«Made in Switzerland» wird zum löchrigen Käse

«Nicht dass du mich belogst, sondern dass ich dir nicht mehr glaube, hat mich erschüttert.»
Friedrich Nietzsche, «Jenseits von Gut und Böse»

Die Zuger Firma Crypto AG hat ein halbes Jahrhundert lang manipulierte Verschlüsselungs­geräte an ausländische Kunden verkauft. Staaten haben sich auf diese Chiffriergeräte verlassen – und lieferten stattdessen ihre Geheimnisse frei Haus an die CIA und den deutschen Bundes­nachrichtendienst.

Wie sehr schadet der Cryptoleaks-Skandal der Schweiz?

Darüber debattieren Medien, Politikerinnen und Geheimdienst­experten seit Tagen. Exponenten der FDP versuchen, den internationalen Reputations­schaden herunterzuspielen. Tiana Angelina Moser, Grünliberale und Präsidentin der Aussenpolitischen Kommission im Nationalrat, sagt, bis jetzt habe niemand an den diplomatischen Türen angeklopft und vom Bundesrat Rechenschaft verlangt. Selbst Security-Experten an der renommierten «Swiss Cyber Security Days»-Konferenz in Freiburg haben die Abhöraffäre zweckoptimistisch als Chance zu interpretieren versucht.

Also alles nur halb so schlimm? Nein.

Das Image der Schweiz als neutrale Vermittlerin für diplomatische Dienste mag vielleicht nur leicht angekratzt sein. Für die derzeitige Inszenierung der Schweiz als Zentrum für glaubwürdige Technologien könnten die Cryptoleaks einen nachhaltigen Schaden bewirken. Denn das Timing der Enthüllungen ist denkbar schlecht.

Schweiz will «Digital Trust» etablieren

Blicken wir vier Wochen zurück: Am WEF lanciert die Schweiz eine Initiative für digitale Ethik. Dabei soll ein Ethik-Zentrum in Genf unter der Trägerschaft des Verbands digitalswitzerland und unter der Schirmherrin Doris Leuthard entstehen. Ebenfalls geplant ist eine Art Gütesiegel namens «Digital Trust» (digitales Vertrauen) für die Datenwirtschaft. Ein Team von Akademikern wird in den kommenden Monaten die Vergabekriterien für das «Digital Trust»-Label definieren und mit Pilotunternehmen testen – zum Beispiel mit den SBB und der Credit Suisse.

Erstmals angekündigt hat die Initiative der damalige Bundespräsident Ueli Maurer im September 2019, an der Uno-Generalversammlung in New York. Eigentlich war das Thema Klimakrise traktandiert gewesen. Doch Bundespräsident Maurer hielt stattdessen eine Rede über die Digitalisierung und verblüffte damit die Vollversammlung. «Neue Technologien müssen Vertrauen schaffen und sich unser Vertrauen verdienen», sagte er. Und weiter: Die Weltgemeinschaft solle sich zu gemeinsamen ethischen Grundwerten bekennen, diese einhalten und umsetzen.

Das war ein smarter Schachzug der diplomatischen Schweiz. Während EU-Kommissionen und zahlreiche Länder derzeit ethische Grundsätze für den Einsatz von künstlicher Intelligenz und Big Data erst auf dem Papier definieren, geht die Schweiz schon einen Schritt weiter. Sie operationalisiert mit dem «Digital Trust»-Label abstrakte Prinzipien wie «Transparenz» – und bricht sie auf konkret mess- und überprüfbare Ziele herunter, sodass auch die digitale Wirtschaft damit arbeiten kann.

Die Schweiz reklamiert also offensiv einen digitalen Standort­vorteil. Bestärkt von einer ganzen Reihe symbolisch wertvoller Entscheide. Etwa, dass Facebook Genf als Sitz für seine Digitalwährung Libra gewählt hat. Und sich Google für seine grösste Niederlassung auf dem Kontinent für Zürich entschieden hat. Dass das Sicherheitsunternehmen Kaspersky sein Kundendatenzentrum in die Schweiz verlagert. Dass Techfirmen, sowohl aus den USA wie aus Russland, sich auf die helvetische Neutralität berufen – und ihre Hauptquartiere in die Schweiz verlagern.

Warum aber interessierte die Lancierung und Gründungsfeier des «Digital Trust»-Ethik-Zentrums am WEF ausserhalb der Schweiz so gut wie niemanden?

Warum berichtete kaum ein Medienhaus jenseits der Grenzen über die Ethik-Offensive des neutralen Gastgeberlandes, obwohl auch Tech-Journalisten aus der ganzen Welt während dreier Tage in Davos anwesend waren?

Unglaubwürdig als Hub für vertrauenswürdige Technologien

Das Desinteresse liegt nicht zuletzt daran, dass die politische Schweiz als Hub für ethisch vertretbare und sichere Technologien praktisch irrelevant ist. Und das war sie bereits vor den Cryptoleaks.

Denn die Entscheidungsträger haben ihre netzpolitischen Hausaufgaben viel zu lange liegen lassen.

• Die Revision des inzwischen völlig veralteten Datenschutz­gesetzes von 1992 steht immer noch an.

• Es fehlen Bussen für ungesicherte Sicherheits­vorkehrungen und Datenlecks.

• Es gibt keine Transparenz­vorschriften für politische Online-Werbung.

• Die E-ID wird voraussichtlich privatisiert, international eine Ausnahme.

• Der Schweizer Nachrichtendienst hat im europäischen Vergleich weitreichende Befugnisse für den Einsatz von Spionage­software und eine enorme Vorratsdaten­speicherung.

Kurz: Jedes EU-Land wäre als Absender glaubwürdiger für die Verkündung von Vertrauenslabels und digitalen Selbstregulierungs­prinzipien.

Noch ironischer mutet an, dass drei Wochen vor der Uno-Rede im September derselbe Bundespräsident eine Rede am Schweizer Digitaltag mit einer leicht anderen Stossrichtung hielt: Darin ermahnte Herr Maurer die hiesige Technologie­industrie dazu, endlich vorwärtszumachen und sich nicht immer um alle «Bedenken» und «Risiken» zu kümmern.

Die eingebauten Hintertüren in Chiffriergeräten aus der Zeit des Kalten Kriegs mögen zwar als historisches Kuriosum erscheinen. Denn unterdessen hat sich das Credo durchgesetzt: Vertrauenswürdige, gute, sichere Verschlüsselungs­technik ist immer Open Source. Mit einem Code, den jeder überprüfen, auf Schwachstellen und Hintertüren abklopfen kann.

Oder die manipulierten Geräte verwundern zumindest angesichts der 2015 veröffentlichten Friedman-Akten und der Bühler-Affäre von 1994 kaum jemanden mehr.

Dennoch untergräbt der Cryptoleaks-Skandal die Arbeit hiesiger Tech-Unternehmen, die ab 2013 vom Snowden-Momentum profitierten und sich eine Reputation als abhörsichere Alternative zu amerikanischer Technik erarbeitet haben.

Vertrauenswürdige Alternativen in Gefahr

Wir erinnern uns: Nach den Enthüllungen der permanenten Massen­überwachung in sozialen Medien und E-Mail-Diensten durch die NSA gingen immer mehr Tech-Konzerne dazu über, ihre Kommunikations­dienste zu verschlüsseln. Auch ein Teil der Schweizer Privatwirtschaft hatte die Zeichen der Zeit nach Snowden erkannt: So haben sich die Messenger Threema und Wire (ist zwischenzeitlich aber in die USA gezogen), der E-Mail-Dienst Protonmail, die Suchmaschine Swisscows sowie die pEp-Foundation, die an einer verschlüsselten, überwachungsfreien und abhörsicheren Internet-Architektur namens GNUnet arbeitet, etablieren können.

Die obig genannten Unternehmen leben Transparenz vor. Die meisten davon stellen auf der Entwickler­plattform Github Informationen zu ihren Protokollen zur Verfügung oder veröffentlichten teils sogar den ganzen Quellcode. Diesen Firmen hat das «Made in Switzerland»-Label bislang Glaubwürdigkeit verliehen.

Und ihnen damit einen Vorteil gegenüber der Konkurrenz verschafft.

Denn selbst Facebook-Gründer Mark Zuckerberg hat sich unterdessen dazu durchgerungen, die für 19 Milliarden Dollar eingekaufte Nachrichten-App Whatsapp Ende zu Ende zu verschlüsseln, damit sich niemand dazwischenschalten und mitlesen kann. Dasselbe sieht er für den Facebook Messenger vor.

Seit den Snowden-Enthüllungen wissen wir: «Spezial-Hintertüren» für Geheimdienste gibt es nicht. Die Schlüssel dazu könnten geknackt werden, und dann stünden die Türen plötzlich allen offen. Und so bleibt den Tech-Konzernen wie Apple, Google und Facebook nicht anderes übrig, als standhaft zu bleiben und entsprechende Begehren zu verweigern. Auch wenn das FBI immer wieder massiven Druck auf die Firmen ausübt, Hintertüren für das Abhören von Terror­aktivitäten einzubauen.

Mit dem Cryptoleaks-Skandal hat die Vergangenheit die Schweiz eingeholt. Ob das der Schweiz politisch und diplomatisch langfristig schadet, wird sich zeigen. Klar ist bereits jetzt: Für den Ruf des «sauberen Digitalplatzes» Schweiz ist der Schaden immens.

Denn er ist ramponiert, bevor er sich überhaupt etablieren kann.