NDB hat bei Informationsbeschaffung Rechtslage verkannt

Der Nachrichtendienst des Bundes (NDB) hat nicht schuldhaft gegen Bestimmungen des Nachrichtendienstgesetzes (NDG) verstossen. Zu diesem Schluss kommt die Administrativuntersuchung des Verteidigungsdepartements.

Die Untersuchung des ehemaligen Bundesrichters Niklaus Oberholzer zeigt, dass der Bereich Cyber NDB die fernmelderechtliche Dimension der Datenbeschaffung und -bearbeitung nicht erkannt hat, wie es am Montag in Bern an einer Medienkonferenz bei der Präsentation des Berichtes hiess.

Die Mitarbeitenden seien davon ausgegangen, dass der NDB berechtigt sei, von jeder Person Meldungen entgegenzunehmen, solange die Auskunft freiwillig erfolge, was jedoch nicht der Fall sei. Insgesamt seien die Erwartungen an das Ressort Cyber NDB hoch. Deshalb sei das Vorgehen zwar nicht gerechtfertigt, aber nachvollziehbar. Auch hätten interne Kontroll- und Aufsichtsmassnahmen versagt.

Der geheime Schlussbericht enthält nun verschiedene Empfehlungen im Hinblick auf das weitere Vorgehen. VBS-Chefin Viola Amherd habe den NDB angewiesen, diese Empfehlungen zu prüfen und umzusetzen.

Die Empfehlungen betreffend Anpassung der operationellen Mittel im Bereich Cyber NDB werden in die Revision des Nachrichtendienstgesetzes einfliessen. Um die im Bericht ebenfalls aufgezeigten Führungsprobleme zu beheben, würden in den nächsten Monaten konkrete Massnahmen ergriffen.

Das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) hatte im Zusammenhang mit Informationsbeschaffungen des NDB im Bereich Cyber Anfang 2022 die unabhängige Administrativuntersuchung in Auftrag gegeben. Gegenstand der Überprüfung waren Informationsbeschaffungen des NDB von 2015 bis 2020, für die keine Genehmigungen vorlagen.

Laut Bericht ist unbestritten, dass die Arbeit des Cyber NDB in des besagten Jahren sehr erfolgreich gewesen sei, es wurden Cyberangriffe auf Computersysteme abgewehrt. Der Erfolg beruhte unter anderem auch auf unrechtmässigen Beschaffungsmethoden, wie es weiter hiess.

Es wurden bei der Informationsbeschaffung zu möglichen Cyberangriffen auch Informationen beschafft, die dem Fernmeldegeheimnis unterstehen. Solche Massnahmen sind gemäss dem Nachrichtendienstgesetz bewilligungspflichtig und nur mit Genehmigung des Bundesverwaltungsgerichtes zulässig.

Zudem sei der Verkehr auf dem Netzwerk von Servern, die von Cyberangreifern benutzt werden, aufgezeichnet worden – ebenfalls ohne gerichtliche Genehmigung. Betroffen gewesen sind gemäss Mitteilung ausländische Angreifer, die Cyberangriffe gegen die Schweiz beziehungsweise gegen Schweizer Interessen verübt haben, oder die von der Schweiz aus gegen ausländische Einrichtungen Angriffe verübt haben.

Der NDB hatte bereits im Frühjahr 2021 selber festgestellt, dass gewisse Genehmigungen vom Bundesverwaltungsgericht fehlten. Die Beschaffung von Informationen zu diesen Cyberangriffen sei darauf gestoppt und erste vertiefte Abklärungen seien in Auftrag gegeben worden.

Das VBS klassiert den Schlussbericht als geheim, da er unter anderem Informationen aus als geheim klassifizierten Quellen enthält, wie es weiter hiess.

Er beschreibt die spezifischen Informationsbedürfnisse sowie die konkreten Informationsbeschaffungs- und -bearbeitungsmethoden des NDB bei der Abwehr von international koordinierten Cyberangriffen. Deshalb werde eine Zusammenfassung der wesentlichen Erkenntnisse sowie ein Auszug aus den Empfehlungen und der rechtlichen Beurteilung veröffentlicht.

Das VBS habe den Schlussbericht der parlamentarischen Oberaufsicht, der Geschäftsprüfungsdelegation der eidgenössischen Räte (GPDel), und der Aufsichtsbehörde (AB-ND) zugestellt und sie über die Umsetzung der Empfehlungen informiert.