Vertrauen ist gut, Kontrolle besser

Nur dank Zufall konnte der wohl grsste Datendiebstahl der Schweizer Geschichte und die internationale Blossstellung des Schweizer Geheimdienstes verhindert werden. Ein Bankangestellter der UBS hegte Verdacht, als ein «Informatiker des VBS» bei ihm ein Nummernkonto eröffnen wollte. Er leitete die Anfrage intern weiter und schlussendlich gelangte der Hinweis zum Nachrichtendienst. Glück gehabt. Doch so weit hätte es gar nicht kommen dürfen. In der Sonntagspresse wurden pikante Details zum Skandal publik. Der fehlbare Mitarbeiter - notabene der DB-Admin der geheimsten der geheimen Datenbanken der Schweiz - war schon lange als «schwieriger» Mitarbeiter beim NDB bekannt. Er fühlte sich gemobbt, fehlte oft, wurde krankgeschrieben. Er änderte in Eigenregie Master-Passwörter, damit keiner ausser ihm Zugang auf die DB hatte. Niemand im NDB schien sich daran wirklich zu stören, auch weil die Stelle des IT-Leiters NDB seit längerem vakant ist und die Stimmung in der IT-Abteilung schlecht sein soll. Dass der Agent auch den ganzen E-Mail-Server auf eine externe Festplatte kopieren konnte, ohne dass ein Monitor-System Alarm schlug lässt nur einen Schluss zu: Die IT-Security-Policy beim NDB - falls denn überhaupt eine existiert - ist ihren Namen nicht Wert. Dazu gehört auch, dass der fehlbare Mitarbeiter ohne Probleme mit den Festplatten im Rucksack aus dem «Pentagon» der Schweiz spazieren konnte. Man wähnt sich in einer Bananenrepublik, aber nicht in einer der fortschrittlichsten Zivilisationen der Welt. Wenn Bundesrat Ueli Maurer von einem abgewendeten GAU spricht mag er Recht haben - doch hier liegt ein «Unfall der Stufe 6» vor, wenn wir bei der INES-Terminologie bleiben wollen. Wenn es so einfach ist, beim Nachrichtendienst an geheime Daten zu kommen, wie einfach wird es dann in normalen Verwaltungseinheiten sein? Es braucht dringend ein Umdenken. Vier- bis Sechsaugenprinzip, Entmachtungen von DB-Admins sowie klare Regelungen und Prozesse, die peinlichst genau kontrolliert werden. Aber es braucht auch die Sensibilität und Wertschätzung der Vorgesetzten gegenüber ihren DB-Admins. Diese Menschen sehen zum Teil Daten, die anderen, in der Hierarchie höher eingestuften Personen, verwehrt bleiben. Hier gilt es auch, ein Sensorium aufzubauen, dass zwischenmenschliche Konflikte frühzeitig erkennt. Alles andere ist in der heutigen Zeit nicht mehr tragbar.