De Zwitserse geheime dienst had contacten met Russische bedrijven. Dat had ook voordelen.

Wat Kaspersky tien jaar geleden publiceerde, had explosieve potentie. Het Russische IT-beveiligingsbedrijf publiceerde details over een technologisch uiterst geavanceerde malware, waardoor deze onbruikbaar werd. Een westerse inlichtingendienst had de malware gebruikt voor spionageactiviteiten. De doelwitten waren onder andere de nucleaire onderhandelingen met Iran en het Russische bedrijf Kaspersky zelf. En Zwitserland zat er middenin.

In het voorjaar van 2015 vinden in Lausanne en Genève gesprekken op hoog niveau plaats over een nucleair akkoord met Iran. Aanwezig zijn onder meer de VS, Rusland, China en Duitsland. Wat de diplomaten in de vergaderzalen van luxe Zwitserse hotels bespreken , is van groot belang voor een land dat niet aan de onderhandelingstafel zit: Israël.

Het land lanceerde daarom een ​​spionagecampagne. Aanvallers drongen de IT-systemen van de hotels binnen met behulp van de Duqu 2.0-malware, een geavanceerde software die maar weinig landen konden ontwikkelen.

De Federale Inlichtingendienst (NDB) heeft pas in het voorjaar van 2015 een cyberteam opgericht. Het team startte een onderzoek naar de spionageoperatie. Volgens een bron werkt de NDB samen met Kaspersky Lab, dat eerder Duqu 2.0 op zijn systemen had ontdekt. ​​De NDB slaagt erin om op drie locaties talloze geïnfecteerde computers te beveiligen . Het Federaal Openbaar Ministerie start een procedure, die later wordt geseponeerd . Zwitserland zou echter via diplomatieke kanalen bij Israël zijn tussengekomen.

Dit incident markeerde naar verluidt het begin van een jarenlange samenwerking tussen de FIS en IT-beveiligingsbedrijf Kaspersky. Met name het hoofd van het cyberteam van de FIS en een vertrouwde contactpersoon bij Kaspersky hadden meerdere contacten. Deze contactpersoon zou het hoofd van de onderzoeks- en analyseafdeling van Kaspersky zijn geweest, een gerespecteerd IT-beveiligingsspecialist die tot 2023 bij Kaspersky werkte – en, opvallend genoeg, uit Roemenië komt, niet uit Rusland.

Vandaag, tien jaar later, staat deze samenwerking met Kaspersky onder kritiek. SRF heeft toegang gehad tot een vertrouwelijk onderzoeksrapport van de Federale Inlichtingendienst (NDB) over de activiteiten van het cyberteam. Het onderzoek van SRF wekt de indruk dat het cyberteam, en met name de leider ervan, nauwe banden met Rusland onderhielden en mogelijk zelfs met Russische inlichtingendiensten hebben samengewerkt.

Maar deze visie overtuigt niet. Verschillende IT-beveiligingsexperts, die met de NZZ spraken, betwijfelden de interpretatie van SRF. Zij achten de samenwerking met Kaspersky niet fundamenteel problematisch. De feiten die SRF nu openbaar heeft gemaakt, laten ook veel vragen onbeantwoord. De bronnen van de beschuldigingen, die SRF heeft overgenomen, zijn niet onpartijdig.

Al met al lijkt een heel andere verklaring plausibel: de samenwerking met Kaspersky kan van groot voordeel zijn geweest voor Zwitserland. Dit blijkt uit een analyse van de controversiële punten.

IT-beveiligingsbedrijven zijn aantrekkelijke partners voor inlichtingendiensten. Private bedrijven signaleren cyberaanvallen van staten of criminelen vaak eerder dan de meeste inlichtingendiensten. Ze beschikken bovendien over informatie die gecombineerd kan worden met andere data om een ​​breder beeld te creëren. De uitwisseling van informatie is daarom aantrekkelijk voor beide partijen.

Kaspersky, opgericht in Moskou in 1997, groeide al snel uit tot een van de belangrijkste IT-beveiligingsbedrijven en leveranciers van antivirussoftware. Het bedrijf had een sterke technische reputatie. Lange tijd besteedden de publicaties van het bedrijf ook aandacht aan de cyberoperaties van de Russische inlichtingendiensten. Kaspersky publiceerde uitgebreid over de Turla-groep, die wordt toegeschreven aan de Federale Veiligheidsdienst (FSB), en over APT 28, een cybereenheid van de militaire inlichtingendienst GRU.

Het is dan ook begrijpelijk dat de FDB in de cyberspacesector niet alleen met westerse bedrijven is gaan samenwerken, maar ook met Kaspersky, vanaf 2015. Hoewel Rusland het jaar ervoor het Oekraïense schiereiland de Krim had geannexeerd, legde het Westen als gevolg daarvan slechts enkele sancties op. Een openlijk conflict tussen Moskou en het Westen was nog niet uitgebroken.

Tegelijkertijd was het toen, in 2015, al duidelijk dat Kaspersky bepaalde contacten met de Russische staat zou kunnen hebben – zonder per se een dekmantelbedrijf voor de Russische inlichtingendiensten te zijn. Individuele medewerkers konden – officieel of onofficieel – informatie doorgeven en als bron voor de Russische diensten dienen.

Dergelijke connecties bestaan ​​niet alleen in Rusland of andere autoritaire staten. Amerikaanse cybersecuritybedrijven zoals Crowdstrike en Microsoft hebben waarschijnlijk ook op zijn minst geïsoleerde contacten met Amerikaanse inlichtingendiensten. Het is bijvoorbeeld opvallend dat Amerikaanse beveiligingsbedrijven vrijwel nooit technische details over Amerikaanse of andere westerse cyberoperaties publiceren. Het is vrij onwaarschijnlijk dat dit komt doordat ze dergelijke activiteiten niet observeren.

Bij het werken met particuliere IT-beveiligingsbedrijven is het cruciaal om de risico's te overwegen. Het verkrijgen van informatie over cyberaanvallen en aanvalsgroepen van dergelijke aanbieders is geen enkel probleem, en het delen van informatie vormt meestal ook geen beveiligingsrisico.

De grootste dreiging komt van de software die dergelijke beveiligingsbedrijven aanbieden om zich tegen aanvallen te beschermen. De klant moet deze software op zijn of haar systemen installeren en er uitgebreide rechten aan verlenen. Dit stelt een aanvaller in staat de software als achterdeur naar de relevante systemen te gebruiken. In het geval van NDB was deze beveiligingssoftware echter niet betrokken, omdat de federale overheid deze niet had geïnstalleerd.

Volgens SRF had de NDB ook contact met twee andere bedrijven die banden hadden met Rusland. SRF beschouwt deze samenwerking als verder bewijs dat de NDB betrokken is bij een Ruslandaffaire. De door SRF beschreven connecties met de twee serverproviders lijken echter geen problemen te hebben opgeleverd.

De NDB ontving herhaaldelijk gegevens van de servers van één bedrijf, dat mede was opgericht door twee Russen. Volgens een intern rapport van de NDB was het tweede bedrijf "de belangrijkste informatiebron" voor het cyberteam. Dit zou kunnen komen doordat, volgens SRF, "Russische hackers" regelmatig gebruik maakten van de servers van het bedrijf. Ook stroomde er geld van de NDB naar dit tweede bedrijf via Kaspersky.

Deze feiten wijzen echter niet op enige nabijheid van het cyberteam tot Rusland. Integendeel. De NDB lijkt via de bedrijven informatie over Russische actoren te hebben verkregen – wat mogelijk van belang was voor haar werk. Het feit dat er geld mee gemoeid was, ondersteunt deze interpretatie. Het is gebruikelijk dat inlichtingendiensten bronnen betalen voor hun informatie. De NDB is hiertoe zelfs wettelijk expliciet bevoegd .

Het meest intrigerende aspect van het SRF-onderzoek is misschien wel de waarschuwing die een bevriende dienst aan de NDB stuurde. In september 2018 informeerde een anonieme westerse partnerdienst de NDB dat de Russische militaire inlichtingendienst GRU over "geheime informatie" beschikte die een NDB-medewerker naar verluidt via het bedrijf Kaspersky had doorgegeven.

De vertrouwelijke informatie zou betrekking hebben op Russische agenten die zich in maart 2018 in Den Haag bevonden. De precieze omstandigheden van de gegevensoverdracht zijn even onduidelijk als de aard van de informatie. Dit maakt een beoordeling lastig. Er zijn echter ook voor dit incident plausibele verklaringen, zonder dat er sprake hoeft te zijn van dubieus gedrag van de Federale Inlichtingendienst.

In september 2016 voerde de GRU een cyberaanval uit op functionarissen van het Wereldantidopingagentschap (WADA) in een hotel in Lausanne. De FIS kon vervolgens, met behulp van cyberexperts, de twee agenten identificeren die voor de spionageoperatie naar Zwitserland waren afgereisd. Deze informatie hielp Nederland in april 2018 vier GRU-agenten op te sporen die een aanval op de Organisatie voor het Verbod op Chemische Wapens (OPCW) in Den Haag hadden gepland. Twee van hen waren de agenten uit Lausanne.

De informatie die vanuit Zwitserland naar de GRU stroomde, lijkt verband te houden met deze zaak. Het lijkt daarom zeer onwaarschijnlijk dat een FIS-medewerker, of zelfs de leider van het cyberteam, namens Rusland heeft gespioneerd en de informatie aan de GRU heeft doorgegeven. Het cyberteam zelf had immers eerder een sleutelrol gespeeld bij het ontmaskeren van de GRU-agenten. Bovendien vormden de gegevens duidelijk geen waarschuwing voor de GRU. Anders had de GRU haar agenten in het voorjaar van 2018 niet naar Den Haag gestuurd.

Er is nog een andere verklaring voor het feit dat informatie van de FIS via Kaspersky naar de GRU werd doorgegeven. Dankzij de samenwerking met Kaspersky heeft de FIS mogelijk technische indicatoren van de Lausanne-aanval, zoals IP-adressen, e-mailadressen of delen van de malware, gedeeld met het IT-beveiligingsbedrijf. Kaspersky deed ook onderzoek naar de GRU-groep APT 28.

Het delen van dergelijke informatie brengt een zeker risico met zich mee. In het geval van Kaspersky moet de FIS ervan uitgaan dat de informatie aan de Russische autoriteiten kan worden doorgegeven. Tegelijkertijd kan Kaspersky, als Russisch bedrijf, interessante informatie hebben die de FIS kan helpen bij het identificeren van de agenten achter de aanval op WADA.

Een andere vraag is of de informatie al als gevoelig werd beschouwd toen deze werd gedeeld. Dit was niet per se het geval bij technische indicatoren. Het is mogelijk dat de informatie pas later – door de context van de GRU – de explosiviteit kreeg die de partnerdienst van de FIS ertoe aanzette een waarschuwing uit te vaardigen.

Sommige westerse partnerdiensten zagen het cyberteam van de FDB als een probleem. Deze bevinding kan worden afgeleid uit het onderzoek van SRF. Van 2018 tot najaar 2020 grepen twee bevriende inlichtingendiensten meerdere keren in en klaagden over vermeende "illegale data-uitwisseling" en compromitterend gedrag van de leider van het cyberteam. Wat ze hiermee precies bedoelden, is onduidelijk.

De twee diensten gingen blijkbaar zo ver dat ze de Federal Intelligence Service (FIS) dreigden hun samenwerking te beëindigen als het hoofd van het cyberteam in dienst zou blijven. In het voorjaar van 2021 werd de betreffende medewerker ontslagen en overgeplaatst naar een andere functie binnen de federale overheid .

De reden voor het vertrek was destijds dat de FIS jarenlang cyberinformatie had ontvangen en verwerkt zonder de vereiste wettelijke basis. Het lijkt er nu op dat de tussenkomst van buitenlandse partnerdiensten in ieder geval heeft bijgedragen aan het ontslag van de werknemer.

De cruciale vraag is wat de buitenlandse dreigingen motiveerde. Dat de samenwerking van de NDB met Kaspersky een doorn in het oog was van de partnerdiensten, bewijst geen wangedrag. Politieke redenen of ontevredenheid over de over het algemeen opener data-uitwisseling met private bedrijven zouden ook doorslaggevend kunnen zijn geweest.

Het is onbekend welke twee landen in Bern zijn tussengekomen. Het is echter aannemelijk dat de VS of een ander land in de inlichtingenalliantie Five Eyes hierbij betrokken was. De betrekkingen tussen de VS en Kaspersky verslechterden aanzienlijk vanaf 2017. De VS besloten toen de antivirussoftware van overheidsinstanties te verbieden vanwege een vermeend datalek op de privécomputer van een medewerker .

In het voorjaar van 2018 publiceerde Kaspersky technische details over een cyberoperatie genaamd "Slingshot". De operatie werd uitgevoerd door het Amerikaanse leger , dat het al jaren gebruikte om informatie over terroristen te verzamelen op duizenden apparaten in het Midden-Oosten en Afrika. Met deze publicatie onthulde Kaspersky de operatie, mogelijk als een bewuste reactie op het verbod. De VS waren daar bepaald niet blij mee.

Tegen deze achtergrond lijkt het scenario waarin de VS of andere westerse staten zoals Israël de NDB zouden willen beletten samen te werken met Kaspersky niet vergezocht. Misschien uit oprechte bezorgdheid over een mogelijk datalek naar Rusland, maar misschien ook uit fundamenteel politieke overwegingen.

Duidelijk is in ieder geval dat de beschuldigingen van buitenlandse inlichtingendiensten geen onafhankelijk bewijs vormen dat FDB-medewerkers daadwerkelijk nalatig of zelfs in strijd met de Zwitserse belangen hebben gehandeld.

Op basis van de beschikbare feiten is een sluitende beoordeling van het werk van de NDB onmogelijk. Het is al langer bekend dat het cyberteam van de NDB jarenlang geen adequate juridische basis had voor zijn handelen. Dit was echter vooral te wijten aan een gebrekkige leiding .

De fragmenten uit het vertrouwelijke NDB-rapport, dat SRF nu openbaar maakt, bieden weliswaar interessante inzichten. Ze laten echter geen eenduidige beoordeling van de gebeurtenissen toe. Het verzinnen van een "Rusland-affaire" op basis van de beschikbare informatie, zoals SRF dat zo heftig doet, lijkt riskant.

Het is daarom veel waarschijnlijker dat de gebeurtenissen, waarvan slechts enkele details bekend zijn, verklaard kunnen worden door de normale inlichtingenprocedures in het cyberdomein.