Er hätte zum Edward Snowden der Schweiz werden können. Doch der Informatiker, der im Frühjahr 2012 sensible Daten des Nachrichtendiensts des Bundes (NDB) entwendet hatte, entschied sich für einen anderen Weg: Der damals 43-jährige Geheimdienstmitarbeiter wollte die Daten für eine Million Franken verkaufen, also Geld statt Öffentlichkeit. Der Plan scheiterte, und der Geheimdienst wahrte sein Gesicht. Der Schaden hielt sich in Grenzen, «weil von Seiten der Strafverfolgungsbehörden frühzeitig und schnell reagiert worden ist», wie die Anklageschrift der Bundesanwaltschaft festhält.

Das ist die offizielle Geschichte, über die am 23. November am Bundesstrafgericht in Bellinzona verhandelt wird. Die Anklage lautet auf politischen Nachrichtendienst sowie versuchte Verletzung des Amtsgeheimnisses. Inwieweit der mutmassliche Datendieb, der mittlerweile in Süditalien lebt, geständig ist, lässt sich der Anklageschrift nicht entnehmen. Aus taktischen Gründen will auch sein Anwalt nichts dazu sagen. Bekannt ist, dass der Informatiker während der Ermittlungen bestritten hatte, für eine ausländische Organisation spioniert zu haben. Er habe Missstände innerhalb des Nachrichtendiensts des Bundes (NDB) dokumentieren wollen.

Beim NDB sowie beim dafür zuständigen Verteidigungsdepartement (VBS) dürfte man ziemlich froh sein, dass die Gerichtsverhandlung über den Datenverlust erst zwei Monate nach der Abstimmung über das neue Nachrichtendienstgesetz (NDG) vom 25. September angesetzt ist. Ursprünglich war der Prozess übrigens für März vorgesehen, doch das Bundesstrafgericht hat den Termin verschoben. «Weil ein zusätzliches Gutachten einzuholen war», wie es auf Anfrage heisst.

Dank der UBS

Der Fall um den mutmasslichen Datendieb erzählt noch eine zweite Geschichte, die im Hinblick auf die NDG-Abstimmung aufschlussreich ist. Sie lässt sich aufgrund der Anklageschrift sowie der bisherigen Medienberichterstattung wie folgt zusammenfassen: Der Datenbankadministrator fühlte sich gemobbt und prangerte intern wiederholt Sicherheitslücken an. Im Frühjahr 2012 wurde er krankgeschrieben. Trotzdem hatte er weiterhin vollen Zugriff auf die NDB-Datenbanken. So konnte er an fünf verschiedenen Wochentagen aus dem internen Sicherheitssystem unbemerkt komplette Server mit geheimen und besonders schützenswerten Daten kopieren. Darunter war etwa der gesamte E-Mail-Verkehr aller NDB-MitarbeiterInnen. Er speicherte alles auf externe Festplatten und verliess mit ihnen unbehelligt das Gebäude.

Besonders pikant: Ohne externen Hinweisgeber hätte der Geheimdienst den Datendiebstahl gar nicht erst bemerkt. Es war ein Kundenberater der UBS, der vorerst intern Meldung erstattete, nachdem der mutmassliche Datendieb ein Nummernkonto eröffnen wollte – wegen eines «bevorstehenden Datenverkaufs», wie es in der Anklageschrift heisst. Daraufhin schaltete die Bank die Polizei ein.

Nachdem der Datendiebstahl registriert worden war, verschwieg das VBS den Fall monatelang. Als die Affäre aufzufliegen drohte, weil die «SonntagsZeitung» dahinterkam und den NDB-Chef Markus Seiler damit konfrontierte, trat Seilers Vorgesetzter, der damalige Verteidigungsminister Ueli Maurer, vor die Presse und würgte so die Recherche ab. «Es war mir wichtig, die Informationshoheit zu behalten», rechtfertigte Maurer später seinen groben Vertrauensbruch gegenüber den Medienschaffenden.

Ohne Konsequenzen

Im Nachgang dieser Affäre hat die Geschäftsprüfungsdelegation (GPDel), die parlamentarische Geheimdienstaufsicht, im Sommer 2013 einen Bericht über die «Informatiksicherheit im NDB» verfasst. Er stellte dem Geheimdienst ein verheerendes Zeugnis aus. «Die GPDel kommt zum Schluss, dass der NDB vor dem Datendiebstahl verschiedene technische und organisatorische Massnahmen nicht getroffen hatte, die zum Grundschutz seiner Informatik gehört hätten und teilweise auch vom Bund oder vom VBS vorgeschrieben waren», heisst es im Bericht.

«Ein Sicherheitskonzept ist angesichts des bekannten Ablaufs nicht erkennbar», sagt auch Erik Schönenberger von der Digitalen Gesellschaft. Es habe beim Geheimdienst damals offenbar keine zusätzliche Verschlüsselung für als geheim eingestufte Dateien und E-Mails gegeben, ebenso seien die kopierten Server nicht verschlüsselt gewesen. «Diese beiden Schutzfunktionen sind sehr effektiv und verhältnismässig einfach zu implementieren. Der Beschuldigte hätte an der Tat, mindestens jedoch an der Weiterverwendung der Daten gehindert werden können.»

Die GPDel hat den NDB in den letzten Jahren in Bezug auf die Informatiksicherheit eng kontrolliert und begleitet. Aus den entsprechenden Berichten wird erkennbar, dass der Geheimdienst viele Bereiche verbessert hat. Zugleich kommt aber zum Ausdruck, dass die Informatiksicherheit ohne diesen Druck von aussen keine Priorität beim NDB hat. Immer wieder ist es zu Verzögerungen gekommen, und es waren Nachbesserungen nötig.

Für die Verantwortlichen des Sicherheitsdebakels, den damaligen VBS-Vorsteher Ueli Maurer sowie NDB-Chef Markus Seiler, blieben Konsequenzen bis heute aus. Im Gegenteil: Als wichtigste Architekten des neuen Nachrichtendienstgesetzes konnten die beiden die Richtung vorgeben, und die heisst fatalerweise Angriff statt Verteidigung.