Soeben hat die Geschäftsprüfungsdelegation (GBDel) des Bundes ihren Kurzbericht zum Datendiebstahl genauer an, versteht man die weitherum herrschende Konsterniertheit.

Hier einige Punkte aus dem Bericht: "Die Informatiksicherheit war im NDB nicht in ein Risikomanagement eingebettet, das die Konsequenzen der ungenügenden Personalressourcen in der Informatik aufgezeigt und eine gezielte Risikoverminderung ausgelöst hätte". Zudem hätte das NDB "vor dem Datendiebstahl verschiedene technische und organisatorische Massnahmen nicht getroffen, die zum Grundschutz seiner Informatik gehört hätten und teilweise auch vom Bund oder vom VBS vorgeschrieben waren". Und obwohl das VBS am 1. April 2012 eine neue Personalprüfung sämtlicher Angehöriger des NDB innerhalb eines Monats vorgeschrieben hatte, war "im Februar 2013 ein Drittel der Mitarbeitenden des NDB noch nicht nach diesen Vorgaben geprüft worden", auch bei den Informatikern lag der Anteil Ungeprüfter übrigens noch bei "einem Viertel". Die GPDel hält zudem fest, dass der "NDB aufgrund der knappen Personalsituation in der Informatik und des unzulänglichen Risikomanagements zu wenig darauf ausgerichtet war, die Verfügbarkeit, die Integrität und die Vertraulichkeit der Daten als zentrale Zielsetzung der Informatiksicherheit zu gewährleisten".

Die GPDel geht in ihrem 16-seitigen Papier durchaus in die Details und hat dem Bundesrat zahlreiche Verbesserungsvorschläge vorgelegt. Bis Ende Oktober soll dessen Stellungnahme vorliegen. (vri)