05.09.2013, 15:29 Uhr

Massive Kritik an Geheimdienst-Informatik

Nach dem Datendiebstahl im Schweizer Geheimdienst (NDB) wurde eine Untersuchung eingeleitet. Das Ergebnis: die Informatiksicherheit wurde gravierend vernachlässigt. Besonders in der Kritik: NDB-Chef Markus Seiler.
Wird hart kritisiert: NDB-Chef Markus Seiler
Der Schweizer Geheimdienst (NDB) war letztes Jahr Ziel öffentlichen Spottes und Verwunderung. Grund war die Verhaftung eines Informatik-Mitarbeiters, der Datenmengen im Tera-Bereich entwendete und weiterverkaufen wollte, bei denen es sich laut Bundesanwalt Michael Lauber um ««hochsensible Daten handle, die absolut nicht in fremde Hände gelangen dürfen.» Peinlich war dies für den NDB, weil der Mitarbeiter die Daten auf dem einfachst möglichen Weg mitgehen liess: durch die Vordertür, die Festplatten unter dem Arm. Darüber wurde auch die Geschäftsprüfungsdelegation des Bundes (GPDel) informiert, die daraufhin im Oktober 2012 beschloss, zur Informatiksicherheit im NDB eine Untersuchung durchzuführen. Nachdem die zuständigen Behörden den Bericht im Juli erhielten, wird heute auch die Öffentlichkeit darüber informiert. Da die Delegation «verhindern will, dass mit der Publikation von Informationen über den Nachrichtendienst höherrangige Interessen des Staates verletzt werden», wurde nur ein Kurzbericht ffentlich gemacht. Dieser reicht allerdings, um schnell zu sehen: es herrschte sehr viel Fahrlässigkeit im NDB in Sachen Informatiksicherheit, als der Diebstahl begangen wurde.

Hauptproblem: zu wenig Personal

Die Delegation beginnt ihre Ausführungen bei der Gründung des NDB im Jahr 2009. Damals wurden der DAP (Dienst für Analyse und Prävention) und der SND (Strategischer Nachrichtendienst) zu eben jenem Bundesamt zusammengefasst. Dies sollte im Auftrag des VBS «ohne zusätzliche Ressourcen» realisiert werden. Was unter anderem bedeutete, dass der künftigte NDB mit den Informatikressourcen des bisherigen SND auskommen musste, da das VBS zuvor den DAP ohne das Personal, das sich um die Informatik kümmert, übernommen hatte. Dadurch, so steht es im Bericht, «musste der NDB eine komplexe und immer stärker wachsende Systemlandschaft mit sehr knappen Ressourcen betreuen». Dies bedeutete beispielsweise, dass es nur einen internen Datenbankadministrator gab. Fiel dieser aus, «konnte die Sicherheit der Datenbanken nur gewährleistet werden, solange keine gravierenden Probleme auftauchten.» Schuld an diesen Personalengpässen sei eine ungenügende Planung des VBS gewesen, als der Behördenzusammenschluss anstand. Warum diese Mängel auch nach der Schaffung des Dienstes nicht behoben wurden, bleibt unklar. Der NDB wies die GPDel zwar im Frühjahr 2011 auf die Personalsituation hin, Aussagen, dass dadurch auch die Informatiksicherheit beeinträchtigt sei, wurden jedoch nicht gemacht. Die Delegation empfiehlt dem Bundesrat darum, dass das VBS die personellen Ressourcen noch einmal «vertieft und detailliert» analysieren sollte. Lesen Sie auf der nächsten Seite: Dem Dieb wurde es leicht gemacht

Risikomanagement?

Weil der Informatikmitarbeiter einfach so mit den Daten herausspazieren konnte, fragte man sich in der Delegation, ob es im NDB überhaupt ein Risikomanagement gibt. Fazit: Nein. Zwar ?brachte sich der NDB in den letzten Jahren vermehrt in das Risikoreporting des Departements ein, aber im Rahmen des internen Risikomanagements wurden die Risiken weder defininiert und bewertet, noch einem Risikoeigner zugewiesen.» Die Inspektion habe auch keine Hinweise darauf gegeben, dass sich die Leitung des NDB vor dem Datendiebstahl aktiv um  ein systematisches Risikomanagement im Dienst gekümmert hätte. Darum wird der Bundesrat darum ersucht, sicherzustellen, dass das VBS bis im Juni 2014 über den «Stand des Risikomanagements im NDB Bericht erstattet und darlegt, wie der NDB die einschlägigen Vorgaben des Bundes zum Risikomanagement adäquat umsetzt.» Das Versäumnis führte dazu, dass beispielsweise Passwörter von unpersönlichen Administratorenkonten nicht auf ihre Verwendung überprüft wurden. Somit hatten die Informatiker uneingeschränkte Zugriffsrechte, ohne dass der Benutzer zurückverfolgt werden konnte. Es gab nicht einmal einen Notfallplan, falls Verdacht auf Gefährdung der Systeme oder der Daten bestehen würde. Dies soll sich mit einem 100-Prozent-Angestellten Informatiksicherheitsbeauftragten ändern. Dieser wurde im November 2012, nachdem der Diebstahl öffentlich gemacht wurde, eingestellt. Trotzdem geht die GDPel mit den Verantwortlichen hart ins Gericht: «Die Inspektion hat gezeigt, dass es der Führung des NDB an einem ausreichenden Verständnis für die Frage mangelte, welche Vorschriften der Dienst im Bereich der Informatiksicherheit einzuhalten hatte.»

Fahrlässigkeit

Aber natürlich, dass der Diebstahl stattfand, lag nicht an den Systemen, dafür war ein Mensch verantwortlich. Es ist eigentlich davon auszugehen, dass Leute die beim Geheimdienst arbeiten, besondere Sicherheitsprüfungen über sich ergehen lassen müssen, Informatiker besonders. Dies wird eigentlich auch so gehandhabt, durch die Zusammenlegung der Dienste und dem üblichen Behördenchaos gab es aber Anpassungsbedarf. Darum wies das VBS  am 1. April 2012 den NDB an, sämtliche Mitarbeiter noch einmal nach internen Richtlinien zu überprüfen. Der NDB kam dem Verlangen aber nicht nach, im Februar 2013 war ein Drittel der Mitarbeiter noch nicht entsprechend geprüft. Von den Informatikern war es jeder Vierte. Kommt noch dazu, dass externe Informatiker, auf die der NDB wegen des Ressourcenmangels immer öfters angewiesen ist, nicht die gleiche Sicherheitsprüfung über sich ergehen lassen müssen wie die internen. Die Delegation empfiehlt, dass dies nachgeholt wird. Einfach wird das aber nicht, weil auch die diese Überprüfungen durchführende Abteilung unter Personalengpässen leidet, ist die Zahl der pendenten Fälle bis Ende 2012 laut einem VBS-Bericht auf rund 1500 angewachsen. Lesen Sie auf der nächsten Seite: Chronik des Diebstahls Natürlich ging die Geschäftsprüfungsdelegation auch auf den Diebstahl ein, der die Untersuchung erst einleitete. Wenig überraschend haben viele der bemängelten Faktoren dazu geführt, dass er stattfinden konnte. Eine Chronik:
  • Im April 2012 war der einzig Datenbankadministrator im NDB e krankeitsbedingt abwesend, das kam in letzter Zeit öfers vor. Dies gefährdete aus Sicht seiner Vorgesetzten die Betriebssicherheit der Datenbanken. Auch die Zusammenarbeit mit dem Admin wurde verstärkt als problematisch erlebt. Es wurde vorgeschlagen, ihm die Zugriffsberechtigung für die Systeme zu entziehen. 
  • Dies hatte zur Folge, dass der Abteilungsleiter vor dem Dilemma stand, «entweder mit der Freistellung des Datenbankadministrators die Verfügbarkeit der Systeme zu gefährden oder bei seinem weiteren Einsatz ein Risiko für die Integrität ? und wie es sich nachträglich zeigte, auch für die Vertraulichkeit der Daten ? in Kauf zu nehmen.»
  • Mit dem Entscheid liess der Verantwortliche auf sich warten, erst nach zwei Wochen, am 26. April 2012,  bat er den Datenbankadministrator zum Gespräch und legte dieses auf den 16. Mai fest. In dieser Zeit kümmerte sich niemand weiter um den Admin und als dieser am 16. Mai den Gesprächstermin platzen liess, konnte er nur eine Stunde später «längere Zeit am Arbeitsplatz verweilen, ohne dass dies eine Reaktion der Abteilungsleitung zur Folge gehabt hätte.» Weil der NDB die Vorfälle nicht dokumentiere, hatte er nichts in der Hand, um den Mitarbeiter freizustellen.
  • In dieser Zeit wurde der Datendiebstahl verübt, am 18. Mai machte eine Schweizer Grossbank den NDB auf Ungereimtheiten aufmerksam. Ohne deren Hilfe wäre der NDB «dem Diebstahl nicht innert nützlicher Frist auf die Spur gekommen».

Maurer und Seiler stark in der Kritik

Doch auch danach verhielt sich der NDB stümperhaft. Anstatt sofort sämtliche Logdateien zu externen Schnittstellen, auf die der Admin hätte Zugriff haben können, überprüfen zu lassen, wartete der NDB ab, bis sie endgültig sicher waren, wer der Täter ist. Dazu wurden Personen mit der Aufarbeitung des Falls überprüft, die für die Aufgabe «nicht geeignet» waren, heisst es im Bericht. Dass sich NDB-Chef Markus Seiler in der Folge darum bemühte, Sofortmassnahmen zu ergreifen, sei zwar zweckmässig gewesen, die GDPel erhielt aber «im Verlauf der Zeit den Eindruck, dass die steigende Zahl der Massnahmen der Leitung des NDB vor allem dazu diente, ihre aktive Bewältigung der Folgen des Datendiebstahls unter Beweis zu stellen.» Ursachenforschung wurde nicht betrieben. Seiler habe zudem seine Unterschrift auch unter Massnahmen gesetzt, die danach gar nie an die Hand genommen worden seien. Auch Bundesrat Ueli Maurer, VBS-Chef, gerät in die Kritik. Er hätte sich bei der Aufarbeitung des Diebstahls zu sehr auf die Angaben des NDB verlassen, der sich nur auf den Datendieb fokussierte. Bis Ende Oktober 2013 hat der Bundesrat Zeit, auf die doch heftigte Kritik zu reagieren.



Das könnte Sie auch interessieren