Der Bundesrat will die Informatiksicherheit in der Bundesverwaltung verbessern
Ein Mitarbeiter des Nachrichtendienstes hatte im Mai 2012 eine grosse Menge geheimer Daten gestohlen. Er flog auf, weil er auf einer Bank ein Nummernkonto eröffnen wollte und als Grund angab, eine grössere Summe aus Verkäufen von Bundesdaten zu erwarten. Zum Verkauf kam es laut den Behörden nicht.
Der Vorfall förderte jedoch gravierende Mängel zu Tage. Der Führung des NDB mangle es an einem ausreichenden Verständnis für die Frage, welche Vorschriften der Dienst im Bereich der Informatiksicherheit einzuhalten habe, schrieb die GPDel in ihrem Bericht. Der Bundesrat äussert sich dazu nicht. Er erklärt Fehler mit mangelnden Ressourcen und der Fusion von Inland- und Auslandnachrichtendienst im Jahr 2010.
Der NDB habe Pendenzen seiner Vorgängerorganisationen abbauen müssen. Die Geschäftsprüfungsdelegation der eidgenössischen Räte (GPDel) kam bei der Untersuchung der Affäre zum Schluss, dass die Informatiksicherheit im Nachrichtendienst in gravierender Weise vernachlässigt worden war. Die Kritik richtete sich primär an NDB-Chef Markus Seiler. In der Folge wurden auch Rücktrittsforderungen laut. Nun hat der Bundesrat zum Bericht der GPDel Stellung genommen. Er leiste den Empfehlungen mehrheitlich Folge, teilte er mit. Mehrere Empfehlungen seien bereits umgesetzt oder befänden sich zurzeit in der Umsetzung. Der Bundesrat versichert, die Lehren aus dem Datendiebstahl gezogen zu haben.
Gleichzeitig stellt er sich aber hinter den Nachrichtendienst – und relativiert den Vorfall: «Eine Berichterstattung über offensichtliche Mängel in einem Teilbereich des Nachrichtendienstes, ohne auch dessen Gesamtleistungen anzuerkennen, steht im Gegensatz zur tatsächlichen Wahrnehmung seiner Auftraggeber und Leistungsbezüger», schreibt der Bundesrat.
Nach dem Datendiebstahl leitete der Nachrichtendienst laut dem Bundesrat in eigener Kompetenz 40 Massnahmen ein.
Insbesondere wurden Zugriff- und Zutrittsrechte eingeschränkt. Der Bundesrat bewilligte seinerseits acht zusätzliche Mitarbeiter für die Informatiksicherheit und veranlasste Schulungen für das Bundeskader. Die GPDel kritisierte auch das Verhalten von Nachrichtendienstchef Markus Seiler und Verteidigungsminister Ueli Maurer während der Untersuchung. Seiler habe sich zunächst geweigert, der departementsinternen Nachrichtendienst-Aufsicht gewisse Informationen auszuhändigen. Verzichten will der Bundesrat darauf, das interne Kommunikationssystem SiLAN zu chiffrieren.
Die GPDel hatte festgestellt, dass das System nicht chiffriert wurde, obwohl dies in einer Verordnung vorgeschrieben war. Sie verlangte allerdings nicht zwingend eine Chiffrierung. Der Bundesrat sollte bloss prüfen, ob er die Vorschrift anwenden oder streichen wolle.
Der Bundesrat hat sich nun für die zweite Variante entschieden. Die Formulierung in der Verordnung beruhe auf einem Versehen, hält er fest. Dennoch habe der NDB nach dem Datendiebstahl die Chiffrierung ins Auge gefasst. Bei der Planung und Umsetzung habe sich jedoch gezeigt, dass der zusätzliche Nutzen in keinem vertretbaren Verhältnis zum Aufwand und den Risiken stehe.
Neu wird nun das SiLan in der Verordnung als autonome, geschützte Plattform beschrieben, die auf den Übertragungswegen teilchiffriert ist.
Tijana Nikolic