Kommentar 01.10.2012, 10:51 Uhr

Vertrauen ist gut, Kontrolle besser

Der Nachrichtendienst des Bundes (NDB) ist knapp an einem GAU vorbeigeschrammt. Die Affäre um den Datenklau zeigt gnadenlos auf, wie rückständig die IT-Security-Policy beim Geheimdienst umgesetzt ist. Ein Kommentar von Marcel Hauri.
Nur dank Zufall konnte der wohl grösste Datendiebstahl der Schweizer Geschichte und die internationale Blossstellung des Schweizer Geheimdienstes verhindert werden. Ein Bankangestellter der UBS hegte Verdacht, als ein «Informatiker des VBS» bei ihm ein Nummernkonto eröffnen wollte. Er leitete die Anfrage intern weiter und schlussendlich gelangte der Hinweis zum Nachrichtendienst. Glück gehabt.
Doch so weit hätte es gar nicht kommen dürfen. In der Sonntagspresse wurden pikante Details zum Skandal publik. Der fehlbare Mitarbeiter - notabene der DB-Admin der geheimsten der geheimen Datenbanken der Schweiz - war schon lange als «schwieriger» Mitarbeiter beim NDB bekannt. Er fühlte sich gemobbt, fehlte oft, wurde krankgeschrieben. Er änderte in Eigenregie Master-Passwörter, damit keiner ausser ihm Zugang auf die DB hatte. Niemand im NDB schien sich daran wirklich zu stören, auch weil die Stelle des IT-Leiters NDB seit Längerem vakant ist und die Stimmung in der IT-Abteilung schlecht sein soll. Dass der Agent auch den ganzen E-Mail-Server auf eine externe Festplatte kopieren konnte, ohne dass ein Monitor-System Alarm schlug, lässt nur einen Schluss zu: Die IT-Security-Policy beim NDB - falls denn überhaupt eine existiert - ist ihren Namen nicht Wert. Dazu gehört auch, dass der fehlbare Mitarbeiter ohne Probleme mit den Festplatten im Rucksack aus dem «Pentagon» der Schweiz spazieren konnte.
Man wähnt sich in einer Bananenrepublik, aber nicht in einer der fortschrittlichsten Zivilisationen der Welt. Wenn Bundesrat Ueli Maurer von einem abgewendeten GAU spricht mag er Recht haben - doch hier liegt ein «Unfall der Stufe 6» vor, wenn wir bei der INES-Terminologie bleiben wollen. Wenn es so einfach ist, beim Nachrichtendienst an geheime Daten zu kommen, wie einfach wird es dann in normalen Verwaltungseinheiten sein?
Es braucht dringend ein Umdenken. Vier- bis Sechsaugenprinzip, Entmachtungen von DB-Admins sowie klare Regelungen und Prozesse, die peinlichst genau kontrolliert werden. Aber es braucht auch die Sensibilität und Wertschätzung der Vorgesetzten gegenüber ihren DB-Admins. Diese Menschen sehen zum Teil Daten, die anderen, in der Hierarchie höher eingestuften Personen, verwehrt bleiben. Hier gilt es auch, ein Sensorium aufzubauen, das zwischenmenschliche Konflikte frühzeitig erkennt. Alles andere ist in der heutigen Zeit nicht mehr tragbar.

Autor(in) Marcel Hauri


Kommentare

Avatar
dzs
01.10.2012
100% Ack Volle Zustimmung zum Kommentar. Eine Frage schwebt für mich aber noch dräuend im Raum: Woher weiss man eigentlich, dass der Täter nicht schon Sicherheitskopien angefertigt hat oder gar schon Daten weitergegeben hat? (Mindestens als 'Gratismüsterli')? :confused:

Avatar
Midori
01.10.2012
Beim Bund bekommt man Jobs nicht wenn man der Beste oder die Beste ist, sondern wenn man jemanden kennt der jemanden kennt.... Als ob dies in der Privatwirtschaft anders wäre. Persönlich finde ich, dass man dem VBS ganz einfach mehr Geld geben sollte. Wer A sagt (mehr Sicherheit), muss auch B sagen (mehr Mittel).