​Die Geschäftsprüfungsdelegation (GPDel) hat ihre zweite Aussprache mit dem Vorsteher VBS über den Datendiebstahl im NDB vom Mai dieses Jahres geführt. Im Zentrum der Anhörung stand die Frage, wie der Vorfall und seine Ursachen einzuschätzen sind und ob das VBS bisher die notwendigen Konsequenzen aus dem Fall gezogen hat.

​Die Geschäftsprüfungsdelegation (GPDel) ist das von Gesetzes wegen vorgesehene parlamentarische Aufsichtsorgan über alle Aspekte der nachrichtendienstlichen Tätigkeit in der Schweiz. Der Delegation können laut der Bundesverfassung keine Geheimnisse vorenthalten werden.

Die GPDel betrachtet die Informatik des NDB als eine der grössten Herausforderungen für die Direktion des Dienstes. Deshalb hatte die Delegation bereits in den ersten Monaten nach der Schaffung des NDB im Jahre 2010 den Chef VBS auf verschiedene Risiken in der Informatik des neuen Dienstes aufmerksam gemacht. So war bei der Konzipierung des Dienstes die Planung der zukünftigen Systemlandschaft vernachlässigt worden und es fehlte die notwendige Transparenz bei bestimmten Informatikprojekten.

Nachdem der Vorsteher des Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS) über den Datendiebstahl im Mai 2012 informiert worden war, setzte das VBS auch die GPDel über diesen Vorfall ins Bild. Bereits im Juni liess sich die GPDel durch die Bundesanwaltschaft über das gerichtspolizeiliche Ermittlungsverfahren informieren. An ihrer Sitzung von Mitte August hörte die Delegation den Direktor NDB an und liess sich von der  Bundesanwaltschaft über das Verfahren auf datieren. Zuvor hatte sie vom NDB verschiedene Unterlagen verlangt.

Aufgrund der im August gewonnen Erkenntnisse erachtete es die GPDel als notwendig, das weitere Vorgehen des VBS in dieser Angelegenheit eng zu begleiten. Es erschien der GPDel von zentraler Bedeutung, das sich der Vorsteher VBS nicht einfach mit der Kenntnisnahme der Berichterstattung des NDB begnügte, sondern seine Aufsichtspflichten aktiv und umfassend wahrnimmt.

Die GPDel erkannte in verschiedenen Bereichen einen dringenden Handlungsbedarf. Dies teilte sie dem Vorsteher des VBS durch ihren Präsidenten direkt mit. Dieser erteilte in der Folge der ND-Aufsicht des Departements den Auftrag, das Vorgehen des NDB im Zusammenhang mit dem Datendiebstahl zu überprüfen. Die Resultate dieser Untersuchung werden auch Thema der nächsten Aussprache zwischen der GPDel und dem Vorsteher VBS sein.

Als es sich Ende September abzeichnete, dass Informationen über den Datendiebstahl über die Medien an die Öffentlichkeit gelangen würden, veranlasste die GPDel am 26. September 2012 ein Treffen mit dem Vorsteher VBS, um von ihm eine aktuelle Standortbestimmung zu erhalten.

Am 26. September 2012 wusste die GPDel bereits, dass die Vorbereitung und Durchführung des Diebstahls im Verlauf der ersten drei Wochen im Mai (4.5 -18.5) erfolgt waren. Ihr war auch bekannt, dass der NDB nur dank eines externen Hinweises auf den Diebstahl aufmerksam wurde. Es galt auch als erwiesen, dass Daten aus den sensibelsten Bereichen der nachrichtendienstlichen Tätigkeit entwendet worden waren.

Anlässlich des Treffens vom 26. September stellte die GPDel fest, dass auch vier Monate nachdem der NDB vom Datendiebstahl erfahren hatte, keine fundierte Beurteilung des potenziellen Schadens stattgefunden hatte. Für den Fall, dass nicht alle entwendeten Daten sichergestellt werden konnten, hatte der NDB keine Dispositionen getroffen, obwohl dieses Restrisiko nicht ausgeschlossen werden konnte.

Bereits im August hatte die Delegation gegenüber dem VBS betont, wie wichtig eine professionelle und wahrheitsgetreue Kommunikation im Bedarfsfall sein würde. Trotzdem musste sie feststellen, dass das VBS für die Information der Öffentlichkeit nur rudimentär vorbereitet war.

Am 16. Oktober fand eine erneute Aussprache der GPDel mit dem Vorsteher VBS und auch mit dem Direktor NDB statt. Die Delegation hat sich nach den Massnahmen erkundigt, die ergriffen wurden, um die Sicherheit der Informatiksysteme des NDB kurzfristig, aber auch langfristig zu gewährleisten. Die GPDel hat sich ausserdem danach erkundigt, wie das VBS seine direkte Aufsicht über den NDB ausgeübt hat bzw. ausüben wird und welche Rolle dabei die interne ND-Aufsicht spielt. Weiter wollte die GPDel wissen, wie der Direktor des NDB die Aufsicht über seinen Dienst selbst wahrnimmt und wie sich der NDB bezüglich des Risikomanagements organisiert hat.

Das Treffen erlaubte der GPDel weitere Auskünfte einzuholen. Zahlreiche Fragen der Delegation blieben jedoch offen. Die GPDel hat beschlossen, ihre bisherigen und laufenden Abklärungen in eine formelle Inspektion überzuführen. Der Bundesrat wurde darüber informiert. Die Delegation gedenkt, ihre Untersuchung im Frühjahr 2013 mit einem Bericht an den Bundesrat abzuschliessen. Ob und wie die Delegation die Öffentlichkeit über ihre Erkenntnisse unterrichten wird, entscheidet sie erst nach Abschluss der Inspektion.

 

Bern, 16. Oktober 2012   Parlamentsdienste