Im Nachrichtendienst des Bundes (NDB) ist die Informatiksicherheit in gravierender Weise vernachlässigt worden. Dies legt der Bericht der Geschäftsprüfungsdelegation nahe, die den Datendiebstahl vom Frühjahr 2012 untersucht hat. NDB-Chef Markus Seiler wird darin scharf kritisiert.

«Die Inspektion hat gezeigt, dass es der Führung des NDB an einem ausreichenden Verständnis für die Frage mangelte, welche Vorschriften der Dienst im Bereich der Informatiksicherheit einzuhalten hatte», heisst es im veröffentlichten Kurzbericht.

Die für die Aufsicht über den Nachrichtendienst zuständige Geschäftsprüfungsdelegation der eidgenössischen Räte (GPDel) fasst darin ihre Erkenntnisse zusammen und formuliert elf Empfehlungen an den Bundesrat. Der Untersuchungsbericht selbst wird aus Gründen des Staatsschutzes nicht veröffentlicht.

Mangelnde Planung

Ein Mitarbeiter des Nachrichtendienstes hatte im Mai 2012 eine grosse Menge geheimer Daten gestohlen. Er flog auf, weil er auf einer Bank ein Nummernkonto eröffnen wollte und als Grund angab, eine grössere Summe aus Verkäufen von Bundesdaten zu erwarten. Dass der Diebstahl möglich war, ist aus Sicht der GPDel auf grundlegende Mängel zurückzuführen.

Seinen Anfang nahm das Problem, als die beiden früheren Nachrichtendienste zusammengelegt wurden. Der NDB musste in der Folge eine grosse Anzahl von Informatiksystemen mit knappen personellen Ressourcen betreuen. Für die GPDel war dies das Resultat mangelnder Planung: Die Schaffung des NDB wurde nicht genügend sorgfältig vorbereitet. Mit Blick auf das geplante neue Nachrichtendienstgesetz empfiehlt die GPDel dem Bundesrat, den Personalbedarf diesmal abklären zu lassen.

Fehlendes Risikomanagement

Mangelhaft war laut dem Bericht auch das Risikomanagement im NDB. Sie habe keine Hinweise darauf gefunden, dass sich die Leitung des NDB vor dem Datendiebstahl aktiv um ein systematisches Risikomanagement gekümmert hätte, schreibt die GPDel. Der Bundesrat soll nun dafür sorgen, dass der NDB «die einschlägigen Vorgaben des Bundes zum Risikomanagement adäquat umsetzt».

Speziell vernachlässigt hat der Nachrichtendienst die Informatiksicherheit: «Die GPDel kommt zum Schluss, dass der NDB vor dem Datendiebstahl verschiedene technische und organisatorische Massnahmen nicht getroffen hatte, die zum Grundschutz seiner Informatik gehört hätten und teilweise auch vom Bund oder vom VBS vorgeschrieben waren», heisst es im Bericht.

Kein Notfallplan

So hatten etwa Informatiker uneingeschränkte Zugriffsrechte, ohne dass der Zugriff nachträglich persönlich zugeordnet werden konnte. «Die vorgeschriebenen Sicherheitskonzepte für die Anwendungen und Systeme waren mehrheitlich ungenügend oder fehlten», schreibt die GPDel. Auch habe es keinen Notfallplan für den Fall eines Verdachts auf eine Gefährdung der Systeme oder Daten gegeben.

Ferner hat der NDB laut dem Bericht die Vorgaben bezüglich der Personensicherheitsprüfungen nicht erfüllt. Der Bericht empfiehlt hier insbesondere Verbesserungen mit Blick auf externe Mitarbeitende.

Schlechte Führung

Weiter kritisiert die GPDel die Personalführung. Trotz rechtzeitiger Warnzeichen – es gab Probleme mit dem späteren Datendieb – sei während Wochen nicht reagiert worden. Der zuständige Abteilungsleiter stand im Dilemma, entweder mit der Freistellung des einzigen Datenbankadministrators die Verfügbarkeit der Systeme zu gefährden oder ein Risiko in Kauf zu nehmen.

In dieser kritischen Zeit habe eine enge Führung gefehlt, heisst es im Bericht. So habe der Mitarbeiter nur eine Stunde nach einem nicht eingehaltenen Gesprächstermin am 16. Mai längere Zeit am Arbeitsplatz verweilen können. Das Personalrecht des Bundes hätte aus Sicht des GPDel durchaus Massnahmen zugelassen. Allerdings hatte es der NDB versäumt, die Probleme zu dokumentieren. Damit konnte er sich nicht darauf abstützen, um beispielsweise eine Freistellung anzuordnen.

Diebstahl nicht erkannt

Der Bericht lässt generelle Zweifel am Nachrichtendienst aufkommen: Ohne den Hinweis der Grossbank, bei welcher der Datendieb ein Konto eröffnen wollte, wäre der NDB dem Diebstahl nicht innert nützlicher Frist auf die Spur gekommen. Sie habe keinen Grund zur Annahme, dass das «bestenfalls ansatzweise vorhandene» Kontrolldispositiv einen Hinweis generiert hätte, schreibt die GPDel.

NDB-Chef Markus Seiler wird auch für seine Reaktion nach dem Diebstahl kritisiert. Sofortmassnahmen seien zwar zweckmässig gewesen. Die GPDel habe aber zunehmend den Eindruck gewonnen, dass diese vor allem dazu gedient hätten, die Frage nach den Ursachen in den Hintergrund zu stellen, heisst es im Bericht. Seiler habe seine Unterschrift auch unter Massnahmen gesetzt, die danach gar nie an die Hand genommen worden seien.

Neben Seiler steht Verteidigungsminister Ueli Maurer in der Kritik. So stützte sich dieser während der ersten drei Monate nach der Aufdeckung des Diebstahls für die Einschätzung ausschliesslich auf die Angaben des NDB, die auf den Datendieb fokussierte und andere Ursachen ausser Acht liess. Der Bundesrat hat nun bis Ende Oktober Zeit, zu den Empfehlungen der GPDel Stellung zu nehmen.

SDA/ajk