Lexipedia

Kuprecht Alex · Ständerat · 2017-03-16

Kuprecht Alex · Ständerat · Schwyz · Fraktion der Schweizerischen Volkspartei · 2017-03-16

Wortprotokoll

Ich gestatte mir als Präsident der Geschäftsprüfungsdelegation, Bericht zu erstatten. Ich werde über fünf Themen sprechen: erstens über die regelmässigen Geschäfte, die wir beaufsichtigen; zweitens über die Informationssysteme des Nachrichtendienstes des Bundes (NDB); drittens über das Informationssystem innere Sicherheit (Isis); viertens über die Vorbereitung zum neuen Nachrichtendienstgesetz; und fünftens gestatte ich mir eine Bemerkung zum Fall Ruag.

Die Geschäftsprüfungsdelegation beaufsichtigt den zivilen NDB, aber auch die nachrichtendienstlichen Tätigkeiten der Armee, insbesondere diejenigen des Militärischen Nachrichtendienstes, sowie das Zentrum für elektronische Operationen. Der Oberaufsicht der Geschäftsprüfungsdelegation unterstehen zudem die gerichtspolizeilichen Verfahren der Bundesanwaltschaft im Bereich des Staatsschutzes.

Aufgrund von Gesetz und Verordnung nimmt die Geschäftsprüfungsdelegation jedes Jahr eine Vielzahl von Aufsichtsberichten zur Kenntnis und beurteilt sie aus der Perspektive der Oberaufsicht. So durfte die Geschäftsprüfungsdelegation im vergangenen Jahr feststellen, dass die jährliche Berichterstattung des NDB über die Operationen dank eines neuen Beurteilungsrasters spürbar an Nutzen für die Aufsichtsorgane gewonnen hat. Es ist der Geschäftsprüfungsdelegation deshalb ein Anliegen, dass diese Qualität auch unter dem neuen Nachrichtendienstgesetz beibehalten wird. Dasselbe gilt für die Unterlagen über die Auslandkontakte, die dem Bundesrat als Grundlage für die jährliche Genehmigung dieser Kontakte dienen.

Die Geschäftsprüfungsdelegation wird jedes Jahr über die völkerrechtlichen Verträge informiert, welche der Bundesrat in eigener Kompetenz abgeschlossen hat und aus Geheimhaltungsgründen nicht publiziert. Im Mai 2016 wies die Delegation den Bundesrat auf verschiedene Probleme hin, die sie bei den gesetzlichen Vorgaben, aber auch bei der praktischen Erfüllung dieser Berichterstattung erkannt hat. Im Dezember 2016 versicherte der Bundesrat der Geschäftsprüfungsdelegation seine Bereitschaft, Artikel 48 des Regierungs- und Verwaltungsorganisationsgesetzes anzupassen und zukünftig eine zentralisierte Liste mit den geheimen internationalen Verpflichtungen, welche die Eidgenossenschaft eingegangen ist, zu führen. Diese Liste soll der Geschäftsprüfungsdelegation nun jedes Jahr zur Kenntnis gebracht werden.

Ich komme zu den Informationssystemen des NDB. Ein zentrales Thema der Geschäftsprüfungsdelegation ist die Oberaufsicht über Personendaten im NDB. Für zwei wichtige Datenbanken des NDB werden die bestehenden Ansätze für die Qualitätssicherung in Isis und im Informationssystem äussere Sicherheit (Isas) auch unter dem Nachrichtendienstgesetz ihre Gültigkeit behalten.

Aufgrund der Revision des Bundesgesetzes über die Zuständigkeiten im Bereich des zivilen Nachrichtendienstes war der Nachrichtendienst des Bundes ab dem 1. November 2014 verpflichtet, nicht nur in Isis, sondern auch in Isas die Daten jeder registrierten Person und Organisation periodisch einer Qualitätskontrolle zu unterziehen. Die dazugehörende Programmfunktion wurde allerdings erst Mitte 2015 in Isis implementiert, und die Geschäftsprüfungsdelegation stellte im August darauf fest, dass mehr als 5000 Einträge, die bereits hätten überprüft werden müssen, noch nicht kontrolliert waren. Bis zum Februar 2016 stieg die Zahl der pendenten Überprüfungen weiter auf über 8000 an. Im Mai des letzten Jahres bat die Geschäftsprüfungsdelegation deshalb den Chef VBS, alle ausstehenden Qualitätskontrollen in Isas innert nützlicher Frist erledigen zu lassen, vorzugsweise vor der Inkraftsetzung des Nachrichtendienstgesetzes. Die Geschäftsprüfungsdelegation verlangte zudem, dass sie quartalsweise über die Zahl der in Isas abgebauten und noch ausstehenden Pendenzen bei den periodischen Qualitätskontrollen informiert wird.

Nach einem weiteren Briefwechsel mit der Geschäftsprüfungsdelegation stimmte der Chef VBS im September 2016 nicht nur einem Abbau der Pendenzen bis Mitte 2017 zu, sondern auch der Erstellung der Kennzahlen für die Geschäftsprüfungsdelegation. In der Folge lieferte der NDB die Kennzahlen für das dritte und später für das vierte Quartal. Als der NDB für Ende September vermelden konnte, dass die bisherigen Pendenzen abgebaut werden, wertete dies die Geschäftsprüfungsdelegation als wichtigen Schritt, um einen gesetzeskonformen Datenbestand in Isas zu garantieren.

Etwas problematischer war dagegen die Meldung, dass der NDB innert zwei Quartalen rund 145 000 Personen und Organisationen einer Gesamtbeurteilung unterzogen hat. Diese Zahl lag substanziell über der Anzahl Überprüfungen, [PAGE 283] welche allein aufgrund der rechtlichen Vorgaben hätten vorgenommen werden müssen. Zudem wurde in Isas pro Monat ein Vielfaches der Überprüfungen durchgeführt, die erfahrungsgemäss in einem vergleichbaren Zeitraum in Isis geleistet werden konnten. Während bei den Kontrollen in Isis eine Löschquote von 30 Prozent die Regel ist, wurde in Isas nur 1 Promille der überprüften Fälle gelöscht. Für die Oberaufsicht stellt sich somit die Frage, ob die Datenschutzkontrolle in Isas mit der notwendigen Sorgfalt durchgeführt worden war. Die Geschäftsprüfungsdelegation beschloss deshalb, im ersten Halbjahr 2017 mit dem VBS die Qualität und Quantität der periodischen Überprüfungen in Isas nochmals zu besprechen.

Im Jahre 2015 hat der NDB die Geschäftsprüfungsdelegation über seine Absicht informiert, eine Freitextsuche über die Meldungen - und das ist neu - zu ermöglichen. Als Oberaufsicht vertritt die Geschäftsprüfungsdelegation den Standpunkt, dass primär der NDB in der Pflicht stand sicherzustellen, dass bei der Erweiterung der Abfragemöglichkeiten in Isis der gesetzliche Rahmen respektiert wird. Gleichzeitig rief die Delegation dem Direktor des NDB die relevanten Artikel des Bundesgesetzes über Massnahmen zur Wahrung der inneren Sicherheit (BWIS) in Erinnerung und verwies auf zwei relevante Gutachten, welche das Bundesamt für Justiz für die Geschäftsprüfungsdelegation erstellt hatte.

Im März 2016 informierte der Direktor des NDB die Geschäftsprüfungsdelegation schriftlich, dass der NDB ab dem 1. Mai 2016 die Freitextsuche in Isis einführen werde. Anders als im Jahr 2015 ursprünglich geplant, wollte der NDB jedoch nur jene Isis-Meldungen einer Freitextsuche zugänglich machen, die nach dem 1. Mai 2016 erfasst werden. Ab diesem Zeitpunkt sollten die eingegangenen Meldungen auf Informationen geprüft werden, die den Schranken gemäss Artikel 3 BWIS unterliegen. Artikel 3 BWIS verlangt, dass Informationen über die Ausübung der politischen Rechte nur in Ausnahmefällen personenbezogen erschlossen werden. In allen anderen Fällen sollten deshalb solche Informationen zukünftig anonymisiert werden, damit sie nicht über eine Freitextsuche gefunden werden können.

Ich komme zu den Vorbereitungen auf das Nachrichtendienstgesetz: Das Nachrichtendienstgesetz wird dem NDB grundlegend neue Möglichkeiten zur Informationsbeschaffung bieten, die auch die parlamentarische Oberaufsicht vor ganz neue Herausforderungen stellen werden. Es war deshalb ein Ziel der Delegation, sich im Jahre 2016 speziell mit den zukünftigen Informationsbeschaffungsmitteln des NDB vertraut zu machen. Die Delegation liess sich deshalb von den Strafverfolgungsbehörden über den Einsatz von Trojanern und Imsi-Catchern informieren. Der zuständige Dienst des EJPD wiederum erklärte der Geschäftsprüfungsdelegation die Telefonüberwachung nach dem Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs.

Unter dem Nachrichtendienstgesetz wird das Bundesverwaltungsgericht die genehmigungspflichtigen Massnahmen zur Informationsbeschaffung bewilligen. Grundsätzlich wird das Gericht auch die Kategorien der Suchbegriffe genehmigen, die der NDB für die Kabelaufklärung verwendet. Im November 2016 führte die Geschäftsprüfungsdelegation mit Vertretern des Bundesverwaltungsgerichtes eine erste Aussprache über die praktischen Fragen, die sich bei der Vorbereitung auf die neue Aufgabe stellen. Wir haben einen sehr positiven Eindruck von dieser Vorgehensweise beim Bundesverwaltungsgericht erhalten.

Die Unabhängige Kontrollinstanz, die zurzeit die Funkaufklärung kontrolliert, wird unter dem Nachrichtendienstgesetz zukünftig auch die Durchführung der Kabelaufklärung überprüfen. Deshalb verlangte die Geschäftsprüfungsdelegation vom Bundesrat Auskunft über den zukünftigen Ressourcenbedarf der Unabhängigen Kontrollinstanz. Die Antwort, welche die Geschäftsprüfungsdelegation im Juni 2016 erhielt, konnte dazu jedoch noch keine genauen Angaben liefern.

Ich komme zum Schluss und zum Fall Ruag: Nachdem im Januar 2016 ein Cyberspionageangriff auf die Ruag entdeckt worden war, informierte das VBS umgehend die Geschäftsprüfungsdelegation. Die Bewältigung des Vorfalls durch die Bundesbehörden war in den folgenden Monaten ein ständiges Traktandum der Geschäftsprüfungsdelegation. Die Delegation hörte dazu die Vorsteher des VBS und des EFD an und traf sich zweimal mit dem Sicherheitsausschuss des Bundesrates. Die Delegation begrüsste es, dass sich ein Ausschuss des Bundesrates bereits frühzeitig mit dem Fall befasst hatte.

Was die Federführung der Kerngruppe Sicherheit auf Stufe Verwaltung betraf, so fehlten aus Sicht der Geschäftsprüfungsdelegation diesem Gremium die nötigen Fachkenntnisse, um die Bedrohungslage innerhalb der Netze des Bundes und der Armee adäquat beurteilen zu können. Nach Einschätzung der Geschäftsprüfungsdelegation wäre es deshalb zweckmässiger gewesen, sich auf die ordentlichen Strukturen zur Bewältigung eines Cybervorfalls, bei denen das EFD die Federführung hat, zu verlassen.

Nachträglich zog der Sicherheitsausschuss des Bundesrates zwar den Chef EFD bei; dies war jedoch institutionell problematisch, denn mit vier anwesenden Bundesräten war der Sicherheitsausschuss des Bundesrates bzw. der Gesamtbundesrat im Prinzip bereits beschlussfähig. Die Geschäftsprüfungsdelegation regte deshalb an, dass die zukünftigen Informatikzwischenfälle vom direkt betroffenen Departement und vom EFD zwingend behandelt werden sollten, allenfalls über einen ad hoc zu schaffenden bundesrätlichen Ausschuss, welcher den Fall bearbeiten würde. Da im Mai 2016 der Vorfall öffentlich bekanntgeworden war, sah die Geschäftsprüfungsdelegation auch die Zeit gekommen, die Oberaufsicht über die Umsetzung der notwendigen Massnahmen bei der Armee und bei der Ruag der Subkommission EDA/VBS der GPK-NR zu überlassen, welche seit 2015 bereits die Umsetzung der nationalen Cyberstrategie begleitet.

So weit meine Ausführungen aus der Geschäftsprüfungsdelegation und insbesondere auch zum Fall Ruag.