Darum geht es: Wie eine RSI-Recherche von Mattia Pacella zeigt, verwenden das Bundesamt für Polizei Fedpol und das Bundesamt für Rüstung Armasuisse eine russische Software, die zur Wiederherstellung und Entschlüsselung von Passwörtern auf Handys oder Computern eingesetzt wird. Vor dem Hintergrund jüngster Spionagefälle mit Bezug zu Russland stellt sich die Frage nach relevanten Sicherheitslücken.
Das russische Unternehmen: Der Software-Hersteller Elcomsoft bietet sich auf seiner Webseite als Partner für Ermittlungsbehörden, Geschäfts- wie auch Privatkunden an. Das Angebot reicht von «Datenextraktions-Lösungen» bis zu «Tools für mobile Forensik». Auf der von der Schweiz aus erreichbaren Webseite wird das tschechische Prag als Unternehmenssitz angegeben. Bei genauer Untersuchung, auch mit Wiederherstellung älterer Versionen der Webseite, zeigt sich jedoch: Der Hauptsitz des betreffenden Unternehmens befindet sich in Moskau. Diese Adresse wie auch die Information zur russischen Gerichtsbarkeit wurde nach dem russischen Einmarsch in die Ukraine 2022 aber von der Website gelöscht. Doch auch das russische Handelsregister verweist auf die Aktivität in Moskau.
Meinung des Experten für Datenschutz: Für Sébastien Fanti, bis vor kurzem Datenschutzbeauftragter des Kantons Wallis und Technologie-Experte, wirft der Einsatz der Software ernsthafte Zweifel an der nationalen Cybersicherheit auf. «Es handelt sich um ein Unternehmen, das dem russischen Recht unterliegt», so Fanti. Das bedeute, dass Behörden und Nachrichtendienste in Moskau potenziell Zugang zu Arbeiten hätten, bei der die Software verwendet wird. «Was garantiert, dass es keine ‹Hintertür› gibt? Nichts.» Da solche «geheimen Ports» oft standardmässig, auch für Wartungszwecke, installiert werden, sollte die Wahl laut Fanti auf einen «vertrauenswürdigen Partner» fallen, der in einem Land mit demokratischen Regeln und einem guten Rechtsstaat tätig ist. «Dies ist bei Russland nicht der Fall.» Für den Experten Fanti ist diese Überwachungssoftware «eine Waffe. Und als solche sollte sie auch behandelt werden.»
Stellungnahme von Fedpol und Armasuisse: Auf der Website des Software-Anbieters sind auch das Fedpol und Armasuisse unter den Kunden aufgeführt. Armasuisse bestätigte schriftlich, die Software «zu Testzwecken» bezogen zu haben. Details zur Anwendung wurden nicht genannt. Das Fedpol verweigerte wiederum zunächst aus Sicherheitsgründen eine Antwort. Nach einigen Nachfragen und auf das Transparenzgesetz abgestützt bestätigte das Amt, im Jahr 2024 Lizenzen für vier Produkte der Firma Elcomsoft erworben zu haben. Diese würden hingegen nur offline, sprich ohne Verbindung zum Netzwerk, verwendet.
Reaktion aus dem Bundeshaus: Für Gerhard Andrey, Grünen-Nationalrat, Mitglied der Sicherheitspolitischen Kommission und Informatiker, ist es ein Problem, «wenn die Schweizer Behörden zu sehr von ausländischen Werkzeugen und Firmen abhängig sind, die ihren Sitz in für uns problematischen Ländern haben – wie zum Beispiel Russland oder China.» In Zusammenhang mit der Fähigkeit der genannten Software sei dies «sehr delikat». Die Tatsache, dass die Software offline verwendet würde, ist für Andrey nicht gleichbedeutend mit einer 100-prozentiger Sicherheit. So gebe es offensichtlich auch Updates.