Die Untersuchung des ehemaligen Bundesrichters Niklaus Oberholzer zeigt, dass der Bereich Cyber NDB die fernmelderechtliche Dimension der Datenbeschaffung und -bearbeitung nicht erkannt hat, wie es in Bern an einer Medienkonferenz zur Präsentation des Berichts hiess. 

Es seien weder eine richterliche Genehmigung noch die politische Freigabe vorhanden gewesen, so sei es zur unrechtmässigen Datenbeschaffung gekommen, sagte Oberholzer gegenüber der Nachrichtenagentur Keystone-SDA. Der Druck sei gross, einen Verantwortlichen für das Fehlverhalten zu finden.  

Man habe einerseits den «technisch versierten, erfolgreichen und innovativen» Chef des Cyber NDB gehabt. Dieser habe quasi den «Laden» weitgehend selber aufgebaut. Auf der anderen Seite seien die Vorgesetzten und Geschäftsleitung gewesen, die zu wenig hingeschaut hätten. In dieser Mischung sei es das Fehlverhalten möglich geworden, sagte Oberholzer weiter. 

Die Mitarbeitenden seien davon ausgegangen, dass der NDB berechtigt sei, von jeder Person Meldungen entgegenzunehmen, solange die Auskunft freiwillig erfolge, was jedoch nicht der Fall sei, heisst es im Bericht. Insgesamt seien die Erwartungen an das Ressort Cyber NDB hoch – das Tempo bei der Datenbeschaffung sei wichtig. Deshalb sei das Vorgehen zwar nicht gerechtfertigt, aber nachvollziehbar. Auch hätten interne Kontroll- und Aufsichtsmassnahmen versagt. 

Der geheime Schlussbericht enthält nun verschiedene Empfehlungen im Hinblick auf das weitere Vorgehen. VBS-Chefin Viola Amherd habe den NDB angewiesen, diese Empfehlungen zu prüfen und umzusetzen. 

Die Empfehlungen betreffend Anpassung der operationellen Mittel im Bereich Cyber NDB werden in die Revision des Nachrichtendienstgesetzes einfliessen. Um die im Bericht ebenfalls aufgezeigten Führungsprobleme zu beheben, würden in den nächsten Monaten konkrete Massnahmen ergriffen. 

Das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) hatte im Zusammenhang mit Informationsbeschaffungen des NDB im Bereich Cyber Anfang 2022 die unabhängige Administrativuntersuchung in Auftrag gegeben. Gegenstand der Überprüfung waren Informationsbeschaffungen des NDB von 2015 bis 2020, für die keine Genehmigungen vorlagen. 

Laut Bericht ist unbestritten, dass die Arbeit des Cyber NDB in des besagten Jahren sehr erfolgreich gewesen sei, es wurden Cyberangriffe auf Computersysteme abgewehrt. Der Erfolg beruhte unter anderem auch auf unrechtmässigen Beschaffungsmethoden.

Es wurden bei der Informationsbeschaffung zu möglichen Cyberangriffen auch Informationen beschafft, die dem Fernmeldegeheimnis unterstehen. Solche Massnahmen sind gemäss dem Nachrichtendienstgesetz bewilligungspflichtig und nur mit Genehmigung des Bundesverwaltungsgerichtes zulässig.

Zudem sei der Verkehr auf dem Netzwerk von Servern, die von Cyberangreifern benutzt werden, aufgezeichnet worden - ebenfalls ohne gerichtliche Genehmigung. Betroffen gewesen sind gemäss Mitteilung ausländische Angreifer, die Cyberangriffe gegen die Schweiz beziehungsweise gegen Schweizer Interessen verübt haben, oder die von der Schweiz aus gegen ausländische Einrichtungen Angriffe verübt haben.

Der NDB hatte bereits im Frühjahr 2021 selber festgestellt, dass gewisse Genehmigungen vom Bundesverwaltungsgericht fehlten. Die Beschaffung von Informationen zu diesen Cyberangriffen wurde darauf gestoppt und erste vertiefte Abklärungen in Auftrag gegeben.

Das VBS klassiert den Schlussbericht als geheim, da er unter anderem Informationen aus als geheim klassifizierten Quellen enthält. Er beschreibe die konkreten Informationsbeschaffungs- und -bearbeitungsmethoden des NDB bei der Abwehr von international koordinierten Cyberangriffen. Deshalb werde lediglich eine Zusammenfassung der wesentlichen Erkenntnisse sowie ein Auszug aus den Empfehlungen und der rechtlichen Beurteilung veröffentlicht.

Das VBS habe den Schlussbericht der parlamentarischen Oberaufsicht, der Geschäftsprüfungsdelegation der eidgenössischen Räte, und der Aufsichtsbehörde (AB-ND) zugestellt und sie über die Umsetzung der Empfehlungen informiert.