Zum Inhalt springen

Bekämpfung von Cyberspionage Geheimdienst lieferte illegal beschaffte Daten an Private

  • Jahrelang hat sich der Schweizer Geheimdienst zur Bekämpfung von Cyberspionage Daten bei Schweizer Providern beschafft, ohne die nötigen Bewilligungen dafür einzuholen.
  • Damit verstiess er wiederholt gegen das Nachrichtendienstgesetz. Das ergab im letzten Dezember eine Administrativuntersuchung.
  • Jetzt zeigen Recherchen von Radio SRF: Die Affäre ist noch gravierender. Der Nachrichtendienst hat illegal erworbene Informationen an private Sicherheitsfirmen weitergegeben.

Während fünf Jahren hatte das Ressort Cyber im Nachrichtendienst des Bundes (NDB) illegal Daten bei privaten Providern beschafft. Zu diesem Schluss kam im Dezember der ehemalige Bundesrichter Niklaus Oberholzer in seiner Administrativuntersuchung. Doch die Verantwortlichen des NDB hätten einfach «die Rechtslage verkannt», fand Oberholzer. Zudem habe es sich nur um «Randdaten» gehandelt, also um Technisches wie IP-Adressen oder Zeitpunkt und Dauer einer Verbindung.

Das sagt der Nachrichtendienst NDB

Box aufklappen Box zuklappen

«Der Nachrichtendienst des Bundes (NDB) kommentiert die Berichte seiner Aufsichtsorgane nicht öffentlich. Die von Ihnen angesprochenen Punkte sind natürlich mit der Geschäftsprüfungsdelegation GPDel und der Aufsichtsbehörde über die nachrichtendienstlichen Tätigkeiten AB-ND besprochen worden. Darüber hinaus äussert sich der NDB zu seinen operationellen Tätigkeiten und Vorgehensweisen nur gegenüber der Chefin VBS und dem Bundesrat sowie gegenüber seinen Aufsichtsorganen.»

Was die Öffentlichkeit nicht erfuhr: Das Ressort Cyber hat so beschaffte Daten auch an Private weitergegeben. Dies bestätigt die Präsidentin der Geschäftsprüfungsdelegation des Parlaments, die den Nachrichtendienst beaufsichtigt, die grüne Ständerätin Maya Graf: «Bei den Abklärungen der Geschäftsprüfungsdelegation, die sich auf die interne Untersuchung stützen, haben wir festgestellt, dass es der Schluss zulässt, dass beschaffte Informationen auch mit privaten Sicherheitsfirmen geteilt wurden.»

Dies würden elektronische Mitteilungen belegen, die im Rahmen einer NDB-internen Untersuchung zur Datenbeschaffung gesichert worden seien.

Abbilder von ganzen Servern erstellt

Die Datenweitergabe an private Sicherheitsfirmen war denn auch Gegenstand der Administrativuntersuchung, wie Oberholzer bestätigt. Vom 90 Seiten umfassenden Schlussbericht wurde im Dezember aber nur ein Drittel publiziert – aus Geheimhaltungsgründen. Die Datenweitergabe an private Sicherheitsfirmen war darin nicht erwähnt. Und noch etwas anderes wurde der Öffentlichkeit verschwiegen: Illegal beschafft hat der NDB nicht bloss «Randdaten».

Das Ressort Cyber hat ganze Abbilder von Servern erstellt, also zu einem bestimmten Zeitpunkt alle auf dem Server gespeicherten Daten kopiert. Und auch bei einzelnen Servern über längere Zeit den Datenverkehr überwacht und erfasst – und somit auch den Inhalt. Dies alles im grossen Stil, wie Graf ausführt: «Wir haben festgestellt, dass es aktenkundig ist, dass über 50 Server-Abbilder und rund 100 Massnahmen zur Überwachung des Datenverkehrs vorliegen.»

Meines Erachtens ist diese Kooperation nicht gesetzlich gedeckt.
Autor: Rainer J. Schweizer Staatsrechtsprofessor

Für Staatsrechtsprofessor Rainer J. Schweizer ist die Weitergabe von Daten des NDB an private Sicherheitsfirmen klar illegal. «Meines Erachtens ist diese Kooperation nicht gesetzlich gedeckt. Es handelt sich ja um heikle Daten. Es ist nicht vorgesehen, dass diese an private Sicherheitsfirmen gehen, die einen anderen Auftrag haben als den Auftrag des Verfassungsschutzes.»

«Fachlicher Austausch» mit privaten Sicherheitsfirmen

Alt Bundesrichter Oberholzer sieht das anders. Der NDB hat seiner Ansicht nach mit den privaten Sicherheitsfirmen einen «fachlichen Austausch» gepflegt, wie er schreibt. In seiner Administrativuntersuchung habe es keine Hinweise gegeben, wonach «personenbezogene oder nachrichtendienstliche Informationen» weitergegeben worden seien. «Nachdem keine konkreten Anhaltspunkte auf eine unzulässige Informationsweitergabe vorliegen, kann das Vorgehen des NDB nicht als illegal bezeichnet werden.»

Allerdings schränkt Oberholzer ein: «Die Kontakte zu privaten Unternehmen und die mit diesen ausgetauschten Informationen waren nicht systematisch dokumentiert worden und konnten deshalb auch nicht mit der letzten Gewissheit geklärt werden.»

Die ausführliche Stellungnahme von Niklaus Oberholzer

Box aufklappen Box zuklappen

«Die Untersuchung von Kontakten des NDB zu privaten Sicherheitsfirmen war unter anderem Bestandteil des Auftrags der Administrativuntersuchung. Die Untersuchung gelangte zum Ergebnis, dass dem NDB die Zusammenarbeit mit Privaten nicht grundsätzlich untersagt ist. Der NDB kann gestützt auf Art. 13c des Nachrichtendienstgesetzes von Privaten öffentlich zugänglich gemachte Datensammlungen nutzen. Zudem ist er nach Art. 23 berechtigt, von jeder Person Meldungen entgegenzunehmen und kann durch konkrete Anfragen gezielte Informationen einholen, die er zur Erfüllung seiner Aufgaben benötigt.

Cyber NDB ist auf das Fachwissen von Experten und Expertinnen der Privatindustrie angewiesen und tauscht sich mit ihnen regelmässig an Fachtagungen und auch im direkten Kontakt aus. Die Administrativuntersuchung ist zum Ergebnis gelangt, dass ein fachlicher Austausch zulässig ist, soweit sich dieser auf allgemeine Informationen über technische Modalitäten von Angriffen und Massnahmen zu deren Abwehr bezieht. Konkrete Anhaltspunkte dafür, dass Cyber NDB im Rahmen dieses fachlich-technischen Austauschs personenbezogene oder nachrichtendienstliche Informationen bekannt gegeben hatte, liegen nicht vor. Nachdem keine konkreten Anhaltspunkte auf eine unzulässige Informationsweitergabe vorliegen, kann das Vorgehen des NDB nicht als illegal bezeichnet werden. Um gestützt auf Art. 23 NDG gezielte Informationen einholen zu können, kann auch die Preisgabe eigener Informationen, solange diese keiner Geheimhaltungspflicht unterliegen (so etwa über erkannte Angriffsmuster oder andere technische Modalitäten von Cyberangriffen), gerechtfertigt sein.

Dabei bleibt indessen zu berücksichtigen, dass in der Administrativuntersuchung auch bemängelt wurde, dass Cyber NDB in der fraglichen Zeit im Bereich der Dokumentation und der Datenbearbeitung Mängel aufgewiesen hatte. Die Kontakte zu privaten Unternehmen und die mit diesen ausgetauschten Informationen waren nicht systematisch dokumentiert worden und konnten deshalb auch nicht mit der letzten Gewissheit geklärt werden.»

Das Verteidigungsdepartement VBS erklärt dazu, der NDB habe seine internen Weisungen zur Informationsbeschaffung und Datenbearbeitung mittlerweile präzisiert, «um die Kontakte zu privaten Unternehmen und die mit diesen ausgetauschten Informationen systematisch zu dokumentieren». Dies lässt den Schluss zu, dass der NDB weiterhin Informationen mit privaten Unternehmen teilt.

Das sagt das Verteidigungsdepartement VBS

Box aufklappen Box zuklappen

«Wir weisen darauf hin, dass das Nachrichtendienstgesetz auch die Möglichkeit der Datenbekanntgabe an Private vorsieht. So regelt insbesondere Art. 62 die Voraussetzungen für die Bekanntgabe von Personendaten an private Dritte. Möglich ist demnach die Bekanntgabe, wenn diese im Interesse der betroffenen Person liegt, notwendig ist, um eine schwere unmittelbare Gefahr abzuwenden oder für die Begründung eigener Auskunftsersuchen. Ausserdem ist auch im Rahmen einer Zusammenarbeit oder Beauftragung mit oder von Privaten (Art. 34 des Nachrichtendienstgesetzes und Art. 15 und 16 der Nachrichtendienstverordnung) die Bekanntgabe der dafür notwendigen Informationen zulässig.

Aus Sicht des VBS scheint deshalb eine Anpassung des Nachrichtendienstgesetzes nicht erforderlich zu sein. Um die Kontakte zu privaten Unternehmen und die mit diesen ausgetauschten Informationen systematisch zu dokumentieren, hat der NDB seine internen Weisungen zur Informationsbeschaffung und Datenbearbeitung präzisiert. Darüber hinaus bestand kein besonderer Handlungsbedarf.»

Die unabhängige Aufsichtsbehörde über die nachrichtendienstlichen Tätigkeiten möchte jetzt eine Klärung. Sie hat eine neue Prüfung eingeleitet, wie Leiterin Prisca Fischer, bestätigt. «Es gibt ein paar Fragen, die offengeblieben sind, nachdem der NDB selber intern dieses ganze Geschehen untersucht hat. Und mit diesen Fragen sind wir jetzt als Aufsichtsbehörde weiterhin unterwegs, weil auch der Bericht von Herrn Oberholzer hat diese Fragen nicht beantwortet.»

Die Aufsichtsbehörde will auch Hinweisen auf «verdeckte Geldflüssen» nachgehen. Zudem seien der Behörde «weitere interne Informationen» aus dem NDB zugetragen worden. Details will Fischer vor Abschluss der Prüfung nicht verraten.

Vorkommnisse im Ressort Cyber des NDB: Was bisher geschah

Box aufklappen Box zuklappen
Der Nachrichtendienst des Bundes in Bern.
Legende: Der Nachrichtendienst des Bundes in Bern. Keystone/Peter Klaunzer
  • Ab dem Jahr 2015 beschafft sich das Ressort Cyber des Nachrichtendiensts des Bundes (NDB) Daten von Servern bei mehreren privaten Providern in der Schweiz.
  • Ab September 2020 wird die Mehrheit der Mitglieder der Geschäftsleitung des Nachrichtendiensts des Bundes (NDB) auf die Informationsbeschaffung des Ressorts Cyber bei privaten Providern aufmerksam.
  • Im April 2021 gibt der damalige Direktor des NDB, Jean-Philippe Gaudin, der Abteilung Sicherheit im NDB den Auftrag, eine interne Untersuchung zur Informationsbeschaffung und -verarbeitung durch das Ressort Cyber sowie zu dessen Beziehungen zu Providern und privaten Sicherheitsfirmen durchzuführen.
  • Im Mai 2021 wird die unabhängige Aufsichtsbehörde über die nachrichtendienstlichen Tätigkeiten (AB-ND) von NDB-Direktor Gaudin über die laufende interne Untersuchung im Ressort Cyber informiert.
  • Am 12. Mai 2021 gibt der Bundesrat bekannt, dass er der «einvernehmlichen Auflösung» des Arbeitsverhältnisses mit NDB-Direktor Gaudin auf den 31. August 2021 zugestimmt habe.
  • Am 17. Mai 2021 informiert NDB-Direktor Gaudin die Vorsteherin des Verteidigungsdepartements VBS, Bundesrätin Viola Amherd, über die eingeleitete interne Untersuchung zu den Vorkommnissen im Ressort Cyber. Konkretere Informationen erhält die VBS-Vorsteherin von ihm aber nicht.
  • Anfang Juni 2021 wird die unabhängige Aufsichtsbehörde AB-ND in einem anonymen Schreiben aufgefordert, die «gravierenden Vorkommnisse» im Ressort Cyber «gründlich» zu untersuchen – ansonsten würden die Medien informiert.
  • Am 25. August 2021 erhält die Geschäftsprüfungsdelegation GPDel des Parlaments, die den Nachrichtendienst beaufsichtigt, erstmals Informationen über die Informationsbeschaffung des Ressorts Cyber und die laufende interne Untersuchung des NDB. Sie verlangt vom NDB umgehend eine Chronologie zu den Vorkommnissen. Erst an diesem Tag erhält VBS-Vorsteherin Amherd konkrete Informationen über die Beschaffungsmethoden des Ressorts Cyber.
  • Am 23. September 2021 schliesst die AB-ND eine Prüfung zur Cyber-Abwehr des NDB ab. In ihrem Prüfbericht kommt sie zum Schluss, dass der NDB in einem «rechtlichen Graubereich» handle. Sie empfiehlt deshalb eine juristische Klärung.
  • Im Dezember 2021 liefert die Abteilung Sicherheit im NDB ihre interne Untersuchung ab. Sie empfiehlt unter anderem eine externe Administrativuntersuchung, um die strafrechtliche Relevanz der Vorgänge im Ressort Cyber zu klären.
  • Mitte Januar 2022 beschliesst VBS-Vorsteherin Viola Amherd, beim ehemaligen Bundesrichter Niklaus Oberholzer eine Administrativuntersuchung in Auftrag zu geben.
  • Am 15. August liefert Oberholzer seinen Schlussbericht zur Administrativuntersuchung ab. Er kommt zum Schluss, dass das Ressort Cyber mit seiner Informationsbeschaffung gegen Bestimmungen des Nachrichtendienstgesetzes verstossen habe. Da dies jedoch «nicht schuldhaft» geschehen sei und der NDB bloss «die Rechtslage verkannt» habe, empfiehlt Oberholzer, keine Strafanzeige gegen die Verantwortlichen einzureichen. VBS-Vorsteherin Amherd folgt der Empfehlung.
  • Am 12. Dezember wird die Öffentlichkeit an einer Medienorientierung von Niklaus Oberholzer über einen Teil der Schlussfolgerungen aus der Administrativuntersuchung informiert. Vom 90-seitigen Schlussbericht werden «aus Geheimhaltungsinteressen» nur 29 Seiten publiziert sowie eine 7-seitige «Zusammenfassung der wesentlichen Erkenntnisse». Von der Weitergabe der illegal beschafften Daten an private Sicherheitsfirmen, die ebenfalls Bestandteil der Administrativuntersuchung war, erfährt die Öffentlichkeit nichts.

(Quellen: Die wesentlichen Angaben in dieser Chronologie stammen von der Geschäftsprüfungsdelegation des Parlaments GPDel und der unabhängigen Aufsichtsbehörde über die nachrichtendienstlichen Tätigkeiten AB-ND)

Info 3, 19.05.2023, 12 Uhr

Meistgelesene Artikel