Die Hintertüre, die CIA und BND in Geräten der Crypto AG eingebaut hatten, beruhen auf schlechter Verschlüsselung. Auch Dritte hätten diese wohl nutzen können.
Festplatte
Eine fiktive Verschlüsselungssoftware im Einsatz. (Symbolbild) - dpa

Das Wichtigste in Kürze

  • CIA und BND hatten offenbar keinen Generalschlüssel für die Dechiffrierung.
  • Vielmehr bauten die Geheimdienste Schwachstellen ein, die eine Entschlüsselung zulassen.
  • Diese können auch von Dritten mit Kenntnis darüber genutzt werden.
Ad

Die Cryptoleaks-Affäre wird als Geheimdienst-Coup des 20. Jahrhunderts bezeichnet: Der deutsche BND und die amerikanische CIA haben mit manipulierten Geräten der Schweizer Firma Crypto AG rund 130 Länder abgehört.

Von aussen betrachtet stellte das Zuger Unternehmen Chiffriergeräte her und entwickelte Algorithmen, die eine verschlüsselte Kommunikation erlauben. Doch im Inneren bauten wenige involvierte Mitarbeiter – bei Geräten für viele Kunden – Hintertüren ein, die eine verhältnismässig sehr simple Dechiffrierung und damit Spionage ermöglichten.

Crypto AG
Die mechanische Rotor-Chiffriermaschine CX-52 IMG wurde ab 1952 durch die Crypto AG hergestellt. - keystone

So funktionierte die Hintertüre

Doch wie sieht eine solche Hintertüre aus? Eine in diesem Fall falsche Annahme ist, dass die partizipierenden Geheimdienste einen Generalschlüssel hatten. Sprich: Einen Text anhand einer vorher bestimmten Zeichen- oder Zahlenfolge zu entschlüsseln – analog eines Passworts –, war nicht möglich.

Dem Bericht der «Washington Post» ist zu entnehmen, dass es sich vielmehr um eine «Manipulation der Algorithmen handelt, welche das Entschlüsseln innerhalb von Sekunden ermöglicht».

BND-Hauptquartier
Eine Frau vor dem BND-Hauptquartier in Berlin. - AFP

So schreibt das «ZDF», dass die eingebauten Schwachstellen es erlaubten, «Entzifferungen mittels Einsatz mathematisch-kryptoanalytischer Methodik» vorzunehmen. Diese schlechten Algorithmen respektive Lücken vor den geschulten Augen der Mitarbeiter der Crypto AG zu verbergen, war logischerweise nicht leicht.

Mitarbeiter bemerkten Schwachstelle

Den Ingenieuren fielen Ungereimtheiten auf, die involvierte Personen aber herunterspielten. Ein Beispiel dafür waren die damaligen Crypto-Mitarbeiter Mengia Caflisch und Jürg Spörndli: Sie waren sich sicher, den Algorithmus anhand einer Kombination aus einer verschlüsselten und unverschlüsselten, 100 Zeichen langen Nachricht knacken zu können.

Crypto
Die Zuger Firma Crypto steht im Zentrum der internationalen Geheimdienst-Affäre. - sda

Ausser Frage steht, dass den involvierten – und möglicherweise auch anderen –Geheimdiensten weit mehr als nur eine solche Kombination vorlag. In einem Interview sagte Spörndli zudem kürzlich, «dass die Algorithmen immer etwas verdächtig aussahen».

Besserer Algorithmus von Vorgesetzten gestoppt

Ein von Caflisch daraufhin verbesserte, neue Version der Verschlüsselung wurde von Vorgesetzten gestoppt: Die alten Algorithmen kamen wieder zum Einsatz und wurden mit den Geräten ausgeliefert. Spörndli selbst hegte zu diesem Zeitpunkt bereits den Verdacht, dass Geheimdienste in irgendeiner Form ihre Finger im Spiel hatten.

Central Intelligence Agency
Das Logo der Central Intelligence Agency (CIA). - Keystone

Peter Frutiger, ein weiterer ehemaliger Angestellter von Crypto, hatte ebenfalls Zweifel an der Funktionsweise der Produkte. Kurzerhand flickte er – ohne Autorisierung – die Schwachstellen bei Geräten, die in Syrien benutzt wurden. Nur kurz darauf wurde er entlassen.

Die Schweiz hatte das Potenzial, Lücke zu nutzen

Auch wenn im Fall der Cryptoleaks kein betroffener Staat die Machenschaften des BND und der CIA erkannte oder zumindest publik gemacht hatte, zeigt sich, dass solche eingebauten Hintertüren auch immer gleichzeitig eine Schwachstelle mit sich bringen.

So waren andere Organisationen oder Staaten, die grundlegend Kenntnis von der Schwachstelle hatten und ein manipuliertes Gerät besassen, ebenfalls in der Lage, Dechiffrierungen vorzunehmen.

Dass die Schweiz laut dem CIA-Bericht informiert und gleichzeitig Produktionsland der Geräte war, zeigt klar auf, dass auch gewisse Organe hierzulande das Potenzial hatten, im grossen Stil zu spionieren.

Ad
Ad

Mehr zum Thema:

CIAZDFStaatCryptoleaks