Auch der Geheimdienst muss sich an Regeln halten. Er macht das aber nicht immer. So passiert in den fünf Jahren ab 2015. Das Ressort Cyber des Nachrichtendienstes des Bundes (NDB) hat sich da Informationen beschafft, für die eine Genehmigung des Bundesverwaltungsgericht nötig gewesen wäre. Bei diesen Infos ging es um die Abwehr möglicher Cyberangriffe. Dazu zapfte der NDB Daten an, die dem Fernmeldegesetz unterstehen. Ebenfalls ohne gerichtliche Genehmigung wurde «der Netzwerkverkehr von Servern» aufgezeichnet, die von Cyberangreifern benutzt wurden.

Mit diesen Daten arbeitete der NDB sehr erfolgreich. «Er verschaffte sich auch bei ausländischen Partnerdiensten hohes Ansehen, indem er ihnen Informationen zur Verfügung stellen konnte, welche ihrerseits für deren Erkennung und Abwehr von Cyberangriffen gegen ausländische Interessen von grosser Bedeutung waren», heisst es in einem Untersuchungsbericht, der am Montag publiziert wurde. Die Vorgänge wurden vom ehemaligen Bundesrichter Niklaus Oberholzer in einer Administrativuntersuchung durchleuchtet. Insgesamt, so der Bericht, habe der NDB sich jedoch «nicht schuldhaft» verhalten.

Vielmehr habe der Nachrichtendienst «die Rechtslage verkannt und die fernmelderechtliche Dimension der Datenbeschaffung und -bearbeitung nicht erkannt». Das klingt alles harmlos. Liest man aber die Auszüge aus dem Bericht und den Empfehlungen – der komplette Bericht ist als geheim klassifiziert und wird darum auch nicht veröffentlicht – öffnen sich dann doch einige Baustellen im Schweizer Geheimdienst. Dabei geht es auch um die Art und Weise, mit welchem Selbstverständnis beim NDB gearbeitet wird.

«Auf der einen Seite stand ein Chef dem Ressort Cyber NDB vor, der von seinen Vorstellungen und Fähigkeiten sowie von seiner Aufgabe überzeugt, ausgesprochen initiativ und erst noch erfolgreich war, für rechtliche Vorgaben und institutionalisierte Prozessabläufe innerhalb eines staatlichen Dienstes aber wenig Verständnis zeigte», urteilt Niklaus Oberholzer. Auch über jene, die diesen Ressortchef eigentlich kontrollieren sollte, fällt der alt Bundesrichter kein schmeichelhaftes Urteil: Er sei einem Direktionsbereich zugeordnet gewesen, «der zwar viel mit der Verwaltung von Daten, aber nichts mit deren Beschaffung und Auswertung zu tun hatte und dessen Chef ihn weitgehend gewähren liess».

Und auch von der gesamten Geschäftsleitung zeichnet Berichterstatter Oberholzer ein sehr unkritisches Bild: Diese habe sich mit «den spärlichen Auskünften» zufriedengegeben. Sie habe «weitgehend auf jede Kontrolle und Überprüfung» verzichtet und sei erst eingeschritten, «als sich die Probleme im Ressort Cyber NDB nicht mehr länger verbergen liessen». Bereits in der Struktur des Ressorts erkennt der Bericht Mängel. Dieses sei «unter hohem Zeit- und Erwartungsdruck» aufgebaut worden. «Vertiefte Abklärungen über die Einordnung, die Unterstellung und die Arbeitsweise des neu geschaffenen Ressorts erfolgten nicht», heisst es im Bericht.

Dementsprechen schlägt Niklaus Oberholzer auch eine Neustrukturierung des Bereichs vor. Dabei sei es auch denkbar, die Abteilung Cyber «aus dem nachrichtendienstlichen Kontext zu lösen und dessen Aufgaben auf die rein wissenschaftlich-technisch Analyse von Daten des Netzwerkverkehrs zu beschränken». Auch rechtlich ortet der Bericht Nachjustierungsbedarf. Jene Daten, die der NDB ohne Bewilligung abzapfte, müssten oft rasch erhältlich sein, da sonst die Angriffe schon weit gediehen seien. Es erscheine «erforderlich und zugleich gerechtfertigt», die Beschaffung solcher Daten «wesentlich zu vereinfachen.»

Viola Amherd, der als Chefin vom Eidgenössischen Departement für Verteidigung (VBS) der NDB unterstellt ist, habe den Nachrichtendienst angewiesen, «die im Bericht enthaltenen Empfehlungen zu prüfen und umzusetzen». Die rechtlichen Empfehlungen werden «in die Revision des Nachrichtendienstgesetzes einfliessen», heisst es in einer Mitteilung des VBS. Um die «Führungsprobleme» zu beheben, würden «in den nächsten Monaten im Rahmen der von NDB-Direktor Christian Dussey eingeleiteten Transformation des NDB konkrete Massnahmen ergriffen».

Strafrechtliche Konsequenzen sieht Oberholzer nicht. Es habe sich zudem nicht um «besonders schützenswerte Personendaten, sondern um Randdaten des Fernmeldeverkehrs gehandelt».