Aufsichtstätigkeiten

Im Bereich Strategie und Planung prüft die AB-ND Themen, welche die kurz-, mittel- oder langfristige strategische Planung durch die nachrichtendienstlichen Behörden der Schweiz sowie deren Zielsetzungen betreffen. Im Berichtsjahr arbeitete die AB-ND an folgenden Prüfungen:

[24-1] Künstliche Intelligenz (KI) beim NDB

Die AB-ND prüft unter dem Aspekt der Rechtmässigkeit, Wirksamkeit und Zweckmässigkeit, ob der NDB diese Technologie ordnungsgemäss erwirbt, nutzt und kontrolliert.

[25-1] Abwehr des gewalttätigen Linksextremismus durch den NDB

Die AB-ND prüfte die Tätigkeiten des NDB im Bereich der Abwehr des linksextremen Gewaltextremismus, nachdem sie sich 2021 mit der Abwehr des rechtsextremen Gewaltextremismus durch den NDB befasst hatte.

Sie hat Kader und Mitarbeitende des NDB, die in diesem Bereich tätig sind, sowie Vertreterinnen und Vertreter zweier kantonaler Nachrichtendienste und ein Kadermitglied beim Bundesamt für Polizei fedpol angehört. Ausserdem hat sie eine Stichprobenkontrolle der Informationsbeschaffungsaufträge durchgeführt, die der NDB an seine eigenen Sensoren oder an seine Partner erteilt. Ein operatives Abklärungsbedürfnis wurde ebenfalls berücksichtigt. Ziel war es, einen Überblick über die Aktivitäten des NDB zur Verhinderung des gewalttätigen Linksextremismus zu erstellen.

Besonderes Augenmerk wurde auf den rechtlichen Rahmen dieser Aktivitäten gelegt. Es wurde überprüft, ob die Grundrechte der Zielpersonen gemäss dem Nachrichtendienstgesetz (NDG) gewahrt sind. Die Informationsbeschaffung im Bereich des gewalttätigen Extremismus unterliegt strengen Regeln, die dem NDB die Bearbeitung von Informationen beispielsweise nur dann erlauben, wenn ein Zusammenhang mit der Anwendung von Gewalt besteht. Damit soll die Wahrung der Grundrechte der Bevölkerung dieses Landes gewährleistet werden. Der NDB ist daher auch nicht befugt, in diesem Zusammenhang genehmigungspflichtige Beschaffungsmassnahmen durchzuführen.

Der NDB beobachtet die Entwicklung der gewalttätigen linksextremen Szene. Sofern bestimmte Kriterien erfüllt sind, ist der Dienst berechtigt, Gruppierungen dieser Szene auch im Rahmen der Terrorismusbekämpfung zu erfassen. Die AB-ND stellte fest, dass der NDB dafür eine rechtmässige und angemessene Praxis entwickelt hat, die auch die Möglichkeit umfasst, einen Genehmigungsantrag an die politischen und gerichtlichen Behörden zu stellen.

« Der NDB ist im Bereich des gewalttätigen Linksextremismus aufgrund der begrenzten Ressourcen im Verhältnis zur aktuellen Bedrohungslage nicht in der Lage seinen Auftrag optimal zu erfüllen. »

Zudem prüfte die AB-ND, ob der NDB seinen Auftrag im Bereich der Bekämpfung des linksextremen Gewaltextremismus erfüllt. Dieser Auftrag umfasst insbesondere die Informationsbeschaffung zur Verhinderung der Verwirklichung von Bedrohungen durch linksextreme Gewalt sowie die Lagebeurteilung. Die AB-ND prüfte die Rolle des NDB gegenüber seinen nationalen Partnern und stellte eine Verschlechterung der Zusammenarbeit fest. Während der Prüfung stellte der NDB zusätzliches Personal ein. Die AB-ND ist trotzdem der Auffassung, dass der NDB aufgrund der begrenzten Ressourcen im Verhältnis zur aktuellen Bedrohungslage im Bereich des gewalttätigen Linksextremismus in der Schweiz nicht in der Lage ist, seinen Auftrag optimal zu erfüllen. Er nutzt nicht alle gemäss Nachrichtendienstgesetz zur Verfügung stehenden Mittel, was ein Problem hinsichtlich der zweckmässigen und wirksamen Auftragserfüllung darstellt. Die AB-ND hat diesbezüglich eine Empfehlung ausgesprochen.

[25-2] Informatikprojektportfolio beim NDB

Ein IT-Projektportfolio ermöglicht die Erfassung aller Informationen zu laufenden oder geplanten Projekten im Bereich der Informationstechnologie einer Verwaltungseinheit. Die Verwaltung von Projekten kann durch dieses Instrument vereinfacht werden.

Beim NDB kann ein Projekt insbesondere neue IT-Anforderungen im Zusammenhang mit der Beschaffung, Verarbeitung, Analyse oder Übermittlung von Informationen aus nachrichtendienstlicher Tätigkeit betreffen. In diesem Zusammenhang bestehen für den NDB verschiedene Risiken: Unvollständige Übersicht, unzureichende Weitergabe von Informationen an die höheren Ebenen oder mangelnde Koordination können zu einer unzureichenden und ineffizienten Umsetzung dieser Projekte führen.

Die AB-ND hat daher geprüft, ob der NDB über ein IT-Projektportfolio verfügt, und untersucht, wie dieses verwaltet wird. Dabei hat sie bewertet, ob der Dienst einen Überblick über alle seine IT-Projekte besitzt und wie die höheren Entscheidungsebenen die wichtigsten Informationen erhalten. Die AB-ND hat auch geprüft, ob die Koordination der Projekte eine effiziente Identifizierung von Synergien und Doppelspurigkeit ermöglicht.

Der NDB hat kürzlich ein innovatives Konzept für das Projektportfoliomanagement entwickelt. Darin sind neben Informatikprojekten auch andere Projekte aufgeführt, die für den Dienst von strategischer Bedeutung sind. Zudem hat er ein spezielles Gremium geschaffen, das die Umsetzung der identifizierten strategischen Bedürfnisse bewertet und priorisiert. Dank der eingeführten Prozesse kann die Leitung des NDB über die wichtigsten Informationen aus den grossen Informatikprojekten verfügen und damit ihre Verantwortung in diesem Zusammenhang wahrnehmen. IT-Projekte ohne strategische Komponente werden nicht in das Portfolio aufgenommen, weswegen sie der Leitung des NDB nicht immer zur Kenntnis gebracht werden. Somit besitzt der NDB derzeit keinen umfassenden Überblick über sein IT-Projektportfolio, das sowohl strategische als auch operative IT-Projekte umfasst. Daher stellte die AB-ND Mängel bei der effizienten Identifizierung von Synergien und Doppelspurigkeit fest. Die AB-ND hat festgestellt, dass der NDB bereits Verbesserungsmöglichkeiten für sein IT-Projektportfoliomanagement identifiziert hat und konkret an deren Umsetzung arbeitet. Die AB-ND hält diese Arbeiten für relevant und hat daher keine Empfehlung ausgesprochen.

Im Bereich Organisation und Beauftragung prüft die AB-ND die Eignung des Aufbaus sowie der Prozesse der Nachrichtendienste und hinterfragt, ob diese eine rechtmässige, zweckmässige und wirksame Erfüllung des gesetzlichen Auftrags dieser Behörden erlauben. Die AB-ND arbeitete 2025 in diesem Bereich an folgenden Prüfungen:

[24-2] Nachrichtendienstliche Tätigkeiten des DPSA

Die AB-ND prüft die Schnittstellen in der Zusammenarbeit zwischen dem NDB und dem DPSA, um nachrichtendienstliche Tätigkeiten zu identifizieren. Gestützt auf die Ergebnisse, wird die AB-ND die Rechtmässigkeit, Zweckmässigkeit und Wirksamkeit dieser Zusammenarbeit prüfen.

[24-11] Sicherheitsaspekte gemäss NDG

Der NDB ist verpflichtet, für die Sicherheit seiner Mitarbeitenden, der bearbeiteten Daten sowie seiner Einrichtungen zu sorgen. Die AB-ND prüfte bei ausgewählten Arbeitsplätzen, ob der NDB dieser Pflicht nachkommt und geeignete Sicherheitsmassnahmen ergriffen hat. Diese Arbeitsplätze wurden gestützt auf ein Konzept mit Bedarfsnachweis sowie eine Analyse der Stärken, Schwächen, Chancen und Risiken eines solchen Projekts errichtet. Das Projekt verfolgt drei Ziele: Verstärkung der Zusammenarbeit, Agilität/Attraktivität des NDB sowie betriebliches Kontinuitätsmanagement (Business Continuity Management, BCM). Die Umsetzung erfolgte Schritt für Schritt und wurde im Januar 2025 abgeschlossen.

Die AB-ND nahm an der internen Schulung teil und besichtigte die Arbeitsplätze vor Ort. Sie stellte gestützt auf die Interviews und die Dokumentation fest, dass die Sicherheit der NDB-Mitarbeitenden und der bearbeiteten Daten bei der Umsetzung im Vordergrund stand. Die gesetzten Ziele sind erreicht (BCM) oder erreichbar. Die verwendeten Mittel sind zweckmässig. Der NDB wird weiterhin die Nutzung der Arbeitsplätze überwachen und allenfalls die Sicherheitsvorkehrungen verbessern. In einigen Bereichen wird der NDB die Wirkung zu geeigneter Zeit evaluieren. Die AB-ND hat keine Beanstandungen.

Diese Prüfung stand nicht auf dem Prüfplan 2024 der AB-ND. Die Dringlichkeit der Durchführung ergab sich aus der Inbetriebnahme der Arbeitsplätze.

[25-3] Spionageabwehr im NDB

Aufgrund der Verschärfung der geopolitischen Lage hat sich die Spionagegefahr in der Schweiz erhöht. Gleichzeitig hat auch die Frustration der Mitarbeitenden des NDB während der Umstrukturierung des Dienstes zugenommen. Die AB-ND ist der Ansicht, dass diese beiden Faktoren ein erhebliches Risiko für die nachrichtendienstlichen Aktivitäten darstellen. Die Frustration der Mitarbeitenden kann nämlich u. a. von ausländischen Nachrichtendiensten instrumentalisiert werden, um klassifizierte Informationen zu stehlen oder die sicherheitspolitischen Institutionen der Schweiz zu beeinflussen. Die AB-ND hat in der Vergangenheit mehrere Empfehlungen zur Stärkung der Eigenschutzmassnahmen des NDB formuliert, die bei der vorliegenden Prüfung berücksichtigt wurden.

Die AB-ND wollte den rechtlichen Rahmen für die Spionageprävention innerhalb des NDB klären und beurteilen, ob dessen bestehende Richtlinien angemessen sind. Zum Zeitpunkt der Prüfung arbeitete das VBS an der Weiterentwicklung seiner Sicherheitsrichtlinien, insbesondere im Bereich des Informationsschutzes. Dies bedeutet, dass der NDB als Dienststelle des Departements diese Regeln bald anwenden und gegebenenfalls seine eigenen Richtlinien anpassen muss. Bis zu diesem Zeitpunkt ist die AB-ND der Ansicht, dass die internen Richtlinien und die vom NDB getroffenen Massnahmen im Einklang mit den geltenden gesetzlichen Bestimmungen stehen. Um bestimmte Massnahmen seines Sicherheitsdispositivs weiterzuentwickeln, stützt sich der NDB auch auf die Revision des NDG, nachdem Mängel festgestellt worden waren. Die AB-ND bewertet diesen Ansatz positiv.

Die Bearbeitung von Spionageverdachtsfällen ist oft multidimensional. Aspekte des Personalverhaltens und rein sicherheitsrelevante Fragen können miteinander verflochten sein. Dies bedeutet, dass die Koordination mehrerer Akteurinnen und Akteure erforderlich ist, um einen Fall in seiner Gesamtheit zu erfassen. Die AB-ND hat festgestellt, dass die Kommunikation zwischen den verschiedenen Akteurinnen und Akteuren innerhalb des Dienstes (Sicherheitspersonal, Personalwesen, direkte Vorgesetzte oder Geschäftsleitung) nun vorgesehen und möglich ist. Allerdings kann der NDB bei der Bearbeitung konkreter Fälle noch wachsamer sein. Denn selbst wenn bei bestimmten Mitarbeitenden Risikohinweise vorliegen, fällt es dem NDB schwer, eine strenge Linie zu verfolgen. Die AB-ND hat daher eine Empfehlung zu diesem Thema formuliert.

Bei der Rekrutierung wird vom NDB und der Fachstelle für Personensicherheitsprüfungen des Staatssekretariats für Sicherheitspolitik SEPOS eine umfangreiche Überprüfung durchgeführt. Die Feststellungen der internen Revision des VBS im Zusammenhang mit solchen Sicherheitskontrollen von Personen wurden im Rahmen dieser Prüfung geklärt. Daraus folgt, dass der NDB das derzeitige Verfahren noch etwas verbessern kann. Die AB-ND hat eine entsprechende Empfehlung formuliert.

Während der Anstellungsdauer der Mitarbeitenden oder bei Beendigung des Arbeitsverhältnisses werden nur wenige Massnahmen spezifisch zur Verringerung des Spionagerisikos getroffen. Obwohl bereits erhebliche Anstrengungen im Bereich der Sicherheit unternommen wurden, erwartet die AB-ND vom NDB, dass er weiterhin Lücken identifiziert und sein internes Weiterbildungs- und Sensibilisierungsprogramm verstärkt. Die AB-ND hat eine Empfehlung zu spezifischen Sicherheitsrisiken abgegeben.

Das Vorgehen des NDB im Fall eines Mitarbeiters des VBS im Ausland, dessen Verhalten als Spionage angesehen werden könnte, wurde bei dieser Prüfung berücksichtigt. Die AB-ND hat mehrere Sicherheitsvorfälle analysiert, die sich zwischen 2023 und Juli 2025 innerhalb des Dienstes ereignet hatten. Dabei wurden keine Fälle von Spionage im Zusammenhang mit NDB-Mitarbeitenden festgestellt. Die wiederholten Informationslecks an die Presse vor und während der Prüfung könnten angesichts des aktuellen hybriden Konflikts zur Destabilisierung der Institutionen instrumentalisiert werden. Die AB-ND begrüsst es, dass sich der NDB in solchen Fällen an die Strafverfolgungsbehörden wendet.

[25-5] Übersetzungsdienstleistungen beim NDB

Die AB-ND prüft, ob (ausgewählte) Übersetzungsdienstleistungen zweckmässig und wirksam eingesetzt werden, ob die Informationssicherheit dabei gewährleistet ist und ob der Dienst wirksame Kontroll- und Qualitätssicherungsmassnahmen implementiert hat.

Im Bereich Zusammenarbeit prüft die AB-ND die Zusammenarbeit der Dienste mit nationalen und internationalen Behörden. Sie prüft auch die Zusammenarbeit zwischen den Nachrichtendiensten des Bundes und den kantonalen Nachrichtendiensten (KND).

Im Jahr 2025 führte die AB-ND Handlungen in folgenden Prüfungen durch:

[24-4] Zusammenarbeit des NDB mit dem Staatssekretariat für Migration (SEM)

Die AB-ND prüfte die Zusammenarbeit zwischen dem NDB und dem SEM. Beide Behörden haben ihre eigenen gesetzlichen Aufgaben und Kompetenzen im Bereich der inneren und äusseren Sicherheit der Schweiz. Der NDB erfüllt seine Aufgaben gemäss dem NDG. Das SEM hat einen sehr breiten Aufgabenbereich, nämlich den Migrationsbereich, der sowohl die Einreise und den Aufenthalt von Ausländerinnen und Ausländern als auch Asyl, Einbürgerung, Visa usw. umfasst. Fast jeder Bereich ist durch ein Gesetz und entsprechende Verordnungen geregelt. Die Zuständigkeiten der beiden Bundesbehörden können sich in dem Sinn überschneiden, als dass eine Person, die unter das Migrationsrecht fällt, auch in den Aufgabenbereich des NDB fallen kann und umgekehrt. Beispielsweise muss das SEM im Rahmen seiner Zuständigkeit das Einbürgerungsgesuch einer Person behandeln, die der Spionage für ihren Heimatstaat verdächtigt wird, während die Spionagebekämpfung in den Zuständigkeitsbereich des NDB fällt. Der NDB und das SEM müssen also in einer Reihe von Bereichen zusammenarbeiten, z. B. im Ausländer-, Asyl-, Visa- oder Einbürgerungsrecht.

Die AB-ND untersuchte insbesondere das Risiko einer nicht stattfindenden oder nicht ausreichenden Abstimmung zwischen den beiden Behörden oder die Verfolgung divergierender bzw. unvereinbarer Interessen durch sie, wodurch sie ihre jeweiligen Aufgaben nicht effizient und angemessen erfüllen können. Die Risiken in Bezug auf die Rechtmässigkeit, Wirksamkeit und Zweckmässigkeit der Zusammenarbeit wurden ebenfalls berücksichtigt. Die Zusammenarbeit führt auch zu einem Datenaustausch, der ebenfalls verschiedene Risiken birgt.

In strategischer Hinsicht haben die beiden Behörden keinen gemeinsamen Ansatz. Die Koordination stützt sich hauptsächlich auf eine vom Bundesrat festgelegte nicht öffentliche Liste. Diese Liste gibt unter anderem vor, welche Ereignisse und Feststellungen dem NDB unaufgefordert zu melden sind. Die beiden Behörden erachten diese Liste als ausreichend; diese Meinung wird auch von der AB-ND geteilt. Sie sprach dennoch eine Empfehlung im Zusammenhang mit strategischen Aspekten bezüglich der Zusammenarbeit des NDB mit dem SEM und der internen Entwicklung des NDB aus.

Die AB-ND konnte feststellen, dass der NDB seinen Ermessensspielraum kennt und sinnvoll nutzt.

Aus operativer Sicht hat die AB-ND festgestellt, dass die beiden Behörden gesetzeskonform zusammenarbeiten. Sie haben in den letzten Jahren ein gegenseitiges Verständnis für ihre jeweiligen Kompetenzen, aber auch für ihre jeweiligen Grenzen, insbesondere rechtlicher Art, entwickelt. Beide Behörden kennen die rechtlichen Rahmenbedingungen. Die AB-ND konnte feststellen, dass der NDB seinen Ermessensspielraum kennt und sinnvoll nutzt. Seine Arbeit besteht im Wesentlichen darin, die Nadel im Heuhaufen zu suchen. Glücklicherweise gibt es, wie er selbst zugestand, mehr Heu als Nadeln. Sowohl das SEM als auch der NDB sind der Meinung, dass die Zusammenarbeit zur vollen Zufriedenheit beider Seiten funktioniert und keine Interessenkonflikte festgestellt werden konnten. Die ausgetauschten Informationen sind nützlich und ermöglichen es den beiden Behörden, ihren gesetzlichen Auftrag zu erfüllen. Die Zusammenarbeit ist zweckmässig und effizient. Die beiden Behörden tauschen sich zudem aus, um technische Aspekte zu verbessern. Die AB-ND stellte fest, dass die zuständige Einheit des NDB trotz der laufenden Transformation auf Kurs geblieben ist.

Die AB-ND führte drei Datenstichproben durch. Die erste betraf 40 Dossiers, die im Jahr 2024 im Informationssystem GEVER NDB eröffnet wurden. Sie ergab, dass der NDB die Dossiers gesetzeskonform bearbeitet. Kleinere Dokumentationsmängel wurden während der Prüfung behoben. Der zweite Fall betraf die Prüfung von 133 Protokollen von Abfragen im Zentralen Migrationsinformationssystem (ZEMIS) durch den NDB. Diese Datenabfragen waren rechtmässig. Die dritte Stichprobe schliesslich betraf die Aufbewahrungsfristen für die Advance-Passenger-Information (API)-Daten. Die Aufbewahrungsfristen für die API-Daten wurden eingehalten.

[25-6] Zusammenarbeit des NDB mit den KND

Der NDB und die kantonalen Vollzugsbehörden (die sogenannten kantonalen Nachrichtendienste, KND) haben die Aufgabe, unter Wahrung der Grundrechte der Bürgerinnen und Bürger, einen substanziellen Beitrag zur Wahrung der Schweizer Interessen und der inneren wie äusseren Sicherheit der Schweiz zu liefern. Sie sollen die nötigen Informationen mit nachrichtendienstlichen Mitteln und Methoden (das heisst unter Verwendung öffentlicher und nicht öffentlicher Informationsquellen) beschaffen, bearbeiten, auswerten und in geeigneter Form insbesondere an die staatlichen Entscheidungsträger (Bund und Kantone) weiterleiten.

Die AB-ND besuchte 2024–2025 alle KND und alle kantonalen Dienstaufsichtsorgane. Sie fragte nach der Zusammenarbeit zwischen NDB und KND. Anschliessend ging sie in der vorliegenden Prüfung der Frage nach, wie der NDB seine gesetzlichen Pflichten gegenüber den KND erfüllt. Diese Pflichten betreffen insbesondere die Überprüfung der Datenablage der KND, die Bereitstellung technischer Mittel sowie die Ausbildung der Mitarbeitenden.

Risiken wie eine mangelnde Zusammenarbeit, eine gestörte Kommunikation, unberechtigte Erwartungen oder ungeeignete Arbeitsteilung stören oder verhindern den Vollzug des Nachrichtendienstgesetzes und gefährden die innere und äussere Sicherheit. Die AB-ND prüfte daher, ob derartige Risiken vorhanden sind.

« Die AB-ND konnte ein kontinuierliches und breites Spektrum an Massnahmen und Vorkehrungen des NDB zur Verbesserung der Zusammenarbeit mit den Kantonen feststellen. »

Die AB-ND konnte ein kontinuierliches und breites Spektrum an Massnahmen und Vorkehrungen des NDB zur Verbesserung der Zusammenarbeit mit den Kantonen feststellen. Diese sind insbesondere in den Bereichen Kommunikation, Ausbildung und operative Tätigkeit zu finden.

Kommunikation
Der NDB kommuniziert in zahlreichen Formaten mit den KND. Einige dieser Formate sind neu, andere wurden wieder aufgenommen oder weitergeführt. Der NDB wird alle Formate evaluieren und sicherstellen, dass kein Überangebot besteht. Nennenswert sind die Arbeiten des Gremiums, in welchem der NDB und neun KND unterschiedliche Anwendungsfälle aus der operativen Arbeit besprechen und Lösungen diskutieren. Dabei ging man von einer bilateralen zu einer vernetzten Zusammenarbeit über. Weiter hat der NDB im Jahr 2025 zwei grundlegende Rundschreiben an die Kantone gerichtet, in welchen er die Auslegung der gesetzlichen Grundlagen zu spezifischen Fragen erörtert.

Die AB-ND hat bei ihren Besuchen in den Kantonen einige Bemerkungen über angeblich fehlende Informationen zur Kenntnis genommen. Diese Informationen waren jedoch im Intranet KND verfügbar und somit den Kantonen zugänglich. Die AB-ND schliesst daraus, dass sich einige KND nicht regelmässig per Intranet KND informieren.

Ausbildung
Die KND sind seit 2025 in die allgemeine Grundausbildung des NDB eingebunden, welche alle neuen Mitarbeitenden des NDB durchlaufen. Dies fördert das gegenseitige Verständnis (Wissen und Terminologie) sowie die Vernetzung. Die besonderen Bedürfnisse der KND werden berücksichtigt (Simultanübersetzung der Ausbildungsmodule und übersetzte Dokumente).

Operative Zusammenarbeit
Laut Gesetz kann der NDB die operative Zusammenarbeit mit den KND anordnen. Der NDB bevorzugt jedoch eine kollaborative Vorgehensweise. Die damit einhergehenden Chancen und Risiken muss der NDB gemeinsam mit den KND noch ausloten. Mängel in der jüngsten operativen Zusammenarbeit muss der NDB beheben, indem er geeignete Massnahmen einführt und in Zukunft umsetzt. Die AB-ND hat auf eine entsprechende Empfehlung verzichtet, da der NDB die Mängel kennt und eine geeignete Lösung auf gutem Weg ist.

Qualitätssicherung
Die AB-ND hat wie schon in früheren Prüfungen (18-10 und 21-5) die qualitätssichernden Kontrollen des NDB überprüft. Die Kontrollen erfolgen durch drei Bereiche des NDB nach bewährtem Konzept. Die KND werden alle sechs bis sieben Jahre einer Kontrolle unterzogen. Wichtig sind daher die jährlichen Kontrollen der kantonalen Dienstaufsichtsorgane.

Die AB-ND hat zu keinem Thema eine Empfehlung ausgesprochen.

Die Informationsbeschaffung ist eine Kernaufgabe der Nachrichtendienste. Zu diesem Zweck können die Dienste diverse Mittel einsetzen. Denjenigen Mitteln, die am tiefsten in die Grundrechte wie z. B. die Privatsphäre der betroffenen Personen eingreifen, gilt die besondere Aufmerksamkeit der AB-ND. Die Prüfungen Operationen (OP) und HUMINT finden aufgrund der mit diesen Tätigkeiten verbundenen Risiken mindestens jährlich statt. Die AB-ND arbeitete 2025 an folgenden Prüfungen im Bereich Beschaffung:

[23-13] Der Einsatz virtueller Agentinnen und Agenten (VirtA) im NDB

Die weltweite Bedrohungslage hat sich aus Sicht des NDB in den letzten Jahren dahingehend verändert, dass sich die Kommunikation von Zielpersonen und Gruppierungen insbesondere in den Bereichen Terrorismus und Gewaltextremismus im virtuellen Raum von öffentlichen Plattformen weg verlagert hat. Durch diese neue Ausgangslage ist der NDB gezwungen, sein Internetmonitoring zu verbessern und anzupassen. Um weiterhin nachrichtendienstlich relevante Informationen beschaffen zu können, benötigt der NDB den Einsatz von VirtA.

Der rechtliche Rahmen für den Einsatz von VirtA muss klar festgelegt sein, da der NDB in die Grundrechte (Recht auf persönliche Freiheit oder auf Privatsphäre) eingreifen könnte und das Risiko besteht, dass die Beschaffung der Informationen je nach Intensität als genehmigungspflichtige Beschaffungsmassnahme eingestuft werden könnte. Die AB-ND prüfte aus diesem Grund, ob für den Einsatz von VirtA der rechtliche Rahmen klar definiert und den involvierten Mitarbeitenden bekannt ist.

Mit Art. 17 (Legendierung) und 18 (Tarnidentität) des Nachrichtendienstgesetzes verfügt der NDB über eine rechtliche Grundlage für den Einsatz von VirtA. Ein Einsatz von VirtA ist demnach aus Sicht der AB-ND grundsätzlich rechtmässig. Was genau aber bei einem VirtA-Einsatz erlaubt ist, ist heute im NDB noch nicht abschliessend geklärt.

« Es ergaben sich keine Hinweise darauf, dass VirtA für unrechtmässige Informationsbeschaffungen eingesetzt wurden. »

Die Prüfhandlungen haben aufgezeigt, dass der NDB seit den Vorfällen der unrechtmässigen Informationsbeschaffung durch den Bereich Cyber (siehe Prüfung 22-18) sensibilisiert und bemüht ist, bei Einsätzen von VirtA nicht die gleichen Fehler zu begehen. Zum Zeitpunkt der Prüfung bestanden offene Fragen hinsichtlich der Regeln und Richtlinien für die Einsätze von VirtA. Es ergaben sich jedoch keine Hinweise darauf, dass VirtA für unrechtmässige Informationsbeschaffungen eingesetzt wurden. Teilweise beschäftigten die offenen Fragen den NDB bereits seit einigen Jahren, wobei dieser sich lange nicht darüber im Klaren war, wie VirtA eingesetzt werden sollen. Solange grundlegende Punkte im Dienst nicht geklärt und als konkrete Einzelfallfragen an den Rechtsdienst NDB herangetragen werden, kann juristisches Fachwissen für operative Beschaffungsmassnahmen im virtuellen Raum nicht zielführend aufgebaut werden. Die AB-ND empfahl dem NDB, sein Fachwissen in diesem in Zukunft immer relevanter werdenden Beschaffungsbereich zu stärken.

Ohne den Einsatz von eigenen VirtA ist der NDB von seinen ausländischen Partnerdiensten abhängig und riskiert, Hinweise im virtuellen Raum auf bevorstehende Bedrohungen nicht oder nicht rechtzeitig zu erkennen. Aus diesem Grund prüfte die AB-ND, ob der Aufbau einer eigenen VirtA-Sektion im NDB zweckmässig erfolgt ist.

Aus der Historie ging hervor, dass der NDB seit 2016 erste Überlegungen zum Aufbau von VirtA und zu deren Einsatz für die operative Informationsbeschaffung im virtuellen Raum anstellte. Ab 2019 konkretisierten sich die Bemühungen, und 2021 beschloss der NDB letztlich per Entscheid der Geschäftsleitung, eine eigene VirtA-Sektion zu schaffen. Die Prüfhandlungen zeigten auf, dass sich in den vergangenen Jahren die Zuständigkeit für die Umsetzung des Vorhabens innerhalb des NDB mehrmals änderte. Bei seinem beabsichtigten Aufbau einer VirtA-Sektion ging der NDB ineffizient und nicht zweckmässig vor. Mit jeder Übergabe der Zuständigkeit an eine andere Person oder Stelle im NDB begann die Diskussion ähnlicher Grundsatzfragen immer wieder neu, und die Fragen wurden in unterschiedlichen Konzepten beschrieben. Diese mehrfache Verschiebung der Verantwortlichkeit war für den zeitnahen und effizienten Aufbau einer VirtA-Sektion nicht förderlich.

Den Erfahrungsaustausch des NDB mit vergleichbaren ausländischen Partnerdiensten erachtete die AB-ND als sinnvoll und begrüssenswert. Die positiven Erfahrungen der Partnerdienste flossen in die konzeptionellen Überlegungen des NDB ein, und die letztendliche Organisationsstruktur der VirtA-Sektion im NDB orientierte sich grösstenteils an den jeweiligen Strukturen bei befragten Partnerdiensten. Die geplante Zusammenarbeit des NDB mit Partnerdiensten im Bereich Ausbildung soll sicherstellen, dass VirtA des NDB vom langjährigen operativen Erfahrungsschatz ausländischer Kolleginnen und Kollegen profitieren können. Die Absicht des NDB, für eine Reduktion der Abhängigkeit von Partnerdiensten künftig eine eigene Ausbildung aufzubauen, erachtete die AB-ND als zweckmässig.

Die AB-ND prüfte des Weiteren, ob der NDB über die technischen und organisatorischen Rahmenbedingungen verfügt, um mit dem Einsatz von VirtA wirksame nachrichtendienstliche Erfolge zu erzielen bzw. deren Erfolgschancen von vornherein korrekt einzuschätzen. Die Prüfhandlungen zeigten auf, dass die konkreten Kriterien für die Wirkungsmessung von VirtA-Einsätzen noch nicht vorlagen. Aus den geführten Gesprächen ging jedoch hervor, dass die Messlatte für die Bewilligung eines VirtA-Einsatzes hoch angelegt ist, da z. B. ein isolierter Hinweis eines Partnerdienstes nicht als Grundlage für eine Einsatzbewilligung ausreicht. Vielmehr muss der NDB z. B. über eigene verlässliche Informationen aus dem Internetmonitoring verfügen, wenn er einen erfolgsversprechenden VirtA-Einsatz starten möchte. Die AB-ND empfahl die Intensivierung der Anstrengungen zur Festlegung der Kriterien für die Wirkungsmessung von VirtA-Einsätzen.

[24-5] Operationen, operative Abklärungsbedürfnisse und genehmigungspflichtige Beschaffungsmassnahmen des NDB

Operationen und operative Abklärungsbedürfnisse zeichnen sich im Vergleich zum Tagesgeschäft durch eine höhere Komplexität bei der Planung und Durchführung nachrichtendienstlicher Tätigkeiten aus. Zudem können gemäss NDB-internen Richtlinien genehmigungspflichtige Beschaffungsmassnahmen nur in Operationen durchgeführt werden. Derartige Massnahmen weisen aufgrund des Eingriffs in die Privatsphäre der betroffenen Personen stets ein grundrechtliches Risiko auf. Daher erscheint eine regelmässige Prüfung der Rechtmässigkeit, Wirksamkeit und der Zweckmässigkeit des Operationsportfolios und des Portfolios des operativen Abklärungsbedarfs angezeigt.

In diesem Jahr prüfte die AB-ND zusätzlich die Auswirkungen der Transformation des NDB auf die Durchführung von Operationen und die Erfüllung des operativen Abklärungsbedarfs. Die mit dieser Umstrukturierung zusammenhängenden Arbeiten waren zum Prüfungszeitpunkt noch nicht abgeschlossen. Etablierte Prozesse des NDB wurden durch neue Prozesse ersetzt. Diese Veränderungen beeinflussen die Durchführung von Operationen, die Erfüllung des operativen Abklärungsbedarfs und die Umsetzung genehmigungspflichtiger Beschaffungsmassnahmen grundlegend und können dadurch zu neuen Risiken führen. Es können sich dadurch aber auch neue Chancen entwickeln.

Im Bereich der Festlegung der Prozesse der Informationsbeschaffung und der genügenden Erfüllung der Dokumentationspflicht stellte die AB-ND Verbesserungsbedarf fest und formulierte Empfehlungen.

Ansonsten prüfte die AB-ND drei Operationen vertieft und, in formeller Hinsicht, alle in deren Rahmen beantragten genehmigungspflichtigen Beschaffungsmassnahmen. Gestützt auf ihre Prüfungshandlungen, erachtete die AB-ND die in die Stichprobe aufgenommenen Operationen als rechtmässig, zweckmässig und wirksam. Die AB-ND überprüfte bei vier genehmigten und freigegebenen Beschaffungsmassnahmen (durchgeführt in zwei laufenden Operationen), ob diese gemäss den entsprechenden Entscheiden des Bundesverwaltungsgerichts umgesetzt wurden. Auch im Bereich der geprüften genehmigungspflichtigen Beschaffungsmassnahmen stellte sie keine Optimierungserfordernisse fest und hat keine Empfehlungen getroffen.

[24-6] Menschliche Quellen (HUMINT) im NDB

Der Bereich HUMINT zählt zu den sensibelsten Tätigkeiten des NDB. Er erfordert besonders hohe Sicherheits- und Schutzmassnahmen für das betroffene Personal (insbesondere die Verwendung von Tarnidentitäten und/oder Legenden, um die Zugehörigkeit zum NDB zu verschleiern), für die Arbeitsorte (mit Legenden versehen) sowie für die Finanzflüsse (mit Legenden versehen, um die Herkunft der Gelder zu verschleiern) und für den Quellenschutz. Die Risiken in diesen Bereichen sind vielfältig und ändern sich ständig, was regelmässige Prüfungen durch die AB-ND rechtfertigt.

Die Prüfung 24-6 diente der Weiterverfolgung der Prüfung 23-12 HUMINT und der laufenden Projekte im Bereich HUMINT. Die Feststellungen sind insgesamt positiv: Die geprüften Projekte schreiten in der gewünschten Richtung voran. Im Zusammenhang mit Risikoanalysen wurde eine Empfehlung abgegeben. Es scheint, als habe der Bereich HUMINT nun das richtige Gleichgewicht zwischen seinen zahlreichen Projekten, seinen begrenzten Ressourcen und der Aufrechterhaltung seines Kerngeschäfts, der Quellenführung, gefunden.

Darüber hinaus hat die AB-ND Quellenführungsdossiers geprüft, einschliesslich der Überprüfung der zum Schutz der Quellen eingerichteten Infrastruktur. Im Rahmen der vorliegenden Prüfung wurden keine Unregelmässigkeiten festgestellt.

[25-7] Operationen, operative  Abklärungsbedürfnisse und genehmigungspflichtige  Beschaffungsmassnahmen des NDB

Operationen und operative Abklärungsbedürfnisse zeichnen sich im Vergleich zum Tagesgeschäft durch eine höhere Komplexität in der Planung und Durchführung nachrichtendienstlicher Tätigkeiten aus. Daher erscheint eine regelmässige Prüfung der Rechtmässigkeit, Zweckmässigkeit und Wirksamkeit des Operationsportfolios und des Portfolios des operativen Abklärungsbedarfs angezeigt. Zudem können gemäss NDB genehmigungspflichtige Beschaffungsmassnahmen nur im Zug von Operationen durchgeführt werden. Diese weisen aufgrund des Eingriffs in die Privatsphäre der betroffenen Personen stets ein grundrechtliches Risiko auf. Diese Punkte sah die AB-ND als ausreichend, um Risiken im Zusammenhang mit der Durchführung von Operationen, von operativen Abklärungsbedürfnissen und genehmigungspflichtigen Beschaffungsmassnahmen im NDB zu prüfen.

Infolge der Transformation des NDB wurde die Organisationsstruktur im Bereich der Operationen und der operativen Abklärungsbedürfnissen neu entwickelt und festgelegt. Die neue Organisation des NDB besteht seit März 2024. Etablierte Prozesse des NDB werden durch neue Prozesse ersetzt. Diese Veränderungen beeinflussen die Durchführung von Operationen, die Erfüllung der operativen Abklärungsbedürfnissen und die Umsetzung genehmigungspflichtiger Beschaffungsmassnahmen grundlegend und können dadurch zu neuen Risiken führen. Es können sich aber auch neue Chancen entwickeln. Die Transformationsarbeiten sind zum Zeitpunkt dieser Prüfung noch nicht abgeschlossen.

Die AB-ND prüfte in diesem Jahr eine Stichprobe von zwei Operationen im Bereich Counter Terrorism. Gestützt auf ihre Prüfhandlungen, erachtete die AB-ND die in die Stichprobe aufgenommenen Operationen als rechtmässig, zweckmässig und wirksam. Sie erliess eine Empfehlung betreffend Sicherstellung der Einsatzbereitschaft von technischem Material.

Hinsichtlich der formellen Erfüllung der Dokumentationspflichten prüfte die AB-ND die gesamten 2024 eröffneten operativen Abklärungsbedürfnisse sowie eine entsprechende Stichprobe in den Bereichen Counter Proliferation und Counter Terrorism/Counter Violent Extremism auch vertieft. Die wichtigsten Dokumentationspflichten erachtete sie als erfüllt. Zur Erleichterung der statistischen Auswertungen und damit zur zweckmässigeren Gestaltung der Lenkung des Portfolios der operativen Abklärungsbedürfnisse erliess die AB-ND dennoch eine Empfehlung betreffend Erfüllung der sonstigen intern vom NDB schon vorgesehenen Dokumentationspflichten.

« Gestützt auf die Stichprobe befand die AB-ND, dass die Beschaffungsmassnahmen gemäss den Gerichtsentscheiden umgesetzt wurden. »

Die AB-ND überprüfte bei 11 genehmigten und freigegebenen Beschaffungsmassnahmen (durchgeführt in zwei Operationen), ob diese gemäss den entsprechenden Entscheiden des Bundesverwaltungsgerichts umgesetzt wurden. Gestützt auf die Stichprobe befand die AB-ND, dass die Beschaffungsmassnahmen gemäss den Gerichtsentscheiden umgesetzt wurden.

[25-8] Menschliche Quellen (HUMINT) im NDB

Die AB-ND überprüft eine Anzahl von Quellenführungen auf Rechtmässigkeit, Zweckmässigkeit und Wirksamkeit.

[25-9] Cyberaufklärung im MND

Die AB-ND prüft, ob der MND für die Cyberaufklärung rechtmässige, zweckmässige und wirksame Mittel einsetzt.

Im Bereich Ressourcen prüft die AB-ND, ob ein zweckmässiger Umgang mit Ressourcen durch die Dienste gegeben und eine wirksame nachrichtendienstliche Tätigkeit gewährleistet ist. In diesem Bereich arbeitete die AB-ND im Jahr 2025 an folgenden Prüfungen:

[24-7] IKT-Inventar im NDB

Im Bereich der IKT ist es aus verschiedenen Gründen wichtig, dass eine Organisation eine Übersicht über die genutzte Hardware erstellt. Die Übersicht hilft dabei, Hardwarekomponenten über ihren gesamten Lebenszyklus hinweg zu verwalten. Weiterhin verhindert eine systematische Inventarisierung, dass in der Organisation Hardware von nicht berechtigten Personen beschafft und für nachrichtendienstliche Tätigkeiten genutzt wird. Gerade der letzte Punkt birgt für den NDB sowohl ein Reputationsrisiko als auch das Risiko, dass Daten aufgrund fehlender Kontrollmechanismen unrechtmässig bearbeitet werden.

Die AB-ND prüfte deshalb, ob der NDB über ein Inventar seiner im nachrichtendienstlichen Umfeld eingesetzten Hardware verfügt und ob dieses wirksam und zweckmässig geführt wird. Die Führung eines IKT-Inventars ist aus Sicht der AB-ND ein Mittel zur Erkennung nicht genehmigter Beschaffungen und damit zur Verhütung einer unautorisierten Verwendung von Hardwarekomponenten.

Die AB-ND stellte in ihrer Prüfung fest, dass der Beschaffungsprozess dem Inventarisierungsprozess vorgelagert ist und beide Prozesse im NDB etabliert sind. Zudem werden sowohl der Beschaffungs- als auch der Inventarisierungsprozess mit Softwarelösungen unterstützt. Obwohl beide Systeme nicht automatisch gekoppelt sind und ein manueller Absprung vom Beschaffungssystem in das Inventarisierungssystem notwendig ist, zeigten Stichprobenuntersuchungen, dass es keine nennenswerten Abweichungen zwischen den zwei Systemen gibt.

Auch die im Inventarisierungssystem gepflegten Felder erscheinen aus Sicht der AB-ND als wirksam und zweckmässig für die Steuerung weiterer Funktionen, z. B. des Lebenszyklus eines IKT-Gegenstands, oder für die Bestimmung des Verbleibs einer IKT-Komponente im NDB anhand ihrer Standortangaben.

Zusammenfassend gewann die AB-ND den Eindruck, dass das Inventarisierungssystem des NDB durch eine stärkere Kopplung mit den Beschaffungs- oder IT-Supportsystemen verbessert werden könnte. Die Befunde der Stichprobenauswahl, die Interviews mit den Fachverantwortlichen und die vorliegenden strengen Genehmigungsprozesse liessen aber nicht den Schluss zu, dass der NDB aufgrund unwirksamer und unzweckmässiger Inventarisierung einem grossen Risiko ausgesetzt wäre.

Eine Empfehlung formulierte die AB-ND daher nur hinsichtlich einer zu überarbeitenden internen Weisung, da sie organisatorisch nicht mehr dem aktuellen Stand entspricht und damit das Risiko falscher oder unvollständiger Erfassungen im Inventarisierungsprozess besteht.

[25-10] Bewaffnung NDB

Die Bewaffnung beim NDB stützt sich auf das Nachrichtendienstgesetz. Sie dient dem Schutz von Mitarbeitenden, die bei der Ausübung ihrer Tätigkeit in ihrer körperlichen Integrität oder ihrem Leben besonders gefährdet sind. Die AB-ND prüfte, wie der NDB die Zuteilung, den Entzug und die Aufbewahrung seiner Dienstwaffen handhabt und ob die gesetzlichen Rahmenbedingungen dabei eingehalten wurden. Sie prüfte, ob die Ausrüstung und die Ausbildung den Schutzbedürfnissen der Mitarbeitenden in der Praxis entsprechen. Zu diesem Zweck führte sie Gespräche und hat an verschiedenen Orten Prüfungshandlungen durchgeführt.

Eine neue Weisung des NDB zur Bewaffnung ist kürzlich in Kraft getreten. Die Anforderungen für die Zuteilung einer Waffe an Mitarbeitende wurden präzisiert und verschärft. Damit können die Zuteilung und der Entzug der Dienstwaffe noch verbessert werden. Die AB-ND kam zum Schluss, dass hinsichtlich der Ausrüstung der Mitarbeitenden noch Entwicklungsmöglichkeiten bestehen. Sie hat keine Empfehlungen formuliert, sondern den NDB dazu angeregt, seine laufenden Bemühungen fortzusetzen.

Die AB-ND prüft im Bereich Datenbearbeitung und Archivierung insbesondere die Rechtmässigkeit der Informationsbearbeitung, da die Sensibilität der von den Diensten bearbeiteten Informationen hoch ist und die rechtlichen Vorgaben ebenso umfassend wie komplex sind. Die AB-ND arbeitete 2025 in diesem Bereich an folgenden Prüfungen:

[22-18] Datenbeschaffung durch Cyber NDB

[24-9] Stichprobe IASA-ICC vom NDB

Das Informations- und Analysesystem All-Source Integrales Control-Center (IASA-ICC) ist die zentrale Anwendung, die vom NDB zur Analyse und Bewertung der Originaldokumente aus IASA-GEX und IASA NDB verwendet wird. Sie ermöglicht die Replikation von Daten in einem Indexierungssystem (IASA INDEX), auf das autorisierte Sicherheitspartner (z. B. kantonale Vollzugsbehörden) Zugriff haben. Die in IASA-ICC erfassten Daten bilden das strukturierte Wissen des Dienstes. Die Anwendung IASA-ICC basiert auf einem Rohdatenverzeichnis, in dem eingehende Meldungen gemäss den im NDG festgelegten Aufbewahrungsfristen als Originaldokumente gespeichert werden.

Im Rahmen anderer Prüfungen hat die AB-ND Kenntnis von Erfassungsrückständen in IASA-ICC erhalten, die insbesondere die zwingend zu erfassenden Berichte der kantonalen Vollzugsorgane betreffen. Dadurch könnten den Sicherheitspartnern für die innere und äussere Sicherheit relevante Informationen nicht zur Verfügung stehen, was ein Sicherheitsrisiko darstellt.

Ende 2024 hat der NDB eine Taskforce eingesetzt, die das Problem der Erfassungsverzögerungen lösen und die Erfassungsprozesse optimieren soll, um künftige Verzögerungen zu vermeiden. Die AB-ND hat diese Arbeiten berücksichtigt und konnte bereits erste Verbesserungen feststellen.

Im Rahmen ihrer Untersuchungen führte die AB-ND drei Stichproben durch, um zu überprüfen, ob die Datenbearbeitung in IASA-ICC den gesetzlichen Anforderungen entspricht. Zwei Stichproben ergaben keine Unregelmässigkeiten. In einer Stichprobe stellte die AB-ND jedoch fest, dass die dem NDB auferlegten Beschränkungen bei der Bearbeitung von Daten im Zusammenhang mit der Ausübung politischer Rechte nicht immer eingehalten wurden. Diese Datenbearbeitung betrifft das Thema Corona-Extremismus. Die AB-ND empfahl dem NDB, unverzüglich die erforderlichen Änderungen vorzunehmen und weitere Überprüfungen im Bereich des monothematischen Extremismus durchzuführen, um die Einhaltung der Grundrechte zu gewährleisten.

Die derzeit laufende Revision des NDG sieht eine Änderung des Ansatzes für die Datenbearbeitung innerhalb des NDB vor, indem statt eines informationssystemorientierten Ansatzes ein datentyporientierter Ansatz (Nachrichtendienstdaten oder Verwaltungsdaten) bevorzugt wird. Parallel dazu führt der Dienst verschiedene Projekte zur Erneuerung seiner IT-Infrastruktur durch. Im Rahmen dieser komplexen Situation ist die Abschaffung oder Erneuerung von IASA-ICC vorgesehen.

Schliesslich stellte die AB-ND fest, dass die veraltete Anwendung IASA-ICC den NDB daran hindert, strukturierte Daten zu nutzen. Die Anwendung ermöglicht keine Lageverfolgung, und die Erfassungsprozesse sind sehr aufwendig. Die AB-ND hat dem NDB daher empfohlen, seinen Bedarf unter Berücksichtigung seines Auftrags zur Überwachung und Bewertung von Bedrohungslagen zu ermitteln, um die laufenden Änderungen auf rechtlicher Ebene und auf Ebene der IT-Infrastruktur bewältigen zu können. Ziel ist es, so schnell wie möglich zu klären, wie IASA-ICC durch eine Alternative ersetzt oder abgeschafft werden kann, je nachdem wie es für die Erfüllung des Auftrags des NDB vorteilhafter ist.

[24-10] Abfragen von Informationssystemen Dritter durch den NDB

Für die Erfüllung seiner Aufgaben ist der NDB abhängig vom Zugriff auf Informationssysteme Dritter (ISD). ISD sind Anwendungen und Datenbanken externer Betreiber im In- und Ausland, auf welche Mitarbeitende des NDB zum Zweck der Informationsbeschaffung zugreifen können.

Grundsätzlich entscheiden die jeweiligen system- bzw. datenverantwortlichen Behörden (Dritte) auf Basis der rechtlichen Grundlagen des jeweiligen Informationssystems und der Angaben der antragstellenden Behörden, wer auf das System Zugriff hat und welche Berechtigungen solche Personen haben müssen. Obwohl Dritte letztlich über die Zugriffsberechtigungen entscheiden, obliegt es dem NDB, die Anträge für Zugriff auf externe Systeme entsprechend einem begründeten Bedarf zu stellen oder obsolete Nutzerrechte zeitnah löschen zu lassen. Dazu benötigt der NDB ein adäquates Zugriffsmanagement. Ohne ein solches besteht die Gefahr, dass Mitarbeitende Zugriff auf sensible Daten haben, den sie rechtens nicht haben dürften, oder dass ihnen Berechtigungen für ISD fehlen, die für eine wirksame Auftragserfüllung sinnvoll wären.

Die Prüfungshandlungen der AB-ND zeigten auf, dass der NDB über keine vollständige und aktuelle Übersicht über die bestehenden Zugriffsberechtigungen seiner Mitarbeitenden auf ISD verfügt. Spezifische Prozesse und systematische interne Kontrollen fehlen. Zudem hält die AB-ND eine automatisierte Abfrageschnittstelle zu zwei der geprüften Informationssysteme Dritter für unzulässig. Der NDB ist weder für die Schnittstelle noch für die ISD verantwortlich, trägt aber im Zusammenhang mit Abfragen in diesen ISD eine Mitverantwortung. Deshalb wies die AB-ND den NDB an, sich für eine rechtskonforme Lösung einzusetzen, damit der rechtliche Rahmen jederzeit eingehalten wird. Anderenfalls ist die Löschung der fraglichen Berechtigungen einzuleiten. Das Zugriffsmanagement für ISD ist in diversen weiteren Punkten zu verbessern.

Zudem prüfte die AB-ND stichprobenartig in ausgewählten ISD, ob Mitarbeitende des NDB Abfragen rechtmässig und zweckmässig tätigten. Fehlende oder unklare Vorgaben bzw. Unkenntnis dessen, wie die Datenabfragen in ISD zu erfolgen haben, erhöhen das Risiko, dass Mitarbeitende diese Systeme über ihre rechtlichen Befugnisse hinaus oder zu persönlichen Zwecken konsultieren, was unter anderem zu Grundrechtsverletzungen und Reputationsrisiken für den NDB führen kann. Aus diesem Grund prüfte die AB-ND stichprobenartig in ausgewählten ISD die Rechtmässigkeit und Zweckmässigkeit von Datenabfragen durch zufällig ausgewählte Mitarbeitende des NDB.

Die Prüfungshandlungen der AB-ND ergaben keine Hinweise auf unrechtmässige oder unzweckmässige Abfragen durch die geprüften Mitarbeitenden des NDB in ausgewählten ISD.

[25-11] Datenablage durch CEA im Bereich Kabelaufklärung

Neben der Funkaufklärung gehört die Kabelaufklärung mittlerweile zu den effizientesten technischen Sensoren im Bereich Signal Intelligence (SIGINT). Allerdings macht sie die Erfassung und Speicherung einer grossen Menge von Daten erforderlich. Damit entsteht das Risiko, dass auch Daten gespeichert werden, die entweder aufgrund fehlender rechtlicher Grundlage nicht gespeichert werden dürfen oder die aufgrund fehlender Auftragsbezogenheit für die Weiterverarbeitung nicht geeignet sind. Dieses Risiko muss vom Dienst CEA, der im Auftrag des NDB die Kabelaufklärung durchführt, in geeigneter Form behandelt werden.

Um herauszufinden, ob die verschiedenen Stufen der Datenablage und die auf den Datenablagen angewendeten Datentriagen dieses Risiko tatsächlich verringern, entschloss sich die AB-ND, mit ihrem Prüfplan 2025 die Datenablage und Datentriage innerhalb der Kabelaufklärung auf Wirksamkeit, Zweckmässigkeit und Rechtmässigkeit zu untersuchen.

« Die AB-ND kam zum Schluss, dass die Art und Weise, wie die Daten reduziert werden, als wirksam und zweckmässig angesehen werden kann. »

Es stellte sich heraus, dass der Dienst CEA das angestrebte Ziel durch einen kaskadierenden Ablauf von der Erfassung der Signalströme bis hin zu den fertigen Resultaten der Datenhaltung erreicht. In jedem einzelnen Schritt werden zur Datentriage Ausschlusskriterien (sogenannte Blacklists) oder Positivfilter (sogenannte Whitelists) angewandt, die auf der jeweiligen Stufe der Datenbearbeitung den Rohdatenbestand immer weiter verringern, bis nur noch rechtmässig einwandfreie Daten für die Analyse zur Verfügung stehen. Die AB-ND kam zum Schluss, dass die Art und Weise, wie die Daten reduziert werden, als wirksam und zweckmässig angesehen werden kann. Auch konnte die AB-ND nicht feststellen, dass der Dienst über die Kabelaufklärung systematisch Daten sammelt, die er aus rechtlicher Sicht nicht sammeln dürfte oder die nicht zu einem Auftrag des NDB passen würden.

Die vom CEA erfassten und bearbeiteten Daten unterstehen jedoch nicht nur dem NDG, sondern auch den datenschutzrechtlichen Regeln, wie sie im neuen DSG von 2023 konstituiert sind. Obwohl die Grundsätze des Datenschutzes gewahrt werden, hat die AB-ND die Empfehlung erlassen, zu prüfen, ob aufgrund der Änderungen im neuen DSG von 2023 zusätzliche Massnahmen angezeigt sind.