gesetz festgehalten, dass der NDB bei einer Annahme der Vorlage ins­gesamt 15,5 neue Stellen schafft. Wir schlüsseln diese Zahl nicht weiter auf, weil dies Rückschlüsse auf die Grösse unserer Abteilung ermöglichen würde. Ich kann aber sagen, dass bei uns wie in anderen NDB-Abteilungen Beschaffer von Informationen und Analysten arbeiten, die diese Informationen auswerten. Eine Besonderheit unserer Abteilung sind die technischen Analysten, die es im Cyberbereich zum Beispiel zur Analyse feindlicher Schadsoftware braucht.

«Bevor wir einen Bewerber einstellen, muss er die höchste Sicherheitsprüfung durchlaufen, die es für Bundesangestellte gibt.»

Wo finden Sie eigentlich Ihre Mitarbeiter? Sie benötigen ja Nerds, die das Hacken beherrschen, die aber gleichzeitig höchster Geheimhaltung verpflichtet sind.
Wir schreiben die Stellen regulär aus. Bevor wir einen Bewerber einstellen, muss er die höchste Sicherheitsprüfung durchlaufen, die es für Bundesangestellte gibt. Diese Prüfung wird von der Abteilung Informations- und Objektschutz (IOS) des Verteidigungsdepartements durchgeführt. Dabei wird der Kandidat auf Herz und Nieren durchleuchtet – auch sein Privatleben, ob er zum Beispiel erpressbar wäre. Wir sind in der Lage, aus einer Vielzahl qualifizierter Bewerbungen auswählen zu können.

Ausländische Geheimdienste rekrutieren Cybermitarbeiter auch an Hacker-Meisterschaften. Tun Sie das ebenfalls?
Nein, das tun wir nicht. Die Vorstellung ist falsch, dass wir den bleichgesichtigen, jungen Nerd suchen, der den ganzen Tag im Keller sitzt und Computer hackt. Der Bereich Cyber-Security ist ein hochprofessioneller Bereich mit gut ausgebildeten, erfahrenen Spezialisten. Das sind Leute, die zum Beispiel bei einem ­Finanzinstitut für die Cyberabwehr tätig sind oder an einer Universität forschen.

«Wer bei uns arbeitet, trägt zur Sicherheit des Landes bei. Er widmet sich der Abwehr reeller Gefahren.»

Und solche Leute wechseln dann plötzlich zum Geheimdienst?
Wer bei uns arbeitet, trägt zur Sicherheit des Landes bei. Er widmet sich der Abwehr reeller Gefahren. Das ist eine Herausforderung, der sich viele Spezialisten gerne stellen.

2012 hat ein NDB-Mitarbeiter eine grosse Menge geheimer Daten entwendet, die er verkaufen wollte. Der Mann flog danach nur durch Zufall auf. Wie können Sie solche Vorfälle verhindern?
Wir geben keine Auskünfte über interne Sicherheitsmassnahmen – ausser, dass die Mitarbeiter auch nach einer erfolgten Anstellung periodisch die Sicherheitsüberprüfung durchlaufen müssen. Sie können aber sicher sein, dass aus diesem Vorfall die Lehren gezogen wurden.

Haben Sie keine Angst davor, dass einer Ihrer Mitarbeiter dereinst zum «Schweizer Edward Snowden» wird und Interna auspackt?
Ich habe volles Vertrauen in meine ­Mitarbeiter.

Dürfen Ihre Mitarbeiter ihrem Umfeld überhaupt sagen, dass Sie beim Nachrichtendienst arbeiten?
Sie sagen gegen aussen üblicherweise, dass sie beim Verteidigungsdepartement angestellt sind, was ja auch zutrifft. Unsere Mitarbeiter müssen eine Ver­einbarung unterzeichnen, dass sie nach dem Ausscheiden aus dem Dienst weiterhin Geheimnisträger sind und keine klassifizierten Informationen weitergeben dürfen. Ansonsten machen sie sich strafbar. Zudem könnten sie ein Ziel für ausländische Nachrichtendienste werden, wenn allgemein bekannt wird, für wen sie gearbeitet haben.

Dann führen Sie also das klassische Leben eines Agenten, der niemandem sagen kann, was er den ganzen Tag tut?
Das wäre übertrieben, wir führen kein Doppelleben. Meine Frau weiss zum ­Beispiel, wo ich arbeite und was ich tue. Aber ich unterhalte mich mit ihr in der Regel über andere Themen als über ­meinen Job. (lacht)

Name der Redaktion bekannt. (Tages-Anzeiger)

Erstellt: 28.10.2016, 21:39 Uhr

Intenetkriminalität

Viele Nachahmer am Werk

Kriminelle versuchen zunehmend, mit Cyberangriffen Opfer zu erpressen. Seit Jahresbeginn haben Angriffe mit Lösegeldforderungen stark zugenommen. Neben Profis sind Nachahmer am Werk, die die Angst ausnützen. Dies schreibt die Melde- und Analysestelle Informationssicherung des Bundes (Melani) in ihrem Halbjahresbericht.

Meist verschlüsseln Täter Daten der Opfer mittels Trojaner oder überlasten deren Server. Für die Freigabe wird dann Lösegeld gefordert. Manchmal drohen Täter auch, sensible Daten zu veröffentlichen. Für Aufsehen sorgte im ersten Halbjahr 2016 der Cyberangriff auf die Rüstungsfirma Ruag. Zu den weiteren grossen Ereignissen gehörte ein Angriff auf eine SVP-Datenbank, bei dem 50'000 E-Mail-Adressen kopiert wurden, und eine Infektion der «20 Minuten»-Website. Melani beobachtet einen Trend zu spektaku­lären Cyber-Raubzügen. Dies werde dadurch begünstigt, dass die Trennlinie zwischen staatlich unterstützten und kriminellen Angriffen immer unschärfer werde. (SDA)

Artikel zum Thema

«Die Kriminellen brauchen Forscher, Entwickler, Geld»

Wer steckt hinter dem Datendiebstahl bei der Ruag? Ein Experte gibt Einblick in die Welt der Cyberkriminellen und Geheimdienste. Mehr...

Cyber-Attacke auf die Ruag: Bundesrat setzt Taskforce ein

Der elektronische Angriff auf den Schweizer Rüstungskonzern Ruag blieb über ein Jahr lang unentdeckt. Nun handelt der Bund energisch. Mehr...

Der Faktencheck zum Nachrichtendienstgesetz

Mehr Kompetenzen im Kampf gegen den Terror: Das will das neue Nachrichtendienstgesetz. 8 Behauptungen aus der «Abstimmungs-Arena» im Check. Mehr...

InternetkriminalitätMarkant mehr Cyberangriffe

Kriminelle versuchen zunehmend, mit Cyberangriffen Opfer zu erpressen. Seit Jahresbeginn haben Angriffe mit Lösegeldforderungen stark zugenommen. Neben Profis sind Nachahmer am Werk, die die Angst ausnützen. Dies schreibt die Melde- und Analysestelle Informationssicherung des Bundes (Melani) in ihrem Halbjahresbericht. Meist verschlüsseln Täter Daten der Opfer mittels Trojaner oder überlasten deren Server. Für die Freigabe wird dann Lösegeld gefordert. Manchmal drohen Täter auch, sensible Daten zu veröffentlichen. Für Aufsehen sorgte im ersten Halbjahr 2016 der Cyberangriff auf die Rüstungsfirma Ruag. Zu den weiteren grossen Ereignissen gehörte ein Angriff auf eine SVP-Datenbank, bei dem 50 000 E-Mail-Adressen kopiert wurden, und eine Infektion der «20 Minuten»-Website. Melani beobachtet einen Trend zu spektaku­lären Cyber-Raubzügen. Dies werde dadurch begünstigt, dass die Trennlinie zwischen staatlich unterstützten und kriminellen Angriffen immer unschärfer werde. (SDA)

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Blog

Paid Post

Mit Swissôtel das SOS-Kinderdorf unterstützen

Mit jedem Kommentar und jedem «Share» dieses Artikels wird die Spende von Swissôtel im Namen der Mamablog-Community ans SOS-Kinderdorf erhöht. Helfen Sie mit!

Kommentare

Blogs

History Reloaded Zeit ist Macht

Von Kopf bis Fuss Biologische Ernährung senkt das Krebsrisiko

Werbung

Volltreffer! Die Fussballkolumne.

Grädel schreibt über Fussball und die Welt. Wenn einer in Bern und Umgebung echten Fussballsachverstand hat, dann er.

Die Welt in Bildern

Festival vereint die verschiedenen Kulturen des Landes: Eine Frau singt und tanzt bei einem Strassenfest in Südafrika in einem traditionellen Kleid. (14. Dezember 2018)
(Bild: Rajesh JANTILAL) Mehr...