Spione kontrollierten Schweizer Hotelkameras

Die Schweizer Behörden vermuten Israel hinter den Cyber-Attacken um die Atomgespräche: US-Aussenminister John Kerry im Lausanner Hotel Beau-Rivage Palace. Foto: Keystone

Als US-Justizministerin Loretta Lynch am vergangenen Montag Zürich besuchte, waren die Schnüffelhunde der Polizei fast überfordert. Sie mussten vor einer Pressekonferenz mit dem Kabinettsmitglied Barack Obamas so viele Taschen von Journalisten auf Sprengstoff kontrollieren, dass ihre trainierten Nasen nicht mehr mitmachen wollten. Doch die Tiere waren nicht allein: Bullige Bodyguards beschützten die oberste Anklägerin der Vereinigten Staaten, und im Kreis 5 markierten zudem gestählte Zürcher Stadtpolizisten der Interventionseinheit Skorpion Präsenz.

Das Sicherheitsaufgebot war immens an der Staatsanwälte-Konferenz, derentwegen Lynch angereist war. Doch Gefahr droht an solchen globalen Zusammenkünften nicht nur von Terroristen, sondern auch aus den elektronischen Netzen – und dagegen hat sich die Schweiz lange weit weniger gewappnet.

Verdächtige Vorgänge entdeckt

Im Frühjahr allerdings konnten die schweizerischen Sicherheitsbehörden einen Cyber-Grossangriff auf die internationalen Atomverhandlungen in der Westschweiz abwehren, an denen Lynchs Regierungskollege, Aussenminister John Kerry, teilnahm. Die Attacken sind bereits Ende Juni publik geworden, aber nun zeigen TA-Recherchen, dass sie in der Schweiz intensiver ausfielen, als damals berichtet wurde.

Bei der Entdeckung des ausgeklügelten Angriffs spielten Glück und Können zusammen: Irgendwann im Frühjahr 2015 bemerkte der Softwareproduzent Kaspersky Lab, spezialisiert auf Antiviren-Programme, verdächtige Vorgänge auf seinen Rechnern. Die Spuren waren gemäss Firmenangaben rar. Aber nach eingehender Analyse durch interne Spezialisten stand für das Unternehmen fest: Sehr mächtige Akteure versuchten, die Sicherheitsprogramme dazu zu missbrauchen, um in Rechner von Kaspersky-Kunden zu gelangen. Die Cyberangreifer, die sich wohl vor einer Entdeckung sicher fühlten, waren in Computer von Hotels eingedrungen, die eine Gemeinsamkeit hatten, die den Analysten erst mit der Zeit auffiel. Die gehobenen Häuser spielten alle bei den hochgeheimen 5+1-Gesprächen eine Rolle. In München, Wien und am Genfersee hatte der Iran mit den fünf UNO-Vetomächten sowie Deutschland über sein Atomprogramm verhandelt.

Manchmal darf gar nicht erst ermittelt werden

Bald schon erfuhr auch der Nachrichtendienst des Bundes von der Attacke. Dabei spielten gemäss Informationen Tagesanzeiger.ch/Newsnet die guten Kontakte der relativ jungen ­Cybertruppe des schweizerischen ­Geheimdiensts. Die Spezialisten fingen an, den Angriff, der damals noch nicht abgeschlossen war, zu untersuchen. Bis zum 1. Mai hatten sie genügend belastendes Material gesammelt, um mit einem Amtsbericht bei der Bundesanwaltschaft Anzeige zu erstatten.

Allerdings ist in solchen Fällen stets ungewiss, ob die Strafverfolger die Fährte aufnehmen dürfen. Für Ermittlungen bei sogenannten politischen Delikten – dazu gehört Spionage – braucht es das Plazet aus dem Bundesrat. Eine solche Ermächtigung erteilt die Landesregierung gemäss dem Bundesamt für Polizei Fedpol zehn bis fünfzehn Mal pro Jahr. Doch in heiklen Spionagefällen wird sie oft verweigert, weil der Bundesrat meint, das Landesinteresse verlange dies. Man will ausländische Regierungen – insbesondere befreundete – nicht vor den Kopf stossen und diplomatische Querelen verhindern.

Bundesrat zögert oft

Von der Diskretion des Bundes profitieren selbst Staaten, die bei der Spionage dreist vorgegangen sind. Auch sie kommen oft ohne Strafverfahren und ohne Medienrummel davon. Bei der Cyber­attacke im Frühjahr war dies aber nicht möglich, da Kaspersky seine Entdeckung öffentlich machen wollte. Dies wusste auch das Eidgenössische Justiz- und Polizeidepartement. Das EJPD sprach sich mit dem Aussendepartement EDA ab, ehe SP-Justizministerin Simonetta Sommaruga am 6. Mai der Bundesanwaltschaft erlaubte, wegen politischer Spionage zu ermitteln.

Knapp eine Woche später kam es zu einer Polizeiaktion, in die über zwei Dutzend Informatikspezialisten der Bundeskriminalpolizei und der Genfer Kantonspolizei involviert waren. Die Bundesanwaltschaft führte eine Hausdurchsuchung im Luxushotel Président Wilson durch. Doch die Vorbereitung gestaltete sich kompliziert – wegen des Sicherheitspersonals des Fünfsternhauses. Gemäss Kennern war es zum Teil früher für den israelischen Geheimdienst tätig.

Dazu muss man wissen: Die schweizerischen Sicherheitsbehörden vermuteten bereits vor der Razzia am Quai Wilson 47 Israel hinter der Cyberattacke – und sie tun es heute noch. Beschlagnahmtes Material zeigt, dass das Hotelsystem vom Trojaner Duqu 2.0 infiziert worden ist. Damit bemächtigen sich Cyberangreifer aus der Ferne unter anderem der Überwachungskameras und ­-mikrofone. Gemäss TA-Informationen geschah dies im Président Wilson, aber auch im Beau-Rivage Palace in Lausanne, das im Sommer ebenfalls Schauplatz der Atomgespräche war. Ausgespäht wurde auch ein Hotel in Wien, während München, ein weiterer Verhandlungsort, verschont blieb.

«Extrem teurer» Trojaner

Betroffen könnten aber auch Hotels in Montreux sein, wo US-Aussenminister John Kerry und sein iranischer Amtskollege Mohammed Jawad Sarif ebenfalls konferierten. Dort führte die Bundes­kriminalpolizei rund zwei Wochen nach der Genfer Hausdurchsuchung ­Besprechungen mit Hoteliers durch. Dabei ging es um die Frage, wie schädliche Software aus Computersystemen entfernt werden kann.

Die am Genfersee sichergestellte Angriffssoftware ähnelt stark dem Trojaner Duqu, mit dem der israelische Geheimdienst gemäss Experten früher operiert hatte. Kaspersky beschreibt die Weiterentwicklung und Anwendung von Duqu 2.0 als «extrem teuer»: Die Software «verlangt Ressourcen jenseits von jenen von Alltagskriminellen». Der Anti-Viren-Spezialist beziffert die Herstellungskosten des ausgeklügelten Trojaners auf rund 50 Millionen Dollar.

Für die Bundesanwaltschaft dürfte es trotzdem nicht einfach sein, die Täter hinter der Cyberattacke zu finden. Vor allem, weil es nur elektronische Spuren gibt, die wenig zielführend sind. Als wichtiger erachten schweizerische Experten die abschreckende Wirkung. «Es zeigt sich», so sagt ein Kenner des Falles, «dass man in der Schweiz nicht ungestört spionieren kann». Dieser Insider will anonym bleiben.

Allerdings war das Bewusstsein für Cyberattacken an schweizerischen Konferenzorten bis vor kurzem nicht allzu gross. Nun setzen sich Veranstalter von Grossanlässen wie dem World Economic Forum (WEF) in Davos verstärkt damit auseinander.

Erstellt: 22.09.2015, 07:01 Uhr