Untersuchungsbericht: Nachrichtendienst hat die Rechtslage verkannt

Der Nachrichtendienst des Bundes (NDB) hat in den Jahren 2015 bis 2020 mehrere Abhöraktionen durchgeführt, ohne die dafür notwendige Genehmigung einzuholen. Nachdem dies bekannt wurde, leitete das Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) eine Administrativuntersuchung ein. Jetzt hat der Bund über die Ergebnisse dieser Untersuchung informiert, die vom ehemaligen Bundesrichter Niklaus Oberholzer geleitet wurde. Die Untersuchung zeige, dass der NDB nicht schuldhaft gegen Bestimmungen des Nachrichtendienstgesetzes (NDG) verstossen habe, teilt der Bund mit.

Keine Einordnung, keine Nachfragen

Vielmehr habe die Abteilung Cyber des NDB die Rechtslage verkannt und die fernmelderechtliche Dimension der Datenbeschaffung und Bearbeitung nicht erkannt. In der Zusammenfassung des Untersuchungsberichts (die vollständige Version hat der Bund als geheim klassifiziert und veröffentlicht sie darum nicht) nennt Untersuchungsleiter Oberholzer mehrere Gründe, wie dies passieren konnte. So seien die Erwartungen an das Ressort Cyber NDB schon nach dessen Schaffung hoch gewesen. Allerdings seien der Abteilung nicht die zu den Zielvorgaben benötigten Rechtsmittel zur Verfügung gestanden.

Ausserdem seien nach dem Aufbau der Abteilung keine Vertiefte Abklärungen über die Einordnung, die Unterstellung und die Arbeitsweise des neu geschaffenen Ressorts erfolgt. Dies, "obwohl Cyber NDB offensichtlich nicht in die vorhandenen Strukturen passte", wie Oberholzer schreibt. Er folgert: "Es wird Aufgabe von Direktion und Geschäftsleitung sein, eine Auslegeordnung vorzunehmen und Massnahmen zu einer Neustrukturierung von Cyber NDB in die Wege zu leiten."

Weiter kritisiert der ehemalige Bundesrichter, dass bei der Abteilung nie nach der konkreten Ausgestaltung der Arbeitsmethoden nachgefragt worden sei, obwohl allgemein bekannt gewesen sei, dass das Ressort die von ihm als notwendig erachteten Informationen weitgehend selbst beschaffte. Es erscheine unverständlich, "dass die Geschäftsleitung und insbesondere der zuständige Direktionsbereichsleiter bis September 2020 die Unrechtmässigkeit der während Jahren geläufigen Praxis nicht erkannten."

Gesetzliche und organisatorische Änderungen

Die Verantwortung für die Vorkommnisse ist laut dem Untersuchungsbericht nicht einer bestimmten Person zuzuordnen. Dennoch spart Oberholzer nicht mit Kritik an einzelnen Akteuren: "Auf der einen Seite stand ein Chef dem Ressort Cyber NDB vor, der von seinen Vorstellungen und Fähigkeiten sowie von seiner Aufgabe überzeugt, ausgesprochen initiativ und erst noch erfolgreich war, für rechtliche Vorgaben und institutionalisierte Prozessabläufe innerhalb eines staatlichen Dienstes aber wenig Verständnis zeigte. Auf der anderen Seite war er einem Direktionsbereich zugeordnet, der zwar viel mit der Verwaltung von Daten, aber nichts mit deren Beschaffung und Auswertung zu tun hatte, und dessen Chef ihn weitgehend gewähren liess. Die Geschäftsleitung schliesslich gab sich mit den spärlichen Auskünften zufrieden, verzichtete weitgehend auf jede Kontrolle und Überprüfung und schritt erst ein, als sich die Probleme im Ressort Cyber NDB nicht mehr länger verbergen liessen."

Für die Zukunft regt der ehemalige Bundesrichter an, die weitgehend unbesehene Überführung der im Strafprozessrecht entwickelten Regeln für genehmigungspflichtige Beschaffungsmassnahmen in das Nachrichtendienstgesetz zu hinterfragen. Mit seiner Ausrichtung auf Prävention und das frühzeitige Erkennen von Bedrohungen habe der Nachrichtendienst unterschiedliche Zielsetzungen zur Strafverfolgung und benötige darum auch unterschiedliche Arbeitsmittel und -methoden. Es erscheine "erforderlich und zugleich gerechtfertigt, die Beschaffung von Netzwerkverkehrsdaten durch den NDB – jedenfalls soweit diese allein der Erkennung und Abwehr von Cyberangriffen dienen – wesentlich zu vereinfachen."

Doch auch im NDB soll sich laut dem Bericht etwas ändern: Hier regt Oberholzer an, die Stellung des Bereiches Cyber als selbständige Abteilung zu überdenken. "Ist Cyber NDB ein eigenständiges Ressort oder nicht doch eher ein nachrichtendienstlicher Sensor, der etwa den Bereichen Operationen, HUMINT, OSINT, COMINT, IMINT etc. gleichgestellt werden müsste?", fragt er unter anderem. Dazu skizziert er die Möglichkeit, den Bereich aus dem nachrichtendienstlichen Kontext zu lösen und dessen Aufgaben auf die rein wissenschaftlich-technisch Analyse von Daten des Netzwerkverkehrs zu beschränken. Die Abteilung würde dadurch ihre weitgehende Selbständigkeit verlieren und würde auf Auftragsbasis beigezogen werden. "Damit wäre nicht nur das Problem der Steuerung gelöst, sondern auch der Weg geöffnet, um mit aufgabenbezogenen Weisungen die spezifischen Datenbeschaffungs-, Verarbeitungs- und Aufbewahrungsmethoden allenfalls abweichend von den üblichen Prozessen und Abläufen zu reglementieren", heisst es im Bericht.

Der Bund schreibt dazu, dass VBS-Chefin Viola Amherd den NDB angewiesen habe, die im Bericht enthaltenen Empfehlungen zu prüfen und umzusetzen. Die Empfehlungen betreffend Anpassung der operationellen Mittel im Bereich Cyber NDB werden in die Revision des Nachrichtendienstgesetzes einfliessen. Um die im Bericht ebenfalls aufgezeigten Führungsprobleme zu beheben, werden in den nächsten Monaten im Rahmen der von NDB-Direktor Christian Dussey eingeleiteten Transformation des NDB konkrete Massnahmen ergriffen.

Die Schweizer Strafverfolgungsbehörden und der NDB haben 2021 rund 10 Prozent weniger Überwachungsmassnahmen angeordnet. Allerdings holte man gut 20 Prozent mehr Auskünfte ein, wie Sie hier lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.