Ein Untersuchungsbericht zeigt, wie der Nachrichtendienst jahrelang ohne Bewilligungen technische Daten bearbeitet hat. Die Führung hat versagt. Jetzt wird der ganze Geheimdienst reorganisiert.
Der Nachrichtendienst hat unrechtmässig Cyberspione gejagt – und jahrelang hat das niemand gemerkt.
Peter Klaunzer / Keystone
Wenn Sicherheitsleute im Internet Jagd auf Cyberspione machen, müssen sie Informationen austauschen. Auch der Nachrichtendienst des Bundes (NDB) hat jahrelang solche technischen Daten ausgewertet, um ausländische Spionage zu entdecken und abzuwehren. Dazu hätte der NDB eigentlich jedes Mal eine spezielle Bewilligung einholen müssen, was er aber nicht getan hat.
Der NDB hat damit gegen die gesetzlichen Bestimmungen verstossen. Zu diesem Schluss kommt der frühere Bundesrichter Niklaus Oberholzer, der am Montag die Ergebnisse seiner Untersuchung präsentiert hat. Das Ressort Cyber des NDB habe während Jahren «unrechtmässig Daten beschafft und bearbeitet», heisst es in der Zusammenfassung. Den rund neunzigseitigen Untersuchungsbericht selbst hat das Verteidigungsdepartement als geheim klassifiziert und nicht publiziert.
Oberholzer relativiert die Verfehlungen des NDB gleichzeitig. Es habe sich bei den Informationen nicht um besonders schützenswerte Personendaten, sondern um Randdaten des Fernmeldeverkehrs gehandelt. Die Daten seien zudem rein technisch analysiert worden. Es sei nicht um die Überwachung einzelner Personen gegangen.
Das entspricht durchaus der Logik von technischen Indikatoren, welche weltweit zwischen IT-Sicherheitsfirmen, Nachrichtendiensten oder Internetprovidern ausgetauscht werden. Dabei handelt es sich oft um IP-Adressen oder Domainnamen der Server, welche Spione oder auch Kriminelle für ihre Cyberangriffe verwenden. Diese Server können dann zum Beispiel überwacht werden, um mehr Informationen über das Vorgehen der Täter zu erlangen oder die Opfer zu erkennen.
Beim NDB ging es um Randdaten von Servern in der Schweiz, wie Oberholzer sagt. Dazu gehörten insbesondere die IP-Adressen der beteiligten Rechner, die Datenmengen und der Zeitpunkt der Verbindung. Diese Informationen seien dem NDB auf Anfrage freiwillig übermittelt worden. Von wem genau, wollte Oberholzer nicht ausführen. Aber die Hinweise sind klar: Die Daten dürften von Internetprovidern oder Cloud-Anbietern in der Schweiz stammen. Die grossen Anbieter der Branche haben üblicherweise eine Verbindungsperson beim NDB.
Absetzung des Cyberchefs sorgte für Unmut
Dass der NDB möglicherweise unrechtmässig Daten bearbeitet hat, war im Januar publik geworden. In der Folge gab die Verteidigungsministerin Viola Amherd die externe Administrativuntersuchung bei Oberholzer in Auftrag, welche unter anderem die Verantwortlichkeiten ausleuchten sollte. Im NDB selbst kamen bereits Ende 2020 Zweifel an der Rechtmässigkeit des Vorgehens auf, worauf die bisherige Praxis gestoppt und interne Abklärungen veranlasst wurden.
In der Folge sind bis heute nicht nur die Möglichkeiten des NDB zur Cyberabwehr beschränkt. Im Ressort Cyber kam es gleich zu zwei Wechseln in der Führung, es ist von einer verstärkten Fluktuation unter den Mitarbeitern zu hören, und die Stimmung scheint schlecht zu sein.
Intern hat die Absetzung des langjährigen Chefs des Ressorts Cyber im Frühjahr 2021 für Unmut gesorgt. Er wechselte damals zum Nationalen Zentrum für Cybersicherheit (NCSC), wo er das Schwachstellenmanagement aufbaute. Der Abgang erfolgte dem Vernehmen nach nicht freiwillig. Dass ihn die damalige NDB-Führung wegen der Untersuchung loswerden wollte, als eine Art Bauernopfer, ist wahrscheinlich.
Nachfolger an der Spitze des Ressorts Cyber wurde Ende 2021 der frühere Stellvertreter. Doch der neue Chef ist auch bereits wieder weg. Er wurde dem Vernehmen nach kurz vor Ablauf seiner Probezeit im Frühsommer dieses Jahres freigestellt wegen Unstimmigkeiten mit seiner direkten Vorgesetzten. Der Posten ist derzeit nur ad interim besetzt. Der NDB will sich dazu nicht äussern.
Mitarbeiter haben nicht vorsätzlich gehandelt
In seiner Untersuchung kann Oberholzer, der früher Bundesrichter der SP war, kein strafrechtlich relevantes Verhalten erkennen. Die Mitarbeiter des NDB hätten die Rechtslage verkannt und nicht vorsätzlich gehandelt. Sie seien offenbar davon ausgegangen, dass der NDB berechtigt sei, «von jeder Person Meldungen entgegenzunehmen, solange die Auskunft freiwillig erfolgt». Das Verteidigungsdepartement werde deshalb keine Strafanzeige einreichen, sagt der Kommunikationschef Renato Kalbermatten.
Den langjährigen Chef des Ressorts Cyber als Schuldigen zu bezeichnen, sei ihm zu einfach, sagt Oberholzer. Es seien zwei Kulturen aufeinandergeprallt: auf der einen Seite der bürokratisierte NDB, auf der anderen der innovative, erfolgreiche und bestens vernetzte Ressortleiter, der aus einem technischen Bereich stammte ohne Erfahrung in der Strafverfolgung.
In der Verantwortung sieht Oberholzer vielmehr die oberste Führung des NDB. Dass die Geschäftsleitung «die Unrechtmässigkeit der während Jahren geläufigen Praxis nicht erkannte», sei unverständlich. Die internen Kontroll- und Aufsichtsmassnahmen hätten versagt, hält der Bericht unmissverständlich fest. Konkrete Personen als politisch Verantwortliche zu benennen, sei aber nicht Aufgabe seiner Untersuchung gewesen, sagt Oberholzer.
Ins Auge sticht auch, dass der NDB über seine Arbeit offensichtlich nicht oder nur ungenügend Buch geführt hat. Die Abläufe im Ressort Cyber seien «nicht systematisch erfasst und dokumentiert worden», schreibt Oberholzer, weshalb das genaue Ausmass offenbleiben muss. Diese Lücke kann auch Kritikern Munition liefern, die den NDB pauschal im Verdacht haben, ausserhalb der rechtlichen Vorgaben zu agieren und sich einer wirksamen Kontrolle entziehen zu wollen.
Cyberabwehr des NDB ist derzeit eingeschränkt
Für die Cyberabwehr hat das unrechtmässige Vorgehen schwerwiegende Folgen. Die Aktivitäten des Ressorts Cyber im betroffenen Bereich wurden bereits im Frühjahr 2021 eingestellt. Künftig einfach für jede Bearbeitung eine Bewilligung einzuholen, ist keine praktikable Lösung, wie Oberholzer festhält. Die Bearbeitung solcher technischer Indikatoren muss rasch geschehen, damit die Angreifer wirksam bekämpft werden können. Der Prozess für eine Bewilligung des Bundesverwaltungsgerichts und der Departementschefin dauere aber Tage bis Wochen.
Der Untersuchungsbericht macht deshalb Empfehlungen, welche das Verteidigungsdepartement nun prüfen möchte. Dazu gehören organisatorische und gesetzliche Anpassungen – oder gar ein Herauslösen der betroffenen Analysten aus dem NDB. Dieses forensische Kompetenzzentrum für die Erkennung und Analyse könnte etwa dem Nationalen Zentrum für Cybersicherheit angegliedert werden. Dieses wird in den nächsten Monaten zu einem Bundesamt umgestaltet, das neu im Verteidigungsdepartement angesiedelt wird.
Gleichzeitig hat der NDB-Direktor Christian Dussey von seiner Chefin Amherd einen Auftrag zur Reorganisation des Nachrichtendienstes erhalten. Offenbar soll dabei kein Stein auf dem anderen bleiben und die gesamte Geschäftsleitung neu ausgeschrieben werden, was derzeit intern für einige Unruhe sorgt. Im Frühjahr will der NDB die Resultate der Neustrukturierung kommunizieren.
https://www.nzz.ch/technologie/keine-bewilligungen-und-versagen-der-fuehrung-wie-der-nachrichtendienst-unrechtmaessig-cyberspione-gejagt-hat-ld.1716585
