Dem Dieb wurde es leicht gemacht

Weil der Informatikmitarbeiter einfach so mit den Daten herausspazieren konnte, fragte man sich in der Delegation, ob es im NDB überhaupt ein Risikomanagement gibt. Fazit: Nein. Zwar ۚbrachte sich der NDB in den letzten Jahren vermehrt in das Risikoreporting des Departements ein, aber im Rahmen des internen Risikomanagements wurden die Risiken weder defininiert und bewertet, noch einem Risikoeigner zugewiesen.» Die Inspektion habe auch keine Hinweise darauf gegeben, dass sich die Leitung des NDB vor dem Datendiebstahl aktiv um  ein systematisches Risikomanagement im Dienst gekümmert hätte. Darum wird der Bundesrat darum ersucht, sicherzustellen, dass das VBS bis im Juni 2014 über den «Stand des Risikomanagements im NDB Bericht erstattet und darlegt, wie der NDB die einschlägigen Vorgaben des Bundes zum Risikomanagement adäquat umsetzt.»

Das Versäumnis führte dazu, dass beispielsweise Passwörter von unpersönlichen Administratorenkonten nicht auf ihre Verwendung überprüft wurden. Somit hatten die Informatiker uneingeschränkte Zugriffsrechte, ohne dass der Benutzer zurückverfolgt werden konnte. Es gab nicht einmal einen Notfallplan, falls Verdacht auf Gefährdung der Systeme oder der Daten bestehen würde. Dies soll sich mit einem 100-Prozent-Angestellten Informatiksicherheitsbeauftragten ändern. Dieser wurde im November 2012, nachdem der Diebstahl öffentlich gemacht wurde, eingestellt. Trotzdem geht die GDPel mit den Verantwortlichen hart ins Gericht: «Die Inspektion hat gezeigt, dass es der Führung des NDB an einem ausreichenden Verständnis für die Frage mangelte, welche Vorschriften der Dienst im Bereich der Informatiksicherheit einzuhalten hatte.»

Aber natürlich, dass der Diebstahl stattfand, lag nicht an den Systemen, dafür war ein Mensch verantwortlich. Es ist eigentlich davon auszugehen, dass Leute die beim Geheimdienst arbeiten, besondere Sicherheitsprüfungen über sich ergehen lassen müssen, Informatiker besonders. Dies wird eigentlich auch so gehandhabt, durch die Zusammenlegung der Dienste und dem üblichen Behördenchaos gab es aber Anpassungsbedarf. Darum wies das VBS  am 1. April 2012 den NDB an, sämtliche Mitarbeiter noch einmal nach internen Richtlinien zu überprüfen. Der NDB kam dem Verlangen aber nicht nach, im Februar 2013 war ein Drittel der Mitarbeiter noch nicht entsprechend geprüft. Von den Informatikern war es jeder Vierte.

Kommt noch dazu, dass externe Informatiker, auf die der NDB wegen des Ressourcenmangels immer öfters angewiesen ist, nicht die gleiche Sicherheitsprüfung über sich ergehen lassen müssen wie die internen. Die Delegation empfiehlt, dass dies nachgeholt wird. Einfach wird das aber nicht, weil auch die diese Überprüfungen durchführende Abteilung unter Personalengpässen leidet, ist die Zahl der pendenten Fälle bis Ende 2012 laut einem VBS-Bericht auf rund 1500 angewachsen.