Die Schweiz im Visier der Cyberspione

4. März 2018, Salisbury, England: zwei bewusstlose Menschen auf einer Parkbank. Der Verdacht: Vergiftung. Das Gift erweist sich als Nowitschok, ein militärisches Nervengift. Der Fall schlägt international Wellen und beschäftigt Wochen später das Labor Spiez. Das Labor gerät ins Visier eines staatlichen Cyberakteurs. Was folgt, zeigt, wie von Staaten ausgehende Cyberbedrohungen funktionieren können – und wirft ein Schlaglicht auf die Rolle des Nachrichtendiensts des Bundes (NDB).

Der NDB hat auch bei Cyberbedrohungen eine einzigartige Rolle als präventives sicherheitspolitisches Instrument. Er soll Cyberspionage und Cybersabotage frühzeitig erkennen und verhindern. Er beurteilt die Cyberbedrohungen für die Schweiz. Täter zu identifizieren – die sogenannte Attribution –, ist sein Alleinstellungsmerkmal. Der NDB ist zuständig, wenn die Täter Ziele in der Schweiz angreifen und Schweizer IT-Infrastruktur für Angriffe auf Drittstaaten missbrauchen. Das entscheidende Kriterium ist immer: Es handelt sich dabei um einen staatlichen Akteur.

So auch im Fall des Labors Spiez: Als weltweit führendes wissenschaftliches Institut für den Schutz vor atomaren, biologischen und chemischen Bedrohungen gerät es ins Visier eines staatlichen Cyberakteurs. Das Labor ist von der Organisation für das Verbot chemischer Waffen (OPCW) zertifiziert. Das macht es zum strategischen Ziel: Wer die Glaubwürdigkeit einer solchen Institution und ihrer Arbeit untergraben kann, gewinnt Einfluss auf die politischen Narrative.

Staatliche Cyberangriffe: Eine neue Dimension

Cyberangriffe staatlicher Akteure unterscheiden sich fundamental von anderen Attacken. Einfache Kriminelle wollen Geld. Staaten wollen Informationen, Einfluss, strategische Vorteile. Sie haben die Ressourcen, hoch spezialisierte Einheiten, ausgeklügelte Technologien. Sie operieren mehrgleisig, sind zielstrebig und hartnäckig.

Besonders exponiert für Angriffe sind sicherheits- und aussenpolitische Behörden, Forschungsinstitute in sensiblen Bereichen – wie das Labor Spiez – und Betreiber kritischer Infrastrukturen. Staatliche russische und chinesische Cyberakteure betreiben intensiv Cyberspionage gegen Schweizer Ziele. Auch iranische und nordkoreanische Akteure nehmen die Schweiz ins Visier.

April 2018, Den Haag: Vier russische Agenten landen in den Niederlanden. Sie checken in einem Hotel nahe der OPCW ein. Am 13. April werden sie festgenommen. Im Gepäck finden die niederländischen Behörden Laptops, Antennen und Spionageequipment, Internetsuchverläufe mit dem Labor Spiez. Und: Zugtickets nach Basel, datiert auf den 17. April. Die Agenten werden nach Russland abgeschoben.

Doch parallel läuft ein unsichtbarer Angriff. Monate vor einer Expertenkonferenz des Labors Spiez kursiert eine Einladungsmail. Der Absender: scheinbar das Labor selbst. Der Anhang: ein Word-Dokument. Darin versteckt: Schadsoftware. Die Empfänger: Forscherinnen und Forscher überall auf der Welt. Die Tarnung des Phishing-Mails ist perfekt. Der Angriff ist hybrid – physisch und digital.

Identifikation der Täter als Kernaufgabe

Die Identifikation der Täter bei sicherheitspolitisch bedeutsamen Cybervorfällen ist eine Kernaufgabe des NDB. Dieser ganzheitliche und interdisziplinäre Prozess umfasst die technische Analyse eines Vorfalls, berücksichtigt den geopolitischen Kontext und nutzt das gesamte nachrichtendienstliche Spektrum zur Informationsbeschaffung – auch All-Source-Intelligence genannt. Die Zuordnung von Angriffen zu ihren Urhebern ist die Grundvoraussetzung. Sie erlaubt der sicherheitspolitischen Führung von Bund und Kantonen, Massnahmen festzulegen und zu ergreifen.

Der NDB ist der einzige zivile Nachrichtendienst der Schweiz. Er arbeitet mit menschlichen Quellen. Er hat Zugang zu technischen Sensoren. Er tauscht international Informationen mit Partnerdiensten aus. Er kombiniert technische Spuren mit strategischem Kontext. Wer hat ein Motiv? Wer hat die Fähigkeiten? Wer profitiert?

Im Fall Spiez analysiert der NDB die Phishing-Attacke, technische Spuren und die Vorgehensweise der Angreifer. Internationale Partner liefern zusätzliche Erkenntnisse. Der NDB untersucht, wessen Handschrift dieser Angriff trägt. War es wie bei der OPCW der russische Militärnachrichtendienst GRU?

Cybersicherheit als Verbundsaufgabe

Die Sicherheit der Schweiz ist auch im Cyberraum eine Verbundsaufgabe (siehe Abbildung). Der NDB arbeitet eng mit anderen Bundesstellen, kantonalen Behörden und mit Privatpersonen, Unternehmen und Organisationen zusammen.

Zusammenarbeit ist ein wesentlicher Erfolgsfaktor. Der NDB beschafft Informationen über den Angreifer: Vorgehensweise, Absicht, Ziel – das Fundament für den Attributionsprozess. Der NDB unterstützt so das Bundesamt für Cybersicherheit, das Kommando Cyber und die nationalen und kantonalen Strafverfolgungsbehörden mit seinen nachrichtendienstlichen Erkenntnissen.

Im Fall Spiez funktioniert das Zusammenspiel. Der NDB warnt vor dem Phishingangriff und untersucht ihn. Das Bundesamt für Bevölkerungsschutz informiert die betroffenen Experten. Das Labor selbst registriert keinen Datenabfluss. Die Schweiz gibt ihre Erkenntnisse internationalen Partnern weiter.

Zusammenarbeit im Cyberraum: Der Schlüssel zum Erfolg

Geschwindigkeit ist entscheidend

Staatliche Cyberakteure entwickeln ihre Fähigkeiten immer weiter. Sie nutzen künstliche Intelligenz, um Angriffe zu automatisieren. Sie greifen Lieferketten an. Sie missbrauchen Schweizer IT-Infrastruktur für Angriffe auf Drittstaaten. Angreifer bewegen sich schnell durch Netzwerke. Sie extrahieren Daten. Sie löschen Spuren. Bei Cybervorfällen tickt die Uhr: Wer nicht sofort handelt, riskiert, die Kontrolle zu verlieren.

Der Fall Spiez zeigt: Der NDB hat die Fähigkeiten für erfolgreiche Cyberdefense. Doch sein Handlungsspielraum im Cyberraum ist in vielen anderen Fällen durch langwierige Prozesse eingeschränkt. Besonders eingriffsintensive Massnahmen – etwa das Eindringen in Computersysteme – muss das Bundesverwaltungsgericht genehmigen und der Vorsteher des Eidgenössischen Departements für Verteidigung, Bevölkerungsschutz und Sport nach Konsultation anderer Departemente freigeben. Dieses Verfahren zur Bewilligung dieser sogenannten genehmigungspflichtigen Beschaffungsmassnahmen dauert bis zu mehrere Wochen – beim Tempo heutiger Cyberangriffe eine Ewigkeit.

Hier setzt die laufende Revision des Nachrichtendienstgesetzes an: Der zweite Teil der Revision zielt darauf ab, den Schutz der Schweiz vor den zunehmenden Cyberbedrohungen zu stärken. Mit dem neuen Gesetz könnte der NDB schneller handeln, wenn bei sicherheitspolitisch bedeutsamen Fällen konkrete Hinweise bestehen, dass ausländische Akteure Computersysteme in der Schweiz missbrauchen und dadurch die Cybersicherheit bedrohen. Dieses beschleunigte Verfahren für die Beschaffung von Cyberdaten würde auch weiterhin der unabhängigen Kontrolle durch das Bundesverwaltungsgericht unterliegen. Die Revision soll dem NDB die zeitgemässen Instrumente geben, die er für seine Aufgabe braucht: die Schweiz vor staatlichen Cyberbedrohungen schützen.