5. Aufsichts­tätigkeiten

Im Bereich «Strategie und Planung» prüft die AB-ND Themen, welche die kurz-, mittel- oder langfristige strategische Planung der nachrichtendienstlichen Behörden der Schweiz sowie deren Zielsetzung betreffen. Für das Jahr 2022 war die folgende Prüfung geplant:

• 22-1 Antizipation und Früherkennung (NDB)

[22-1] Antizipation und Früherkennung (NDB)

Der Früherkennung und Antizipation relevanter Bedrohungen und strategischer Entwicklungen sowie deren Chancen kommt in der Sicherheitspolitik eine zentrale Bedeutung zu. Doch was sind Früherkennung und Antizipation genau? Die Früherkennung dient der Identifikation und dem Verstehen einer Bedrohung. Diese kann neu sein oder sich aus einer Lageveränderung ergeben. An die Früherkennung schliesst sich die Antizipation an: Sie soll die Entwicklung einer Situation durch konkretes Handeln beeinflussen. Dieses Handeln ist wesentlich: Es geht darum, ein Akteur des Wandels zu werden, indem heute Massnahmen geplant und getroffen werden, die es ermöglichen, sich morgen auf einen kommenden Wandel vorzubereiten.

Der NDB spielt in der Früherkennung und Antizipation relevanter Bedrohungen eine wichtige Rolle. Gemäss dem Vorwort der Chefin VBS im Lagebericht «Sicherheit Schweiz 2021» soll eine verbesserte Früherkennung die gezieltere Bekämpfung von Cyberbedrohungen, gegen die Schweiz gerichteten Desinformations- und Beeinflussungsaktivitäten und hybriden Bedrohungen erlauben. Letztere kommen in modernen Konfliktszenarien vor, indem sie klassische Militäreinsätze mit wirtschaftlichem Druck, Computerangriffen oder Propaganda in den Medien und sozialen Netzwerken kombinieren. Diese Phänomene sind sicherheitspolitisch von wachsender Bedeutung und erfordern verstärkte Beachtung.

Die Informationsbeschaffung und -bearbeitung dient der frühzeitigen Erkennung und Verhinderung von gegen die innere und äussere Sicherheit gerichteten Bedrohungen. Gesellschaftliche und technische Entwicklungen sowie heutige Bedrohungen mit immer globaleren Dimensionen machen es nötig, dass der NDB diese Bedrohungen besser und früher erkennt sowie rasch und wirksam darauf reagiert.

Die Menge an offenen Informationen, die über moderne Informationstechnologien praktisch in Echtzeit verfügbar sind, macht Nachrichtendienste nicht etwa überflüssig. Sie sind notwendig, um die zahllosen Meldungen zu sichten und zu bewerten sowie Informationen anhand nicht allgemein zugänglicher Daten zu ergänzen, zu verifizieren und zeitgerecht zu Lageanalysen zu verdichten. Nur so besteht Gewähr dafür, dass der Bundesrat eine tragfähige Voraussetzung für strategische Entscheide besitzt. Die AB-ND nahm diese Prüfung in ihren Prüfplan auf, um zu beleuchten, ob und wie der NDB dieser wichtigen Aufgabe nachkommt. Zum Zeitpunkt der Redaktion dieses Tätigkeitsberichts befand sich der entsprechende Prüfbericht kurz vor der Fertigstellung. Nach Abschluss und Versand des definitiven Berichts an das VBS wird die AB-ND die Prüfungszusammenfassung auf ihrer Website publizieren.

Im Bereich «Organisation» prüft die AB-ND die Eignung des Aufbaus und der Prozesse der Nachrichtendienste und hinterfragt, ob diese eine rechtmässige, zweckmässige und wirksame Erfüllung des gesetzlichen Auftrags dieser Behörden erlauben. Die AB-ND führte 2022 in diesem Bereich folgende Prüfung durch:

• 22-2 Business Continuity Management und Disaster Recovery im IT Betrieb (ZEO)

[22-2] Business Continuity Management und Disaster Recovery im IT Betrieb (ZEO)

Unvorhergesehene Ereignisse wie Beschädigungen von Kabeln durch Bauarbeiten oder Katastrophen wie Überschwemmungen, aber auch Bedrohungen, die direkt die Informatik (IT)-Infrastruktur angreifen, treffen nicht nur Privatpersonen, sondern auch Unternehmen und staatliche Organisationen. Das Business Continuity Management (BCM) beschäftigt sich mit der Analyse und dem Management der aus solchen Bedrohungen entstehenden Risiken in Bezug auf das ganze Unternehmen. Angesichts der grossen Abhängigkeit des Geschäftsbetriebs von der Informationstechnologie ist das Vorhandensein einer ausfallsicheren IT-Infrastruktur essenziell für das Überleben einer Organisation. In diesem Sinne ist IT-BCM die technische Unterstützung des Business Continuity Managements und stellt sicher, dass die IT-Infrastruktur und die darauf basierenden IT-Services auch einen Katastrophenfall überstehen bzw. innerhalb vertretbarer Zeiten und gemäss definierten Prioritäten wiederhergestellt werden können. Das BCM befasst sich also mit der Aufrechterhaltung einer minimalen Produktionskapazität in jeder Lage und der Feststellung der hierzu unter anderem notwendigen kritischen Geschäftsprozesse. Das IT-BCM hingegen sorgt dafür, dass die erforderliche IT-Infrastruktur sowie die notwendigen Daten und Anwendungen mit gewisser Redundanz vorhanden sind und nach einem Ausfall innerhalb nützlicher Frist wieder zur Verfügung gestellt werden können.

Vordringliche Aufgabe von Nachrichtendiensten ist die Beschaffung und Bearbeitung von Daten, um daraus Informationen zu sammeln, die für die Sicherheitsinteressen des Landes notwendig sind. Hierbei sind sie, wie alle anderen Organisationen, deren Geschäftsmodell auf der Bearbeitung von Informationen beruht, in einem besonders hohen Mass auf stets hochverfügbare IT-Systeme angewiesen. Daher treffen die oben genannten Katastrophen solche Organisationen auch direkt auf der Ebene ihrer Geschäftsprozesse. Denn der Verlust von Informationstechnologie führt unmittelbar zu einer Degradierung ihrer Fähigkeit zur Gewährleistung kritischer Geschäftsprozesse. BCM und IT-BCM stehen für diese Organisationen in einem besonders engen Zusammenhang. Dies veranlasste die AB-ND, das Business Continuity Management der Informatik sowie das Disaster Recovery-IT im ZEO zu prüfen.

Die AB-ND stellte bei ihrer Prüfung fest, dass sich das ZEO bei seinen Überlegungen vor allem auf das interne Risikomanagement stützt. Dabei nehmen Prävention und Reduktion der Risiken auf ein akzeptables Mass einen ebenso wichtigen Stellenwert ein wie die Sicherstellung der Wiederherstellung der IT-Infrastruktur nach Eintritt eines Katastrophenszenarios.

Darüber hinaus arbeitet das ZEO laufend an einer Optimierung seiner Fähigkeiten im BCM und des Disaster Recovery im IT-Betrieb. Hierzu gehören das Anlegen und Weiterentwickeln von Strategien und Plänen, aber auch laufende Investitionen in die IT-Infrastruktur, damit sich Back-up- und Disaster Recovery-Mechanismen auf dem aktuellen Stand der Technik bewegen.

Insgesamt kam die AB-ND zum Schluss, dass das ZEO im Bereich des BCM der IT und im Disaster Recovery-IT gut gerüstet ist.

«Neben einer Prüfung vor Ort, welche ein Fachgespräch mit den zuständigen KND-Mitarbeitenden und einen Rundgang in den Räumlichkeiten umfasst, führt die AB-ND Stichproben in den verschiedenen Informationssystemen durch.»

Im Bereich «Zusammenarbeit» prüft die AB-ND die Zusammenarbeit der Dienste mit nationalen und internationalen Behörden. Die AB-ND prüft dabei jährlich die Zusammenarbeit mit ausgewählten kantonalen Nachrichtendiensten (KND). Im Jahr 2022 waren es die folgenden:

• 22-3 Kantonaler Nachrichtendienst Wallis (KND / NDB)
• 22-4 Kantonaler Nachrichtendienst Glarus (KND / NDB)
• 22-5 Kantonaler Nachrichtendienst Thurgau (KND / NDB)
• 22-6 Kantonaler Nachrichtendienst Zug (KND / NDB)
• 22-7 Kantonaler Nachrichtendienst Schwyz (KND / NDB)

[22-3 bis 22-7] Prüfungen der kantonalen Nachrichtendienste Wallis, Glarus, Thurgau, Zug und Schwyz (KND / NDB)

Die AB-ND überprüfte im Jahr 2022 die nachrichtendienstlichen Tätigkeiten der KND in den Kantonen Wallis, Glarus, Thurgau, Zug und Schwyz. Damit prüfte die AB-ND seit Aufnahme ihrer Aufsichtstätigkeit insgesamt 22 KND. Die Überprüfung der verbleibenden vier KND³ ist für die Prüfperiode 2023 vorgesehen.

Um die Vergleichbarkeit zu gewährleisten, prüft die AB-ND alle KND nach derselben Vorgehensweise. Neben einer Prüfung vor Ort, welche ein Fachgespräch mit den zuständigen KND-Mitarbeitenden und einen Rundgang in den Räumlichkeiten umfasst, führt die AB-ND Stichproben in den verschiedenen Informationssystemen durch.

Aus allen KND-Prüfungen 2022 ergab sich, dass der NDB und die KND auf sämtlichen nachrichtendienstlichen Themengebieten grundsätzlich gut bis sehr gut zusammenarbeiten. Die KND verfügen über gute bis sehr gute nachrichtendienstliche Kenntnisse und sind motiviert ihre nachrichtendienstlichen Aufgaben zu erfüllen. Die AB-ND prüfte im Durchschnitt je fünf vom NDB dem jeweiligen KND erteilte Aufträge aus den Jahren 2020 bis 2022 bezüglich Beschaffungsziel, ausgeführter Handlungen, erzielter Ergebnisse und Einhaltung der vom NDB gesetzten Fristen. Die Ergebnisse dieser Stichproben sowie die Rückmeldung des NDB in Form eines Leistungsfeedbacks liessen die AB-ND zum Schluss kommen, dass die geprüften KND die ihnen vom NDB erteilten Aufträge rechtmässig, fristgerecht und in einer für den NDB zufriedenstellenden Qualität erfüllten.

Der KND Zug bewahrte aufgrund fehlender Ressourcen und technischer Möglichkeiten für die Datenbearbeitung unbearbeitete Audiodateien über längere Zeit hinweg auf einer externen Festplatte auf. Die AB-ND empfahl dem NDB, sicherzustellen, dass die geltenden Vorgaben bezüglich der Dauer der Aufbewahrungsfrist von Daten ausserhalb des Netzwerks des NDB von den KND eingehalten werden. Die Qualitätssicherungsstelle des NDB soll die Überprüfung von Daten auf zur Verfügung gestellten externen Datenträgern künftig in die periodischen Stichproben aufnehmen.

Die unterschiedliche Funktionsweise der einzelnen KND kommt insbesondere bei kleinen KND mit geringen Personalressourcen zum Ausdruck. In einem KND führte der Leiter keine nachrichtendienstlichen Tätigkeiten aus und verfügte über keinen Zugriff auf die Informationssysteme des NDB. In einem anderen KND deckte der stellvertretende Leiter ausschliesslich die Abwesenheiten des Leiters ab, ohne aber in das Tagesgeschäft einbezogen zu werden. In beiden Fällen hatten diese individuellen Organisationsformen aber keine erkennbaren negativen Auswirkungen auf die Erfüllung der Aufträge.

Die geplante Anpassung des bis Ende 2022 gültigen Verteilschlüssels für die Abgeltungen des NDB an die KND führte insbesondere bei kleineren, von einer möglichen Kürzung betroffenen KND zu Unmut. Der NDB und die Konferenz der Kantonalen Polizeikommandantinnen und -kommandanten der Schweiz (KKPKS) haben deshalb eine Arbeitsgruppe eingesetzt, die Anfang 2023 gemeinsam die einzuhaltenden Kriterien für den nächsten Verteilschlüssel festlegen soll. Die Geltungsdauer des aktuellen Verteilschlüssels wurde zu diesem Zweck bis Ende 2023 verlängert.

³ Luzern, Nidwalden, Obwalden, Uri

«Der NDB muss diejenige Informationsbeschaffungsmassnahme wählen, die am wenigsten in die Grundrechte der betroffenen Personen eingreift.»

Die Informationsbeschaffung ist eine Kernaufgabe der Nachrichtendienste. Diverse Mittel können hierzu von den Diensten eingesetzt werden. Denjenigen, die am tiefsten in die Privatsphäre der betroffenen Personen eingreifen, gilt die besondere Aufmerksamkeit der AB-ND.

Jedes Jahr findet insbesondere eine Prüfung im HUMINT-Bereich statt. Die im 2021 vorgesehene Prüfung «21-15 HUMINT» konnte im Jahr selber nicht vollständig durchgeführt werden und wurde erst 2022 abgeschlossen. Deshalb wurde die für 2022 vorgesehene Prüfung «22-9 Menschliche Quellen (HUMINT)» abgesagt. Der Bereich HUMINT wurde zudem 2022 zusätzlich durch eine andere Prüfung im Bereich Ressourcen «22-13 Legendierte Finanzflüsse» geprüft.⁴

Die AB-ND führte 2022 im Bereich «Beschaffung» folgende Prüfungen durch:

• 21-15 HUMINT
• 22-8 Operationen, operative Abklärungen und genehmigungspflichtige Beschaffungsmassnahmen (NDB)
• 22-10 Informationsbeschaffung mittels genehmigungsfreier Beschaffungsmassnahmen (NDB)
• 22-11 Beschaffungsmanagement (NDB)
• 22-12 Sensorsteuerung und -wahl im Militärischen Nachrichtendienst (MND)

[22-10] Informationsbeschaffung mittels genehmigungsfreier Beschaffungsmassnahmen (NDB)

Der NDB beschafft zur Erfüllung seiner Aufgaben Informationen aus öffentlich und nicht öffentlich zugänglichen Informationsquellen.⁵ Er sollte jeweils die Beschaffungsmassnahme wählen, welche am wenigsten in die Grundrechte der betroffenen Personen eingreift. Der NDB kann gewisse Massnahmen zur Informationsbeschaffung selbstständig und ohne besondere externe Genehmigung einsetzen, weil deren Eingriffsintensität in die Grundrechte relativ gering ist. Zu diesen Massnahmen zählen die Recherche in öffentlichen Informationsquellen, Beobachtungen an öffentlichen und allgemein zugänglichen Orten, der Einsatz von menschlichen Quellen sowie Personen- und Sachfahndungsausschreibungen. Die AB-ND hat sich hauptsächlich mit den Beobachtungen (beispielsweise durch Video- und Tonaufnahme) an öffentlichen und allgemein zugänglichen Orten (beispielsweise Flughäfen, Strassen oder Bahnhöfen) und der Nutzung des automatisierten Polizeifahndungssystems (RIPOL) inklusive des nationalen Teils des Schengener Informationssystems (N-SIS) beschäftigt.

Jede Durchführung von Beobachtungen an öffentlichen und allgemein zugänglichen Orten erfordert eine sehr sorgfältige Analyse der Gegebenheiten vor Ort, da die Frage, ob eine Genehmigung für die Informationsbeschaffung erforderlich ist oder nicht, beispielsweise vom Aufnahmewinkel einer Kamera abhängen kann. Auch die Aufzeichnung von Gesprächen kann sich als heikel erweisen, insbesondere weil die strafrechtliche Definition dessen, was eine Diskussion im privaten Bereich ist und was nicht, eine Umsetzung von Massnahmen im realen Leben erschwert. Die AB-ND untersuchte deshalb alle Prozesse zur Umsetzung dieser Massnahmen sowie die entsprechenden technischen Mittel, welche zur Beschaffung und Bearbeitung solcher Informationen verwendet werden.

RIPOL wird von den Polizeibehörden des Bundes und der Kantone verwendet, um Personen und Sachen zur Fahndung in der Schweiz auszuschreiben. Auch der NDB kann in RIPOL Personen und Fahrzeuge ausschreiben lassen, wenn begründete Anhaltspunkte dafür vorliegen, dass die betreffende Person eine konkrete Bedrohung für die innere und äussere Sicherheit der Schweiz darstellt, wenn ein Fahrzeug für eine solche Bedrohung benutzt wird oder wenn die Feststellung des Aufenthaltsorts einer Person oder eines Fahrzeugs notwendig ist, um wichtige Landesinteressen zu wahren. Das N-SIS dient zur Bearbeitung derselben Ausschreibungen, jedoch auf internationaler Ebene im Schengenraum. In Bezug auf die Nutzung von RIPOL und N-SIS untersuchte die AB-ND die Prozesse zur Vornahme von Ausschreibungen. Die Zugriffsberechtigungen sowie die Verwaltung und Kontrolle der Abfragen von Daten aus den beiden Systemen wurden ebenfalls analysiert. In diesem Zusammenhang führte die AB-ND Prüfungshandlungen beim NDB sowie Abklärungen beim Bundesamt für Polizei (fedpol) durch.

Der Prüfbericht war zum Zeitpunkt der Erstellung dieses Tätigkeitsberichtes noch nicht fertiggestellt, sodass eine Beurteilung noch nicht gemacht werden konnte.

⁴ Siehe Ziffer 5.2.5 unten.
⁵ Art. 5 des Bundesgesetzes vom 25. September 2015 über den Nachrichtendienst (Nachrichtendienstgesetz, NDG; SR 121).

[22-11] Beschaffungsmanagement (NDB)

Das Ressort Beschaffungsmanagement (BM) ist im Direktionsbereich Beschaffung des NDB angesiedelt. Es übernimmt eine der Kernaufgaben der Informationsbeschaffung, indem es die nachrichtendienstlichen Beschaffungsaufträge koordiniert. Daneben erstellt es laufend eine Gesamtübersicht über die Beschaffungsaktivitäten im NDB. Grundsätzlich stellt das Beschaffungsmanagement den Dreh- und Angelpunkt der Kernkompetenz Informationsbeschaffung des NDB dar.

Die AB-ND hatte in ihren bisherigen Prüfungen immer wieder Berührungspunkte mit dem Beschaffungsmanagement, überprüfte dessen Tätigkeiten allerdings noch nie detailliert. Deshalb prüfte die AB-ND im Rahmen dieser Prüfung insbesondere,

• ob die Aufgaben, Kompetenzen und Verantwortlichkeiten im BM zur Erfüllung der Aufgaben des NDB gemäss Art. 6 NDG zweckmässig und wirksam sind;
• ob das Ressort BM zweckmässig in die Struktur des NDB eingegliedert ist;
• ob die Zusammenarbeit mit anderen Stellen im NDB und Dritten zweckmässig und wirksam verläuft.

Die AB-ND überprüfte in dieser Prüfung das gesamte Ressort BM. Dieses besteht aus dem eigentlichen Beschaffungsmanagement – das auch Collection-Management genannt wird – sowie zwei weiteren Bereichen.

Die AB-ND sichtete für diese Prüfung die umfangreiche Dokumentation, welche die Aufgaben, Kompetenzen und Verantwortlichkeiten des Beschaffungsmanagements und der darin enthaltenen Bereiche beschreiben, darunter u. a. Handbücher, Prozesse, Aktennotizen und Geschäftsverwaltungsprozesse.

Anschliessend verglich die AB-ND die in der Dokumentation beschriebenen Vorgehensweisen mit deren tatsächlicher Umsetzung. Die Informationen dazu gewann die AB-ND aus Interviews mit den Mitarbeitenden des BM sowie aus der stichprobenmässigen Durchsicht der bearbeiteten Fälle im Geschäftsverwaltungssystem dieser Mitarbeitenden.

Um die Zusammenarbeit mit anderen Stellen im NDB und mit Dritten zu prüfen, führte die AB-ND Gespräche mit weiteren Mitarbeitenden des NDB, beispielsweise des Bereichs Auswertung, deren Arbeitsalltag von den Aufgaben des Beschaffungsmanagements direkt betroffen ist. Analysten und Analystinnen erstellen Beschaffungsaufträge, welche dann vom Beschaffungsmanagement überprüft und allenfalls zur Ergänzung oder Korrektur zurückgewiesen werden. An externe Stellen wurden zudem schriftliche Fragen betreffend die tägliche Zusammenarbeit mit dem BM gestellt. Zu diesen Stellen zählten insbesondere der unabhängige Dienst für die Überwachung des Post- und Fernmeldeverkehrs sowie das ZEO.

Es kann festgehalten werden, dass die Verantwortlichkeiten bezüglich der Beschaffungsaufträge nicht ganz klar verortet werden können. Die AB-ND empfahl die Optimierung von gewissen Prozessen. Das VBS hat die zwei formulierten Empfehlungen zur Umsetzung an den NDB weitergeleitet.

[22-12] Sensorsteuerung und -wahl im Militärischen Nachrichtendienst (MND)

In dieser Prüfung ging es hauptsächlich um die Frage, ob die Sensorsteuerung und -wahl im MND bei Einsätzen der Armee rechtmässig, zweckmässig und wirksam erfolgen. Mit Schreiben vom 26. November 2021 zum Entwurf des Prüfplans 2022 teilte die Geschäftsprüfungsdelegation (GPDel) der AB-ND mit, dass beispielsweise die Auftragserteilung an die Funkaufklärung und die Planung von Partnerdienstkontakten des MND auf längere Frist angelegt seien und nicht kurzfristig auf neue Beschaffungsziele ausgerichtet werden könnten. Es erscheine deshalb wenig zweckmässig, die Sensorsteuerung ausgehend von den administrativen Prozessen des MND zu analysieren. Sinnvoller sei es, die Sensorsteuerung des MND bei konkreten Einsätzen der Armee zu untersuchen. Die AB-ND berücksichtigte diesen Hinweis bei der Prüfungsgestaltung und fokussierte die Prüfungshandlungen auf ausgewählte konkrete Einsätze der Armee im In- und Ausland.

«Die AB-ND stellte fest, dass die Sensorsteuerung im Inland rechtmässig, zweckmässig und wirksam erfolgte.»

Dabei stellte die AB-ND fest, dass die Sensorsteuerung und -wahl im MND hinsichtlich der Assistenzdiensteinsätze im Inland (konkret anlässlich des World Economic Forums 2022 und der Ukraine Recovery Conference 2022) rechtmässig, zweckmässig und wirksam erfolgten . Indikatoren für diesen Befund waren neben den üblichen Prüfungshandlungen wie Einsichtnahme in Unterlagen auch ein durchgeführter Augenschein im operativen Einsatzraum des MND und Befragungen innerhalb der beaufsichtigten Stelle. Die positive Bilanz zum Einsatz des MND, die von allen Beteiligten an obenerwähnten Konferenzen gezogen wurde, wurde ebenfalls durch die AB-ND bei ihrer Würdigung berücksichtigt.

Die von der AB-ND durchgeführten Prüfungshandlungen ergaben zudem, dass der MND für die Armee bedeutsame Informationen über das Ausland beschafft und auswertet; in diesem Fall erfolgte die Sensorsteuerung und -wahl rechtmässig, zweckmässig und wirksam. Hingegen ist der MND nicht direkt an Friedensförderungsmissionen oder Assistenzdiensteinsätzen im Ausland beteiligt; somit konnte die AB-ND die Sensorsteuerung und -wahl im MND in diesen Fällen auf Grund eines fehlenden Prüfobjektes nicht prüfen.

Im Bereich «Ressourcen» prüft die AB-ND, ob ein zweckmässiger Umgang mit den Ressourcen durch die Dienste gegeben und eine wirksame nachrichtendienstliche Tätigkeit gewährleistet ist.

Die AB-ND führte 2022 im Bereich «Ressourcen» die folgenden Prüfungen durch:

• 22-13 Legendierte Finanzflüsse (NDB)
• 22-14 Rekrutierungs-, Betreuungs- und Austrittsprozess (NDB)

[22-13] Legendierte Finanzflüsse (NDB)

Der NDB führt seine Beschaffungsaktivitäten grösstenteils verdeckt durch. Dies ist notwendig, da ansonsten die Informationsbeschaffung durch betroffene Staaten und andere Akteure verhindert werden könnte. Zudem werden dadurch sowohl Mitarbeitende und Einrichtungen als auch Informationsquellen des NDB geschützt. Mögliche Informationsquellen sind menschliche Quellen. Dabei handelt es sich um Personen, die exklusiven Zugang zu Informationen haben und bereit sind, dem NDB diese Informationen zu geben. Menschliche Quellen verlangen vielfach Geld für ihre Informationen. Der NDB darf menschliche Quellen für ihre Tätigkeit angemessen entschädigen. Die Bezahlung von Quellen durch den NDB – und somit der Beweis für deren Arbeitstätigkeit für den NDB – kann, wenn sie offenkundig wird, sowohl im Herkunftsland der Quelle als auch in deren persönlichem Umfeld ein grosses Risiko darstellen. Ein Verdacht auf Einkünfte aufgrund nachrichtendienstlicher Verbindungen und Tätigkeiten kann eine Quelle beruflich schädigen, ihren Ruf zerstören und sie je nach Land und Umfeld an Leib und Leben gefährden. Deshalb muss der NDB aus Gründen des Eigen- und Quellenschutzes über Geldtransfermöglichkeiten verfügen, die ihn nicht als ursprünglichen Absender erkennen lassen.

«Unsorgfältig durchgeführte Zahlungen können Dritten unerwünschte Rückschlüsse auf Mitarbeitende und Einrichtungen des NDB sowie auf die Quellen ermöglichen und diese dadurch gefährden.»

Die AB-ND führt seit 2018 jährlich eine Prüfung des Ressorts HUMINT durch. Dabei wird mittels Stichproben die eigentliche Quellenführung auf deren Rechtmässigkeit, Zweckmässigkeit und Wirksamkeit überprüft. Zudem wird untersucht, ob der an die Quellen ausbezahlte Betrag deren Leistungen entspricht. Die vorliegende Prüfung hingegen beschäftigte sich ausschliesslich mit dem Weg des Geldes und untersuchte legendierte Geldflüsse im ganzen NDB.

Unsorgfältig durchgeführte Zahlungen können Dritten unerwünschte Rückschlüsse auf Mitarbeitende und Einrichtungen des NDB sowie auf die Quellen ermöglichen und diese dadurch gefährden. Das Eintreten dieser Risiken hätte neben operativen Auswirkungen – beispielsweise der Behinderung oder gar Verunmöglichung der Informationsbeschaffung – unweigerlich auch Folgen für die Reputation und die Glaubwürdigkeit des NDB.

Zur Beurteilung der Rechtmässigkeit, Zweckmässigkeit und Wirksamkeit der vom NDB angewendeten Methoden zur Abwicklung legendierter Geldflüsse überprüfte die AB-ND die Finanzierung von zwei Einrichtungen, sechs Finanzinfrastrukturen zur Bezahlung von Quellenentschädigungen sowie je eine gemeinsame Quellenführung und eine gemeinsame Operation des NDB mit ausländischen Partnerdiensten.

Die Prüfungshandlungen wurden bis Ende 2022 abgeschlossen und der Prüfbericht wird gerade im Zeitpunkt des Redaktionsschlusses dieses Tätigkeitsberichts finalisiert. Ohne die Resultate des definitiven Prüfberichts vorwegzunehmen, kann festgehalten werden, dass der NDB über rechtmässige, zweckmässige und wirksame Methoden verfügt, einem Empfänger legendiert Gelder zukommen zu lassen. Trotzdem hat die AB-ND vor, eine Empfehlung betreffend die Vollständigkeit der Berichterstattung an das VBS auszusprechen.

⁶ Art. 15 Abs. 2 NDG
⁷ Gemäss Art. 19 NDV

[22-14] Rekrutierungs-, Betreuungs- und Austrittsprozess (NDB)

Von eigenen Mitarbeitenden können für die Nachrichtendienste erhebliche Sicherheitsrisiken wie Verrat, Datendiebstahl oder Spionage ausgehen. Deshalb führte die AB-ND 2019 sowohl beim MND als auch beim ZEO eine Prüfung mit denselben Prüffragen wie für die Prüfung 22-14 beim NDB durch.⁸

2019 stellte die AB-ND fest, dass für die drei Dienste NDB, MND und ZEO verschiedene Einstufungspraxen hinsichtlich der Personensicherheitsprüfung (PSP) festgelegt worden waren. Gemäss den geltenden Rechtsvorschriften gibt es drei unterschiedliche Stufen der PSP: eine Grundsicherheitsprüfung, die erforderlich ist, wenn Mitarbeitende Zugang zu als vertraulich klassifizierten Informationen haben; eine erweiterte Personensicherheitsprüfung, wenn die betreffende Person Zugang zu als geheim klassifizierten Informationen hat; und eine erweiterte PSP mit Befragung für Personen, die regelmässig Zugang zu geheimen Informationen der inneren und äusseren Sicherheit haben.⁹

Alle Mitarbeitenden der drei Dienste müssen bei Aufnahme der Tätigkeit in den Diensten eine solche Prüfung durchlaufen. Sie wird in regelmässigen Abständen wiederholt. Die verschiedenen Einstufungsvorschriften waren für die AB-ND sachlich und logisch nicht nachvollziehbar. Sie empfahl deshalb der Chefin des VBS, die Einstufungspraxis für die drei Dienste zu überprüfen und möglichst zu vereinheitlichen. Das neue Informationssicherheitsgesetz und dessen Ausführungsvorschriften sehen nur noch zwei anstatt wie bisher drei verschiedene Stufen der Personensicherheitsprüfung vor. Inwieweit die Einstufungspraxis nach Inkrafttreten der Vorlagen vereinheitlicht wird, kann zum heutigen Zeitpunkt noch nicht beurteilt werden.

Für die Prüfung 22-14 verschob die AB-ND den Fokus im Vergleich zu den beiden erwähnten Prüfungen. Sie legte den Schwerpunkt dieser Prüfung stärker auf die Rekrutierung und Betreuung der Mitarbeitenden des NDB . Die schlechten Resultate der letzten Personalbefragung in der Bundesverwaltung und die hohe Fluktuation, verbunden mit häufigen Wechseln an der obersten Spitze des Dienstes, rechtfertigten dieses Vorgehen. Den Prüffragen zur Deaktivierung von Zutritten zu Gebäuden und Zugriffen zu Informationssystemen nach Austritt der Mitarbeitenden sowie zum Prozess der Wiedereinleitung der periodischen PSP wurde weniger Beachtung geschenkt, da die AB-ND die Zugriffsprozesse schon in ihren regelmässig durchgeführten Prüfungen der Informationssysteme überprüft. Zudem verfolgt der NDB die strengste PSP-Einstufungspraxis aller drei Dienste und hat dafür dokumentierte Prozesse festgelegt.

Die AB-ND hatte das Anliegen, eine repräsentative Stichprobe in Form von Mitarbeitendeninterviews vorzunehmen. Dazu führte sie eine logistisch herausfordernde Leistung in Form der Durchführung von über dreissig Gesprächen durch. Hierbei wurden Geschlecht, Alter, Sprachenzugehörigkeit, Vertretung der vom NDB gebildeten Arbeitsgruppen und Hierarchiestufen der befragten Mitarbeitenden angemessen berücksichtigt. Mehrere Mitarbeitende des NDB stellten sich spontan für ein Interview zur Verfügung, andere baten darum, im Zusammenhang mit bereits geführten Gesprächen zusätzliche Aussagen machen zu können. Die AB-ND legte gegenüber der Leitung des NDB nicht alle Namen der befragten Mitarbeitenden offen. So war sichergestellt, dass diese unbefangen antworten konnten. Im Laufe der Prüfung analysierte die AB-ND über 350 Seiten der von ihr geführten Interviews und führte Stichproben in 38 Personaldossiers durch.

Eine weitere Herausforderung bot das vom Direktor NDB initiierte Transformationsprojekt, der eine Umgestaltung des Dienstes beabsichtigt. Die AB-ND wird in ihrer Beurteilung diesen Umstand besonders berücksichtigen. Über die Ergebnisse der Prüfung kann in diesem Tätigkeitsbericht noch nicht abschliessend berichtet werden. Die AB-ND plant, die Prüfung Anfangs des zweiten Quartals 2023 mit definitivem Bericht zu beenden.

⁸ Siehe Tätigkeitsbericht der AB-ND 2019, Seite 22 ff.
⁹ Art. 10 bis 12 der Verordnung über die Personensicherheitsprüfungen vom 4. März 2011 (PSPV; SR 120.4)

Die AB-ND prüft im Bereich «Datenbearbeitung / Archivierung» insbesondere die Rechtmässigkeit der Informationsbearbeitung, da die Sensibilität der von den Diensten bearbeiteten Informationen hoch ist und die rechtlichen Vorgaben ebenso umfassend wie komplex sind.

Die AB-ND führte 2022 folgende Prüfungen in diesem Bereich durch:

• 21-16 Telekomdienstleistungen (NDB)
• 22-15 Open Source Intelligence (OSINT) (NDB)
• 22-16 Verbindungen des NDB und des ZEO zu Schweizer Telekommunikationsdienstleistern (NDB)
• 22-17 Follow-up 20-19: Die Archive des NDB (NDB)
• 22-18 Datenbeschaffung durch Cyber NDB (NDB)

Die Prüfungshandlungen für die Prüfung «22-15 Open Source Intelligence (OSINT)» wurden erst im vierten Quartal 2022 aufgenommen. Die Handlungen für die Prüfung «21-16 Telekomdienstleistungen» hingegen wurden 2022 abgeschlossen, obwohl der Bericht zum Zeitpunkt des Redaktionsschlusses für den Tätigkeitsbericht 2022 noch nicht vorlag. Mit der Prüfung «22-17 Follow-up 20-19: Die Archive des NDB» wird die AB-ND die geplanten Massnahmen des NDB im Anschluss an die Prüfung «20-19 Archiv» überprüfen. Erste Prüfungshandlungen haben bereits stattgefunden.

[21-16] Telekomdienstleistungen (NDB)

«Eine Prüffrage lautete: Wird beim Einbezug von Telekomdienst-leistenden sichergestellt, dass keine genehmigungspflichtigen Informationen beschafft werden?»

Immer mehr Menschen nutzen Kommunikationsdienste wie WhatsApp oder Telegram um sich mit Freunden und Bekannten auszutauschen. Der Kommunikationsinhalt wird durch die Anbietenden mit einer Ende-zu-Ende-Verschlüsselung gesichert. Der NDB bearbeitet Anfragen für den Zugang zu Informationen zu solchen Ende-zu-Ende-Verschlüsselungsapplikationen, die von Schweizer Telekomanbietenden betrieben werden. Im Fokus dieser Anfragen stehen aber nicht die Kommunikationsinhalte, sondern lediglich die Randdaten , die zu einer Identifikation der Gesprächspartner/innen führen können.

Der NDB stellte in der Vergangenheit eine Erhöhung solcher Anfragen fest. Aus diesem Grund zentralisierte er die Bearbeitung der Anfragen innerhalb des NDB. Die Prüfung sollte aufzeigen, ob sich der Bearbeitungsprozess durch die Zentralisierung verbessert hatte.

Die AB-ND prüfte folgende Fragen:

• Bestehen für den direkten Einbezug von Telekomdienstleistenden durch den NDB und die Verwendung der daraus gewonnenen Informationen gültige Rechtsgrundlagen?
• Wird beim Einbezug von Telekomdienstleistenden sichergestellt, dass keine genehmigungspflichtigen Informationen beschafft werden?
• Ist sichergestellt, dass der NDB lediglich aufgabenbezogene Informationen erhält und bearbeitet?
• Ist der Prozess für die Bearbeitung solcher Abklärungen zweckmässig?

Nebst Befragungen fokussierten sich die Prüfungshandlungen auf eine aussagekräftige Anzahl Stichproben von im Zeitraum von 2020 bis 2022 bearbeiteten Abklärungen. Die Prüfungshandlungen waren zum Zeitpunkt der Redaktion des vorliegenden Tätigkeitsberichts abgeschlossen. Über die Ergebnisse der Prüfung kann in diesem Tätigkeitsbericht noch nicht abschliessend berichtet werden. Die AB-ND plant, die Prüfung Anfang des zweiten Quartals 2023 mit definitivem Bericht abzuschliessen. Somit werden Antworten auf die gestellten Fragen wie üblich im Internet in Form einer Zusammenfassung publiziert.

[22-18] Datenbeschaffung durch Cyber NDB

Von 2015 bis 2020 beschaffte der NDB bei der Bearbeitung möglicher Cyberangriffe auch Informationen, welche dem Fernmeldegeheimnis unterstehen. Diese Beschaffungsmassnahmen sind gemäss NDG bewilligungspflichtig und nur mit Genehmigung des Bundesverwaltungsgerichts erlaubt. Der NDB hatte diese Bewilligungen nicht eingeholt. Zudem zeichnete er, ebenfalls ohne gerichtliche Genehmigung, den Netzwerkverkehr von Servern, die von Cyberangreifern benutzt wurden, auf.

Die AB-ND wurde im Mai 2021 vom damaligen Direktor NDB über mögliche Unrechtmässigkeiten und den Start einer internen Untersuchung der Abläufe im Ressort Cyber NDB informiert. Neben der internen Abklärung gab der NDB zusätzlich eine externe Beurteilung in Form eines Rechtsgutachtens in Auftrag. In zwei anonymen Schreiben erhielt die AB-ND weitere Hintergrundinformationen zum Sachverhalt.

Die AB-ND begleitete die interne Untersuchung des NDB eng. Bei Nichteinhaltung der mit dem NDB vereinbarten Fristen bestand die AB-ND darauf, dass Berichte und Dokumente geliefert wurden. Während dieser Phase gab es keine Hinweise darauf, dass die fraglichen Datenbeschaffungen im Ressort Cyber NDB während der Untersuchung und ungeachtet des vom stellvertretenden Direktor des NDB angeordneten Beschaffungsstopps weitergeführt wurden. Der NDB-interne Untersuchungsauftrag enthielt die richtigen Fragestellungen. Der Schlussbericht wurde durchaus kritisch verfasst und beschrieb Empfehlungen, wie zum Beispiel die Schulung der Mitarbeitenden des Ressorts Cyber hinsichtlich rechtlicher Grundlagen der Aufgabenerfüllung oder die Überprüfung der organisatorischen Ansiedlung des Ressorts Cyber. Letztere hatte zur Folge, dass das Ressort Cyber mittlerweile dem Bereich Auswertung zugeordnet wurde. Im selben Zusammenhang eröffnete das VBS im Januar 2022 eine Administrativuntersuchung, welche die offenen Fragen aus der internen Untersuchung hätte klären sollen. Dabei hätten auch allfällige weitere Massnahmen, wie zum Beispiel die Erstattung einer Strafanzeige, geprüft werden sollen.

«Die Analyse der Schlussberichte der internen Untersuchung des NDB sowie der Administrativuntersuchung liessen die AB-ND zum Schluss kommen, dass nach wie vor nicht alle relevanten Fragen beantwortet wurden.»

Die Analyse der Schlussberichte der internen Untersuchung des NDB sowie der Administrativuntersuchung liessen die AB-ND zum Schluss kommen, dass nach wie vor nicht alle relevanten Fragen beantwortet wurden. Diese betrafen insbesondere einzelne Aspekte, wie verdeckte Geldflüsse, den Einsatz von durch NDB entwickelter und zur Verfügung gestellter Hardware bei der Datenbeschaffung sowie eine mögliche Datenweitergabe an eine externe Stelle.

Zudem wurden der AB-ND weitere interne Informationen aus dem NDB zugetragen. Deshalb führte sie eigene Prüfungshandlungen durch, darunter insbesondere Interviews mit betroffenen Mitarbeitenden und Vorgesetzten. Die AB-ND führte die erstellte Dokumentation in die Prüfung 22-18 über. Folgende Prüffragen sollen in dieser Prüfung beantwortet werden:

• Sind sämtliche für die Beurteilung der Vorgänge bei Cyber NDB relevanten Sachverhalte vollständig erfasst worden?
• Wie stellt der NDB sicher, dass die Rechtmässigkeit bei der Analyse des Datenverkehrs von Providern künftig gewährleistet ist?
• Sind die vom NDB getroffenen organisatorischen Massnahmen und Kontrollen zur künftigen Vermeidung solcher Vorkommnisse zweckmässig und wirksam?

Da die Prüfungshandlungen zum Zeitpunkt der Redaktion des vorliegenden Tätigkeitsberichts nicht abgeschlossen waren, kann die AB-ND noch keine Aussagen zu möglichen Erkenntnissen und einem allfälligen Handlungsbedarf machen. Die AB-ND informierte aber schon im Dezember 2022 den Direktor NDB und die Vorsteherin des VBS über eine Zwischenerkenntnis im Zusammenhang mit der fehlenden Umsetzung einer durch den NDB im internen Prüfbericht selber formulierten Sofortmassnahme bei der noch vor Abschluss der Prüfung Handlungsbedarf angezeigt war.