Jahrelang haben die Cyberspezialisten des Schweizer Geheimdiensts illegal Hacker gejagt. Angreifer, die im Auftrag eines Staates Cyberangriffe durchführten oder planten, sind von 2015 bis 2020 ausspioniert worden, ohne dafür vorgängig die notwendige Genehmigung des Bundesverwaltungsgerichts und das Einverständnis der Verteidigungsministerin Viola Amherd (60, Mitte) beziehungsweise ihres Vorgängers Guy Parmelin (63, SVP) einzuholen.
Obwohl die Cyberschnüffeleien gegen das Gesetz verstiessen: Strafrechtliche Konsequenzen hat das nicht. Die Cyberbeamten hätten nicht vorsätzlich gegen das Gesetz verstossen, sondern «die Rechtslage verkannt», so das Ergebnis einer externen Administrativuntersuchung, deren Ergebnisse das Verteidigungsdepartement (VBS) am Montag vorstellte. Anders gesagt: Die Cyberspezialisten waren sich nicht bewusst, etwas Illegales getan zu haben. Und können darum auch nicht dafür zur Rechenschaft gezogen werden.
Mangelhafte Kontrolle
Durchgeführt hat die Untersuchung der ehemalige Bundesrichter Niklaus Oberholzer (69). Er war vom VBS beauftragt worden, nachdem der Nachrichtendienst (NDB) im Herbst 2020 den Gesetzesverstoss bemerkt hatte.
In den Jahren zuvor hatte die Führung offenbar nichts davon mitbekommen. Der zuständige Abteilungsleiter habe zudem «für die rechtlichen Vorgaben relativ wenig Verständnis gezeigt», erklärte Oberholzer vor den Medien. Gleichzeitig hätten die interne Kontrolle und Aufsicht versagt. Es sei rückblickend «unverständlich», dass «die Geschäftsleitung und insbesondere der zuständige Direktionsbereichsleiter (...) die Unrechtmässigkeit der während Jahren geläufigen Praxis nicht erkannten».
«Sie hätten es erkennen müssen – und intervenieren», bilanzierte Oberholzer. Die Geschäftsleitung sei aber erst eingeschritten, als sich die Probleme in der Cyberabteilung nicht mehr länger hätten verbergen lassen.
Unter anderem auch dank der illegalen Aktionen ist die Cyberabteilung des NDB laut Oberholzer unbestrittenermassen sehr erfolgreich gewesen. «Dem NDB gelang es nicht nur, gegen schweizerische Interessen gerichtete Cyberangriffe zu erkennen und abzuwehren. Er verschaffte sich auch bei ausländischen Partnerdiensten hohes Ansehen, indem er ihnen Informationen zur Verfügung stellen konnte, welche ihrerseits für deren Erkennung und Abwehr von Cyberangriffen gegen ausländische Interessen von grosser Bedeutung waren», hält er fest.
Genehmigungsprozess dauere zu lang
Weil die Cyberbeamten nicht – wie sie es eigentlich hätten tun müssen – vorgängig grünes Licht von Gericht und Bundesrat einholten, konnten sie sehr schnell handeln. Der Genehmigungsprozess dauere mehrere Tage. In dieser Zeit dürfte der Cyberangriff «schon längst stattgefunden und möglicherweise schwerwiegenden Schaden angerichtet haben», heisst es im Untersuchungsbericht. Der Chef der Cyberoperationen im NDB sagte aus, dass eine effiziente Bekämpfung von Cyberangriffen nicht mehr möglich sei, wenn man vorher erst, wie vom Gesetz verlangt, die Bewilligungen einholen müsse.
Ex-Bundesrichter Oberholzer empfiehlt darum, das ganze Verfahren «wesentlich» zu vereinfachen. In gewissen Fällen sollen die Cyberbeamten nicht mehr die Genehmigung von Gericht und Bundesrat einholen müssen. Statt dass die Behörde ihre Praxis ändert, soll also das Gesetz der Praxis angepasst werden. Geht das der Politik zu weit, muss aus Sicht Oberholzers zumindest das Verfahren beschleunigt werden.
Verteidigungsministerin Amherd hat den NDB nun beauftragt, die Empfehlungen zu prüfen und umzusetzen. Sie würden auch in die Revision des Nachrichtendienstgesetzes einfliessen. Konkreter wurde das VBS nicht. Es hat nur einen Teil der Administrativuntersuchung veröffentlicht, weil gewisse Abschnitte als geheim klassifiziert sind.
