Innensicht

Die AB-ND wies im Jahr 2023 einen Sollbestand von zehn Mitarbeitenden aus. 2023 verliessen zwei Mitarbeitende die AB-ND und zwei neue Mitarbeitende konnten begrüsst werden.

Weiterbildung «Data-Science» bei armasuisse

Auch in diesem Jahr nutzte die AB-ND die Möglichkeit der armasuisse, sich über den Stand der aktuellen Forschungsprojekte zu informieren. Hierbei stand für die AB-ND wie schon im vergangenen Jahr das Forschungsprogramm Data-Science im Mittelpunkt des Interesses. Während die Vortragenden im vergangenen Jahr einen Schwerpunkt bei der Frage setzten, wie es gelingt, die Authentizität von Bild- und Medieninhalten festzustellen, beschäftigte sich das diesjährige Symposium mit dem Einsatz von künstlicher Intelligenz (KI) in der Datenanalyse, genauer mit KI-gestützten Werkzeugen, weil die Evolution der KI rasante Fortschritte macht. Stand heute ist KI in der Lage, aus Daten Informationen zu gewinnen, aus denen wiederum Wissen generiert werden kann. So werden heutige KI-Werkzeuge eingesetzt, um in Datensätzen Muster und Wiederholungen zu erkennen. Ziel der Forschung ist es derzeit, die KI so weit zu entwickeln, dass sie aus diesem Wissen belastbare Aussagen über die Zukunft machen kann. Hierbei spielt das Verständnis für Korrelation und Scheinkorrelationen von Daten eine wichtige Rolle und für die Methoden mit denen man die Robustheit der Induktionen sicherstellen kann.

Weiterbildung «Audit durchführen»

Zwei Mitarbeitende der AB-ND besuchten eine vom Ausbildungszentrum der Bundesverwaltung angebotene Weiterbildung in der Durchführung von Audits. Die Wahl fiel auf diese Weiterbildung, da dort die Best Practices im Bereich Audit behandelt, bestimmte Kompetenzen aufgefrischt und die eigene Praxis mit derjenigen anderer Stellen der Bundesverwaltung, die Audits durchführen, verglichen werden kann.

Inhalt der Weiterbildung waren die verschiedenen Schritte eines Audits von der Vorbereitung bis hin zur Finalisierung. Zudem wurden die Rolle der Auditorinnen und Auditoren und die Auditgrundsätze thematisiert. Bei unterschiedlichen Gruppenarbeiten konnten die Erfahrungen der verschiedenen Kursteilnehmenden verglichen werden. Schliesslich wurde auch das Formulieren von Empfehlungen und Schlussfolgerungen bei einem Audit behandelt.

Letzteres war für die Mitarbeitenden der AB-ND von besonderem Mehrwert. Denn das Formulieren von Empfehlungen wird zurzeit auch intern thematisiert, mit dem Ziel, in diesem Bereich eine Verbesserung zu erzielen. Im Rahmen einer Transferarbeit konnten sich die Kursteilnehmenden der AB-ND detailliert mit dem Thema befassen. Das von ihnen verfasste Dokument dient künftig als Reflexionsgrundlage für die angestrebten Optimierungen innerhalb der AB-ND. Fazit der Transferarbeit ist, dass bei der Formulierung von Empfehlungen eine Abwägung getroffen werden muss zwischen einer vollständigen, detaillierten Formulierung der Empfehlung und der Beibehaltung eines Handlungsspielraums der geprüften Behörde. Ein solcher Handlungsspielraum ermöglicht es der geprüften Behörde, die Verantwortung für das Umsetzen der Empfehlung zu übernehmen. Eine «gute» Formulierung zeigt der geprüften Stelle auch das zu minimierende Risiko auf, was ein besseres Verständnis und eine idealere Umsetzung der Empfehlung zur Folge hat.

Certificate of Advanced Studies (CAS) «Digital Forensics and Cyber-Investigation-Fundamentals»

Ein Mitarbeiter der AB-ND absolvierte im Berichtsjahr ein CAS zur Thematik digitale Forensik und Cyberuntersuchung mit den vier Blockmodulen «Grundlagen der digitalen Forensik», «Grundlagen der Cyber Untersuchung», «Übersicht über Cyberkriminalität» und «Akquisition in der digitalen Forensik». Die Erkenntnisse aus der Weiterbildung flossen direkt in die Prüfung 22-18 und die damit einhergehende Datenanalyse ein. So wurde beispielsweise ein in der Cyberforensik bekanntes Verfahren für die Analyse eines umfangreichen Datensatzes angewendet.

CAS «Kommunikation»

Die AB-ND erstellt ihre Inhalte auf der Website selbständig – auch der Tätigkeitsbericht wird in Eigenregie jedes Jahr erarbeitet und veröffentlicht. Um das fachliche Know-how zur Kommunikation zu vertiefen, hat eine Mitarbeitende ein CAS «Kommunikation» aufgenommen, das sie 2024 abschliessen wird.

Information Systems Audit and Control Association (ISACA) Europa Konferenz: «Digital Trust World», 18.-19. Oktober 2023, Dublin

ISACA ist ein unabhängiger Berufsverband für Wirtschaftsprüfer, IT-Revisoren und in den Bereichen IT-Governance und Informationssicherheit tätige Fachleute. Ein Mitarbeiter der AB-ND, welcher über eine ISACA-Zertifizierung als IT-Revisor verfügt, nahm an der jährlichen zweitägigen Europa Konferenz teil.

In verschiedenen Fachreferaten zu aktuellen Themen rund um ein sicheres und vertrauenswürdiges digitales Ökosystem bot sich die Möglichkeit, das Fachwissen zu erweitern und Erkenntnisse, Trends und bewährte Vorgehensweisen auszutauschen und zu diskutieren. Im Fokus stand zudem die Frage, welchen Einfluss KI und maschinelles Lernen auf die Sicherheitslage, aber auch auf die Revisionstätigkeit im Cyberbereich haben könnte. Die Erkenntnisse flossen sowohl in das eigene Risikomanagement der AB-ND als auch in Prüfhandlungen ein.

Datenschutzveranstaltung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), 17. August 2023, Freiburg (CH)

Im Hinblick auf das Inkrafttreten des neuen DSG führte der EDÖB eine Informationsveranstaltung für Datenschutzbeauftragte der Bundesorgane durch. Zwei Mitarbeitende der AB-ND nahmen teil und trafen dort insbesondere auch Mitarbeitende der beaufsichtigten Stellen.

Die Themen rund um die Neuerungen des DSG wurden vom EDÖB und seinen Mitarbeitenden sowie Vertreterinnen und Vertretern des Nationalen Zentrums für Cybersicherheit und des Bundesamts für Polizei vorgestellt, darunter die Datenschutz-Folgenabschätzungen, die Verwendung des neuen Verzeichnisses der Bearbeitungstätigkeiten, die neue Untersuchungskompetenz des EDÖB bezüglich Verstösse gegen Datenschutzvorschriften, die Protokollierung und vieles mehr. Die Veranstaltung war ein voller Erfolg. Die Präsentationen waren sehr lehrreich und werden sowohl in der Verwaltungstätigkeit der AB-ND als auch im Rahmen der Aufsichtstätigkeiten nützlich sein.

Die EFK ist das oberste Finanzkontrollorgan des Bundes und ist im Rahmen der gesetzlichen Vorschriften selbstständig und unabhängig. Diese gesetzlich verankerte, institutionelle Unabhängigkeit ist auch bei der AB-ND zu finden.

Die EFK übt die Finanzaufsicht nach den Kriterien der Ordnungsmässigkeit, der Rechtmässigkeit und der Wirtschaftlichkeit aus. Sie überprüft unter anderem die internen Kontrollsysteme oder stichprobenartig die von den Verwaltungseinheiten ausgestellten Zahlungsanweisungen. Sie ist für die Revision der Verwaltungseinheiten einschliesslich der Buchhaltungen sowie der Bestände zuständig. Die AB-ND prüft nicht nach denselben Kriterien. Ihr gesetzlicher Auftrag unterscheidet sich eindeutig von demjenigen der EFK.

Im Jahresprogramm 2023 kündigte die EFK eine Prüfung bei der AB-ND an. Diese erfolgte vom 14. August bis 1. September 2023 und betraf die Aufsichtstätigkeit der AB-ND. Ziel der Prüfung war die Beurteilung der Wirksamkeit und Wirtschaftlichkeit der Aufsicht der AB-ND über die nachrichtendienstlichen Tätigkeiten. Am 12. Juni 2023 stellte die EFK der AB-ND die Prüffragen vor:

1. Entspricht die Aufsicht der AB-ND über die nachrichtendienstlichen Tätigkeiten den gesetzlichen Grundlagen?
2. Genügen die Ressourcen der AB-ND für eine adäquate Aufsicht über alle Akteure in nachrichtendienstlichen Tätigkeiten?
3. Erlaubt die IT-Infrastruktur als Arbeitsmittel eine effiziente Ausübung der Aufsicht?

Die AB-ND lieferte der EFK bereits im Frühjahr 2023 sechs vollständige Prüfdossiers aus den Jahren 2021 und 2022 als Stichprobe und weitere Dokumente wie beispielsweise Konzepte und Handbücher. Die EFK führte zahlreiche Interviews mit Mitarbeitenden der AB-ND, Mitarbeitenden der verschiedenen geprüften Stellen und dem Generalsekretariat des VBS.

Die Revisoren der EFK standen bei der Würdigung vor der Herausforderung, die beiden Behörden (EFK und AB-ND) nicht zu stark miteinander zu vergleichen. Aus Sicht der AB-ND war es wichtig, dass die EFK nachvollziehen konnte, dass die AB-ND eine andere Aufsichtstätigkeit wahrnimmt und damit anders funktioniert als die EFK. In der Schlussbesprechung wurden diese grundlegenden Unterschiede nochmals thematisiert um damit die verschiedenen Kompetenzen der beiden Behörden in Einklang zu bringen. Die EFK übt ihre Aufsicht gemäss ihren eigenen Kriterien weiter aus, die Schaffung der AB-ND hat für ihren Zuständigkeitsbereich nichts geändert.

Die AB-ND als Teil der dezentralen Bundesverwaltung arbeitet im Auftrag der Bürgerinnen und Bürger. Diese haben ein Recht, zu wissen, was die Behörden leisten und wie sie ihren Auftrag erfüllen. Daraus leitet sich einerseits das Recht der Bürgerinnen und Bürger auf Zugang zu Informationen ab und andererseits die Pflicht der Behörden, zu informieren.

Das Bundesgesetz über das Öffentlichkeitsprinzip der Verwaltung (BGÖ, SR 152.3) regelt Umfang und Grenzen der passiven Information. Jede Person kann Einsicht in amtliche Dokumente verlangen, ohne dabei ein besonderes Interesse geltend machen zu müssen. Bei der AB-ND ging im Berichtsjahr ein Gesuch um Zugang zu amtlichen Dokumenten ein.