Bundesrat nimmt Stellung zum GPDel-Bericht über die NBD-Sicherheitslücken

Print Friendly, PDF & Email

Bern, 01.11.2013 – Der Bundesrat hat in seiner Sitzung vom Mittwoch seine Stellungnahme zum Bericht der Geschäftsprüfungsdelegation (GPDel) „Informatiksicherheit im Nachrichtendienst des Bundes“ verabschiedet. Er folgt den Empfehlungen der GPDel grossmehrheitlich. Einige Empfehlungen der GPDel wurden bereits umgesetzt. Der ausführliche GPDel-Bericht finden Sie am Schluss der bundesrätlich dürren Stellungnahme.

Vor rund anderthalb Jahren ereignete sich im Nachrichtendienst des Bundes ein gravierender Vorfall, bei dem der Abfluss von geschützten Daten letztlich nur dank der Aufmerksamkeit eines UBS-Angestellten verhindert werden konnte.

Die GPDel hat in ihrem Bericht vom 30. August 2013 dieses Sicherheitsdebakel und die lasche Reaktion von NDB, VBS und Bundesrat aufgearbeitet und dazu elf Empfehlungen formuliert.

In seiner Stellungnahme legt der Bundesrat den Gesamtkontext der in den letzten Jahren erfolgreich durchgeführten Fusion der ehemaligen Inland- und Auslanddienste zum Nachrichtendienst des Bundes (NDB) dar und äussert sich eingehend zu den elf Empfehlungen der GPDel. Grossmehrheitlich stimmt er den Empfehlungen zu, einige wurden bereits umgesetzt bzw. befinden sich bereits in Umsetzung.

Ein Nachrichtendienst muss bei seiner Arbeit immer Risiken abschätzen, seien diese politischer, rechtlicher, menschlicher oder technischer Natur. Nach der von den parlamentarischen Aufsichtsorganen angestossenen Fusion zum NDB ist es nach Ansicht des Bundesrates dem neuen Dienst gelungen, ohne Wissensverluste oder gravierende personelle Probleme die Rechtmässigkeit seiner Arbeit sicherzustellen, eine gemeinsame Arbeitskultur zu etablieren und gleichzeitig die Leistung mit hoher Qualität weiterzuführen. Der dem Bericht zugrunde liegende Fall zeigt exemplarisch die Schwierigkeiten auf, Zielkonflikte zwischen den Pflichten des Arbeitgebers, den Rechten des Arbeitsnehmers sowie staatlichen Sicherheits- und Geheimhaltungsinteressen rechtzeitig zu erkennen und wirksam zu lösen. Doch daran werden sich die VBS-Beamten und die Geheimdienstler noch die Zähne ausbeissen.

Zum Wortlaut des GPDelBerichtes:

1.1 Einleitung/Vorgeschichte

Der Nachrichtendienst des Bundes (NDB) existiert in seiner heutigen Form seit dem 1. Januar 2010. Vorher waren seine Aufgaben auf den Dienst für Analyse und Prävention (DAP, bis Ende 2008 im EJPD) und den Strategischen Nachrichtendienst  (SND,VBS) aufgeteilt. Seine gesetzlichen Grundlagen findet der NDB insbesondere im Bundesgesetz vom 3. Oktober 2008 über die Zuständigkeiten im Bereich des zivilen Nachrichtendienstes (ZNDG, SR 121) und imBundesgesetz vom 21. März 1997 über Massnahmen zur Wahrung der inneren Sicherheit (BWIS, SR 120). Diese Rechtsgrundlagen sollen abgelöst werden durch ein neues Nachrichtendienstgesetz, das bis am 30. Juni 2013 in der Vernehmlassung war.

1.2  Synergien und Ressourcen (Bundesratsbeschluss vom 25. März 2009)

Der Bundesrat hat am 25. März 2009 das VBS beauftragt, «die erforderlichen Mass-nahmen zu treffen, damit das ZNDG im Sinne der Zusammenführung der beiden Dienste DAP und SND in ein Bundesamt per 1. Januar 2010 umgesetzt werden kann». Im entsprechenden Aussprachepapier wurden auch die Auflagen für diese Umsetzung aufgeführt:

1. Umsetzung innert nützlicher Frist;

2. Umsetzung im Rahmen der bestehenden Gesetze;

3. Umsetzung ohne zusätzliche Ressourcen;

4. Transparenz und Kontrolle als permanente Aufgabe.

5. Bei der dritten Auflage wurde festgehalten: «Die angestrebte Lösung ist ohne zusätzliche Ressourcen zu realisieren.»Parlamentarische Initiative Hofmann

Bereits die parlamentarische Initiative Hofmann vom 13. März 2007 (07.404: Übertragung der Aufgaben der zivilen Nachrichtendienste an ein Departement) hatte die Erhöhung der nachrichtendienstlichen Leistung zum Ziel:

«Es geht lediglich um die optimale Nutzung der vorhandenen nachrichtendienstlichen Informationen. Die Zusammenfassung der Aufgaben von DAP und SND unter einem Departement eröffnet zudem Möglichkeiten zur Nutzung von Synergien und zu einem effizienteren Einsatz der knappen Ressourcen.»Entsprechend stand auch in der Stellungnahme des Bundesrates vom 23. April 2008 zum Bericht vom 29. Februar 2008 der Geschäftsprüfungskommission des Ständerates der optimierte Einsatz der vorhandenen Ressourcen im Zentrum(BBl 2008 4038f).

Die verschiedenen Vorstösse und Aussprachen, welche zur Schaffung des NDB führten, zeigen, dass vom neuen Dienst in erster Linie eine Mehrleistung im Kerngeschäft erwartet wurde. Ausgangslage DAP und SND vor der Fusion zum NDB Bei der Zusammenführung zweier Organisationseinheiten werden in der Regel Synergie-effekte durch das Wegfallen von Überlappungen in den Organisationen  realisiert. Diesbezüglich war die Ausgangslage bei DAP und SND grundsätzlich  eine andere.

Sowohl der DAP wie auch der SND verfügten nur sehr beschränkt bzw. überhaupt nicht über Querschnitts- und Supportfunktionen (Informatik, Dienste, Kommunikation, Personelles, Sicherheit, Recht und besondere Support-funktionen im nachrichtendienstlichen Beschaffungsbereich).

Der DAP bezog im EJPD beinahe sämtliche Leistungen über die zentralen Dienstleistungszentren des Departe-ments und verfügte über keine eigenen Supportfunktionen. Der SND verfügte nur teilweise über ausreichende Supportfunktionen und bezog einen grossen Teil der Supportleistungen vom GS VBS. Der NDB musste nach der Fusion die benötigten Supportfunktionen selber sicherstellen und aus den bestehenden Ressourcen alimentieren. Hingegen ergab sich auf departementaler Ebene eine gewisse finanzielle Entlastung.

Der NDB in der Umsetzungsplanung zur Aufgabenüberprüfung (AÜP)

Der Bundesrat legte am 14. April 2010 in seinem Bericht zur Umsetzungsplanung zur Aufgabenüberprüfung (AÜP) für die 25 längerfristigen Massnahmen, die von  den Departementen weiterverfolgt werden, Meilensteine fest. Diese Meilensteine wurden am 1. September 2010 bei der Verabschiedung der Botschaft zum Konsoli-dierungsprogramm 2012-2013 aktualisiert. Massnahme Nr. 13 betraf die «Erschliessung von Synergiepoten-zialen bei den zivilen Nachrichtendiensten», wonach der Bundesrat 2011 über die Höhe und Verwendung des Synergiepotenzials zu beschliessen hat: «Daraus [aus der Zusammenführung] resultieren Synergiegewinne, die noch abschliessend zu quantifizieren sind und zugunsten des Bundeshaushalts abzuschöpfen sind.»

In einem vertraulichen Bericht vom 27. Mai 2011 zeigte das VBS dem Bundesrat auf, dass die Fusion von DAP und SND zum NDB durchaus Synergien erschlossen und zu internen Einsparungen geführt hatte. Dem standen jedoch neue, nicht finanzierte Aufgaben gegenüber, welche der NDB mit den realisierten Einsparungen

finanzieren musste. Unter dem Strich resultierten für den Bund keine Einsparungen, dafür aber die verlangte Erhöhung der nachrichtendienstlichen Leistung. Mit der Gutheissung dieses Berichts am 10. Juni 2011 entliess der Bundesrat den NDB aus der AÜP.

Die Informatik des NDB setzte seit dem Zeitpunkt der Fusion notwendigerweise auf die Aufrechterhaltung des Betriebs einer stark gewachsenen Anwendungs-und Infrastrukturlandschaft. Zur Sicherstellung dieses Betriebs mussten punktuell Lieferantenfirmen und externe Mitarbeitende eingesetzt werden. Im ob genannten Bericht war dem Bundesrat auch aufgezeigt worden, wie die seit 2010 erzielten Synergien zum Aufbau der verschiedenen Querschnittsfunktion en eingesetzt werden.

1.3. Erfüllte Zielsetzungen des Bundesrates

Der Bundesrat hat die Entstehung des NDB eng mit seinen jährlichen Zielsetzungen  und der Berichterstattung begleitet.

2010: Schaffung der organisatorischen Grundlagen

2010 konnte der Aufbau des NDB überwiegend abgeschlossen werden. Das Prozessmodell NDB, die Prozesslandschaft sowie die Pilot-Prozesse für den Aufbau eines Geschäftsverwaltungssystems wurden definiert und dokumentiert. Die Normprozesse wurden gemäss Planung dokumentiert und umgesetzt. 2010 hat der Bundesrat auch über das weitere Vorgehen bezüglich der Gesetzgebung für den NDB entschieden. Am 27. Oktober

2010 verabschiedete er die Zusatzbotschaft zur Ände-rung des Bundesgesetzes über Massnahmen zur Wahrung der inneren Sicherheit (BWIS II reduziert). Am 24. August 2010 genehmigte der Chef VBS den Projektantrag und das Konzept für den Entwurf eines neuen Nachrichtendienstgesetzes (ND-Gesetz); der Bundesrat hatteden Auftrag dazu am 27. November 2009 erteilt.

2011: Priorisierung der Arbeitsthemen und Qualitätssicherung

2011 standen die Priorisierung der Themenbereiche des neuen Grundauftrages des NDB, die Anpassung der rechtlichen Grundlagen und die Umsetzung der Empfehlungen der GPDel zur Qualitätssicherung des Informationssystems Innere Sicherheit (ISIS) im Vordergrund.

Die Priorisierung der Themen wurde mit dem neuen Grund-auftrag des Bundesrates anfangs 2011abgeschlossen, die Umsetzung der Massnah-men sowie der Abbau der Pendenzen im ISIS erfolgten planmässig und für das ND-Gesetz wurde das Normkonzept erstellt.2012:  Abschluss Umsetzung Massnahmen ISIS-Bericht der GPDel –Cyberstrategie.

2012 konnten die notwendigen Massnahmen (Anpassungen von Verordnungen, Weisungen und Organisations-vorschriften) für die Umsetzung von BWIS II mit der Inkraftsetzung per 16. Juli 2012 realisiertwerden. Die em-pfohlenen Massnahmen des ISIS-Berichtes der GPDel konnten vollständig umgesetzt werden. Wesentlichen Anteil hatte der NDB auch an der Realisierung der nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken, die vom Bundesrat am 27. Juni 2012 gutgeheissen worden ist.

2013: Botschaft neues ND Gesetz

2013 steht für den NDB wiederum die Rechtsetzung im Vordergrund: Es geht um die Verabschiedung der Botschaft zum neuen NDG (Vernehmlassung bis Ende Juni 2013) und die Verabschiedung der Botschaft zur Teilrevision des ZNDG. Letzteres Ziel hat der Bundesrat mit seinem Beschluss vom 14. August 2013 realisiert. Damit will er dem NDB ermöglichen, die auf sicherheitspolitisch bedeutsame Informatio-nen aus dem Ausland anwendbare Datenbank ISAS auch nach Juni 2015 weiter zu betreiben, wenn bis dahin das neue NDG noch nicht in Kraft getreten sein sollte

1.4 Erledigung von Pendenzen der Vorgängerorganisationen

Der Aufbau des NDB war von Beginn auch damit befasst, verschiedene Pendenzen seiner Vorgängerorganisa-tionen abzubauen.Revision des BWISDie Revision des BWIS («BWIS II reduziert»), für die der Bundesrat am 27. Okto-ber 2010 eine Zusatzbotschaft verabschiedet hatte, konnte mit der parlamentarischen Schlussabstim- mung vom 23.Dezember 2011 nach rund einem Jahrzehnt Arbeit zu einem erfolgreichen Abschluss gebracht werden.Pendenzen bei der Datenbearbeitung im ISIS Dringender Handlungsbedarf zeigte sich unmittelbar nach der Schaffung des NDB hinsichtlichder Rückstände der Qualitätssicherung bei der Datenbearbeitung im ISIS. Am 21.Juni 2010 veröffentlichte die GPDel dazu einen Inspektionsbericht. Der Bundesrat nahm in seiner Stellungnahme vom 20.Oktober 2010 alle Empfeh-lungen grundsätzlich an. Um die Situation so rasch als möglich zu bereinigen, leitete der NDB die notwendigen Massnahmen in die Wege. Der Bundesrat konnte in seinem Geschäftsbericht 2012 feststellen, dass die im GPDel-Bericht erwähnten Datensätze, die einer ordent-lichen Gesamtüberprüfung unterzogen werden mussten, per 5. Dezember 2012 vollständigbereinigt werden konnten.

Der vom VBS eingesetzte externe Datenschutzbeauftragte, alt Ständerat Dr. Hansruedi Stadler, bestätigte den vollständigen Abbau der Pendenzen bei der Erfassungskontrolle und der Gesamtüberprüfung.

1.5 Lagebedingte Herausforderungen an den NDB

Seit 2010 stellen sich dem NDB, dem zusammengeführten Ausland-und Inland-nachrichtendienst, bedingt durch die Lageentwicklung verschiedene Herausforderungen:Verschiebung der Beschaffungs-und Auswerteschwer-punkte. Obwohl die Schweiz nicht ein erklärtes prioritäres Ziel für dschihadistisch motivierte Anschläge ist, wurden in den vergangenen drei Jahren mehrere Schweizer Bürgerinnen und Bürger im Ausland Opfer von politisch oder terroristisch motivierten Entführungen.

Infolge der gewalttätigen politischen Umwälzungen in den arabischen und nordafrikanischen Ländern musste eine Zunahme von dschihadistischmotivierten Reisebewegun-gen nicht nur in Europa, sondern auch aus der Schweiz festgestellt werden.Akzentuiert durch die Lageentwicklung im Mittleren Osten, ist die Schweiz in den letzten drei Jahren vermehrt von intensiven Bestrebungen einzelner Länder betroffen, unter Umgehung von Gesetzen Dual-use-Güter zu beschaffen, um sie zur Entwicklung und Herstellung von Massenvernichtungswaffen und deren Trägersyste-men zu verwenden. In den Vordergrund rückte auch die Aufdeckung und Abwehr von Angriffen auf kritische Informatikinfrastrukturen.

Aktivitäten zur Ausforschung von sich in der Schweiz aufhaltenden Regimegegnern und Oppositionellen durch ausländische Nachrichtendienste sowie zur illegalen Informationsbeschaffung auf dem Forschungs-, Werk-, Finanz-und Handelsplatz Schweiz waren vermehrt zu erkennen, wobei ein Trend hin zu Informatikangriffen feststellbar ist.Anpassung der FähigkeitenDer Bundesrat nimmt zur Kenntnis, dass der NDB verschiedene Massnahmen ergriffen hat, um diesen neuen Herausforderungen zu begegnen, die sich aus der Lageveränderung ergeben haben:

Seit 2010 passt der NDB zusammen mit den Kantonen laufend sein Präventi-onsprogramm PROPHYLAX zur Sensibilisierung für die Bedrohung durch Proliferation und Wirtschaftsspionage an. Angesprochen werden potenziell betroffene Unternehmen sowie Forschungs-und Bildungseinrichtungen. In diesem Programmsind insgesamt über 1’800 Firmen und 100 Forschungsinstitutionen in der Schweiz und im Fürstentum Liechtenstein von Interesse. Ende September  2013 wurde die 1000. Firma kontaktiert.

−  Seit 2011 führt der NDB zusammen mit der Bundeskriminalpolizei ein Dschiha-dismus-Monitoring durch. Der Bundesrat hat den NDB gestützt auf die Umsetzung der Motion 07.3751 Büchler mit Beschluss vom 10. Juni 2010 beauftragt, die Beobachtung von dschihadistischen Webseiten zu gewährleisten.

−   2012 hat der NDB im Bereich Gewaltextremismus mit der gemeinsamen Lagedarstellung erstmals eine aktuelle nationale Lageübersicht elektronisch bereitgestellt und damit die Grundlage für eine laufend aktuelle Lagebeurteilung geschaffen. Nach der Einführung der entsprechenden Rechtsgrundlage im BWIS konnte damit ein langjähriges Bedürfnis der Kantone erfüllt werden.

−   Der NDB war 2012 mit der nachrichtendienstlichen Einheit der Melde -und AnalysestelleInformationssicherung MELANI bei der Erarbeitung einer nationalen Strategie zum Schutz der Schweiz vor Cyber – Risiken durch das VBS beteiligt. Am 27.Juni 2012 hiess der Bundesrat ein  entsprechendes Grundlagenpapier gut. Damit konnte mehreren parlamentarischen Vorstössen entsprochen werden.

−   Am 1. Mai 2013 hat der Bundesrat die Aufgaben, Kompetenzen und Verantwortlichkeiten der bei der Lösung von Entführungsfällen beteiligten Dienststellen von EDA, EJPD und VBS genehmigt. Dem NDB fällt hier die Aufgabe der Lageverfolgung und Lagefortschreibung, Auswertung und Lagedar-stellung so-wie die Erbringung von operativen Dienstleistungen zu. Gezielte Zusammenarbeit mit Partnern im In -und Ausland.

Der NDB hat in den ersten drei Jahren die Zusammenarbeit mit den in -und ausländischen Partnern etabliert und gezielt ausgebaut.Im Inland sind dies vor allem die Kantone und auf Bundesebene die in der Kerngruppe Sicher-heit vertretenen Bundesstellen. Neue Akzente in der Zusammenarbeit mit den Kantonen ergaben sich durch neue Ausbildungsprogramme, die Anforderungen der Qualitätssicherung sowie durch dieNeuregelung der Aufsicht der Staatsschutzorgane in den Kantone

Bei der Zusammenarbeit mit ausländischen Diensten hat der fusionierte Dienst die Aufmerksamkeit auf die-jenigen Partner gerichtet, die Aufgaben im Sinne des BWIS und / oder des ZNDG erfüllen.Der NDB verfolgt eine Partnerdienstpolitik, die dem Bundesrat jährlich zur Genehmigung vorgelegt wird.

2. Seit dem Vorfall getroffene Massnahmen des Bundesrates

2.1. Überprüfungenund Berichterstattung durch den C VBS

Am 22. April 2013 hat das VBS dem Bundesrat einen Bericht zur Kenntnis ge-bracht, der die Ereignisse rund um den verhinderten Datenabfluss und die daraufhin eingeleiteten bzw. noch einzuleitenden Massnahmen darstellt. Der Bericht stellt fest, dass keine Daten des NDB in unbefugte Hände gelangt sind. Ohne rasches und konsequentes Handeln innerhalb und ausserhalb der Verwaltung wäre es jedoch möglich gewesen, dass nachrichtendienstliche Daten an Dritte im In-und Ausland oder an die Öffentlichkeit hätten gelangen können. Weiter führt der Bericht aus, wie VBS und NDB im Anschluss an die Ereignisse die  notwendigen Führungsentscheide getroffen haben. Mehrere verwaltungsinterne und -externe Dienststellen und Expertengruppen wurden mit der Analyse der Situation und mit dem Aufzeigen des Handlungsbedarfs beauftragt. In eigener Kompetenz hat  der NDB rund 40 Massnahmen identifiziert und eingeleitet. Es handelt sich dabei  um technische und organisatorische Massnahmen sowie um die Einschränkungen  von Zugriffen und Zutritten.  Der VBS-Bericht wurde im Anschluss an die Kenntnisnahme durch den Bundesrat der GPDelzugeleitet und am 30. April 2013 vom VBS veröffentlicht.

2.2 Erhöhung der personellen Ressourcen im Bereich Informatik und Sicherheit

Gleichzeitig mit der oben genannten Berichterstattung hat das VBS mit Antrag vom 26. April 2013 dem Bundesrat die Erhöhung der personellen Ressourcen in den Bereichen Informatik und Sicherheit des NDB beantragt. Der Bundesrat hat mit Beschluss vom 1. Mai 2013 zur Kenntnis genommen, dass die notwendige und signifikante Erhöhung der Sicherheit und Informatiksicherheit beim NDB ab 2014 zu einem jährlichen Mehrbedarf von acht und ab 2015 von weiteren drei Stellen führen wird. Der Bundesrat hat anlässlichder Gesamtbeurteilung der Ressourcen im Personalbereich 2013 mit Beschluss vom 26. Juni 2013 gestützt auf diesen Antrag dem VBS acht Stellen ab dem Jahr 2014 zugesprochen. Das VBS hat dem NDB bereits in der ersten Hälfte des Jahres 2013 aus der Departementsreserve die umgehende Finanzierung dieser acht Stellen bewilligt. Mit den zusätzlichen Stellen können sicherheitskritische Leistungen weitestgehend durch interne Mitarbeitende erbracht und aufgestaute Migrationsprojekte realisiert werden. In der Informatik-und Betriebssicherheit können fehlende Fähigkeiten aufgebaut und Redundanzen geschaffen werden. Das Vier-Augen-Prinzip wird so insbesondere in besonders kritischen Aktivitäten während den erweiterten Betriebszeiten gewährleistet.

2.3 Informations-und Schulungsmassnahmen für das Bundeskader durch das EFD

Der Bundesrat hat als Folge des Datendiebstahls dem EFD am 15. März 2013 den Auftrag erteilt, Informations-und Schulungsmassnahmen für das Bundeskader in den Belangen der Informationssicherheit durchzuführen. Weitere Verbesserungen bei der Sicherheit werden sich als Folge eines neuen Informationssicherheitsgesetzes (ISG)ergeben, das unter der Führung des VBS erarbeitet wird. Zurzeit ist geplant, die Vernehmlassung zum ISG im Januar 2014 zu eröffnen.

Der Bundesrat anerkennt so den Handlungsbedarf, wie er in den Empfehlungen der GPDel formuliert ist, insbesondere die Massnahmen zur Informatiksicherheit und zum Risikomanagement. Er hat mit den Beschlüssenzur Aufstockung der Ressour-cen in den Bereichen Informatik und Sicherheit auch die notwendigenSchritte zur Erhöhung der Sicherheit desNachrichtendienstes unternommen.

3.  Zu den Empfehlungen der GPDel

Empfehlung 1

Die GPDel empfiehlt dem Bundesrat, das VBS mit einer vertieften und detaillierten  Analyse der personellen Ressourcen zu beauftragen, die für die Erfüllung der zusätzlichen Aufgaben, welche mit dem neuen ND-Gesetz vorgeschlagen werden, notwendig sind.

Der Bundesrat wird in seiner Botschaft zum neuen ND-Gesetz die finanziellen und personellen Auswirkungen der einzelnen neuen Massnahmen ausweisen. Die nach dem Datendiebstahl erkannten Mängel in der Informatik-Sicherheit sollen durch die am 1. Mai 2013 beschlossenen Massnahmen behoben werden. Der NDB wird aber auch mit dem neuen ND-Gesetz über im internationalen Vergleich -sehr knappe Ressourcen verfügen und Schwerpunkte setzen müssen.

Empfehlung 2

Die GPDel ersucht den Bundesrat sicherzustellen, dass das VBS ihm bis Juni 2014 über den Stand des Risikomanagements im NDB Bericht erstattet und darlegt, wie der NDB die einschlägigen Vorgaben des Bundeszum Risikomanagement adäquat umsetzt.Der Bundesrat folgt dieser Empfehlung, die Umsetzung ist bereits im Gange. Der Chef VBS hat am 9.Januar 2013 die Nachrichtendienstliche Aufsicht damit beauftragt, den weiteren Aufbau des Risikomanagements des NDB und die entsprechenden Massnahmen kontinuierlich zu beurteilen. Der Bundesrat kann auf dieser Grundlage sicherstellen, dassder NDB diese Vorgaben adäquat umsetzt

Empfehlung 3

Die GPDel ersucht das VBS, dafür zu sorgen, dass der Informatiksicherheitsbeauf-tragtedes Departements (ISBD VBS) auf Ende 2014 alle Anwendungen und Syste-me des NDB darauf hin prüft, ob sie durch ein gültiges Sicherheitskonzept mit einer fundierten und umfassenden Risikobeurteilung abgedeckt sind. Die Behebung allfälliger Mängel ist mittels eines verbindlichen Massnahmenplans auszuweisen.Der Bundesrat teiltdie Meinung der GPDel, dass die Anwendungen und Systeme des NDB durch ein gültiges Sicherheitskonzept mit einer fundierten und umfassen-den Risikobeurteilung abgedeckt sein müssen.

Einevollständige Inventur der Schutzobjekteist erfolgt.Gestützt darauf wird nun durch den NDB, in Abstimmung mit dem ISBD VBS, ein Massnahmenplan (je Schutzobjekt), erstellt werden. Ent-sprechend folgt der Bundesrat dieser Empfehlung.

Empfehlung 4

Die GPDel ersucht den Bundesrat, beim VBS bis Ende 2013 überprüfen zu lassen, ob die Bestimmung von Art. 7 Abs. 1 ISV-NDB überdie Chiffrierung des SiLAN so angewendet werden kann, dass der Aufwand und Nutzenfür die Informatiksicher-heit des NDB in einem vertretbaren Verhältnis stehen. Je nach Ergebnis der Überprüfung ist die Bestimmung entweder innert nützlicher Frist anzuwendenoder umgehend zu streichen.

Der Bundesrat nimmt diese Empfehlung zur Prüfung der Chiffrierung des SiLAN entgegen. Die in Art. 7 Abs. 1 ISV-NDB gemachte Aussage über die Chiffrierung des SiLAN beruhte auf einem legislatorischen Versehen, welches bei der Ausarbeitung der Verordnung nicht bemerkt wurde. Dennoch hat der NDB nach dem Datendiebstahl die Chiffrierung des SiLAN als wünschbare Massnahme zur Erhöhung der Informatiksicherheit aufgenommen. Bei der Planung der Umsetzung zeigte sich, dass der zusätzliche Nutzen der Chiffrierung in keinem vertretbaren Verhältnis zum Aufwand und den Risiken für die Informatiksicherheit steht, da eine Vollchiffrierung eine massive technische Leistungserhöhung -verbunden mit den entsprechenden Kosten erfordern würde. Daraufhin wurde diese Massnahme verworfen. Der NDB hat im August / September 2013 die Ämterkonsultation zur geplanten Ände-rung der ISV-NDB durchgeführt. Dabei wird das SiLAN korrekterweise als autonome, geschützte Plattform beschrieben, die auf den Übertragungswegen teilchiffriert ist. Es ist möglich, dass mit fortschreitender technischer Entwicklung eine Vollchiffrierung künftig realistisch werden könnte.

Empfehlung 5

Die GPDel empfiehlt dem Bundesrat, mit einer Revision der PSPV dafür zu sorgen, dass für externe Mitarbeitende die gleichen Anforderungen an die Stufe PSP gestellt werden wie für Angestellte des Bundes, welche die gleichen Aufgaben wahrnehmen. Die Verantwortung für die Einhaltung der Vorschriftendurch externe Firmen und ihre Mitarbeitenden ist derjenigen Bundesstelle zu übertragen, für welche die Externe letztlich ihre Leistungen erbringen.

Die heutige PSPV wird dem Anspruch bereits gerecht, dass für externe Mitarbeitende (Dritte) die gleichen Anforderungen an die Stufe der PSP gestellt werden, wie für Angestellte des Bundes, welche die gleichen Aufgaben wahrnehmen. So kann für Dritte, entsprechend dem vorgesehenen Zugang, sowohl eine Grundsicher-heitsprüfung (Art. 10 Abs. 2 PSPV) als auch eine erweiterte Sicherheitsprüfung (Art. 11 Abs. 2 PSPV) als auch eine erweiterte Sicherheitsprüfung mit Befragung (Art. 12 Abs. 1 PSPV) durchgeführt werden.

Es handelt sich somit nicht um eine rechtliche Lücke, sondern vielmehr um eine Frage der Anwendung geltender Vorschriften. Artikel 14 Absatz 1 Buchstabe c PSPV hält fest, dass für an klassifizierten Projekten ab Stufe VERTRAULICH beteiligte Dritte die Einleitung der PSP vorgenommen wird durch die jenige Stelle, die den Auftrag erteilt, sowie durch Unternehmen mit gültiger Betriebssicherheitserklärung im Rahmen des Geheim-schutzverfahrens. Jede Dienststelle, welche Dritten einen klassifizierten Auftrag ab Stufe VERTRAULICH erteilt, ist somit für die Einleitung der stufengerechten PSP zuständig.

Die für die Einleitung der PSP zuständigen Stellen des Bundes nach Artikel 14 Absatz 1 PSPV sind ferner am elektronischen Informationssystem Personensicherheitsprüfung SIBAD nach Artikel 144ff des Bundesgesetzes über die militärischen Informationssysteme (MIG; SR 510.91) der Fachstelle PSP VBS angeschlossen (Art. 148 Abs. 1 Bst. c MIG). Die im Rahmen der PSP mit Sicherheitsaufgaben betrauten Ämter des Bundes sind gemäss Art. 148 Abs. 1 Bst. d MIG ebenfalls grösstenteils am System angeschlossen oder können auf Antrag Zugriff erhalten. Im System ist für die angeschlossenen Stellen durch Abrufverfahren ersichtlich, ob und nach welcher Prüfstufe Dritte geprüft wurden und ob die PSP noch gültig ist. Damit können sich die Ämter den notwendigenÜberblick verschaffen und bei Notwendig-keit eine neue PSP einleiten. Der Bundesrat hält fest, dass bezüglich der PSP von Dritten eindeutige Rechtsgrundlagen bestehen und auch die Verantwortlichkeiten grundsätzlich keiner weiteren Klärung bedürfen. Die Departemente und die Bundeskanzlei werden aber ihre zuständigen Stellen ergänzend sensibilisieren.

Empfehlung 6

Die GPDel empfiehlt dem Bundesrat, in seiner Botschaft zum Informationssicher-heitsgesetz (ISG) die Rollen, welche die Personensicherheitsprüfung und die Personalführung im Bereich der Informationssicherheit spielen,ausführlich darzulegen und klar voneinander abzugrenzen. Gleichzeitig soll in einem separaten Berichterläutert werden, wie viele personelle Ressourcen der Bund für die Durchführung der PSP einsetzen soll und welchen Beitrag an den Informationsschutz er damit leisten will.

Der Bundesrat ist damit einverstanden, in seiner Botschaft zum ISG die Rollen, welche die Personensicherheitsprüfung und die Personalführung im Bereich der Informationssicherheit spielen, ausführlich darzulegen und klar voneinander abzugrenzen. Die personellen Ressourcen, die der Bund für die PSP einsetzt, stehen in direkter Abhängigkeit zu den erforderlichen Sicherheitsprüfungen, welche die Fachstellen im Auftrag des Bundes durchführen. Der heutige Ressourcenbedarf kann sich deshalb vom künftigen Bedarf aufgrund des ISG unterscheiden. Der Bundesrat wird im Rahmen der Botschaft den notwendigen Ressourcenbedarf ausweisen.

Empfehlung 7

Die GPDel empfiehlt dem Vorsteher VBS, dafür zu sorgen, dass der NDB eine neue Unterstellung der Sicher-heitszelle ausserhalbder Abteilung NDBU vornimmt. Zugleich ist die Aufgabenverteilung für das Risikomanage-ment im gesamten Dienst zu überdenken. Der Bundesrat folgt dieser Empfehlung teilweise. Das VBS überprüft mit dem NDB die organisatorische Frage in einem grösseren Zusammenhang unter Berücksichtigung von Risikomanagement, Qualitätssicherung und der Einhaltung von Vorgaben, Richtlinien und Verhaltensmass-regeln (Compliance). Dabei wird auch die Unterstellung der Sicherheitszelle überprüft werden.

Empfehlung 8

Die GPDel empfiehlt dem VBS, dem NDB die Besetzung der Informatikerstellen aus der Personalreserve des Departements bereits im Jahr 2013 zu ermöglichen, obwohl der Bundesrat diese Stellen erst ab 2014 bewilligt hat.Das VBS hat dem NDB bereits in der ersten Hälfte des Jahres 2013 die Finanzierung von acht Stellen zur Erhöhung der Informatiksicherheit bewilligt, die in der Zwischenzeit mehrheitlich besetzt werden konnten.Allerdings benötigt der Ausbau der Informatiksicherheit bzw. die Rekrutierung von spezialisierten IKT-Fachkräften unter den gegebenen Rahmenbedingungen des Bundeseinige Zeit. Nach heutigem Stand wird der NDB bis 1.1.2014 alle acht Stellen besetzen können.

Empfehlung 9

Die GPDel empfiehlt dem Bundesrat, Vorschläge zu erarbeiten, um das Verfahren zur Überprüfung des Standes der Informatiksicherheit im Bund zu verbessern. Die Massnahmen sollen den Bundesrat befähigen, im Rahmen eines institutionalisierten Verfahrens Risiken in der Informatiksicherheit rechtzeitig zu erkennen, die notwen-digen risikomindernden Massnahmen zu beschliessen und ihre Umsetzung zu verfolgen. Der Bundesrat ist bereit, diese Empfehlung entgegen zu nehmen und insbesondere das Verfahren zur Überprüfung des Standes der IKT-Sicherheit in der zentralen Bundesverwaltung weiter zu entwickeln.In der IKT-Sicherheit in der Bundesverwaltung werden Vorgaben, Umsetzung und Controlling unterschieden.

Gestützt auf die Bundesinformatikverordnung (BinfV; SR 172.010.58) erarbeitet das Informatiksteuerungsorgan des Bundes (ISB) Vorgaben, die vom Bundesrat bzw. deren Details vom ISB verabschiedet werden. Diese Vorgaben stützen sich auf eine laufend aktualisierte Bedrohungs- und allgemeine Schutzbedarfsanalyse. Die Umsetzung der Vorgaben liegt im Zuständigkeitsbereich der betroffenen Departemente und Verwaltungsein-heiten  (Linienverantwortung, Art. 9 Abs. 1 und Art. 10 BinfV). Der Linie obliegt auch die interne Kontrolle der Umsetzung, während die Eidgenössische Finanzkontrolle als IKT-Revisionsstelle die Verantwortungswahrnehmung der Linie überprüft (Art. 28 BinfV).Zur Unterstützung des Bundesrates in der Wahrnehmung seiner Gesamtverantwortung über den Einsatz der IKT in der Bundesverwaltung (Art. 14 BinfV) unterbreitet ihm das ISB anhand der Selbstdeklaration der Departemente das jährliche Reporting (Controlling) und stellt wo nötig Anträge zur Verbesserung (Art 11 BinfV). Aufbauend auf diesem Verfahren, das auch im Bericht der GPDeI zusammen mit den Prüfungen der EFK als zielführend bewertet wird, ist der Bundesrat bereit, die Verfahren weiter zu entwickeln und damit die Empfehlung der GPDeI umzusetzen.Empfehlung 10

Die GPDel empfiehlt dem Bundesrat, unter der Federführung des Eidg. Personalamtes (EPA), eine interdepartementale Arbeitsgruppe einzusetzen, deren Aufgabe es ist, besondere Anstellungsbedingungen zu erarbeiten, welche es erlauben, in der Personalführung die Reaktionsmöglichkeiten gegenüber Innentäterrisiken zu verbessern. Um bei den betroffenen Mitarbeitenden die dafürnotwendige Akzeptanz zu schaffen, wären insbesondere auch finanzielle und andere Kompensationsmassnahmen zu prüfen. Der Bundesrat soll bis Ende 2014 zu den Resultaten der Arbeits-gruppe Stellung nehmen.

Das geltende Personalrecht sieht schon heute die Möglichkeit der Freistellung vom Dienst vor. DieseMassnahme kann sowohl während dem ungekündigten Arbeits-verhältnis (Art. 103 Bundespersonalverordnung, BPV 172.220.111.3) als auch nach erfolgter Kündigung (Art. 103a BPV) vorgenommen werden. In ihrem Bericht

möchte die GPDeI insbesondere die Möglichkeit zur raschen Freistellung während des ungekündigten Arbeitsverhältnisses erweitern. Artikel 103 Absatz 1 BPV sieht die folgenden Bedingungen für eine Freistellungwährend des ungekündigten Arbeitsverhältnisses vor:

a. Ist eine korrekte Aufgabenerfüllung gefährdet, so kann die zuständige Stelle nach Artikel 2 die angestellte Person sofort vorsorglich vom Dienst freistellen oder sie in einer anderen Funktion verwenden, wenn:a. schwere strafrechtlich oder disziplinarisch relevante Vorkommnisse festgestellt oder vermutet werden;

b. wiederholte Unregelmässigkeiten erwiesen sind; oder

c. ein laufendes Verfahren behindert wird.

Empfehlung 11

Die GPDelfordert den Vorsteher VBS auf, ausnahmslos für die Respektierung der Einsichtsrechte der ND-Aufsicht, die von Gesetz (Art. 8 ZNDG i.V.mArt. 26 Abs. 1 BWIS) und Verordnung (Art. 33 Abs. 1 V-NDB) garantiert werden, zu sorgen. Der NDB kann diese Informationsrechte weder alleine noch im Einverständnis mit dem Departementsvorsteher einschränken. Die Frage der Kompetenzen und Leistungen des VBS-internen Kontrollorgans über die Nachrichtendienste wurde vom VBS bereits im Herbst 2012 aufgenommen.

Die Erarbei-tung des neuen Nachrichtendienstgesetzes (NDG) und die Datenentwendung im Nachrichtendienst veranlassten den Chef VBS, die Voraussetzungen einer wirk-samen Kontrolle über den NDB und die Leistungs-fähigkeit der seit Anfang 2009 bestehenden Nachrichtendienstlichen Aufsicht (ND-Aufsicht) von einem externen Sachverständigen überprüfen zu lassen. Prof. Dr. Heinrich Koller, ehemaliger Direktor des Bundesamtes für Justiz, wurde mit dieser Aufgabe betraut. Die Studie hat unter anderem geklärt, wie die Leistungsfähigkeit der ND-Aufsicht in der heutigen Organisationsform zu beurteilen ist und ob die ND-Aufsicht über die erforderlichen Mittel und Rechte verfügt.

Die Rechte und Pflichten sowie insbesondere das umfassende Auskunftsrecht der ND-Aufsicht wurden in den Art. 31 -34 der Verordnung des Bundesrates über den Nachrichtendienst des Bundes (V-NDB; SR 121.1) festgehalten und in den departementsinternen Weisungen des Chefs VBS über die Nachrichtendienstliche Aufsicht vom 20. Januar 2011 präzisiert. Entsprechend sind die Mitarbeiterinnen und Mitar-beiter des NDB gegenüber der ND-Aufsicht zu wahrheitsgetreuer und vollständiger Auskunft verpflichtet. In Ergänzung dessen empfahl Prof. Koller in seinem Abschlussbericht von Ende März 2013, den Stellenwert der ND-Aufsicht departementsintern zu erhöhen, den direkten Zugang zum Chef VBS zu vereinfachen und die Unabhängigkeit in der Aufgabenerfüllung auf formell-gesetzlicher Stufe zu verankern.

In Umsetzung dieser Empfehlungen ordnete der Chef VBS Ende April 2013 einen Katalog mit umfassenden Massnahmen zur Stärkung der ND-Aufsicht an. Als wichtigste Massnahme wird die Unabhängigkeit der ND-Aufsicht in der Auftragser-ledigung auf formell-gesetzlicher Stufe im neuen ND-Gesetz festgehalten. Art. 66E-NDG wird wie folgt ergänzt: «Sie [die ND-Aufsicht] ist in der Erfüllung ihrer Kontrollaufgaben weisungsungebunden». Für den Bundesrat ist entscheidend, dass die ND-Aufsicht, welche die Rechtmässigkeit, Zweckmässigkeit undWirksamkeit der Nachrichtendienste prüft, ihre Schlüsselfunktion unabhängig und wirksam erfüllen kann. In diesem Sinne nimmt der Bundesrat diese Empfehlung entgegen.

4.  Schlussfolgerungen

Eine Berichterstattung über offensichtliche Mängel in einem Teilbereich des Nachrichtendienstes, ohne auch dessen Gesamtleistungen anzuerkennen, steht im Gegensatz zur tatsächlichen Wahrnehmung seiner Auftrag-geber und Leistungsbezüger. Der Bundesrat stellt fest, dass auch das Vertrauen ausländischer Partner in den NDB seit der Fusion gewachsen ist. Ein Nachrichtendienst muss bei seiner Arbeit immer Risiken abschätzen, seien diese politischer, rechtlicher, menschlicher oder technischer Natur. Nach der von den parlamentarischen Aufsichtsorganen angestossenen Fusion des Inland-und Auslanddienstes ist es nach Ansicht des Bundesrates dem neuen Dienstgelungen, ohne Wissensverluste oder gravierende personelle Probleme die Rechtmässigkeit seiner Arbeit sicherzustellen, eine gemeinsame Arbeitskultur zu etablieren und gleichzeitig  die Leistung mit hoher Qualität weiterzuführen. Dass im untersuchten Fall die Reaktion spät – nach Auffassung der GPDel zu spät –erfolgte, ist zum Anlass zunehmen, die Lehren im NDB und in der Bundesverwatung zu ziehen.

Der dem Bericht zugrunde liegende Fall zeigt exemplarisch die Schwierigkeiten auf, Zielkonflikte zwischen den Pflichten des Arbeitgebers, den  Rechten des Arbeitsnehmers sowie staatlichen Sicherheits- und Geheimhaltungsinteressen rechtzeitig zu erkennen und wirksam zu lösen (Quelle: EDA/GPDel)

Weitere Berichte, die Sie interessieren könnten:

Wie Sie sich vor Cyber-Attacken besser schützen können:

Massnahmen für CMS-Schutz  |  Checkliste+Online+KMU  |  Massnahmen für ICS-Schutz

NSA, BND und NBD bye bye: Gut gibt es die Enigmabox

Die Enigmabox ist eine Plug and Play Verschlüsselungsmaschine, welche verteilte und Ende-zu-Ende verschlüsselte Telefonie und E-Mail-Kommunikation ermöglicht, ohne dass man sich um Passwörter kümmern muss. Zusätzlich bietet es einen VPN-Zugang zum alten, unverschlüsselten Internet. Die Enigmabox ist Open Source und benutzt zur Kommunikation cjdns, ein Protokoll für ein verschlüsseltes IPv6 Meshnetzwerk. Weitere Informationen gibt es hier.

Weitere Berichte zu diesem und ähnlichen Themen:                                                                                                              

SCHWEIZ/SWITZERLAND

Die Gehirnwäsche funktioniert, der User resigniert   |  Datenschutztag 2014:  Ist unsere Privatsphäre noch zu retten?» |   

Der lange Schatten der digitalen Überwachung  |  Verordnungsänderung beim NDB-Informationssystem  |   Bundesrat: Aussprache über die nachrichtendienstlichen Aktivitäten  |  Das BG über die Zuständigkeiten beim zivilen Nachrichtendienstes  |  Fernmeldeüberwachung: Neustart des Spitzel-Projektes des Bundes |  Ungenügender Personendatenschutz bei Zürcher Kommunen im Gesundheitssystem  |  Misstrauen bei Verwendung persönlicher Daten schadet der digitalen Wirtschaft  |  Strafverfolgungsbehörden ordneten 2012 mehr Fernmeldeüberwachungen an  |  Bundesrat verabschiedet Bundesgesetzes beim (ZNDG)   |  Überwachung in der Schweiz: Widerstand gegen Staatstrojaner |  Schweiz jahrelang mit Supervirus ausspioniert  |  NGO-Koaltion beäugt die Schweizer Regierung kritisch  |  DoS-Angriffe: Massive Zunahme auch in der Schweiz  |   Der Zürcher Regierungsrat verabschiedet verschärftes Polizeigesetz  |                       

EU/GERMANY

Staats-Trojaner zur Überwachung von Cannabis-Konsumenten  |  Klage gegen die Datensammelwut beim Europäischen Gerichtshof  |  Die EU ringt beim Datenschutz um mehr Internet-Privatsphäre  | 

USA/INTERNATIONAL

Spione infiltrieren und überwachen auch NGO’s  |  Ex-US-Richter kritisiert NSA und das «Kangurugericht»  |  NSA hat bei Microsoft & Co offene Datentüren  |  DoS-Angriffe: Massive Zunahme auch in der Schweiz |  Allianz gegen US-Überwachung fordert UNO-Menschenrechtsrat heraus  |  Lack of Trust in the Use of Personal Data Threatens to Undermine Digital Economy   | Montreux-Dokument zur Lage privater Militär- und Sicherheitsfirmen | 

Links zu den Themen-Specials und regionalen Übersichten

Alle Bilderstrecken 2012/13 | Reisetipps | Tourismus-Dossier Schweiz Reiseziele nach Ländern sortiert | Gesundheit – Lifestyle – Wellness | Umweltberichte | Humanitäre Berichte | Cruise-Reports| Hotelportraits | Berner Oberland Berichte | Engadiner Berichte Lago Maggiore Berichte

Links zu den Werbeauftritten und Hintergrundinformationen

Impressum | Datenschutz und Haftungsausschluss | Links zu NGO’s, die GMC unterstützt | GMC’s Projektsupport NGO’s | Gerd Müller’s Highlights of an encouraged „Wild-Life“ | Online-Werbung im Visier? | PR-Auftritte | Newsletter Performance | Zielgruppen-Definition & Newsletter-Distribution | Allmynews English Introduction: Content & Themes

 

Links zu den Themen-Specials und regionalen Übersichten

Alle Bilderstrecken 2012/13 | Reisetipps | Tourismus-Dossier Schweiz Reiseziele nach Ländern sortiert | Gesundheit – Lifestyle – Wellness | Umweltberichte | Humanitäre Berichte | Cruise-Reports| Hotelportraits | Berner Oberland Berichte | Engadiner Berichte Lago Maggiore Berichte

Links zu den Werbeauftritten und Hintergrundinformationen

Impressum | Datenschutz und Haftungsausschluss | Links zu NGO’s, die GMC unterstützt | GMC’s Projektsupport NGO’s | Gerd Müller’s Highlights of an encouraged „Wild-Life“ | Online-Werbung im Visier? | PR-Auftritte | Newsletter Performance | Zielgruppen-Definition & Newsletter-Distribution | Allmynews English Introduction: Content & Themes

 

Dieser Beitrag wurde unter Bundesrat, EJPD, Fedpol, Governments, Nachrichtendienste, Parlament, Schweiz, Schweizer Regierung, VBS abgelegt und mit , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Kommentare zu Bundesrat nimmt Stellung zum GPDel-Bericht über die NBD-Sicherheitslücken

  1. Pingback: Allmynews Nachrichtenübersicht aller Bundesstellen und Departemente |

  2. Pingback: DDoS-Angriffe – Massive Zunahme auch in der Schweiz |

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.