Nach dem Datendiebstahl im Nachrichtendienst des Bundes (NDB) will der Bundesrat die Informatiksicherheit verbessern. Er zeigt sich bereit, Empfehlungen der parlamentarischen Aufsicht umzusetzen. Die Kritik am Chef des Nachrichtendienstes kommentiert er nicht.
Die Geschäftsprüfungsdelegation der eidgenössischen Räte (GPDel) kam bei der Untersuchung der Affäre zum Schluss, dass die Informatiksicherheit im Nachrichtendienst in gravierender Weise vernachlässigt worden war. Die Kritik richtete sich primär an NDB-Chef Markus Seiler. In der Folge wurden auch Rücktrittsforderungen laut.
Nun hat der Bundesrat zum Bericht der GPDel Stellung genommen. Er leiste den Empfehlungen mehrheitlich Folge, teilte er am Freitag mit. Mehrere Empfehlungen seien bereits umgesetzt oder befänden sich zurzeit in der Umsetzung.
Gesamtleistungen anerkennen
Der Bundesrat versichert, die Lehren aus dem Datendiebstahl gezogen zu haben. Gleichzeitig stellt er sich aber hinter den Nachrichtendienst – und relativiert den Vorfall: «Eine Berichterstattung über offensichtliche Mängel in einem Teilbereich des Nachrichtendienstes, ohne auch dessen Gesamtleistungen anzuerkennen, steht im Gegensatz zur tatsächlichen Wahrnehmung seiner Auftraggeber und Leistungsbezüger», schreibt der Bundesrat.
Der Datendiebstahl zeige die Schwierigkeiten auf, Zielkonflikte zwischen den Pflichten des Arbeitgebers, den Rechten des Arbeitnehmers sowie staatlichen Sicherheits- und Geheimhaltungsinteressen rechtzeitig zu erkennen und wirksam zu lösen.
Grundlegende Mängel
Ein Mitarbeiter des Nachrichtendienstes hatte im Mai 2012 eine grosse Menge geheimer Daten gestohlen. Er flog auf, weil er auf einer Bank ein Nummernkonto eröffnen wollte und als Grund angab, eine grössere Summe aus Verkäufen von Bundesdaten zu erwarten. Zum Verkauf kam es laut den Behörden nicht.
Der Vorfall förderte jedoch gravierende Mängel zu Tage. Der Führung des NDB mangle es an einem ausreichenden Verständnis für die Frage, welche Vorschriften der Dienst im Bereich der Informatiksicherheit einzuhalten habe, schrieb die GPDel in ihrem Bericht. Der Bundesrat äussert sich dazu nicht. Er erklärt Fehler mit mangelnden Ressourcen und der Fusion von Inland- und Auslandnachrichtendienst im Jahr 2010. Der NDB habe Pendenzen seiner Vorgängerorganisationen abbauen müssen.
Massnahmen getroffen
Nach dem Datendiebstahl leitete der Nachrichtendienst laut dem Bundesrat in eigener Kompetenz 40 Massnahmen ein. Insbesondere wurden Zugriff- und Zutrittsrechte eingeschränkt. Der Bundesrat bewilligte seinerseits acht zusätzliche Mitarbeiter für die Informatiksicherheit und veranlasste Schulungen für das Bundeskader.
Weitere Verbesserungen soll das Informationssicherheitsgesetz bringen, das der Bundesrat im Januar in die Vernehmlassung schicken will. Die GPDel fordert, dass der Bundesrat in seiner Botschaft dazu darlegt, welche Rolle die Personensicherheitsprüfungen spielen. Der Bundesrat ist einverstanden.
Rechte der Aufsicht respektieren
Die GPDel kritisierte auch das Verhalten von Nachrichtendienstchef Markus Seiler und Verteidigungsminister Ueli Maurer während der Untersuchung. Seiler habe sich zunächst geweigert, der departementsinternen Nachrichtendienst-Aufsicht gewisse Informationen auszuhändigen.
Der Nachrichtendienst könne die Informationsrechte weder alleine noch im Einverständnis mit dem Verteidigungsminister einschränken, gab die GPDel zu bedenken. Sie forderte den Verteidigungsminister auf, die Rechte der Aufsicht zu respektieren. Der Bundesrat schreibt dazu, die Unabhängigkeit der Aufsicht werde im neuen Nachrichtendienstgesetz explizit festgehalten.
Keine Chiffrierung des Kommunikationssystems
Verzichten will der Bundesrat darauf, das interne Kommunikationssystem SiLAN zu chiffrieren. Die GPDel hatte festgestellt, dass das System nicht chiffriert wurde, obwohl dies in einer Verordnung vorgeschrieben war. Sie verlangte allerdings nicht zwingend eine Chiffrierung. Der Bundesrat sollte bloss prüfen, ob er die Vorschrift anwenden oder streichen wolle.
Der Bundesrat hat sich nun für die zweite Variante entschieden. Die Formulierung in der Verordnung beruhe auf einem Versehen, hält er fest. Dennoch habe der NDB nach dem Datendiebstahl die Chiffrierung ins Auge gefasst.
Bei der Planung und Umsetzung habe sich jedoch gezeigt, dass der zusätzliche Nutzen in keinem vertretbaren Verhältnis zum Aufwand und den Risiken stehe. Neu wird nun das SiLan in der Verordnung als autonome, geschützte Plattform beschrieben, die auf den Übertragungswegen teilchiffriert ist.