Die Geschäftsprüfungsdelegation (GPDel) der Räte richtet im Zusammenhang mit dem Datendiebstahl beim Nachrichtendienst des Bundes (NDB) scharfe Kritik an den NDB und das VBS. Mit einer formellen Inspektion will sie nun die Sachverhalte klären.
Es handele sich um einen schweren Vorfall, sagte GPDel-Präsident Pierre-François Veillon (SVP/VD) am Dienstag in Bern vor den Medien. Ein Risikomanagement habe es nicht gegeben. „Dabei müsste das für einen Nachrichtendienst vorrangig sein.“ Bei der Schaffung des NDB im 2010 habe das Risikomanagement keine Priorität erhalten.
Inzwischen geht die GPDel gestützt auf Angaben der Bundesanwaltschaft davon aus, dass keine der gestohlenen Daten an Dritte gegangen oder verkauft worden sind. Von bisher 17 empfohlenen Massnahmen sind sieben umgesetzt worden, darunter das Vier-Augen-Prinzip. Die übrigen sollen 2013 folgen.
Der NDB hatte Ende Mai die Bundesanwaltschaft über den Datendiebstahl informiert. Auch Bundesrat Ueli Maurer als Vorsteher des zuständigen Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS) wurde damals über den Vorfall in Kenntnis gesetzt. Dieses wiederum setzte die GPDel ins Bild.
„Keine fundierte Beurteilung“
Ende September stellte die Delegation fest, „dass auch vier Monate, nachdem der NDB vom Datendiebstahl erfahren hatte, keine fundierte Beurteilung des potenziellen Schadens stattgefunden hatte“. Es gelte als erwiesen, dass Daten aus den sensibelsten Bereichen der NDB-Tätigkeit entwendet worden seien.
Für den Fall, dass nicht alle gestohlenen Daten sichergestellt worden seien, habe der NDB keine Dispositionen getroffen, hält die Delegation fest. Und das, „obwohl dieses Restrisiko nicht ausgeschlossen werden konnte“.
Im August – rund ein Monat vor der öffentlichen Information zum Diebstahl – machte die GPDel das VBS auf die Wichtigkeit einer professionellen und wahrheitsgetreuen Kommunikation aufmerksam. Im September zeigte sich dann aber laut GPDel, dass das Departement auf eine Information „nur rudimentär“ vorbereitet war.
Offene Fragen
Die GPDel führte am Dienstag weitere Gespräche mit Bundesrat Maurer und NDB-Direktor Markus Seiler. Sie erkundigte sich namentlich nach Massnahmen für die Sicherheit der Informatiksysteme. Ebenso wollte sie wissen, wie das VBS seine Aufsicht ausgeübt hat respektive ausüben wird.
Weiter erkundigte sie sich nach der Art und Weise, wie Seiler selbst die Aufsicht über seinen Dienst ausübt und wie sich der NDB in Sachen Risikomanagement organisiert. Sie habe zwar weitere Auskünfte einholen können, hielt die GPDel zu diesen Gesprächen fest. Doch zahlreiche Fragen seien offen geblieben.
Formelle Inspektion
Die GPDel will ihre Abklärungen nun in eine formelle Inspektion überführen und bis Ende März 2013 dem Bundesrat eine Analyse, Schlussfolgerungen und Empfehlungen vorlegen. Untersucht würden Struktur, Organisation und Ressourcen der Informatik, die Aufsicht durch das VBS und das Risikomanagement im NDB, sagte Veillon.
Die Geschäftsprüfungsdelegation beaufsichtigt die Tätigkeiten der Nachrichtendienste. Gemäss der Bundesverfassung muss sie auch Zugang zu geheimen Informationen erhalten. Die GPDel besteht aus je drei Mitgliedern der Geschäftsprüfungskommissionen beider Räte.