Aufsichtstätigkeiten

Im Bereich «Strategie und Planung» prüft die AB-ND Themen, welche die kurz-, mittel- oder langfristige strategische Planung durch die nachrichtendienstlichen Behörden der Schweiz sowie deren Zielsetzung betreffen. Im Berichtsjahr hat die AB-ND an der folgenden Prüfung gearbeitet:

[22-1] Antizipation und Früherkennung

«Gesellschaftliche und technische Entwicklungen sowie aktuelle hybride Bedrohungen mit globalen Dimensionen machen es nötig, dass der NDB diese Bedrohungen erkennt und darauf rasch sowie wirksam reagieren kann.»

Im Fokus dieser Prüfung stand die Frage, wie der NDB seinen primären gesetzlichen Auftrag der Früherkennung und Antizipation erfüllen kann. Die Informationsbeschaffung und -bearbeitung des NDB dienen dem frühzeitigen Erkennen und Verhindern von Bedrohungen der inneren und äusseren Sicherheit. Er muss dafür Fähigkeiten haben, eine Lage und ihre Bedrohungen frühzeitig zu identifizieren und beurteilen zu können. Unwägbarkeiten haben hinsichtlich künftiger Bedrohungsentwicklungen aufgrund der wachsenden Komplexität des internationalen geopolitischen Systems stark zugenommen. Gesellschaftliche und technische Entwicklungen sowie aktuelle hybride Bedrohungen mit globalen Dimensionen machen es nötig, dass der NDB diese Bedrohungen erkennt und darauf rasch sowie wirksam reagieren kann. Der frühen Antizipation relevanter Bedrohungen und strategischer Entwicklungen und Chancen kommt daher eine zentrale Bedeutung zu. Der NDB spielt dabei für seine Kunden in der Früherkennung von Bedrohungen und Krisen eine wichtige Rolle.

Die AB-ND stellte fest, dass Früherkennung und Antizipation ein Strategieziel des VBS ist, das der NDB bereits seit längerer Zeit verfolgt und entsprechende operationalisierende Massnahmen getroffen hat, die teilweise bereits weit gediehen sind, andererseits noch intensiviert werden müssen. Für die AB-ND ist damit das Thema mit der notwendigen Bedeutung auf der strategischen Ebene breit abgestützt. Nimmt man die Einordnung des Themas Früherkennung und Antizipation in den jeweiligen Strategien des VBS und des NDB als Gradmesser sowie die Aussagen der beteiligten Mitarbeitenden, so sind sich alle Beteiligten denn auch über die enorme Wichtigkeit des Themas einig.

Die AB-ND stellte aber auch fest, dass die (theoretischen) Überlegungen des NDB nur sehr langsam ihren Niederschlag in den auswertenden Bereichen des Dienstes finden. Die Verbindung zwischen den zur Verfügung stehenden Instrumenten und den Produkten funktionierte noch nicht optimal. Dem NDB gelingt es demnach noch nicht ausreichend und mehrwertbringend, die konzeptionellen Bemühungen in die Produkte zu transferieren. Die AB-ND empfahl daher, dass der NDB die einzelnen Umsetzungsmassnahmen in der Früherkennung und Antizipation der NDB Strategie 2020-2025 konsequent weiterverfolgt und mindestens jährlich den Umsetzungsstand überprüft.

Die AB-ND geht davon aus, dass der NDB seine aktuelle Transformation als Basis zu einem zukünftig agilen, innovativen und anpassungsfähigen Dienst nutzt. Dabei ist zu beachten, dass diese Arbeit mit einer Reorganisation nicht abgeschlossen ist. Den Dienst bezüglich Struktur, neuen Arbeitsweisen und neuen Technologien à jour zu halten, um damit zeitnah und adäquat auf wechselnde Bedrohungen reagieren zu können, ist eine ständige Führungsaufgabe, insbesondere der Geschäftsleitung des NDB.

Im Bereich «Organisation» prüft die AB-ND die Eignung des Aufbaus und der Prozesse der Nachrichtendienste und hinterfragt, ob diese eine rechtmässige, zweckmässige und wirksame Erfüllung des gesetzlichen Auftrags dieser Behörden erlauben. Die AB-ND arbeitete 2023 in diesem Bereich an folgenden Prüfungen:

[23-2] Die juristischen Dienstleistungen im NDB

Der Beachtung des Gesetzes kommt bei der nachrichtendienstlichen Tätigkeit ein hohes Gewicht zu. Handelt der NDB nicht rechtmässig, d.h. im Rahmen des gesetzlichen Auftrages, ergibt sich ein Reputationsschaden und das Vertrauen der Schweizer Bevölkerung in den NDB wird geschädigt. Es können zudem Verletzungen von Persönlichkeitsrechten gemäss Datenschutzvorgaben, vom Recht auf Privatsphäre oder von Geschäftsgeheimnissen erfolgen. Ein erhebliches Sicherheitsrisiko für die Schweiz liegt jedoch auch vor, wenn der NDB seine Möglichkeiten im Rahmen des Gesetzes aus Unsicherheitsgründen nicht voll ausschöpft und somit seinem Auftrag nicht gerecht wird.

Gestützt darauf prüfte die AB-ND die Aufgaben, Kompetenzen und Verantwortlichkeiten der juristischen Dienstleistungserbringenden im NDB auf ihre Zweckmässigkeit und Wirksamkeit. Unter juristischen Dienstleistungen wurden in dieser Prüfung Tätigkeiten des NDB verstanden, welche zum Beispiel die Beantwortung einer konkreten Frage, die allgemeine Aufklärung über rechtliche Hintergründe, Gesetzesprojekte und Gerichtsurteile, die Geltendmachung streitiger und unstreitiger Ansprüche sowie die Mitwirkung in Projekten und bei Vertragsabschlüssen beinhalten können. Die AB-ND überprüfte den Inhalt von erbrachten juristischen Dienstleistungen nicht auf ihre Qualität (Rechtmässigkeit).

Die AB-ND führte acht Interviews, insbesondere mit Personen in Kaderpositionen. Daneben befragte sie 30 Mitarbeitende mittels Fragebogen zu ihrer Einschätzung der erbrachten Dienstleistungen. Weiter nahm sie verschiedene Dokumente betreffend Aufgaben und Verantwortlichkeiten sowie die erbrachten juristischen Dienstleistungen im Geschäftsverwaltungssystem des NDB zur Kenntnis, die sie anschliessend analysierte und bewertete.

Diese Prüfung wurde 2023 gestartet und ist zum Redaktionsschluss dieses Tätigkeitsberichts noch nicht abgeschlossen. Deshalb kann an dieser Stelle noch keine Aussage über die Prüfungsergebnisse vorgenommen werden. Die AB-ND wird die Zusammenfassung über die Prüfung nach deren Abschluss auf ihrer Website veröffentlichen.

[23-4] Das IT Service Continuity Management (ITSCM) und Disaster Recovery-IT im NDB

In dieser Prüfung untersuchte die AB-ND, ob der NDB über effiziente und geeignete Prozesse verfügt, mit denen im Krisen- oder Katastrophenfall der IT-Betrieb (Information Technology, Informationstechnik) und dadurch auch der Betrieb des Kerngeschäfts des NDB sichergestellt und seine Daten wiederhergestellt werden können.

Unvorhergesehene Grossereignisse wie Brände, Überschwemmungen oder kriminelle Aktivitäten stellen eine Bedrohung für jede Organisation dar. Solche Ereignisse können insbesondere an der informationstechnologischen Infrastruktur Schäden verursachen, die möglicherweise viel schlimmer als eine einfache Panne sind. Daher müssen Organisationen das Business Continuity Management (BCM) sicherstellen. Das BCM konzentriert sich somit auf ein Ereignis und soll seine Auswirkungen auf Risiken für kritische Leistungen und Geschäftsprozesse minimieren.

Eine zuverlässige und hochverfügbare IT ist für das Überleben eines Unternehmens essenziell, da sein Kerngeschäft stark von Informationstechnologien abhängt. Das mit dem BCM einhergehende ITSCM hat zum Ziel, auch bei Grossereignissen gemäss den Anforderungen vom Unternehmen identifizierte kritische IT-Leistungen liefern zu können. Dafür werden vorsorgliche Massnahmen (Stärkung der Resilienz) und für den Ereignisfall vorbereitete Massnahmen (Stärkung der Reaktion) beurteilt und umgesetzt. Mit dem ITSCM soll sichergestellt werden, dass die Leistungen und die Infrastruktur der Informations- und Kommunikationstechnologien (IKT) nach einem Ausfall verfügbar sind oder innert einer vereinbarten Frist wiederhergestellt werden können. Die Disaster-Recovery-IT hingegen soll die IKT-Leistungen und -Infrastruktur nach einem Ausfall wieder instand setzen.

«Vor dem Hintergrund einer drohenden Strommangellage, zunehmender Cyberangriffe und einem Krieg in Europa ist der NDB durch die fortschreitende Digitalisierung und die Datenbearbeitung als seine zentrale Tätigkeit mehr denn je von einem kontinuierlichen und zuverlässigen Betrieb der IT-Infrastrukturen abhängig.»

Ein solches ITSCM muss den aktuellen und konkreten Risiken gerecht werden. Vor dem Hintergrund einer drohenden Strommangellage, zunehmender Cyberangriffe und einem Krieg in Europa ist der NDB durch die fortschreitende Digitalisierung und die Datenbearbeitung als seine zentrale Tätigkeit mehr denn je von einem kontinuierlichen und zuverlässigen Betrieb der IT-Infrastrukturen abhängig. Zudem gefährden Datenverluste die Fähigkeit des NDB, seinen Auftrag zu erfüllen.

Das BCM war bereits Gegenstand eines Berichts der Internen Revision des VBS (Bericht I 2022-01 vom 15. August 2022). Eine der Empfehlungen dieses Berichts forderte die Verwaltungseinheiten des VBS auf, ihre Dokumentation über das BCM zu aktualisieren. Der NDB arbeitet daran, diese Empfehlung umzusetzen. Zudem hat die Leitung des NDB beschlossen, erst nach Abschluss der laufenden Transformation ein neues BCM zu genehmigen und umzusetzen. Die AB-ND zeigt sich deshalb in Bezug auf das BCM zurückhaltend.

Beim ITSCM hat die AB-ND fehlende Dokumentation festgestellt. Die fehlende Dokumentation ist auf einen Mangel bei der IT-Governance innerhalb des NDB zurückzuführen. Es wurden zwar Massnahmen getroffen, aber nur auf technischer Ebene. Die IKT-Einheit des NDB hat zahlreiche Massnahmen ergriffen, um im Falle eines Grossereignisses die Betriebskontinuität sicherzustellen. Diese effizienten und angemessenen Massnahmen, zu denen insbesondere die Sicherstellung der Redundanz der IKT-Infrastruktur sowie die Datensicherungsstrategie zählen, ermöglichen, die Risiken konsequent zu minimieren. Allerdings gibt es keine Teststrategie, sodass nicht sicher ist, ob die hohe Stabilität der IKT-Leistungen auch bei einem Grossereignis wirklich gegeben ist. Ohne verschiedenartige und regelmässige Tests kann zudem das ITSCM nicht aktualisiert werden. Im Zusammenhang mit der Dokumentation des ITSCM und der Organisation von Tests wurden Empfehlungen ausgesprochen.

Im Bereich «Zusammenarbeit» prüft die AB-ND die Zusammenarbeit der Dienste mit nationalen und internationalen Behörden. Die AB-ND prüft dabei jährlich die Zusammenarbeit mit ausgewählten kantonalen Nachrichtendiensten (KND). Die Kick- off Sitzung der Prüfungen «23-6 KND NW» und «23-7 KND OW» wurden noch 2023 durchgeführt, weitere Prüfhandlungen wurden im Jahr 2024 durchgeführt. Die AB-ND wird die Zusammenfassungen über die Prüfungen nach deren Abschluss auf ihrer Website veröffentlichen.

Im Jahr 2023 hat die AB-ND in folgenden Prüfungen Handlungen durchgeführt:

[23-5] Kantonaler Nachrichtendienst Luzern

Die AB-ND überprüfte, ob die Zusammenarbeit zwischen dem NDB und dem KND Luzern rechtmässig, zweckmässig und wirksam verläuft. Sie kam dabei zum Schluss, dass der NDB und der KND Luzern eng und in vielen Themengebieten gut bis sehr gut zusammenarbeiten. Der KND Luzern erledigt die Aufträge des NDB frist- und inhaltsgerecht. Gestützt auf ihre Prüfungshandlungen stellte die AB-ND fest, dass der KND Luzern über ein sehr gutes Netzwerk verfügt, gute nachrichtendienstliche Kenntnisse besitzt, und dass die Voraussetzungen und die Motivation zur Erfüllung der nachrichtendienstlichen Aufgaben vorhanden sind.

Die AB-ND überprüfte insbesondere, ob die gespeicherten und personenbezogen erfassten Daten bezüglich Aufgabenbezug, der Einhaltung der Datenbearbeitungsschranke sowie der Richtigkeit und Erheblichkeit der Informationen den gesetzlichen Vorgaben entsprechen. Sie stellte diesbezüglich keine gravierenden Auffälligkeiten fest, regte dennoch an, eine systematische Prüfung in allen Ablagen durchzuführen.

[23-8] Kantonaler Nachrichtendienst Uri

Die AB-ND überprüfte, ob die Zusammenarbeit zwischen dem NDB und dem KND Uri rechtmässig, zweckmässig und wirksam verläuft. Sie kam dabei zum Schluss, dass der NDB und der KND Uri eng und in vielen Themengebieten gut zusammenarbeiten. Der KND Uri erledigte die Aufträge des NDB frist- und inhaltsgerecht. Die AB-ND erhielt den Eindruck, dass der KND Uri über gute nachrichtendienstliche Kenntnisse und die entsprechenden Qualitäten verfügt, und dass die Voraussetzungen und die Motivation zur Erfüllung der Aufgaben vorhanden sind.

Die AB-ND überprüfte, ob die gespeicherten und personenbezogen erfassten Daten bezüglich Aufgabenbezug, der Einhaltung der Datenbearbeitungsschranke sowie der Richtigkeit und Erheblichkeit der Information den gesetzlichen Vorgaben entsprechen. Es wurden diesbezüglich keine Auffälligkeiten festgestellt.

[23-9] Die Auftragsbearbeitung der technischen Sensoren im Zentrum für elektronische Operationen (ZEO; ab 1.1.2024 «Dienst für Cyber- und elektromagnetische Aktionen (CEA)»)

«Insgesamt fand die AB-ND keine Hinweise, dass das CEA beim Einsatz der technischen Sensoren zur Auftragsbearbeitung der Dienste die rechtlichen Grundlagen verletzen oder die Sensoren nicht wirksam und zweckmässig einsetzen würde.»

Technische Sensoren sind eine wichtige Quelle bei der Beschaffung von nachrichtendienstlichen Informationen. Da sich die zugrundeliegende Technik in dieser Beschaffungsdisziplin ständig weiterentwickelt und damit die Wirksamkeit dieser nachrichtendienstlichen Tätigkeit potentiell mit der technischen Entwicklung verbessert wird, sind die ausführenden Stellen gezwungen, sich über die Weiterentwicklungen ihrer Möglichkeiten bei der Gewinnung von nachrichtendienstlich relevanten Informationen ständig Gedanken zu machen. Ein Risiko könnte dann entstehen, falls den gegebenen rechtlichen Rahmenbedingungen bei diesen Überlegungen nicht der notwendige Stellenwert beigemessen würde.

Daher überprüfte die AB-ND die Auftragsbearbeitung mittels technischer Sensoren im CEA zugunsten der Nachrichtendienste des Bundes. Dabei stellte sie fest, dass es stets einer detaillierten und schriftlichen Beauftragung durch die Dienste bedarf. Durch die Erfassung dieser Aufträge in einem zentralen administrativen Auftragsverwaltungssystem ist die Nachvollziehbarkeit, die Einhaltung der gesetzlichen Fristen sowie die Zuordnung von Ergebnissen zur Beauftragung jederzeit gegeben.

Bei den operativen Tätigkeiten sucht das CEA nach Wegen, intelligente Werkzeuge einzusetzen, um einerseits die knappen menschlichen Ressourcen von Routinetätigkeiten zu entlasten und andererseits die aus der Funk- und Kabelaufklärung gewonnen Daten insbesondere in Bezug auf zukünftige Cyberbedrohungen besser zu nutzen.

Hinsichtlich der Einhaltung der rechtlichen Grundlagen im operativen Geschäft konnte die AB-ND feststellen, dass den Mitarbeitenden des CEA regelmässig die Relevanz der gesetzlichen Grundlagen für ihr Tagesgeschäft vor Augen geführt wird, es aber auch organisatorische Massnahmen gibt, wie beispielsweise interne peer reviews von Ergebnissen oder Weisungen durch die Verantwortlichen im CEA.

Insgesamt fand die AB-ND keine Hinweise, dass das CEA beim Einsatz der technischen Sensoren zur Auftragsbearbeitung der Dienste die rechtlichen Grundlagen verletzen oder die Sensoren nicht wirksam und zweckmässig einsetzen würde.

[23-10] Die Zusammenarbeit des NDB mit Privaten

Der NDB führt seine Beschaffungsaktivität teilweise verdeckt durch. Dies ist notwendig, da ansonsten die Informationsbeschaffung durch betroffene Staaten oder andere Akteure erkannt und verhindert werden könnte. Zudem werden dadurch sowohl Mitarbeitende und Einrichtungen als auch Informationsquellen des NDB geschützt.

Um die Angehörigkeit einer Person zum oder deren Tätigkeit für den NDB zu verschleiern, müssen wirksame Legenden aufgebaut und unterhalten werden. Dazu benötigt der NDB unter anderem die Mithilfe von Privaten. Im Rahmen dieser Prüfung wurde der Begriff «Private» grundsätzlich für alles verwendet, was nicht als eine in- oder ausländische Amtsstelle zu betrachten ist.

Gemäss NDG darf der NDB mit Privatpersonen, Unternehmen oder Organisationen zusammenarbeiten. Diese können für den NDB Dienstleistungen erbringen, die der Aufgabenerfüllung gemäss NDG dienen oder sie können den NDB bei der Beschaffung von Informationen unterstützen. Weiter kann der NDB Privaten Beschaffungsaufträge erteilen, wenn dies aus technischen Gründen oder wegen des Zugangs zum Beschaffungsobjekt erforderlich ist. Dabei stellen sich Fragen hinsichtlich der Legitimität der Beauftragung und der Organisation. Zu beachten wären beispielsweise die Umgehung von genehmigungspflichtigen Beschaffungsmassnahmen, unrechtmässiges Verhalten der Privaten, Zahlungen ohne Gegenleistungen oder die Zusammenarbeit mit Personen zweifelhaften Rufes. Relevant ist eine Übersicht über die eingesetzten privaten Personen bezüglich deren Rekrutierung, Sicherheitsüberprüfung, Entschädigung, Dokumentation usw.

Unsorgfältig durchgeführte Handlungen – insbesondere durch Private – können unerwünschte Rückschlüsse durch Dritte auf Mitarbeitende und Einrichtungen des NDB sowie auf die Quellen zulassen und diese dadurch gefährden. Die vom NDB eingesetzten Privaten können sich zudem im Rahmen ihrer Dienstleistung für den NDB – wissentlich oder unwissentlich – unrechtmässig verhalten. Das Eintreten dieser Risiken hätte neben operativen Auswirkungen – beispielsweise der Behinderung oder gar Verunmöglichung der Informationsbeschaffung – unweigerlich auch Folgen für die Reputation und die Glaubwürdigkeit des NDB.

Die AB-ND prüft deshalb, ob die Zusammenarbeit des NDB mit und die Beauftragung von Privaten durch den NDB rechtmässig erfolgt. Weiter prüft sie, ob die vom NDB beauftragten Privaten bezüglich Risiken und Nutzen systematisch überprüft werden und ob die Zusammenarbeit und die Beauftragung von Privaten wirksam und zweckmässig organisiert und koordiniert sowie nachvollziehbar und aussagekräftig dokumentiert ist.

Diese Prüfung wurde im September 2023 gestartet und ist zum Redaktionsschluss dieses Tätigkeitsberichts noch nicht abgeschlossen. Deshalb kann an dieser Stelle noch keine Aussage über die Prüfungsergebnisse gemacht werden. Die AB-ND plant, die Zusammenfassung über die Prüfung 2024 auf ihrer Website zu veröffentlichen.

Die Informationsbeschaffung ist eine Kernaufgabe der Nachrichtendienste. Diverse Mittel können hierzu von den Diensten eingesetzt werden. Denjenigen, die am tiefsten in die Privatsphäre der betroffenen Personen eingreifen, gilt die besondere Aufmerksamkeit der AB-ND. Die AB-ND arbeitete 2023 an folgenden Prüfungen im Bereich «Beschaffung»:

[22-10] Informationsmanagement mittels genehmigungsfreier Beschaffungsmassnahmen

Der NDB kann genehmigungsfreie Beschaffungsmassnahmen zur Informationsbeschaffung selbständig und ohne besondere externe Genehmigung einsetzen, weil deren Eingriffsintensität in die Grundrechte relativ gering ist. Reichen diese Beschaffungsmassnahmen nicht aus, um für die Wahrung der Sicherheit der Schweiz elementare Informationen zu erhalten, darf der NDB mittels genehmigungspflichtiger Beschaffungsmassnahmen (GeBM) tiefer in die Grundrechte der betroffenen Personen eingreifen. Je tiefer der Eingriff in die Grundrechte, desto höher der Kontrollbedarf. Deshalb müssen die GeBM durch das Bundesverwaltungsgericht (BVGer) bewilligt und durch den Chef oder die Chefin des VBS nach vorgängiger Konsultation des Sicherheitsausschusses des Bundesrates freigegeben werden, bevor der NDB sie einsetzen kann. Bei genehmigungsfreien Beschaffungsmassnahmen sind hingegen keine externen Kontrollen vorgesehen. Es besteht daher das Risiko, dass solche Beschaffungsmassnahmen – indem diese beispielsweise Vorgänge und Einrichtungen betreffen, welche der geschützten Privatsphäre zuzurechnen sind – unrechtmässig durchgeführt werden.

Die AB-ND prüfte deshalb, ob der Einsatz von genehmigungsfreien Beschaffungsmassnahmen im NDB rechtmässig erfolgt. Dabei stellte sie fest, dass der NDB grundsätzlich über praktikable Einsatzmittel sowie die entsprechenden Fähigkeiten verfügt, sämtliche genehmigungsfreien Beschaffungsmassnahmen nach den Artikeln 14 und 16 des NDG situationsgerecht und verhältnismässig einzusetzen.

Weiter stellte sie fest, dass der vom NDB festgelegte Prozess zur Veranlassung einer genehmigungsfreien Beschaffungsmassnahme nach den Artikeln 14 und 16 NDG die nötigen Voraussetzungen zur rechtmässigen Durchführung dieser Massnahmen schafft. Grundsätzlich werden die genehmigungsfreien Beschaffungsmassnahmen durch den NDB rechtmässig eingesetzt.

«Beim Einsatz aller Beschaffungsmassnahmen gilt, dass die beschafften Informationen nutzlos sind, wenn sie nicht zeitnah und systematisch (wirksam und zweckmässig) ausgewertet werden können.»

Beim Einsatz aller Beschaffungsmassnahmen gilt, dass die beschafften Informationen nutzlos sind, wenn sie nicht zeitnah und systematisch (wirksam und zweckmässig) ausgewertet werden können. Zur Auswertung von Videos beispielsweise setzt der NDB mit dem Einsatz einer Analysesoftware deshalb auf elektronische Unterstützung. In diesem konkreten Fall kommt die AB-ND zum Schluss, dass der Einsatz einer solchen Analysesoftware zur Unterstützung der Auswertetätigkeit rechtmässig erfolgt.

In Bezug auf die Nutzung des automatisierten Polizeifahndungssystem (RIPOL) und des nationalen Teils des Schengener Informationssystems (N-SIS) hat die AB-ND die Prozesse zur Vornahme von Ausschreibungen sowie die Zugriffsberechtigungen und durchgeführten Abfragen von Daten aus den beiden Systemen untersucht. Die AB-ND hält fest, dass der Prozess der Ausschreibungen im RIPOL und N-SIS grundsätzlich rechtmässig erfolgt. Die AB-ND stellte hingegen fest, dass nicht alle durch den NDB getätigten RIPOL- und N-SIS-Abfragen so dokumentiert sind, dass ersichtlich ist, ob diese dienstlich begründet waren. Die AB-ND empfiehlt dem NDB deshalb, die von Mitarbeitenden des NDB getätigten RIPOL- und N-SIS-Abfragen einer regelmässigen Kontrolle zu unterziehen und die durchgeführten Kontrollen zu dokumentieren.

Der NDB verfügt über Beschaffungsmöglichkeiten, welche nach Art. 26 NDG in jedem Fall eine Genehmigung des Bundesverwaltungsgerichts sowie eine Freigabe nach Art. 30 NDG erfordern (beispielsweise besondere technische Geräte zur Überwachung des Fernmeldeverkehrs, Ortungsgeräte, Schliess- resp. Öffnungstechnik etc.). Obwohl solche Massnahmen eine Genehmigung und Freigabe erfordern, könnten sie durch den NDB ohne Wissen und entsprechende Genehmigung der im NDG vorgesehenen Stellen eingesetzt werden. Die AB-ND stiess im Rahmen ihrer Prüfungshandlungen auf keine Hinweise, dass der NDB seine Beschaffungsmöglichkeiten nach Artikel (Art.) 26 NDG ohne entsprechende Genehmigung und Freigabe einsetzt.

[23-11] Operationen, operative Abklärungsbedürfnisse und genehmigungspflichtige Beschaffungsmassnahmen des NDB

Nachrichtendienstliche Operationen (OP) und operative Abklärungsbedürfnisse (OPAB) gehören zu den Kernaufgaben des NDB. Sie zeichnen sich dadurch aus, dass sie im Vergleich zum Tagesgeschäft komplexer sind und einer operationellen Führung bedürfen. Zudem können in OP auch GeBM beantragt werden. Da die Komplexität von OP sowie OPAB regelmässig Risiken hinsichtlich der Wirksamkeit und der Zweckmässigkeit aufweisen und GeBM aufgrund des Eingriffs in die geschützte Privatsphäre stets ein rechtliches Risiko beinhalten, prüft die AB-ND regelmässig die entsprechenden Tätigkeiten des NDB.

In der jährlich wiederkehrenden Prüfung analysierte die AB-ND fünf ausgewählte OP und dreizehn OPAB auf deren Rechtmässigkeit, Zweckmässigkeit und Wirksamkeit. Zudem wurde bei zwölf genehmigten und freigegebenen Beschaffungsmassnahmen überprüft, ob ihre Umsetzung den Entscheiden des BVGer entsprach. Die Prüfungshandlungen umfassten Dokumentenstudium und Interviews mit den zuständigen Fachpersonen.

Diese Prüfung wurde 2023 gestartet und im Februar 2024 mit dem Bericht abgeschlossen-. Die AB-ND hat die Zusammenfassung über die Ergebnisse dieser Prüfung anfangs 2024 auf ihrer Website veröffentlicht.

[23-12] Menschliche Quellen (HUMINT) im NDB

Der NDB beschafft zur Erfüllung seiner Aufgaben Informationen aus öffentlich und nicht öffentlich zugänglichen Informationsquellen. Er bedient sich dazu genehmigungsfreier und genehmigungspflichtiger Beschaffungsmassnahmen. Die Informationsbeschaffung durch menschliche Quellen ist eine genehmigungsfreie Beschaffungsmassnahme. Menschliche Quellen sind Personen, die dem NDB Informationen oder Erkenntnisse mitteilen, für den NDB Dienstleistungen erbringen, die der Aufgabenerfüllung nach diesem Gesetz dienen oder den NDB bei der Beschaffung von Informationen unterstützen. HUMINT (Human Intelligence, Einsatz von menschlichen Quellen) ist sowohl für die Mitarbeitenden des NDB als auch für die Quellen oft mit hohen persönlichen Risiken verbunden. Daraus erwächst eine besondere Verantwortung und Verpflichtung des NDB, die er ernst nehmen muss und die in der Aufsicht durch die AB-ND entsprechendes Gewicht erhält.

«Die AB-ND prüfte, wie der NDB sein Quellenportfolio konkret verwaltet und wie sich dieses entwickelt.»

Die AB-ND prüfte, wie der NDB sein Quellenportfolio konkret verwaltet und wie sich dieses entwickelt. Sie führte Stichproben bei der Führung der Quellen durch und überprüfte dort die Rechtmässigkeit, Zweckmässigkeit und Wirksamkeit. Aufgrund des Quellen- und Personenschutzes ist in diesem Bereich besondere Geheimhaltung erforderlich; dementsprechend sind die HUMINT-Prüfungen der AB-ND als GEHEIM klassifiziert.

Diese Prüfung wurde im August 2023 gestartet und ist zum Redaktionsschluss dieses Tätigkeitsberichts noch nicht abgeschlossen. Deshalb kann an dieser Stelle noch keine Aussage über die Prüfungsergebnisse vorgenommen werden. Die AB-ND plant, die Zusammenfassung über die Prüfung im 2024 auf ihrer Website zu veröffentlichen.

Unter «Ressourcen» prüft die AB-ND, ob ein zweckmässiger Umgang mit den Ressourcen durch die Dienste gegeben und eine wirksame nachrichtendienstliche Tätigkeit gewährleistet ist. Im Bereich «Ressourcen» arbeitete die AB-ND im Jahr 2023 an folgenden Prüfungen:

[22-13] Legendierte Finanzflüsse

Die AB-ND prüfte, ob der NDB über rechtmässige, zweckmässige und wirksame Methoden verfügt, um Finanzflüsse so auszuführen, dass der NDB als Absender nicht ersichtlich ist. Weiter prüfte sie, ob die so transferierten finanziellen Mittel ausschliesslich zur Erfüllung von Aufgaben nach Art. 6 des NDG verwendet werden.

Die AB-ND stellte fest, dass der NDB über verschiedene bewährte und einsatzbereite Methoden verfügt, Empfängern Gelder so zukommen zu lassen, dass der NDB als Absender nicht ersichtlich ist.

Der NDB bezeichnet private Personen, die ihn beim legendierten Transferieren von Geldern unterstützen, als Supporter und zählt sie zu den sogenannten «menschlichen Quellen». Auch das NDG bezeichnet Personen, welche den NDB bei seinen Tätigkeiten unterstützen und für ihn Dienstleistungen erbringen, welche seiner Auftragserfüllung dienen, als «menschliche Quellen». Die AB-ND sieht dies genauso und empfiehlt deshalb, dass der NDB die Supporterführung der Führung von «menschlichen Quellen im engeren Sinne» annähert und verbindlich regelt. Eine solche Regelung beinhaltet insbesondere eine systematische und fundierte Auseinandersetzung mit den Risken, dem Nutzen, dem Potential sowie den Kosten pro Supporter. Zudem sollen die Supporter als «menschliche Quellen» in der jährlichen Berichterstattung gemäss Art. 19 der Verordnung vom 16. August 2017 über den Nachrichtendienst (Nachrichtendienstverordnung, NDV, SR 121.1) summarisch aufgeführt werden.

Der NDB kann zum Vollzug des NDG mit ausländischen Nachrichtendiensten zusammenarbeiten, in dem er gemeinsame Tätigkeiten zur Beschaffung und Auswertung von Informationen sowie zur Beurteilung der Bedrohungslage durchführt. Die AB-ND stellte fest, dass der NDB bezüglich zwei konkreter gemeinsamer Tätigkeiten mit ausländischen Partnerdiensten zwar Überlegungen im Zusammenhang mit der Rechtmässigkeit, dem eingegangenen (Reputations-)Risiko und dem daraus erwarteten Nutzen anstellte, diese Überlegungen aber nicht genügend dokumentierte. Die AB-ND regt deshalb den NDB an, inskünftig einer sorgfältigen und ausführlichen Dokumentation solcher Überlegungen und den daraus getroffenen Entscheidungen mehr Aufmerksamkeit zu schenken.

[22-14] Rekrutierungs-, Betreuungs- und Austrittsprozess

Von Mitarbeitenden können Sicherheitsrisiken wie Verrat, Datendiebstahl oder Spionage für den NDB ausgehen. Unzufriedene Mitarbeitende sehen sich potenziell auch eher veranlasst, den Dienst zu verlassen, was zu einer herausfordernden Fluktuation führen kann. Wertvolles Know-how kann verloren gehen und die Rekrutierung neuer Mitarbeitender bindet Ressourcen.

Nach Einschätzung der AB-ND vergrösserten sich diese Risiken im NDB in den letzten Jahren. Die markant gestiegene Anzahl von Hinweisen und Informationen über unzufriedene Mitarbeitende im NDB, die personellen Wechsel an der Spitze des Dienstes, die Resultate der letzten Mitarbeitendenbefragung von 2020 sowie die hohe Fluktuation im ganzen NDB stützten diese Einschätzung.

Die AB-ND führte eine hohe Anzahl von Interviews mit den Mitarbeitenden und Stichproben in den Personaldossiers durch. Diese Prüfhandlungen fanden von Juli bis Mitte November 2022 statt. Zum Zeitpunkt der Prüfung war der NDB in der Vorbereitung und Durchführung einer Transformationsphase, in dieser wurde die Revision wichtiger Dokumente und Prozesse im Bereich der Rekrutierung, Betreuung und des Austrittes von Mitarbeitenden beschlossen. Die AB-ND berücksichtigte diesen besonderen Stand in der Organisationsentwicklung in ihrem Prüfbericht. Zusammenfassend stellte sie fest, dass der NDB in seiner Personalstrategie die richtigen Ziele formulierte. Diese reflektierten sich auch in den Zielen der Transformation.

«Sie stellte fest, dass es einige gravierende Mängel in der Personalverwaltung und -führung des NDB gibt.»

Sie stellte fest, dass es einige gravierende Mängel in der Personalverwaltung und -führung des NDB gibt. Sie betrafen die Dokumentation in den Personaldossiers, die Durchführung der Mitarbeitendengespräche und Personalbeurteilungen und die Festlegung des Ablaufs bei Abklärungen zu Mitarbeitenden in besonders kritischen Situationen. Die AB-ND erliess hierzu verschiedene Empfehlungen.

Insbesondere müssen die Ressourcen der unterstützenden Stellen im NDB, wie das Personalwesen aufgestockt werden, damit die Aufgaben im Zusammenhang mit den Rekrutierungs-, Betreuungs- und Austrittsprozessen von Mitarbeitenden korrekt erfüllt werden können. Dies ist aktuell umso wichtiger, damit der NDB die Transformation überhaupt korrekt umsetzen kann.

Die AB-ND prüft im Bereich «Datenbearbeitung/Archivierung» insbesondere die Rechtmässigkeit der Informationsbearbeitung, da die Sensibilität der von den Diensten bearbeiteten Informationen hoch ist und die rechtlichen Vorgaben ebenso umfassend wie komplex sind. Die AB-ND arbeitete 2023 in diesem Bereich an folgenden Prüfungen:

[21-16] Telekomdienstleistungen

Die AB-ND prüfte, ob Auskünfte des NDB zu Dienstleistungen von ausgewählten Telekomanbietern recht- und zweckmässig erfolgen. Der NDB erhält Anfragen für den Zugang zu Informationen von Anbieterinnen von abgeleiteten Kommunikationsdienstleistungen (AAKD) und insbesondere zu Randdaten von Ende-zu-Ende-Verschlüsselungsapplikationen von Schweizerischen Anbieterinnen. In der Vergangenheit stellte der NDB eine Erhöhung der Anzahl solcher Anfragen fest.

Da die Plattformen der im Fokus der Prüfung stehenden AAKD in der Schweiz betrieben werden, unterliegen diese den Bestimmungen des Schweizer Fernmeldegesetzes (FMG, SR 784.10). Gestützt auf das NDG¹ kann der NDB Auskünfte nach Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF, SR 780.1) einholen. Zwecks Erfüllung von Aufgaben nach dem NDG erteilt der zuständige Dienst Überwachung Post- und Fernmeldeverkehr (Dienst ÜPF) des Eidgenössischen Justiz- und Polizeidepartements dem NDB auf Gesuch Auskünfte über die Daten².

Das Gesetz bietet dem NDB in Bezug auf Ende-zu-Ende-Verschlüsselungsapplikationen die Möglichkeit, beim Dienst ÜPF genehmigungsfreie Informationen einzuholen oder genehmigungspflichtige Überwachungen durchzuführen.

Die Prüfung zeigte auf, dass der NDB nur Anfragen bearbeitete, die in einem Bezug zu seinem Grundauftrag standen. Der Prozess für die zentralisierte Bearbeitung der Anfragen erachtete die AB-ND als zweckmässig. Der NDB dokumentierte die durch die AB-ND geprüften Anfragen nicht immer vollständig. In einem Fall bearbeitete der NDB zudem im Rahmen einer zwar rechtmässigen Informationsbeschaffung ihm ohne Aufforderung zusätzliche und in diesem Fall ohne gültige Rechtsgrundlage zugetragene Informationen. In beiden Fällen sprach die AB-ND eine Empfehlung aus.

¹ Art. 25 Abs. 2 NDG
² Art. 21 und 22 BÜPF

[22-15] Open Source Intelligence (OSINT)

Open Source Intelligence (OSINT) ist ein sich rasch entwickelnder Bereich der nachrichten-dienstlichen Informationsbeschaffung. Aus der Verknüpfung von unendlich vielen öffentlich zugänglichen Daten (Open Source Information OSINF) entstehen für Nachrichtendienste fast endlose Möglichkeiten der Informationsgewinnung. Die Analyse dieser OSINF, mit dem Ziel, daraus nützliche Informationen zu gewinnen, wird als OSINT bezeichnet. OSINT ist eine genehmigungsfreie Beschaffungsmassnahme gemäss Art. 13 NDG, die es dem NDB ermöglicht, in einer grossen Menge von Informationen nach nachrichtendienstlich relevanten Angaben zu suchen. OSINT entwickelt sich ständig weiter und es stellen sich in der internationalen Nachrichtendienst-Gemeinschaft rechtliche und ethische Fragen, wie bspw. die Abgrenzung von OSINT zu Human Intelligence (HUMINT) insbesondere in Bezug auf den aktiven Einsatz von virtuellen Identitäten im Umgang mit Zielpersonen oder zur Beschaffung von illegal im Internet angebotenen Datensätzen (Leaks). Entsprechend entschied die Unabhängige Aufsichtsbehörde über die nachrichtendienstlichen Tätigkeiten (AB-ND) das Risiko im Umgang mit OSINT im NDB zu prüfen.

Gemäss Art. 13 NDG gelten als öffentliche Informationsquellen namentlich öffentlich zugängliche Medien, öffentlich zugängliche Register von Behörden des Bundes und der Kantone, von Privaten öffentlich zugänglich gemachte Datensammlungen oder in der Öffentlichkeit vorgetragene Äusserungen. Die Grenze zwischen OSINT und genehmigungspflichtigen Beschaffungsmassnahmen (GeBM) ist nicht immer klar ersichtlich und wird auch bei Partnerdiensten des NDB und ausländischen Aufsichtsbehörden diskutiert. Besteht kein einheitliches Verständnis über diese Grenzen, entsteht das Risiko einer unrechtmässigen Informationsbeschaffung. Aus den geführten Interviews mit Mitarbeitenden aus dem Ressort OSINT NDB ging hervor, dass sich diese darüber im Klaren sind, dass sie sich in Bezug auf OSINT in einer komplexen rechtlichen Lage bewegen. Es gebe jedoch keine Kriterien oder strukturierte Richtlinie darüber, was OSINT sei und wo der rechtliche Rahmen von OSINT verlassen werde. Der Einsatz verschiedener Beschaffungsmassnahmen im Bereich OSINT ist im NDB demnach nicht klar und einheitlich geregelt. Die AB-ND formulierte eine Empfehlung, den rechtlichen Rahmen für die konkreten operativen Handlungen bei OSINT-Beschaffungen des NDB und einheitliche Regeln für den Umgang mit OSINT festzulegen.

«Die AB-ND prüfte ausgewählte OSINT-Beschaffungen, woraus sich keine Hinweise auf eine unrechtmässige Informationsbeschaffung ergaben.»

Die AB-ND prüfte ausgewählte OSINT-Beschaffungen, woraus sich keine Hinweise auf eine unrechtmässige Informationsbeschaffung ergaben. Der NDB ist gemäss Art. 22 Abs. 1 der Regierungs- und Verwaltungsorganisationsverordnung (RVOV) i.V.m. Art. 52 NDG verpflichtet, mit Hilfe einer systematischen Geschäftsverwaltung den Nachweis über die eigene Geschäftstätigkeit zu führen. Die Weisung über die Ablage und Archivierung von Dokumenten im NDB vom 7. Juli 2022 schreibt im Kapitel 2 zudem gestützt auf Art. 2 der Verordnung über die elektronische Geschäftsverwaltung in der Bundesverwaltung (GEVER-Verordnung) vor, dass alle geschäftsrelevanten Unterlagen in GEVER NDB registriert und abgelegt werden müssen. In einzelnen Fällen war die Dokumentation der OSINT-Abklärungen lückenhaft und entsprach nicht den geltenden Vorgaben in der Bundesverwaltung, was eine Beurteilung der Rechtmässigkeit durch die AB-ND verunmöglichte. Die AB-ND formulierte diesbezüglich eine Empfehlung.

Um nachrichtendienstlich relevante Informationen aus der riesigen Datenmenge im öffentlichen Bereich des Internets auf eine zweckmässige und wirksame Art generieren zu können, kommen sogenannte OSINT-Tools zum Einsatz. Der NDB setzt sowohl kommerzielle Standardprodukte als auch Eigenentwicklungen ein. Mit diesen Tools führt der NDB u.a. mit dem Einsatz von virtuellen Tarnidentitäten (VTI) sowohl ein permanentes Monitoring als auch gezielte Abfragen durch. Diese VTI weisen durch ihren nachrichtendienstlichen Einsatz Auffälligkeiten auf und könnten deshalb durch andere Stellen als potentielle Ziele eingestuft und in den Fokus von bspw. ausländischen Partnerdiensten geraten. Um diesem Risiko entgegenzuwirken regte die AB-ND an sicherzustellen, dass der NDB und mindestens die kantonalen Nachrichtendienste (KND) gegenseitig über ihre eingesetzten VTI informiert sind.

Für die anonymisierte OSINT-Informationsbeschaffung setzt der NDB eine spezielle IT-Infrastruktur ein. Diese Infrastruktur weist Sicherheitsmängel auf und müsste zeitnah ersetzt oder abgelöst werden. Die AB-ND formulierte eine entsprechende Empfehlung.

Die Verifizierung von Erkenntnissen aus OSINT-Recherchen ist nicht immer einfach, insbesondere bei Informationen, die aus dem Darknet generiert werden. Es gehört gemäss NDB zum nachrichtendienstlichen Geschäft, den Informationen mit einem gesunden Misstrauen zu begegnen. Kann eine Information nicht verifiziert und deren Wahrheitsgehalt beziffert werden, wird dies in den OSINT-Berichten ausgewiesen. Die Problematik der Quellenverifizierung, die beispielsweise eine wichtige Rolle für die Erkennung und Offenlegung von Fake News spielt, ist insbesondere beim Einsatz von komplexen kommerziellen OSINT-Tools bekannt und wird auch innerhalb der Nachrichtendienst-Gemeinschaft immer wieder thematisiert.

Neben dem NDB führen auch KND OSINT-Abklärungen durch. Die AB-ND prüfte mögliche Doppelspurigkeiten und Ineffizienzen. Sie kam zum Schluss, dass die beiden Stellen über die Risiken sensibilisiert sind und bspw. in einem neu geschaffenen Gefäss einen regelmässigen Austausch zur Thematik von OSINT sicherstellen.

Der Inhalt des Informationssystems OSINT-Portal (Rechercheergebnisse sowie Rohmaterial aus offenen Quellen) richtet sich nach Art. 54 Abs. 2 NDG sowie Art. 46 ff. der Verordnung über die Informations- und Speichersysteme des Nachrichtendienstes des Bundes (VIS-NDB). Das Informationssystem dient dem NDB zur internen Bereitstellung von Daten aus öffentlich zugänglichen Quellen. Aus den Prüfhandlungen und insbesondere den Stichprobe-prüfungen ergaben sich für die AB-ND keine Hinweise auf eine Verletzung der Zweckmässigkeit oder Wirksamkeit der Datenhaltung im OSINT-Portal. Das Risiko einer unrechtmässigen Verlängerung der Aufbewahrungsfrist durch fälschlicherweise als OSINT markierte Daten, die über andere Sensoren generiert wurden, ist nicht gegeben, da die OSINT-Daten eine kürzere Aufbewahrungsfrist aufweisen.

[22-17] Follow-up 20-19: Die Archive des NDB

Die Prüfung 22-17 ist die Folgeprüfung der Prüfung «20-19 NDB-Archive mit Fokus auf Geheimarchive». Diese war organisiert worden, nachdem Medien im Zusammenhang mit dem Fall Crypto AG berichtet hatten, dass der NDB über «Geheimarchive» verfüge. Die AB-ND hatte in der Prüfung 20-19 unter anderem festgestellt, dass analoge, als GEHEIM klassifizierte Dokumente, an einem ebenfalls als GEHEIM klassifizierten Ort aufbewahrt wurden. Zu diesem Zeitpunkt befanden sich der NDB und das Schweizerische Bundesarchiv (BAR) in Gesprächen über die Übergabe von Dokumenten zu Archivierungszwecken, von denen einige auch in den Medien erwähnt worden waren. Diese Unterlagen betrafen vor allem Dokumente der Vorgängerorganisationen des NDB aus der Zeit vor 2010. Die AB-ND verzichtete entsprechend auf Empfehlungen und kündigte eine Folgeprüfung an.

Neben Reputationsrisiken untersuchte die AB-ND in der Prüfung 22-17 auch Risiken in Bezug auf die Rechtmässigkeit, Zweckmässigkeit und Wirksamkeit der Archivierung und Aufbewahrung von Dokumenten. Bei der Archivierung ging es darum zu klären, ob die Unterlagen gesetzes- und vertragskonform dem BAR angeboten und abgeliefert wurden, ob Unterlagen entzogen oder vernichtet worden waren, bevor oder nachdem sie dem BAR angeboten worden waren bzw. nachdem ihnen vom BAR die Archivwürdigkeit zuerkannt worden war. In Bezug auf die Aufbewahrung von Unterlagen sollte mit der Prüfung untersucht werden, ob aufbewahrte Unterlagen hätten archiviert werden müssen und ob die Aufbewahrungsstandards eingehalten werden.

Während der Prüfung 22-17 besichtigte die AB-ND die lokalen Aufbewahrungsorte der Dokumente und führte Stichproben durch. Dabei konnte sie feststellen, dass die Archivierungsarbeiten der analogen Dokumente (hauptsächlich Papierdokumente und Mikrofiches) an den verschiedenen Standorten, an denen der NDB seine Dokumente aufbewahrt, deutlich fortgeschritten sind. Insgesamt stellt die AB-ND fest, dass sich die Situation konkretisiert und positiv entwickelt hat, und dass die anlässlich der Prüfung 20-19 eingegangenen Verpflichtungen (hauptsächlich betreffend die Umsetzung der Vereinbarung mit dem BAR), eingehalten wurden. Diese durchgeführten Arbeiten entsprechen der Vereinbarung zwischen dem NDB und dem BAR. Ablieferungstermine konnten aus nachvollziehbaren, plausiblen und nur teilweise dem NDB zuzuschreibenden Gründen nicht eingehalten werden. Mehrere tausend Dokumente (fast 200 Laufmeter) und Millionen von Mikrofiches, die hauptsächlich die Vorgängerorganisationen des NDB betrafen, wurden inventarisiert und an das BAR abgeliefert. Die gelieferten Unterlagen decken den Zeitraum von 1938 bis 2021 ab.

«Da die Dokumente der Vorgängerorganisationen nicht inventarisiert waren, war es der AB-ND nicht möglich, die identifizierten Risiken zu untersuchen»

Da die Dokumente der Vorgängerorganisationen nicht inventarisiert waren, war es der AB-ND nicht möglich, die identifizierten Risiken zu untersuchen, insbesondere ob alle Dokumente tatsächlich dem BAR angeboten und an dieses geliefert wurden oder ob Dokumente – versehentlich oder absichtlich – vernichtet worden sind. Die AB-ND fand keine Hinweise auf die Verwirklichung dieser Risiken.

Die Arbeiten zur Sichtung und Archivierung der Unterlagen sind noch nicht abgeschlossen. In dieser Hinsicht ist die Vereinbarung noch nicht vollständig umgesetzt worden. Der NDB wurde aufgefordert, dies zu ändern. Die AB-ND stellte fest, dass die aufbewahrten Dokumente nicht inventarisiert sind, und gab deshalb eine Empfehlung ab, wonach der NDB ein Inventar der Dokumente erstellen soll, die nicht an das BAR geliefert, sondern vom NDB aufbewahrt werden.

[22-18] Datenbeschaffung durch CYBER NDB

Die in verschiedenen Medien thematisierte unrechtmässige Informationsbeschaffung durch das Ressort CYBER im NDB wurde sowohl durch eine interne Untersuchung durch den NDB selbst, als auch in einer extern geleiteten Administrativuntersuchung aufgearbeitet. Aus beiden Berichten ergaben sich aus Sicht der AB-ND weiterhin offene Fragen, weshalb die AB-ND eine eigene Prüfung dieser noch nicht vollständig geklärten Sachverhalte initiierte. Die Analyse der umfangreichen Datenbestände, die weder vom NDB selbst noch in der Administrativuntersuchung bislang gesichtet und ausgewertet wurden, erwies sich als anspruchsvoll und zeitintensiv, weshalb die Prüfung bis zum Redaktionsschluss dieses Tätigkeitsberichtes noch nicht abgeschlossen werden konnte. Deshalb kann an dieser Stelle noch keine Aussage über die Prüfungsergebnisse vorgenommen werden. Die AB-ND plant, die Zusammenfassung über die Prüfung im 2024 auf ihrer Website zu veröffentlichen.

[23-16] Informationssysteme, Speichersysteme und Datenablagen ausserhalb Artikel 47 des NDG

Das NDG umfasst Regeln zur Datenbearbeitung, wobei in Art. 47 NDG Informationssysteme aufgelistet sind, die der NDB betreibt. Ob diese Aufzählung abschliessend sei wurde bereits bei der Schaffung des neuen Nachrichtendienstgesetzes diskutiert. Die AB-ND wollte diese Rechtsfrage klären und evaluieren, welche anderen Systeme für welche Zwecke verwendet werden. Die dazugehörigen Rechtsgrundlagen wurden ebenfalls analysiert.

Diese Prüfung wurde im August 2023 gestartet und ist zum Redaktionsschluss dieses Tätigkeitsberichts noch nicht abgeschlossen. Deshalb können an dieser Stelle noch keine weiteren Aussagen über die Prüfungsergebnisse vorgenommen werden. Die AB-ND plant, die Zusammenfassung über die Prüfung 2024 auf ihrer Website zu veröffentlichen.

Abklärung Cyberangriff auf die Firma Xplain AG

Die AB-ND führte aufgrund des Cyberangriffs auf die Firma Xplain AG ausserhalb ihrer üblichen jährlichen Prüfplanung eine Abklärung durch. Im Fokus standen die Fragen, ob und inwiefern der Angriff auch Daten des NDB betraf und wie der NDB den Cybervorfall im Rahmen seines Grundauftrags bearbeitete. Die Erkenntnisse aus der Abklärung flossen teilweise in die Prüfung «23-10 Zusammenarbeit mit Privaten» ein.