Die Co-Präsidentin der Grünen, Regula Rytz, fordert den Rücktritt des Nachrichtendienstchefs Markus Seiler. «Kein Risikomanagement, null Informationssicherheit, kein Notfallplan: Der Chef Nachrichtendienst muss gehen», schrieb sie via den Kurznachrichtendienst Twitter.
Sie reagierte damit am Donnerstag auf die Veröffentlichung des Berichts der Geschäftsprüfungsdelegation, in welchem Seiler scharf kritisiert wird.
«Der Bericht zeigt auf, dass nicht einmal verbindliche Vorgaben des Bundes zur Informatik- und Datensicherheit umgesetzt sind», sagte Rytz auf Anfrage der Nachrichtenagentur sda. «Gerade im Nachrichtendienst, wo mit hochsensiblen Daten gearbeitet wird, ist das absolut inakzeptabel.»
Der Entscheid, ob Seiler seinen Posten räumen muss, liegt bei Verteidigungsminister Ueli Maurer. Rytz will dem Bundesrat in der kommenden Herbstsession einige kritische Fragen stellen. «Noch vor kurzem hat Ueli Maurer den Datendiebstahl im Nachrichtendienst des Bundes (NDB) verharmlost, jetzt ist ein klares Statement gefordert.»
Informatiksicherheit vernachlässigt
Im Nachrichtendienst des Bundes (NDB) wurde die Informatiksicherheit in gravierender Weise vernachlässigt. Dies legt der Bericht der Geschäftsprüfungsdelegation nahe, die den Datendiebstahl vom Frühjahr 2012 untersucht hat. NDB-Chef Markus Seiler wird darin scharf kritisiert.
«Die Inspektion hat gezeigt, dass es der Führung des NDB an einem ausreichenden Verständnis für die Frage mangelte, welche Vorschriften der Dienst im Bereich der Informatiksicherheit einzuhalten hatte», heisst es in dem am Donnerstag veröffentlichten Kurzbericht.
Die für die Aufsicht über den Nachrichtendienst zuständige Geschäftsprüfungsdelegation der eidgenössischen Räte (GPDel) fasst darin ihre Erkenntnisse zusammen und formuliert elf Empfehlungen an den Bundesrat. Der Untersuchungsbericht selbst wird aus Gründen des Staatsschutzes nicht veröffentlicht.
Mangelnde Planung
Ein Mitarbeiter des Nachrichtendienstes hatte im Mai 2012 eine grosse Menge geheimer Daten gestohlen. Er flog auf, weil er auf einer Bank ein Nummernkonto eröffnen wollte und als Grund angab, eine grössere Summe aus Verkäufen von Bundesdaten zu erwarten. Dass der Diebstahl möglich war, ist aus Sicht der GPDel auf grundlegende Mängel zurückzuführen.
Seinen Anfang nahm das Problem, als die beiden früheren Nachrichtendienste zusammengelegt wurden. Der NDB musste in der Folge eine grosse Anzahl von Informatiksystemen mit knappen personellen Ressourcen betreuen. Für die GPDel war dies das Resultat mangelnder Planung: Die Schaffung des NDB wurde nicht genügend sorgfältig vorbereitet. Mit Blick auf das geplante neue Nachrichtendienstgesetz empfiehlt die GPDel dem Bundesrat, den Personalbedarf diesmal abklären zu lassen.
Fehlendes Risikomanagement
Mangelhaft war laut dem Bericht auch das Risikomanagement im NDB. Sie habe keine Hinweise darauf gefunden, dass sich die Leitung des NDB vor dem Datendiebstahl aktiv um ein systematisches Risikomanagement gekümmert hätte, schreibt die GPDel. Der Bundesrat soll nun dafür sorgen, dass der NDB «die einschlägigen Vorgaben des Bundes zum Risikomanagement adäquat umsetzt».
Speziell vernachlässigt hat der Nachrichtendienst die Informatiksicherheit. Ferner hat der NDB laut dem Bericht die Vorgaben bezüglich der Personensicherheitsprüfungen nicht erfüllt. Der Bericht empfiehlt hier insbesondere Verbesserungen mit Blick auf externe Mitarbeitende.
Weiter kritisiert die GPDel die Personalführung. Trotz rechtzeitiger Warnzeichen – es gab Probleme mit dem späteren Datendieb – sei während Wochen nicht reagiert worden.
Der Bericht lässt generelle Zweifel am Nachrichtendienst aufkommen: Ohne den Hinweis der Grossbank, bei welcher der Datendieb ein Konto eröffnen wollte, wäre der NDB dem Diebstahl nicht innert nützlicher Frist auf die Spur gekommen.
Seiler und Maurer kritisiert
NDB-Chef Markus Seiler wird auch für seine Reaktion nach dem Diebstahl kritisiert. Sofortmassnahmen seien zwar zweckmässig gewesen. Die GPDel habe aber zunehmend den Eindruck gewonnen, dass diese vor allem dazu gedient hätten, die Frage nach den Ursachen in den Hintergrund zu stellen, heisst es im Bericht. Seiler habe seine Unterschrift auch unter Massnahmen gesetzt, die danach gar nie an die Hand genommen worden seien.
Neben Seiler steht Verteidigungsminister Ueli Maurer in der Kritik. So stützte sich dieser während der ersten drei Monate nach der Aufdeckung des Diebstahls für die Einschätzung ausschliesslich auf die Angaben des NDB, die auf den Datendieb fokussierte und andere Ursachen ausser Acht liess. Der Bundesrat hat nun bis Ende Oktober Zeit, zu den Empfehlungen der GPDel Stellung zu nehmen.