Aufsichtstätigkeiten

Im Bereich Strategie und Planung prüft die AB-ND Themen, welche die kurz-, mittel- oder langfristige strategische Planung durch die nachrichtendienstlichen Behörden der Schweiz sowie deren Zielsetzungen betreffen. Im Berichtsjahr arbeitete die AB-ND an der folgenden Prüfung:

[24-1] Künstliche Intelligenz (KI) beim NDB

Die AB-ND prüft unter dem Aspekt der Rechtmässigkeit, Wirksamkeit und Zweckmässigkeit, ob der NDB diese Technologie ordnungsgemäss erwirbt, nutzt und kontrolliert. Für diese Prüfung wurden Vorarbeiten geleistet und sie wird im Jahr 2025 durchgeführt.

Im Bereich Organisation und Beauftragung prüft die AB-ND die Eignung des Aufbaus und der Prozesse der Nachrichtendienste und hinterfragt, ob diese eine rechtmässige, zweckmässige und wirksame Erfüllung des gesetzlichen Auftrags dieser Behörden erlauben. Die AB-ND arbeitete 2024 in diesem Bereich an folgenden Prüfungen:

[23-2] Die juristischen Dienstleistungen im NDB

Der Beachtung des Legalitätsprinzips und des rechtmässigen Handelns kommt bei der nachrichtendienstlichen Tätigkeit grosse Bedeutung zu. Handelt der NDB oder handeln seine Mitarbeitenden nicht rechtmässig, können einerseits verschiedene Grundrechte verletzt werden (Datenschutz, Recht auf Privatsphäre, Geschäftsgeheimnis u. v. a. m.), andererseits ergibt sich ein erhebliches Sicherheitsrisiko für die Schweiz, wenn der NDB den für seine Tätigkeit gegebenen rechtlichen Rahmen nicht voll ausschöpft. Zudem kann sich ein Reputationsschaden ergeben, wodurch das Vertrauen der Schweizer Bevölkerung in diese Institution geschädigt wird. Daher prüfte die AB-ND die Aufgaben, Kompetenzen und Verantwortlichkeiten der juristischen Dienstleistungserbringer im NDB auf ihre Zweckmässigkeit und Wirksamkeit.

Die AB-ND interviewte Mitarbeitende verschiedener Bereiche und Funktionen zu fünf Prüffragen und sah Dokumente ein. Sie stellte fest, dass der NDB den gesetzlichen Ausbildungsauftrag wahrnimmt, nach der Transformation jedoch eine Optimierung der Ausführung des Ausbildungskonzepts für alle Bereiche des NDB angezeigt ist. Der NDB hat wie andere Verwaltungseinheiten die Möglichkeit, fehlende juristische Expertise extern einzukaufen. Er vergab in den vergangenen Jahren nur punktuelle und begründete Mandate für juristische Dienstleistungen, welche nicht auf das Fehlen von notwendigen Fachressourcen schliessen liessen.

«Insbesondere die Organisationseinheiten Qualitätssicherung, Compliance und der Rechtsdienst des NDB erbringen juristische Dienstleistungen. In allen drei Bereichen bestand Handlungsbedarf oder lagen zumindest Sachverhalte vor, welche im Rahmen der laufenden Transformation eine gesteigerte Aufmerksamkeit erfordern.»

Insbesondere die Organisationseinheiten Qualitätssicherung, Compliance und der Rechtsdienst des NDB erbringen juristische Dienstleistungen. In allen drei Bereichen bestand Handlungsbedarf oder lagen zumindest Sachverhalte vor, welche im Rahmen der laufenden Transformation eine gesteigerte Aufmerksamkeit erfordern.

Die zwei ausgesprochenen Empfehlungen betrafen die Tätigkeit der Compliance und deren Nachvollziehbarkeit sowie den aktiven Einbezug des Rechtsdienstes in bestimmte Geschäfte und die Ausgestaltung von Arbeitsprozessen. Die Ansprüche und Wünsche an den Rechtsdienst entsprachen nicht dessen bisheriger Ausgestaltung und Entscheidkompetenz. Um eine Übereinstimmung von Soll- und Ist-Zustand zu erzielen, muss mehr als nur die Stellenbeschreibung der Leitungsfunktion des Rechtsdienstes aktualisiert werden. Die letzten Compliance-Audits nach Konzept wurden 2021 durchgeführt. Zum Prüfungszeitpunkt wurde nur die Meldestelle durch die Compliance aktiv betreut, jedoch waren keine Nachweise dieser Tätigkeit vorhanden. Bei der Qualitätssicherung waren zahlreiche Abgänge von juristisch geschulten Personen zu verzeichnen, welche so schnell wie möglich ersetzt werden müssen, um die Pendenzen in der Aktualisierung der Dokumentation bewältigen zu können.

[23-4] Das IT-Service-Continuity-Management (ITSCM) und die IT-Disaster-Recovery im NDB

Bei dieser Prüfung untersuchte die AB-ND, ob der NDB über effiziente und geeignete Prozesse verfügt, mit denen im Krisen- oder Katastrophenfall der IT-Betrieb und dadurch auch der Betrieb des Kerngeschäfts des NDB sichergestellt und seine Daten wiederhergestellt werden können.

Unvorhergesehene Grossereignisse wie Brände, Überschwemmungen oder kriminelle Aktivitäten stellen eine Bedrohung für jede Organisation dar. Solche Ereignisse können insbesondere an der informationstechnologischen Infrastruktur Schäden verursachen, die möglicherweise viel schlimmer als eine einfache Panne sind. Daher müssen Organisationen das Business Continuity Management (BCM) gewährleisten. Das BCM konzentriert sich auf ein Ereignis und soll seine Auswirkungen auf Risiken für kritische Leistungen und Geschäftsprozesse minimieren.

Eine zuverlässige und permanent verfügbare IT ist für das Überleben eines Unternehmens essenziell, da sein Kerngeschäft stark von Informationstechnologien abhängt. Das mit dem BCM einhergehende ITSCM hat zum Ziel, gemäss den Anforderungen auch bei Grossereignissen vom Unternehmen identifizierte kritische IT-Leistungen liefern zu können. Dafür werden vorsorgliche Massnahmen (Stärkung der Resilienz) und für den Ereignisfall vorbereitete Massnahmen (Stärkung der Reaktion) beurteilt und umgesetzt. Mit dem ITSCM soll sichergestellt werden, dass die Leistungen und die Infrastruktur der Informations- und Kommunikationstechnologien (IKT) nach einem Ausfall verfügbar sind oder innert einer vereinbarten Frist wiederhergestellt werden können. Die IT-Disaster-Recovery hingegen soll die IKT-Leistungen und -Infrastruktur nach einem Ausfall wieder instand setzen.

Ein solches ITSCM muss den aktuellen und konkreten Risiken gerecht werden. Vor dem Hintergrund einer drohenden Strommangellage, zunehmender Cyberangriffe und einem Krieg in Europa ist der NDB durch die fortschreitende Digitalisierung und die Datenbearbeitung als zentrale Tätigkeit mehr denn je von einem kontinuierlichen und zuverlässigen Betrieb von IT-Infrastrukturen abhängig. Zudem gefährden Datenverluste die Fähigkeit des NDB, seinen Auftrag zu erfüllen.

Das BCM war bereits Gegenstand eines Berichts der Internen Revision des VBS (Bericht I 2022-01 vom 15. August 2022). Eine der Empfehlungen dieses Berichts forderte die Verwaltungseinheiten des VBS auf, ihre Dokumentation über das BCM zu aktualisieren. Der NDB arbeitet daran, diese Empfehlung umzusetzen. Zudem beschloss die Leitung des NDB, erst nach Abschluss der laufenden Transformation ein neues BCM zu genehmigen und umzusetzen. Die AB-ND zeigte sich deshalb in Bezug auf das BCM zurückhaltend.

Beim ITSCM stellte die AB-ND Lücken in der Dokumentation fest. Die fehlende Dokumentation war auf einen Mangel bei der IT-Governance innerhalb des NDB zurückzuführen. Der NDB traf zwar Massnahmen, dies aber nur auf technischer Ebene. Die IKT-Einheit des NDB ergriff zahlreiche Massnahmen, um im Falle eines Grossereignisses die Betriebskontinuität sicherzustellen. Diese effizienten und angemessenen Massnahmen, zu denen insbesondere die Sicherstellung der Redundanz der IKT-Infrastruktur sowie die Datensicherungsstrategie zählen, ermöglichen es, Risiken konsequent zu minimieren. Allerdings existierte keine Teststrategie, sodass nicht sicher ist, ob die hohe Stabilität der IKT-Leistungen auch bei einem Grossereignis wirklich gegeben wäre. Ohne verschiedenartige und regelmässige Tests kann zudem das ITSCM nicht aktualisiert werden. Im Zusammenhang mit der ungenügenden Dokumentation des ITSCM und der fehlenden Organisation von Tests sprach die AB-ND Empfehlungen aus.

[24-2] Nachrichtendienstliche Tätigkeiten, welche durch den DPSA erbracht werden

Die AB-ND prüft die Schnittstellen in der Zusammenarbeit zwischen dem NDB und dem DPSA, um nachrichtendienstliche Tätigkeiten zu identifizieren. Gestützt darauf wird die AB-ND die Rechtmässigkeit, Zweckmässigkeit und Wirksamkeit dieser Zusammenarbeit prüfen.

Im Jahr 2024 fanden mehrere Interviews über die Zuständigkeit für die Aufsicht der AB-ND über den DPSA statt (siehe Ziff. 6.4). Die entsprechende Prüfung wird im Jahr 2025 durchgeführt.

[24-3] Organisation der Partnerdienstkontakte im CEA

Kein Nachrichtendienst kann alleine sämtliche Gefahren erkennen und abwehren. Eine enge und vertrauensvolle Zusammenarbeit mit Partnerdiensten ist deshalb unabdingbar. Dies gilt auch für die Nachrichtendienste der Schweiz und damit auch für den CEA. Gerade im Bereich der Aufgabengebiete des CEA kommt erschwerend hinzu, dass es sich um einen relativ kleinen Dienst handelt, der zudem nicht in multilateralen Gremien (z. B. [Signal-Intelligence] SIGINT Seniors Europe) integriert ist und aufgrund der geografischen Lage der Schweiz nicht auf alle Signalströme in gleicher Weise wie andere Länder zugreifen kann. Umso wichtiger erscheinen unter diesen Aspekten bilaterale Kontakte auf operativer Ebene mit ausgewählten Partnerdiensten.

Diese Kontakte sind geprägt von einem Geben und Nehmen. Der CEA bekommt Informationen, muss dafür aber auch Informationen geben, die für den Partnerdienst von Interesse sind.

Wiewohl dieser Austausch, wie dargestellt, für den CEA unabdingbar ist, wirft er auch einige Fragen auf und ist mit Risiken behaftet. Insbesondere die Art der ausgetauschten Informationen könnte das Risiko des unrechtmässigen Handelns seitens des Dienstes realisieren. Aber auch der Prozess und die Art, wie die Partnerdienstkontakte bewirtschaftet werden, weisen Risiken auf, welche die Wirksamkeit und Zweckmässigkeit betreffen.

Aus diesem Grund hat sich die AB-ND gestützt auf den Prüfplan 2024 entschieden, die Partnerdienstkontakte des CEA einer Prüfung zu unterziehen.

Im Bereich der rechtlichen Fragestellungen konnte die AB-ND feststellen, dass sich der CEA an die gesetzlichen Vorgaben hält und Partnerdienstkontakte im nachrichtendienstlichen Bereich ausschliesslich im Auftrag des NDB durchführt. Die überwiegende Anzahl von Partnerdienstkontakten thematisieren dabei technische Fragen. Werden darüber hinaus heiklere Informationen wie zum Beispiel Daten ausgetauscht, wird vorab der Rechtsdienst des NDB involviert, um die rechtlichen Grundlagen für den jeweiligen Datenaustausch zu prüfen.

«… unter den gegebenen Umständen die vorhandenen Partnerdienstkontakte wirksam organisiert und durchgeführt werden. Auch die Herangehensweise, zukünftige Partnerdienstkontakte in die Themengebiete Cyber und elektromagnetische Aktionen aufzugleisen, scheint effektiv und effizient zu verlaufen.»

Hinsichtlich der Wirksamkeit und Zweckmässigkeit der Partnerdienstkontakte kam die AB-ND zum Schluss, dass unter den gegebenen Umständen die vorhandenen Partnerdienstkontakte wirksam organisiert und durchgeführt werden. Auch die Herangehensweise, zukünftige Partnerdienstkontakte in die Themengebiete Cyber und elektromagnetische Aktionen aufzugleisen, scheint effektiv und effizient zu verlaufen. Eine Einbindung in internationale Gremien im Bereich SIGINT würde rein technisch gesehen zwar einen Zugewinn an Wirksamkeit im Bereich der Partnerdienstkontakte versprechen. Dies kann aber nicht auf Stufe des CEA oder des NDB entschieden werden und stellt eine weitreichende politische Entscheidung dar.

Aufgrund des Gesamteindrucks, dass sich der CEA streng an die rechtlichen Grundlagen hält und aus der gegebenen Situation das Optimum aus den Partnerdienstkontakten herausholt, formulierte die AB-ND keine Empfehlungen.

[24-11] Sicherheitsaspekte nach Artikel 6 Absatz 7 des Bundesgesetzes vom 25. September 2015 über den Nachrichtendienst (Nachrichtendienstgesetz, NDG, SR 121)

Der NDB ist verpflichtet, seine Mitarbeitenden, seine Einrichtungen, seine Quellen und die von ihm bearbeiteten Daten zu schützen. Die AB-ND prüft in ausgewählten Bereichen, wie der NDB dieser Pflicht nachkommt.

Diese Prüfung wurde im Prüfplan 2024 nicht angekündigt und wird 2025 beendet.

Im Bereich Zusammenarbeit prüft die AB-ND die Zusammenarbeit der Dienste mit nationalen und internationalen Behörden. Die AB-ND prüft dabei jährlich die Zusammenarbeit mit ausgewählten kantonalen Nachrichtendiensten (KND). Mit den Prüfberichten «23-6 KND Nidwalden» und «23-7 KND Obwalden» und der Veröffentlichung der Zusammenfassungen auf der Website schloss die AB-ND die Prüfung aller Kantone ab. Sie kann somit eine Bilanz der Prüfungen in allen 26 Kantonen ziehen.

Im Jahr 2024 führte die AB-ND in folgenden Prüfungen Handlungen durch:

[23-6] Kantonaler Nachrichtendienst Nidwalden (KND NW)

Die AB-ND überprüfte, ob die Zusammenarbeit zwischen dem NDB und dem KND NW rechtmässig, zweckmässig und wirksam verläuft. Sie kam dabei zum Schluss, dass der NDB und der KND NW gut zusammenarbeiten. Der KND NW erledigte die Aufträge des NDB i. d. R. frist- und inhaltsgerecht. Die AB-ND erhielt jedoch den Eindruck, dass der KND NW die notwendige Trennung der Infrastruktur von Kantonspolizei und KND nicht hinreichend berücksichtigt. Hierbei besteht das Risiko des Informationsabflusses. Die AB-ND formulierte eine entsprechende Empfehlung.

Die AB-ND überprüfte zudem, ob die gespeicherten und personenbezogenen Daten bezüglich Aufgabenbezug, der Einhaltung der Datenbearbeitungsschranke sowie der Richtigkeit und Erheblichkeit der Information den gesetzlichen Vorgaben entsprechen. Es wurde diesbezüglich festgestellt, dass offene Fragen zur Datenhaltung oder technische Probleme, welche für den Informationsschutz relevant sind, nicht mit der nötigen Sorgfalt und Disziplin angegangen werden bzw. der Aufgabenbezug aufgrund von personellen Abgängen nicht immer nachvollzogen werden kann. Hierbei besteht das Risiko der unrechtmässigen Datenbearbeitung und des Informationsabflusses. Die AB-ND formulierte eine entsprechende Empfehlung.

[23-7] Kantonaler Nachrichtendienst Obwalden (KND OW)

Die AB-ND überprüfte, ob die Zusammenarbeit zwischen dem NDB und dem KND OW rechtmässig, zweckmässig und wirksam verläuft. Sie kam dabei zum Schluss, dass der NDB und der KND OW in den aktuellen Themengebieten gut zusammenarbeiten und die Kommunikation auch niederschwellig funktioniert. Der KND OW erledigte die Aufträge des NDB frist-, inhalts- und ressourcengerecht. Die AB-ND erhielt den Eindruck, dass der KND OW über gute nachrichtendienstliche Kenntnisse und die entsprechenden Qualitäten verfügt, und dass die Voraussetzungen und die Motivation zur Erfüllung der Aufgaben vorhanden sind.

Die AB-ND überprüfte ferner, ob die gespeicherten und personenbezogenen Daten bezüglich Aufgabenbezug, der Einhaltung der Datenbearbeitungsschranke sowie der Richtigkeit und Erheblichkeit der Information den gesetzlichen Vorgaben entsprechen. Es wurden diesbezüglich keine Auffälligkeiten festgestellt.

Die KND-Prüfungen der vergangenen Jahre

Die AB-ND führte zwischen 2019 und 2024 bei allen KND eine Prüfung durch. Das Prüfkonzept war für alle KND gleich. Bei jeder Prüfung wurden jedoch zusätzlich spezifische Fragen gestellt.

In elf Kantonen gab es keine Beanstandungen. In fünfzehn Kantonen stellte die AB-ND Verbesserungspotenzial fest, insbesondere bei der Datenbearbeitung, dem Umgang mit den Ressourcen und dem Einsatz der technischen Hilfsmittel. Bis auf eine Empfehlung, deren Umsetzung noch nicht fällig war, wurden alle Empfehlungen der letzten Prüfung umgesetzt. Dank der vom NDB getroffenen Massnahmen traten gewisse Typen von Beanstandungen im Lauf der Jahre nicht mehr auf. Eine Empfehlung an einen Kanton wirkte sich manchmal auch auf andere Kantone aus.

«Als Resultat dieser Prüfungen verfügt die AB-ND über vertiefte Kenntnisse der KND, ihrer Tätigkeiten und Besonderheiten.»

Als Resultat dieser Prüfungen verfügt die AB-ND über vertiefte Kenntnisse der KND, ihrer Tätigkeiten und Besonderheiten. Einige kantonale Aufsichtsbehörden senden ihre Aufsichtsberichte regelmässig an die AB-ND und ergänzen damit die Informationen, die der AB-ND zur Verfügung stehen.
Die AB-ND beschloss, die Prüfungen der KND in den kommenden Jahren nicht mehr anhand von standardisierten Prüffragen, sondern anhand von Risikoüberlegungen zu bestimmten Themen in den einzelnen Kantonen anzugehen (vgl. auch Besuche der AB-ND in den Kantonen, Ziff. 7.1).

[23-10] Die Zusammenarbeit des NDB mit Privaten

Der NDB arbeitet mit Privaten, Organisationen und Unternehmen zusammen. Die Zusammenarbeit findet im administrativen Rahmen insbesondere über übliche Vertragsverhältnisse und im operativen Bereich insbesondere über die Zusammenarbeit mit Privaten, sogenannten Supporterinnen und Supportern, statt. Mit der Zusammenarbeit unterstützen die Privaten den NDB bei der Erfüllung seiner Aufgaben im Sinne von Artikel 6 NDG.

In einer ersten Phase analysierte die AB-ND eine offene Frage im Zusammenhang mit einer Prüfung der Eidgenössischen Finanzkontrolle (EFK), welche die Zusammenarbeit des NDB mit Unternehmen und Privaten im administrativen Rahmen betraf. Anhand einer Stichprobenkontrolle untersuchte sie eine gewisse Anzahl laufender Dienstleistungsverträge zwischen dem NDB und verschiedenen Unternehmen. Die Buchhaltung des NDB wurde auch berücksichtigt und einer Stichprobenkontrolle unterzogen. Die legendierten Zahlungen, die ebenfalls in den Büchern des NDB erfasst sind, wurden analysiert. Dies ermöglichte in einer zweiten Phase, die Untersuchungen der AB-ND auf den operativen Rahmen und damit auf die Supporterinnen und Supporter des NDB auszuweiten.

Die AB-ND kontrollierte so die Rechtmässigkeit der den Supporterinnen und Supportern zugewiesenen Aufträge anhand der Kriterien des NDG und der Verordnung vom 16. August 2017 über den Nachrichtendienst (Nachrichtendienstverordnung, NDV, SR 121.1). Zudem überprüfte sie die Zweckmässigkeit und Wirksamkeit der Zusammenarbeit zwischen dem NDB und den Supporterinnen und Supportern, indem sie das vom NDB eingeführte Portfoliomanagement und Life-Cycle-Management der Supporterinnen und Supporter untersuchte.

Schliesslich wurde das Riskmanagement analysiert und verschiedene Hypothesen wurden überprüft. Die Umgehung von genehmigungspflichtigen Beschaffungsmassnahmen (GeBM) durch einen Auftrag an eine Privatperson, das rechtswidrige Verhalten einer Privatperson, die Zahlung an eine Privatperson ohne Gegenleistungen oder die Zusammenarbeit mit Privaten, deren Ruf dem NDB schaden könnte, sind ebenso Aspekte, die im Rahmen dieser Prüfung berücksichtigt wurden.

«…sind die Übersicht des NDB über die Privaten, mit denen der NDB zusammenarbeitet, sowie die dazugehörige Dokumentation relevant.»

Gemäss der AB-ND sind die Übersicht des NDB über die Privaten, mit denen der NDB zusammenarbeitet, sowie die dazugehörige Dokumentation relevant. Die durchgeführte Prüfung zeigt im Übrigen eine Verbesserung in diesem Bereich auf. Der Umgang mit Sicherheitslücken im Rahmen der Zusammenarbeit mit Privaten ist gemäss den Feststellungen der AB-ND jedoch verbesserungswürdig. Die Praxis im operativen Bereich bei bestimmten Privaten zugeordneten Aufgaben kann ausserdem noch genauer angegeben werden. Ohne Empfehlungen auszusprechen hat die AB-ND mittels mehrerer Anregungen den NDB auf diese Punkte aufmerksam gemacht.

[24-4] Zusammenarbeit des NDB mit dem Staatssekretariat für Migration (SEM)

Die AB-ND prüft, ob die Zusammenarbeit des NDB mit dem SEM und der damit verbundene Datenaustausch rechtmässig, wirksam und zweckmässig sind.

Die Informationsbeschaffung ist eine Kernaufgabe der Nachrichtendienste. Zu diesem Zweck können die Dienste diverse Mittel einsetzen. Denjenigen Mitteln, die am tiefsten in die Grundrechte wie bspw. die Privatsphäre der betroffenen Personen eingreifen, gilt die besondere Aufmerksamkeit der AB-ND. Die Prüfungen Operationen (OP) und HUMINT (Human Intelligence, Informationsbeschaffung durch menschliche Quellen,) finden aufgrund der Risiken, die mit diesen Tätigkeiten verbunden sind, mindestens jährlich statt. Die AB-ND arbeitete 2024 an folgenden Prüfungen im Bereich Beschaffung:

[23-11] Operationen, operative Abklärungsbedürfnisse (OPAB) und genehmigungspflichtige Beschaffungsmassnahmen (GeBM) des NDB

Nachrichtendienstliche OP und OPAB gehören zu den Kernaufgaben des NDB. Sie zeichnen sich dadurch aus, dass sie im Vergleich zum Tagesgeschäft komplexer sind und einer operationellen Führung bedürfen. Zudem können in OP auch GeBM beantragt werden. Da die Komplexität von OP sowie OPAB regelmässig Risiken hinsichtlich der Wirksamkeit und der Zweckmässigkeit aufweisen und GeBM aufgrund des Eingriffs in die geschützte Privatsphäre stets ein rechtliches Risiko beinhalten, prüft die AB-ND regelmässig die entsprechenden Tätigkeiten des NDB.

Hinsichtlich der Entwicklung des OP- und OPAB-Portfolios konnten keine massgeblichen Veränderungen im Vergleich zum Vorjahr festgestellt werden. Dies betrifft sowohl das Mengengerüst als auch die behandelten Themen. Auch in dieser Prüfperiode beschäftigte den NDB der Abschluss von seit längerer Zeit laufenden OP und OPAB. Dies war aus Sicht der AB-ND zielführend und sollte auch künftig beibehalten werden.

«Aufgrund der durchgeführten Prüfungshandlungen entdeckte die AB-ND keine Hinweise, dass die geprüften OP und OPAB nicht rechtmässig, wirksam und zweckmässig durchgeführt werden respektive wurden.»

Bei fünf OP und elf OPAB wurde geprüft, ob diese rechtmässig, zweckmässig und wirksam durchgeführt werden respektive durchgeführt wurden. Aufgrund der durchgeführten Prüfungshandlungen entdeckte die AB-ND keine Hinweise, dass die geprüften OP und OPAB nicht rechtmässig, wirksam und zweckmässig durchgeführt werden respektive wurden.

Die AB-ND überprüfte bei acht genehmigten und freigegebenen, bei drei dringlichen sowie bei einer abgelehnten Massnahme, ob diese gemäss den entsprechenden Entscheiden des Bundesverwaltungsgerichts (BVGer) umgesetzt werden bzw. nicht umgesetzt wurden. Aufgrund der durchgeführten Prüfungshandlungen bestand für die AB-ND kein Grund, daran zu zweifeln, dass die geprüften Massnahmen nicht gemäss den Entscheiden des Genehmigungs- und Freigabeprozesses umgesetzt wurden. Es gab auch keine Hinweise darauf, dass der NDB trotz negativer Genehmigungsverfügung einzelne Massnahmen widerrechtlich umgesetzt hätte.

Aufgrund des positiven Gesamteindrucks verzichtete die AB-ND auf die Formulierungen von Empfehlungen.

[23-12] Menschliche Quellen (HUMINT) im NDB

Der Bereich der HUMINT gehört zu den klandestinen Bereichen, d. h. zu den Bereichen, in denen die Geheimhaltung ein Eckpfeiler der Tätigkeit ist. Dies führt zu besonders hohen Sicherheits- und Schutzmassnahmen in Bezug auf die Mitarbeitenden (u. a. Verwendung von Tarnidentitäten und/oder Legendierung, um die Zugehörigkeit zum NDB zu verbergen) und die (legendierten) Arbeitsplätze, die legendierten Finanzflüsse, die für das Verbergen der Herkunft der Gelder notwendig sind, die Verpflichtungen zum Quellenschutz usw. Die Risiken in diesen Bereichen sind vielfältig und entwickeln sich ständig weiter, was eine jährliche Prüfung durch die AB-ND rechtfertigt.

Im Hinblick auf die Transformation und die strategische Neuausrichtung des NDB war es das Hauptziel der AB-ND, eine Standortbestimmung des Bereichs HUMINT vor der Transformation vorzunehmen. Im Rahmen der Prüfung 23-12 interessierte sie sich daher insbesondere für die Entwicklung des Quellenportfolios, sei es in strategischer Hinsicht, in Bezug auf die Mitarbeitenden des Bereichs HUMINT, die Entwicklungs- und Lernkapazitäten oder auch die laufenden Projekte. Die Prüfung bot auch die Gelegenheit, vor der Transformation des NDB eine Momentaufnahme der Funktionsweise und der Schwierigkeiten des Bereichs HUMINT zu erstellen. Zu diesem Zweck wurden alle Mitarbeitenden des Bereichs HUMINT mündlich und schriftlich befragt. Auch wenn die Mitarbeitenden im Grossen und Ganzen mit ihrer Arbeit zufrieden und sehr motiviert sind, werden einige bereits bestehende und von der AB-ND bereits festgestellte Schwierigkeiten durch die Transformation des NDB noch verschärft.

«Insgesamt verfügt der Bereich HUMINT über die notwendigen Fähigkeiten, Ideen, personellen Ressourcen und die erforderliche Motivation, um Lösungen für die aktuellen Probleme zu finden.»

Die Entwicklung und die Digitalisierung der Gesellschaft im Allgemeinen sind ebenfalls Faktoren, die den Druck auf die klandestinen Bereiche erhöhen. Laufende Projekte wie eine neue Ausbildung für die Quellenführenden oder ein neues System zur Verwaltung der Dokumentation sollen Lösungen bringen. Insgesamt verfügt der Bereich HUMINT über die notwendigen Fähigkeiten, Ideen, personellen Ressourcen und die erforderliche Motivation, um Lösungen für die aktuellen Probleme zu finden. Die AB-ND hat zwei Empfehlungen ausgesprochen, die sich auf das Personalmanagement und die Bewertung der von den Quellen gelieferten Informationen beziehen.

Schliesslich ergab die Prüfung, dass die ausgewählten und geprüften Dossiers rechtskonform geführt und angemessen dokumentiert werden.

[23-13] Der Einsatz virtueller Agentinnen und Agenten (VirtA) im NDB

Die weltweite Bedrohungslage hat sich verändert. Im Bereich Terror und gewalttätiger Extremismus hat sich die Kommunikation von öffentlichen Plattformen wie Facebook hin zu verschlüsselten Kommunikationsdiensten und geschlossenen Gruppen verlagert.

Aufgrund dieser neuen Ausgangslage verliert z. B. das vom NDB durchgeführte Internet-Monitoring durch den Einsatz virtueller Tarnidentitäten (VTI) im Bereich Terror und gewalttätiger Extremismus an Wirkung, da mit diesem Instrument vor allem der öffentliche Raum abgedeckt wird und der Zugang zu Kommunikationsdiensten und geschlossenen Gruppen nicht möglich ist. Um in diese Dienste und Gruppen vorstossen zu können, benötigt der NDB VirtA. Diese erarbeiten sich durch Kontaktaufnahme mit potenziellen Zielpersonen ausreichend Vertrauen, um Zutritt zu diesen geschlossenen Foren zu erhalten.

Aus diesem Grund prüfte die AB-ND, ob für den Einsatz von VirtA der rechtliche Rahmen klar definiert und den involvierten Mitarbeitenden bekannt ist. Zudem wurde überprüft, ob der Aufbau und Einsatz von VirtA im NDB zweckmässig erfolgte.

Die AB-ND prüfte des Weiteren, ob der NDB über die technischen und organisatorischen Rahmenbedingungen verfügte, um mit dem Einsatz von VirtA wirksame nachrichtendienstliche Erfolge zu erzielen bzw. die Erfolgschancen von vornherein korrekt einzuschätzen.

[24-5] Operationen, operative Abklärungsbedürfnisse und genehmigungspflichtige Beschaffungsmassnahmen des NDB

Die AB-ND prüft die Sicherstellung der Rechtmässigkeit, Zweckmässigkeit und Wirksamkeit von OP in der neuen Organisationsstruktur. Sie überprüft dabei eine ausgewählte Anzahl von nachrichtendienstlichen OP und OPAB auf Rechtmässigkeit, Zweckmässigkeit und Wirksamkeit. Weiterhin prüft die AB-ND anhand einer ausgewählten Anzahl von genehmigten und freigegebenen Beschaffungsmassnahmen deren entscheidkonforme Umsetzung.

[24-6] Menschliche Quellen (HUMINT) im NDB

Die AB-ND prüft zwei Hauptaspekte. Zum einen geht es um die Weiterverfolgung der Prüfung 23-12 und um die Frage, wie der NDB einige der vom AB-ND in diesem Bericht angesprochenen kritischen Punkte aufgegriffen und umgesetzt hat. Zum anderen sollte geprüft werden, ob die Führung der Quellen (menschliche Quellen und Supporterinnen bzw. Supporter) dem Gesetz entspricht und ob die Dokumentierung der Aufzeichnungen über die Quellenführung rechtmässig und zweckmässig ist.

Im Bereich Ressourcen prüft die AB-ND, ob ein zweckmässiger Umgang mit Ressourcen durch die Dienste gegeben und eine wirksame nachrichtendienstliche Tätigkeit gewährleistet ist. In diesem Bereich arbeitete die AB-ND im Jahr 2024 an folgenden Prüfungen:

[24-7] Informations- und Kommunikationstechnologie- (IKT)-Inventar im NDB

Im IKT-Bereich ist es aus verschiedenen Gründen wichtig, dass eine Organisation über eine Übersicht der genutzten Hardware verfügt. Die Übersicht hilft, Hardwarekomponenten über ihren gesamten Lebenszyklus hinweg zu verwalten und damit den optimalen Ressourceneinsatz sicherzustellen. Weiterhin verhindert eine systematische Inventarisierung, dass in der Organisation Hardware von nicht berechtigten Personen beschafft und genutzt wird. Gerade der letzte Punkt birgt für den NDB sowohl ein Reputationsrisiko als auch das Risiko, dass Daten aufgrund fehlender Kontrollmechanismen unrechtmässig bearbeitet werden.

Die AB-ND prüft deshalb, ob der NDB über ein Inventar seiner Hardware verfügt und dieses wirksam und zweckmässig geführt wird, mit dem Ziel, unautorisierte Beschaffung und Verwendung von Hardwarekomponenten zu erkennen und zu verhindern.

Die Prüfung fokussiert nicht auf das gesamte IKT-Inventar des NDB, sondern nur auf die rechenzentrumsnahe IT-Hardware, welche im Zusammenhang mit der nachrichtendienstlichen Datenerfassung und -bearbeitung genutzt wird.

[24-8] Incident- und Riskmanagement im MND

Die Durchführung von nachrichtendienstlichen Tätigkeiten ist aufgrund ihres oftmals verborgenen Charakters mit Risiken behaftet. Diese Tätigkeiten können in erster Linie die Organisation der Arbeiten betreffen, was sich beispielsweise in einem ungewollten Informationsabfluss und den damit verbundenen Sicherheits- und Reputationsrisiken äussern kann. Aber auch rechtliche oder politische Aspekte sind mit Risiken behaftet und müssen vom jeweiligen durchführenden Dienst verantwortet werden. Hierbei spielt das Riskmanagement eine entscheidende Rolle. Es gibt zunächst Auskunft darüber, ob die Risiken einer Organisation identifiziert sind und ob geeignete Massnahmen definiert sind, die einerseits zu einer Verringerung von Risiken führen und anderseits helfen, im Falle der Realisierung eines Risikos die daraus entstehenden Schäden zu begrenzen. Hier spielt die Frage eine Rolle, wie die Organisation mit Vorfällen umgeht, die bereits erkannte Risiken oder die allgemeine Sicherheit der Organisation betreffen (Incidentmanagement).

Ein fehlendes oder ein unvollständiges Riskmanagement kann dazu führen, dass ein Nachrichtendienst seine Aufgaben hinsichtlich der Informationsbeschaffung nur bedingt durchführen kann und an Wirksamkeit und Zweckmässigkeit verliert. Dadurch könnten im schlechtesten Fall die Leistungen des MND für die Schweizer Armee nicht mehr erbracht werden.

Aus diesem Grund entschied sich die AB-ND, das Risk- und Incidentmanagement im MND zu prüfen.

Im Bereich des Riskmanagements stellte die AB-ND fest, dass der MND über eine vollständige Übersicht der wichtigsten Risiken verfügt. Ein optimales Riskmanagement setzt aber auch die aktive Pflege der Risiken in Form einer strukturierten Vorgehensweise voraus. Hierunter fallen unter anderem die Aktualisierung der gültigen Dokumente sowie der regelmässige Austausch über die Risikoentwicklung und die Massnahmendiskussion. Aus Sicht der AB-ND findet dies beim MND derzeit noch zu wenig statt; dies soll sich aber bereits planmässig für das Jahr 2024 mit einer neuen Risikokonzeption ändern.

«Daher ist die AB-ND ist zum Schluss gekommen, dass bei der Überarbeitung der Risikokonzeption auch Übungsszenarien, wie mit schweren Sicherheitsvorfällen umzugehen ist, Platz finden sollten.»

Hinsichtlich des Incidentmanagements kann aus Sicht der AB-ND davon ausgegangen werden, dass sicherheitsrelevante Vorfälle, die möglicherweise die aus den nachrichtendienstlichen Tätigkeiten des MND entstehenden Risken, vergrössern oder realisieren, vom MND strukturiert erfasst werden. Auch der Umgang des MND mit diesen Vorfällen und die Widerspiegelung im Riskmanagement sind aus Sicht der AB-ND gegeben. Tatsächlich hatte der MND bisher nur mit relativ wenigen Incidents zu tun, was wiederum die Gefahr erhöht, sich in scheinbarer Sicherheit zu wiegen. Daher ist die AB-ND zum Schluss gekommen, dass bei der Überarbeitung der Risikokonzeption auch Übungsszenarien, wie mit schweren Sicherheitsvorfällen umzugehen ist, Platz finden sollten.

Aufgrund der Reife des Riskmanagements, der relativ wenigen eher leichten sicherheitsrelevanten Vorfälle und der Tatsache, dass die Angehörigen des MND aufgrund ihrer militärischen Ausrichtung ein erhöhtes Risikobewusstsein an den Tag legen, verzichtete die AB-ND auf die Formulierung von Empfehlungen.

Die AB-ND prüft im Bereich Datenbearbeitung und Archivierung insbesondere die Rechtmässigkeit der Informationsbearbeitung, da die Sensibilität der von den Diensten bearbeiteten Informationen hoch ist und die rechtlichen Vorgaben ebenso umfassend wie komplex sind. Die AB-ND arbeitete 2024 in diesem Bereich an folgenden Prüfungen:

[22-15] Open-Source-Intelligence (OSINT) im NDB

OSINT ist ein sich rasch entwickelnder Bereich der nachrichtendienstlichen Informationsbeschaffung. Aus der Verknüpfung von unendlich vielen öffentlich zugänglichen Daten (Open-Source-Information (OSINF)) entstehen für Nachrichtendienste fast endlose Möglichkeiten der Informationsgewinnung. Die Analyse dieser OSINF mit dem Ziel, daraus nützliche Informationen zu gewinnen, wird als OSINT bezeichnet. OSINT ist eine genehmigungsfreie Beschaffungsmassnahme gemäss Art. 13 NDG, die es dem NDB ermöglicht, in einer grossen Menge von Informationen nach nachrichtendienstlich relevanten Informationen zu suchen. OSINT entwickelt sich ständig weiter und es stellen sich in der internationalen Nachrichtendienst-Gemeinschaft rechtliche und ethische Fragen. So wird bspw. die Abgrenzung von OSINT zu HUMINT insbesondere in Bezug auf den aktiven Einsatz von virtuellen Identitäten im Umgang mit Zielpersonen oder zur Beschaffung von illegal im Internet angebotenen Datensätzen (Leaks) thematisiert. Entsprechend entschied die AB-ND, die Risiken im Umgang mit OSINT im NDB zu prüfen.

Gemäss Art. 13 NDG gelten als öffentliche Informationsquellen namentlich öffentlich zugängliche Medien, öffentlich zugängliche Register von Behörden des Bundes und der Kantone, von Privaten öffentlich zugänglich gemachte Datensammlungen oder in der Öffentlichkeit vorgetragene Äusserungen. Die Grenze zwischen OSINT und GeBM ist nicht immer klar ersichtlich und wird auch bei Partnerdiensten des NDB und ausländischen Aufsichtsbehörden diskutiert. Besteht kein einheitliches Verständnis über diese Grenzen, entsteht das Risiko einer unrechtmässigen Informationsbeschaffung. Aus den geführten Interviews mit Mitarbeitenden aus dem Ressort OSINT im NDB ging hervor, dass sich diese darüber im Klaren sind, dass sie sich in Bezug auf OSINT in einer komplexen rechtlichen Lage bewegen. Es gebe jedoch keine Kriterien oder strukturierte Richtlinie dafür, was OSINT sei und wo der rechtliche Rahmen von OSINT verlassen werde. Der Einsatz verschiedener Beschaffungsmassnahmen im Bereich OSINT ist im NDB demnach nicht klar und einheitlich geregelt. Die AB-ND formulierte eine Empfehlung, den rechtlichen Rahmen für die konkreten operativen Handlungen bei OSINT-Beschaffungen des NDB und einheitliche Regeln für den Umgang mit OSINT festzulegen.

Die AB-ND prüfte ausgewählte OSINT-Beschaffungen, woraus sich keine Hinweise auf eine unrechtmässige Informationsbeschaffung ergaben. Der NDB ist gesetzlich verpflichtet, mit Hilfe einer systematischen Geschäftsverwaltung den Nachweis über die eigene Geschäftstätigkeit zu führen. Alle geschäftsrelevanten Unterlagen müssen im Geschäftsverwaltungssystem (GEVER) des NDB registriert und abgelegt werden. In einzelnen Fällen war die Dokumentation der OSINT-Abklärungen lückenhaft und entsprach nicht den geltenden Vorgaben in der Bundesverwaltung, was eine Beurteilung der Rechtmässigkeit durch die AB-ND unmöglich machte. Die AB-ND formulierte diesbezüglich eine Empfehlung.

Um nachrichtendienstlich relevante Informationen aus der riesigen Datenmenge im öffentlichen Bereich des Internets auf eine zweckmässige und wirksame Art generieren zu können, kommen sogenannte OSINT-Tools zum Einsatz. Der NDB setzt sowohl kommerzielle Standardprodukte als auch Eigenentwicklungen ein. Mit diesen Tools führt der NDB u. a. mit dem Einsatz von VTI sowohl ein permanentes Monitoring als auch gezielte Abfragen durch. Diese VTI weisen durch ihren nachrichtendienstlichen Einsatz Auffälligkeiten auf und könnten deshalb durch andere Stellen als potenzielle Ziele eingestuft und in den Fokus von bspw. ausländischen Partnerdiensten geraten. Um diesem Risiko entgegenzuwirken regte die AB-ND an, sicherzustellen, dass der NDB und mindestens die KND sich gegenseitig über ihre eingesetzten VTI informieren.

Für die anonymisierte OSINT-Informationsbeschaffung setzt der NDB eine spezielle IT-Infrastruktur ein. Diese Infrastruktur weist Sicherheitsmängel auf und müsste zeitnah ersetzt oder abgelöst werden. Die AB-ND formulierte eine entsprechende Empfehlung.

Die Verifizierung von Erkenntnissen aus OSINT-Recherchen ist nicht immer einfach, insbesondere bei Informationen, die aus dem Darknet generiert werden. Es gehört gemäss NDB zum nachrichtendienstlichen Geschäft, den Informationen mit einem gesunden Misstrauen zu begegnen. Kann eine Information nicht verifiziert und deren Wahrheitsgehalt beziffert werden, wird dies in den OSINT-Berichten ausgewiesen. Die Problematik der Quellenverifizierung, die beispielsweise eine wichtige Rolle für die Erkennung und Offenlegung von Fake News spielt, ist insbesondere beim Einsatz von komplexen kommerziellen OSINT-Tools bekannt und wird auch innerhalb der Nachrichtendienst-Gemeinschaft immer wieder thematisiert.

Neben dem NDB führen auch KND OSINT-Abklärungen durch. Die AB-ND prüfte mögliche Doppelspurigkeiten und Ineffizienzen. Sie kam zum Schluss, dass die beiden Stellen bezüglich der Risiken sensibilisiert sind und bspw. in einem neu geschaffenen Gefäss einen regelmässigen Austausch zur OSINT-Thematik sicherstellen.

Das Informationssystem OSINT-Portal dient dem NDB zur internen Bereitstellung von Daten aus öffentlich zugänglichen Quellen. Aus den Prüfhandlungen ergaben sich für die AB-ND keine Hinweise auf eine Verletzung der Zweckmässigkeit oder Wirksamkeit der Datenhaltung im OSINT-Portal. Das Risiko einer unrechtmässigen Verlängerung der Aufbewahrungsfrist durch fälschlicherweise als OSINT markierte Daten, die über andere Sensoren generiert wurden, ist nicht gegeben, da die OSINT-Daten eine kürzere Aufbewahrungsfrist aufweisen.

[22-18] Datenbeschaffung durch CYBER NDB

Die zeitintensiven Prüfhandlungen zu den weiterhin offenen Fragen bezüglich unrechtmässiger Informationsbeschaffung durch das Ressort Cyber im NDB wurden im Berichtsjahr abgeschlossen. Da sich auch die Berichtsredaktion als ausgesprochen aufwendig erwies, konnte bis zum Redaktionsschluss für den Tätigkeitbericht erst der Vernehmlassungsprozess des Berichts initiiert werden. Daher kann hier noch nicht näher auf den Sachverhalt und die Prüfergebnisse eingegangen werden. Die AB-ND plant, die Zusammenfassung über die Prüfung im Jahr 2025 auf ihrer Website zu veröffentlichen und im nächsten Tätigkeitsbericht ausführlich darüber zu berichten.

[23-16] Informationssysteme, Speichersysteme und Datenablagen ausserhalb von Art. 47 NDG

Seit ihrer Gründung kontrolliert die AB-ND regelmässig die Informationssysteme des NDB. Die Datenbearbeitung ist die Grundlage für die Tätigkeit des Nachrichtendienstes. Wenn die Daten nicht korrekt verarbeitet werden und die Daten den Mitarbeitenden nicht für die Analyse und Beurteilung der sicherheitspolitischen Lage zur Verfügung stehen, kann dies die Aufgabenerfüllung des NDB beeinträchtigen. Mit der Schaffung des NDG wurden die Informationssysteme, die dem NDB für seine nachrichtendienstlichen Tätigkeiten dienen, erstmals an einer einzigen Stelle geregelt, nämlich in Art. 47 NDG.

Im Laufe ihrer Kontrolltätigkeit stellte die AB-ND fest, dass es neben den in Art. 47 NDG aufgeführten Informationssystemen noch weitere gibt. Ob die Systeme in der Liste gemäss Art. 47 NDG abschliessend aufgezählt werden, war bereits bei der Schaffung des NDG umstritten. Die AB-ND wollte diese Rechtsfrage klären und kam zu dem Schluss, dass die Aufzählung in Bezug auf Daten in Systemen der nachrichtendienstlichen Tätigkeiten im engeren Sinne abschliessend ist. Diese müssen nämlich in einem der in Art. 47 NDG vorgesehenen Informationssysteme gespeichert werden.

Die AB-ND untersuchte daraufhin, welche anderen Systeme aus welchen Gründen verwendet werden, und versuchte, festzustellen, ob die gesetzlichen Grundlagen genügen. Sie kam zu dem Schluss, dass die einschlägigen Rechtsgrundlagen für den Betrieb der anderen Systeme und Datenbanken ausreichen.

«Bei dieser Inspektion wurde festgestellt, dass die Übersicht über die Systeme, die ausserhalb von Art. 47 NDG betrieben werden, ordnungsgemäss aktualisiert und gepflegt werden muss. Diese Übersicht muss zwischen der Direktion, der Qualitätskontrolle und den technischen Teams geteilt werden, um sicherzustellen, dass Kontrollen durchgeführt und die Daten angemessen aufbewahrt werden können.»

Bei so vielen vom NDB betriebenen Systemen muss eine vollständige und korrekte Verwaltung jedes einzelnen Systems sichergestellt werden. Insbesondere muss man einen korrekten und aktuellen Überblick über sie haben, um sicherzustellen, dass die Datenbearbeitung jederzeit rechtmässig ist. Bei dieser Inspektion wurde festgestellt, dass die Übersicht über die Systeme, die ausserhalb von Art. 47 NDG betrieben werden, ordnungsgemäss aktualisiert und gepflegt werden muss. Diese Übersicht muss zwischen der Direktion, der Qualitätskontrolle und den technischen Teams geteilt werden, um sicherzustellen, dass Kontrollen durchgeführt und die Daten angemessen aufbewahrt werden können. Zu diesem Thema formulierte die AB-ND eine Empfehlung.

[24-9] Stichprobe Informations- und Analyse-System All source Integrales Control-Center (IASA-ICC)

Die AB-ND überprüft auf der Basis von Stichproben und Interviews die Rechtmässigkeit, Zweckmässigkeit und Wirksamkeit der in der IASA-ICC enthaltenen Daten.

[24-10] Abfragen von Informationssystemen Dritter durch den NDB

Die AB-ND prüft, ob die Zugriffe auf ausgewählte Informationssysteme Dritter und die entsprechenden Abfragen durch den NDB rechtmässig und zweckmässig erfolgen.