«Wir haben einen Deal mit der UBS! Jetzt braucht es noch die CS.» Das teilte Finanzministerin Karin Keller-Sutter ihren Bundesratskolleginnen und -kollegen am Samstagabend des 18. März 2023 um 20.10 Uhr mit. Über die Chat-Plattform Threema. So steht es im Bericht der Parlamentarischen Untersuchungskommission (PUK) zur Credit-Suisse.
Das ist der amtliche Nachweis, dass der Bundesrat in einer Gruppe über Threema hoch sensible Informationen austauscht. Und dies, wie der PUK-Bericht weiter offenlegt, nicht erst in der akuten Phase der Krise, sondern schon in den Monaten vorher. So ist auch von Chat-Nachrichten Anfang November 2022 die Rede, im Zusammenhang mit einer geplanten Sitzung zum Thema Credit Suisse. Verschickt hatte diese Nachricht der damalige Bundesratssprecher und Vizekanzler André Simonazzi.
In diesen Tagen sorgt ein ganz anderer Gruppenchat in den USA für Schlagzeilen: Die Sicherheitsberater von Präsident Donald Trump haben einen Journalisten zu einer Gruppe hinzugefügt, in der sie Angriffspläne auf die Kampftruppe der Huthis in Jemen planten und diskutierten. Dies auf der Chatplattform Signal.
Zwar plant der Bundesrat keine Militärschläge, dennoch stellt sich die Frage: Könnte eine solche Kommunikationspanne auch dem Bundesrat passieren? Wie ist sichergestellt, dass keine unberechtigten Personen einer bundesrätlichen Chat-Gruppe beigefügt werden?
Die für die Kommunikation des Bundesrats zuständige Bundeskanzlei zeigt sich auf Anfrage wortkarg: «Die Mitglieder des Bundesrates verwenden je nach Situation und Thema geeignete Kommunikationsmittel, darunter auch ‹Threema Work›.» Dieser Kanal stehe den Mitarbeitenden des Bundes als Mittel für verschlüsselte Kommunikation zur Verfügung und sei «unter Einhaltung der Sicherheitsvorgaben für Informationen bis zur Klassifizierungsstufe ‹Vertraulich› zugelassen», schreibt die Bundeskanzlei in Grossbuchstaben.
Und weiter: «Eine wichtige Vorgabe für den Austausch von Informationen der Klassifizierungsstufe ‹Vertraulich› ist die eindeutige Identifikation der Gesprächspartner.» Das könne bei «Threema Work» durch eine persönliche QR-Code-Verifikation gewährleistet werden. Weitere Details zu Kommunikationsmitteln des Bundesrats und Sicherheitsmassnahmen «geben wir aus Sicherheitsgründen nicht bekannt».
Offenbar liess sich von dieser Argumentation auch die PUK zur Credit Suisse überzeugen. Sie begrüsste die Nutzung von Threema durch den Bundesrat «als positiven Beitrag zu einer zeitnahen, umfassenden und aktiven internen Krisenkommunikation», wie es im Bericht heisst. «Dadurch konnten primär Terminabsprachen getroffen, phasenweise aber auch tagesaktuelle Informationen und Updates vermittelt werden.» Die Nutzung der Threema-Chatgruppe durch die Bundeskanzlei habe die Organisation der ausserordentlichen Sitzungen in diesen Tagen erleichtert.
Zu allfälligen Sicherheitsrisiken im Zusammenhang mit der Threema-Chatgruppe der Landesregierung ist im PUK-Bericht nichts zu finden.
Neuerdings stellt die Bundesverwaltung komplett auf Microsoft 365 um. Damit hätte der Bundesrat einen weiteren Kommunikationskanal, bei dem er einen Gruppenchat aufmachen könnte: Microsoft Teams. Damit verbunden ist auch eine grosse Datencloud. In dieser dürfen aber keine «besonders schützenswerten Daten» sowie keine vertraulichen Dokumente abgelegt werden, wie es intern heisst.
Damit es dabei zu keinen Pannen kommen kann, gibt es extra Hilfestellungen. So werden die Bundesangestellten – auch die Bundesräte – «mit entsprechender Software darin unterstützt, Dokumente am richtigen Ort abzulegen», wie es bei der Einführung des Programms hiess. (bzbasel.ch)
