Überwachung durch NSA & Co.: Risiko UPC Cablecom?

Foto: Graffiti «Fuck You NSA»

Am 29. Januar 2014 beschloss der Bundesrat im Nachgang zu den Enthüllungen von Whistleblower Edward Snowden Massnahmen zum Schutz seiner Informations- und Kommunikationstechnik (IKT).

So sollen kritische IKT-Infrastrukturen aus Gründen der Staatssicherheit nur noch durch die Bundesverwaltung selbst oder zumindest durch inländisch beherrschte Unternehmen betrieben werden.

In der Folge wurde UPC Cablecom allein aufgrund ihrer mehrheitlich anglo-amerikanischen Eigentümerstruktur nachträglich von der Ausschreibung für IKT-Infrastruktur im Wert von knapp 230 Millionen Franken ausgeschlossen und der Auftrag an die halbstaatliche Swisscom vergeben.

UPC Cablecom setzte sich nun vor dem Bundesverwaltungsgericht zur Wehr:

Im jüngsten Entscheid B-998/2014 vom 6. Oktober 2014 geht es zwar in erster Linie um Beschaffungsrecht, doch finden sich auch Hinweise zu nachrichtendienstlichen Angriffen gegen IKT-Infrastruktur in der Schweiz:

«[D]ie Vergabestelle habe […] eingeräumt, dass sie von Datenabflüssen infolge Spionage schon immer Kenntnis gehabt habe. […] Dem Bundesrat sei […] schon lange bewusst gewesen, dass es Cyberspionage gebe, die Telekommunikationsnetze per se anfällig sein könnten und die Schweiz in einer grossen Abhängigkeit vom Ausland stehe. […] Da der Vergabestelle und dem Bund bereits vor der Einleitung des Vergabeverfahrens bekannt gewesen sei, dass ausländische Geheimdienste im Zusammenhang mit der Datenbeschaffung aktiv seien, hätten die Eignungskriterien bereits in der Ausschreibung im Hinblick auf Datenschutz- und Datensicherheit entsprechend formuliert hätten werden können.»

Das zuständige Bundesamt für Bauten und Logistik (BBL) hingegen behauptet pauschal, «[e]s bestehe ein akutes und bestens dokumentiertes Risiko systematischer nachrichtendienstlicher Ausforschungen von strikt vertraulicher Kommunikation des Staates.»

In Bezug auf UPC Cablecom konnte das BBL vorliegend aber offensichtlich nicht beweisen, dass dieses allgemeine Risiko allein aufgrund der mehrheitlich anglo-amerikanischen Eigentümerstruktur tatsächlich besteht.

Fazit: Politisch naheliegend, aber faktisch nicht umsetzbar

Aufgrund der Enthüllungen von Edward Snowden erscheint es auf den ersten Blick politisch naheliegend, dass kritische IKT-Infrastruktur in der Schweiz nicht ausländischen Unternehmen anvertraut werden sollte.

Allerdings ist der bundesrätliche «Heimatschutz»-Beschluss faktisch nicht umsetzbar, denn es gibt schlicht keine IKT-Infrastruktur nur aus Schweizer Hand. Auch bei Swisscom beispielsweise kommen anglo-amerikanische Hardware und Software zum Einsatz, unter anderem von Cisco und Microsoft.

Fragen wirft bei Swisscom auch die seit 2008 bestehende strategische Partnerschaft mit Verizon auf, denn inzwischen ist bekannt, dass Verizon mit anglo-amerikanischen Überwachern zusammenarbeitet. Bei der chinesischen Huawei, Partnerin sowohl von Sunrise als auch von Swisscom, gibt es ebenfalls entsprechende Fragezeichen.

Im Ergebnis wäre es sinnvoll, Unternehmen mit mehrheitlich ausländischer Eigentümerstruktur weiterhin bei Ausschreibungen zu berücksichtigen, aber diese – genauso wie Swisscom und andere inländische Unternehmen – in Bezug auf die IKT-Sicherheit mit strengen Vorgaben sowie entsprechenden Kontrollen in die Verantwortung zu nehmen. Sofern Anhaltspunkte für ausländische Überwachung in der Schweiz bestehen, muss ausserdem konsequent ermittelt und informiert werden.

Dazu gehört insbesondere, dass der Bundesrat die Bundesanwaltschaft anweist, endlich ein Strafverfahren gegen NSA & Co. zu führen anstatt selbst auf Informationen aus amerikanischer Überwachung zurückzugreifen. Dazu gehört aber auch, dass öffentlich informiert wird, welche Unternehmen als Auftragnehmer nach Einschätzung des Bundesrates nicht mehr in Frage kommen, damit sich schweizerische Unternehmen ebenfalls schützen können.

Bild: Flickr / PM Cheung, «Freiheit statt Angst 2013», CC BY 2.0 (generisch)-Lizenz.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.