BBl 2021 www.bundesrecht.admin.ch Massgebend ist die signierte elektronische Fassung
Fall Crypto AG Bericht der Geschäftsprüfungsdelegation der Eidgenössischen Räte vom 2. November 2020
2021-0187
BBl 2021 156
BBl 2021 156
Das Wichtigste in Kürze Ab Herbst 1993 gelang es dem Strategischen Nachrichtendienst (SND), verlässliche Informationen über die Crypto AG zu erhalten. So erfuhr er, dass die Firma im Besitze ausländischer Nachrichtendienste war und «schwache» Geräte, deren Verschlüsselung sich mit einem realistischen Aufwand brechen liess, exportierte. Um die Verschlüsselung solcher Geräte selber brechen zu können, begann der SND, technische Informationen über ihre Verschlüsselungsverfahren und Kundenlisten zu beschaffen.
Später, als der SND zu einem zivilen Bundesamt geworden war, gelang es, den Zugang zu diesem Wissen mit dem Einverständnis der amerikanischen Nachrichtendienste zuverlässig sicherzustellen.
Rechtlich geht die Geschäftsprüfungsdelegation (GPDel) deshalb von einer nachrichtendienstlichen Zusammenarbeit aus, wie sie früher im Militärgesetz und heute im Nachrichtendienstgesetz (NDG) vorgesehen ist. Aus der Tatsache, dass der SND und die amerikanischen Dienste im gegenseitigen Einvernehmen handelten, ergibt sich eine Mitverantwortung der Schweizer Behörden für die Aktivitäten der Crypto AG.
Rechtlich war es zulässig, dass der SND und ein ausländischer Dienst eine Firma in der Schweiz gemeinsam nutzten, um Informationen über das Ausland zu beschaffen.
Angesichts der grossen politischen Tragweite dieser Zusammenarbeit erachtet es die GPDel aber als falsch, dass bis zur heutigen Vorsteherin des Eidgenössischen Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS) keiner ihrer Vorgänger von dieser Operation erfuhr.
Überdies hätten die Erkenntnisse des SND zur Crypto AG während der Affäre Bühler, zu welcher die Bundespolizei (BuPo) in den Jahren 1994 und 1995 ermittelte, nicht der politischen Führung vorenthalten werden dürfen. Der damalige Vorsteher des Eidgenössischen Militärdepartements (EMD) erfuhr auch nicht auf anderem Wege die Wahrheit über die Crypo AG, wie er der GPDel erklärte. Weiter fand die GPDel keine Belege dafür, dass die Politik unzulässigen Einfluss auf die Abklärungen der BuPo ausgeübt hätte. Vielmehr bemühte sich der Vorsteher des Eidgenössischen Justiz- und Polizeidepartementes (EJPD) um die Klärung der Eigentumsverhältnisse der Firma. Letztlich musste die BuPo aber ihre Abklärungen einstellen, ohne diese Frage beantworten zu können.
Die GPDel liess sich im Jahr 1994
wiederholt über die laufenden Abklärungen der BuPo informieren. Gleich wie die militärischen und politischen Vorgesetzten des SND erfuhr die GPDel hingegen nichts von den nachrichtendienstlichen Erkenntnissen des Auslandnachrichtendienstes zur Crypto AG. Die Firma war auch nie Gegenstand der Auskünfte des VBS, als sich die Oberaufsicht in den Jahren 2007 und 2009 spezifisch mit dem Thema Kryptologie befasste.
Für die Inspektion der GPDel erwiesen sich insbesondere die operativen Akten des SND und der BuPo, welche der Nachrichtendienst des Bundes (NDB) in einer umgebauten K-Anlage aufbewahrte, als wertvoll. Ihre vorschriftsgemässe Archivierung steht noch aus. Aufgrund der Archivierungspraxis der Nachrichtendienste besteht allerdings keine Gewähr dafür, dass alle wichtigen Unterlagen noch verfügbar sind.
Die Vernichtung solcher Unterlagen wurde teilweise durch Gesetz und Verordnung erlaubt, teilweise erfolgte sie jedoch im Widerspruch zu den geltenden Vorschriften.
2 / 64
BBl 2021 156
So vernichtete der NDB noch zwischen 2011 und 2014 Unterlagen aus dem Verkehr mit ausländischen Partnerdiensten, anstatt sie wie vorgeschrieben intern aufzubewahren. Ihre Inspektion hat der GPDel gezeigt, dass die Vernichtung von Akten durch den Nachrichtendienst kein probates Mittel des Quellenschutzes ist. Vielmehr besteht die Gefahr, dass frühere Quellen durch das Handeln unwissender Behörden gefährdet werden.
Firmen und Organisationen, welche auf Schweizer Boden tätig sind, profitieren im Ausland vom Image der Schweiz als neutraler Staat. Entsprechend können ausländische Nachrichtendienste ein Interesse daran haben, unter dem Deckmantel einer Schweizer Firma nachrichtendienstlich zum Nachteil anderer Staaten tätig zu werden.
Unter Umständen kann dabei eine betroffene Firma den Straftatbestand des verbotenen Nachrichtendienstes gegen fremde Staaten erfüllen. Eine solche Operation ist jedoch nach geltendem Recht zulässig, wenn ein ausländischer Dienst eine solche Firma gemeinsam mit dem NDB einsetzt, um Informationen über das Ausland zu beschaffen (vgl. Art. 34 Abs. 2 NDG). Nach Ansicht der GPDel sind im Vorfeld einer solchen Operation die möglichen Konsequenzen für die Schweiz, aber auch für allfällig betroffene Mitarbeitende der Firma, einer politischen Beurteilung zu unterziehen.
Der Bundesrat sollte deshalb im Grundsatz klären, welchen Handlungsspielraum er dem VBS diesbezüglich gewähren will.
Der Fall Crypto AG zeigt, dass Firmen unter dem Einfluss ausländischer Nachrichtendienste Geräte mit «schwachen» Verschlüsselungsverfahren produzieren können.
Die GPDel geht allerdings davon aus, dass die Crypto AG den Schweizer Behörden nie «schwache» Verschlüsselungsgeräte geliefert hat. Wichtig war dabei aber auch, dass die Schweizer Behörden die Sicherheit der beschafften Geräte überprüfen oder sogar auf ihre Konzeption Einfluss nehmen konnten. Dies ist jedoch nur bei Lieferanten möglich, welche ihre Geräte in der Schweiz entwickeln und produzieren. Aus Sicherheitsgründen ist es nicht verantwortbar, dass der Bund Verschlüsselungslösungen von ausländischen Lieferanten bezieht. Von Anfang an hat der Bundesrat der Rolle, welche einheimische Lieferanten für die Verfügbarkeit sicherer Verschlüsselungstechnik für die Schweizer Behörden spielen, nicht die nötige Beachtung geschenkt. Das VBS als in
der Verantwortung stehendes Departement hat die Risiken für die Versorgungssicherheit nicht rechtzeitig analysiert und zuhanden des Bundesrats beurteilt.
Die Informationszugänge des Nachrichtendienstes zur Crypto AG waren auf Stufe der Leitung des SND ein gut gehütetes Geheimnis. Als der Nachrichtendienst des Bundes (NDB) geschaffen wurde, blieb dieses Wissen jedoch seinem ersten Direktor verborgen. Als dieser einige Jahre später damit konfrontiert wurde, weigerte er sich, seine Führungsverantwortung wahrzunehmen.
Erst unter dem heutigen Direktor wurde im Sommer 2019 eine Standortbestimmung in Auftrag gegeben, obwohl er nicht von seinem Vorgänger darüber informiert worden war und noch bevor der NDB von den Recherchen der Medien zur Crypto AG erfuhr. Diesen Informationsvorsprung nutzte er jedoch nicht, um die Entwicklung der Beziehungen zwischen den Vorgängerorganisationen des NDB, den amerikanischen Nachrichtendiensten und der Crypto AG aufarbeiten zu lassen. Anstatt die rechtliche Ausgangslage zu klären und die politische Tragweite zu erkennen, begnügte sich der
3 / 64
BBl 2021 156
NDB damit, die Relevanz des Falles Crypto AG für den heutigen Dienst herunterzuspielen.
Auch dem VBS, das bereits im November 2019 den Bundesrat und die GPDel orientierte, gelang es nicht, den politischen Handlungsbedarf zu erkennen. Die interdepartementale Arbeitsgruppe, welche das VBS ebenfalls einsetzte, konnte die politische Führung wegen der Informationszurückhaltung des NDB in der sich abzeichnenden Nachrichtendienstaffäre nicht wirksam unterstützen.
Im Antrag zur Bundesratssitzung vom 20. Dezember 2019 machte das VBS geltend, der Informationsstand reiche nicht für eine inhaltliche Aussprache über den Fall Crypto AG aus. Nach dem Aktenfund in der K-Anlage, den das VBS gegenüber dem Bundesrat erwähnt hatte, traf diese Feststellung jedoch nicht mehr zu. Da der NDB die umfangreichen Akten vor der Bundesratssitzung nicht ausgewertet hatte, entschied sich der Bundesrat für die Einsetzung eines externen Expertengremiums zur Klärung der vermeintlich rein historischen Fragen. Damit gab der Bundesrat die strategische Führung für die Bewältigung des Falles Crypto AG von Anfang an aus der Hand.
Als die GPDel am 13. Februar 2020 ihre Inspektion eröffnete, war alt Bundesrichter Oberholzer bereits seit einem Monat im Auftrag des Bundesrats als externer Experte tätig, allerdings ohne Zugang zu den Akten aus der K-Anlage erhalten zu haben.
Nachdem die GPDel alle relevanten Akten des NDB herausverlangt hatte, erkannte sie, dass der Fall Crypto AG über die reine Geschichtsschreibung hinausging und von aktueller Bedeutung war. Dadurch erwies sich der Ansatz des VBS, die historischen und aktuellen Aspekte des Falles getrennt zu untersuchen, als wenig zielführend. Angesichts der Parallelität der verschiedenen Untersuchungen hielt es die GPDel für notwendig, vor der Weiterführung dieser Arbeiten mit der Vorsteherin des VBS die offenen Koordinationsfragen zu besprechen. Als das VBS jedoch vor dem mit der GPDel vereinbarten Gesprächstermin den Umfang der Untersuchung Oberholzer ausweitete, widerrief die GPDel am 21. Februar 2020 ihre Ermächtigung zum Auftrag des Bundesrats an Herrn Oberholzer. Als Untersuchungsbeauftragter der GPDel arbeitete er danach die nachrichtendienstlichen Aspekte des Falles Crypto AG in einem geheimen Bericht zuhanden der GPDel auf.
Die GPDel besprach am 25. Februar 2020 ihren Widerruf
der Ermächtigung mit der Vorsteherin des VBS. Der nachfolgende schriftliche Austausch mit dem Bundesrat führte am 25. Mai 2020 zu einem Treffen mit der Bundespräsidentin und der Vorsteherin des VBS. Dabei informierte die GPDel über die wichtigsten Fakten zur Rolle der Nachrichtendienste im Fall Crypto AG. In einem geheimen Schreiben wurden diese Informationen auch dem Bundesrat zur Kenntnis gebracht.
Nach der Bundesratssitzung vom 20. Dezember 2019 hatte das Eidgenössische Departement für Wirtschaft, Bildung und Forschung (WBF) entschieden, die Generalausfuhrbewilligungen der Nachfolgefirmen der Crypto AG zu sistieren. Das Ziel war offenbar, eine für das WBF ungünstige Berichterstattung in den Medien zu vermeiden.
Aus Sicht der GPDel war die Sistierung dieser Bewilligungen allerdings materiell und rechtlich nicht gerechtfertigt, ebenso wenig wie die vom WBF gestützte Hinhaltetaktik des Staatssekretariats für Wirtschaft (SECO) gegenüber den betroffenen Firmen. Einzelausfuhrgesuche konnten jedoch weiterhin gestellt werden. Gegen ihre Erteilung 4 / 64
BBl 2021 156
lagen auch keine rechtlichen Gründe vor, wie die Exportkontrollgruppe am 4. März 2020 zu Recht erkannte. Aufgrund der Haltung des Eidgenössischen Departements für auswärtige Angelegenheiten (EDA) wurde im Verlauf des Mai 2020 jedoch beschlossen, alle Gesuche dem Bundesrat zum Entscheid vorzulegen.
Am 25. Februar 2020 reichte das SECO mit Unterstützung des WBF Strafanzeige bei der Bundesanwaltschaft (BA) ein. Aufgrund der ersten Medienberichterstattung hatte das SECO vermutet, dass die Crypto AG vor 2018 mit dem Export von «schwacher» Verschlüsselungstechnik einzelne Deklarationspflichten aus dem Güterkontrollrecht verletzt hatte. Das WBF übernahm ungeprüft die Argumentation des SECO, wonach aus rechtlichen Gründen eine Anzeigepflicht bestand. Die BA ihrerseits hatte auf Anfrage des SECO von einer Strafanzeige abgeraten; mit anderen sachverständigen Bundesstellen tauschte sich das SECO nicht aus.
Aus Sicht der GPDel stützte sich die Strafanzeige auf eine unsorgfältig erstellte Faktenlage und gründete auf einer mangelhaften rechtlichen Argumentation. Da die Anzeige offensichtlich aus politischen Gründen erfolgt war, hätte sie nicht vom SECO, sondern vom WBF eingereicht werden müssen.
Am 13. März 2020 ersuchte die BA das EJPD um die Ermächtigung, die vom SECO angezeigten Verletzungen des Güterkontrollrechts strafrechtlich verfolgen zu können.
Drei Monate später legte das EJPD den Ermächtigungsantrag der BA dem Bundesrat zum Entscheid vor. Vorgängig hatte das EJPD am 25. Mai 2020 darüber eine Aussprache mit der GPDel geführt. Das WBF seinerseits beantragte dem Bundesrat am 10. Juni 2020, alle pendenten Ausfuhrgesuche zu bewilligen, dies obwohl es die Anzeige des SECO mitgetragen hatte. Nachdem der Bundesrat das Geschäft um eine Woche verschoben hatte, beantragte das WBF mit gleichbleibender Begründung, den Entscheid über die Gesuche bis zum Abschluss der Untersuchung der BA auszusetzen.
Am 19. Juni 2020 folgte der Bundesrat diesem Antrag; gleichentags erteilte er der BA die Ermächtigung.
Die GPDel erkennt die Kohärenz zwischen den Entscheiden des Bundesrats bezüglich dem Ermächtigungsgesuch der BA und den Einzelausfuhrgesuchen der Nachfolgefirmen der Crypto AG. Mit dem unbefristeten Aufschub der Behandlung der Gesuche dürfte der Bundesrat jedoch gegen Treu und Glauben verstossen haben, da jedes
Schweizer Unternehmen grundsätzlich mit einer speditiven Bewilligung seiner Exporte rechnen kann, sofern keine rechtlichen Gründe dagegensprechen. Das Güterkontrollrecht war auch kein geeignetes Mittel, um auf den Fall Crypto AG zu reagieren, und die Strafanzeige war offensichtlich ein Versuch, sich der politischen Verantwortung zu entledigen, indem die Bewältigung des Falles Crypto AG der Justiz überlassen wurde. Damit verknüpfte der Bundesrat in letzter Konsequenz das Verfahren der BA mit der laufenden Untersuchung der GPDel, was aus Sicht der Gewaltenteilung problematisch war.
5 / 64
BBl 2021 156
Inhaltsverzeichnis Das Wichtigste in Kürze
2
1
Vorgehen
8
2
Aktenbasis für die Inspektion 2.1 Sachverhalt 2.1.1 MINERVA-Bericht 2.1.2 Protokolle der Führungsgespräche der Vorsteher des VBS 2.1.3 Operative Akten der BuPo und des SND 2.1.4 Archivierungspraxis der Nachrichtendienste 2.2 Beurteilung der GPDel
9 9 9 10 11 12 15
3
Aktivitäten der Bundespolizei 3.1 Sachverhalt 3.1.1 Fall «Code» 3.1.2 Operation «Rötel» 3.1.3 Affäre Bühler 3.1.4 Information der Oberaufsicht 3.2 Beurteilung der GPDel
16 16 16 17 17 18 19
4
Aktivitäten der Dienste im EMD und VBS 4.1 Sachverhalt 4.1.1 Informationszugänge des SND 4.1.2 Information der vorgesetzten Stellen und Bundesräte 4.1.3 Information der heutigen Vorsteherin des VBS und des Bundesrates 4.1.4 Information der Oberaufsicht 4.2 Beurteilung der GPDel 4.2.1 Rechtmässigkeit der Informationsbeschaffung (vor 2002) 4.2.2 Rechtmässigkeit der Zusammenarbeit mit den amerikanischen Nachrichtendiensten (nach 2002) 4.2.3 Zweckmässigkeit und Wirksamkeit der Informationsbeschaffung 4.2.4 Zweckmässigkeit der Aufsicht und Führung durch die Vorsteher des EMD und des VBS 4.2.5 Zweckmässigkeit des Vorgehens des heutigen NDB und der Information an die Vorsteherin des VBS
20 20 20 21
5
Grundsätzliche Fragen für die Zukunft 5.1 Nachrichtendienstliche Operationen mit Schweizer Firmen 5.2 Sichere Kryptographie für die Schweiz
30 30 31
6
Massnahmen des VBS und des Bundesrates 6.1 Bundesratsbeschluss vom 20. Dezember 2019 6.1.1 Einsetzung der IDAG 6.1.2 Aktenfund in der K-Anlage
33 33 33 34
6 / 64
21 22 24 24 25 27 27 29
BBl 2021 156
6.1.3 6.2 6.3
Entscheidungsgrundlagen des Bundesrates für den Bundesratsbeschluss vom 20. Dezember 2019 Einsetzung des Untersuchungsbeauftragten Rolle des Sicherheitsausschusses
7
Übernahme durch die GPDel 7.1 Ermächtigung nach Artikel 154a ParlG 7.2 Edierung von Unterlagen 7.2.1 Zurückhalten von Unterlagen gegenüber der GPDel 7.2.2 Gewährung der Einsicht in Dokumente 7.2.3 Beurteilung der Tragweite des Sachverhalts 7.3 Entzug der Ermächtigung nach Artikel 154a ParlG 7.4 Beizug eines Untersuchungsbeauftragten durch die GPDel 7.5 Tätigkeit der AB-ND und Aufsichtsverantwortung des VBS 7.6 Zwischeninformation an die Bundespräsidentin
8
Sistierung der Ausfuhrbewilligungen durch das WBF und den Bundesrat und Strafanzeige des SECO 8.1 Sachverhalt 8.2 Gesetzliche Grundlagen 8.3 Sistierung der Generalausfuhrbewilligung durch das WBF 8.3.1 Rechtmässigkeit der Sistierung 8.3.2 Würdigung durch die GPDel 8.4 Strafanzeige des SECO 8.4.1 Entscheidfindung im WBF 8.4.2 Beurteilung der Anzeige durch die GPDel 8.4.3 Ermächtigungsgesuch der BA und Aussprache der GPDel mit der Bundespräsidentin und der Vorsteherin des EJPD 8.5 Einzelausfuhrgesuche der Nachfolgefirmen der Crypto AG 8.6 Strafanzeige und Aufschub der Behandlung von Einzelausfuhrgesuchen: Würdigung der GPDel 8.7 Konsequenzen für die Inspektion der GPDel
9
35 36 37 38 38 39 39 40 40 41 43 43 44 45 45 46 47 47 48 49 49 50 52 53 55 56
Empfehlungen
57
10 Weiteres Vorgehen
58
Abkürzungsverzeichnis
59
7 / 64
BBl 2021 156
Bericht 1
Vorgehen
Als sich die Geschäftsprüfungsdelegation (GPDel) am 19. Dezember 2019 konstituierte, übernahm der bisherige Vizepräsident, Nationalrat Alfred Heer, das Präsidium.
Vizepräsidentin wurde Ständerätin Maya Graf, welche bereits als Nationalrätin der GPDel angehört hatte. Nationalrätin Yvonne Feri, Nationalrat Stefan Müller-Altermatt sowie die Ständeräte Philippe Bauer und Werner Salzmann nahmen als weitere Mitglieder in der Delegation Einsitz.
An ihrer ersten Sitzung vom 20. Januar 2020 nahm die GPDel den Beschluss des Bundesrates zur Kenntnis, alt Bundesrichter Niklaus Oberholzer mit einer historischen Aufarbeitung des Falles Crypto AG zu betrauen (vgl. Ziff. 6.2). Seit der Aussprache der GPDel mit der Vorsteherin des Eidgenössischen Departementes für Verteidigung, Bevölkerungsschutz und Sport (VBS) vom 25. November 2019 hatte die GPDel vom VBS keine weiteren Informationen oder Unterlagen erhalten (vgl. Ziff. 4.1.4). Zunehmend besorgt über den Mangel an Informationen verlangte der Präsident der GPDel anfangs Februar 2020 ein Treffen mit dem Direktor des Nachrichtendienstes des Bundes (NDB). Die am 6. Februar 2020 erteilten Auskünfte waren jedoch nicht befriedigend und der Präsident der GPDel verlangte, umgehend eine Kopie des MINERVABerichts (vgl. Ziff. 2.1.1), der offenbar auch im Besitz verschiedener Journalisten war, zu erhalten.
Am 12. Februar 2020 beschloss die GPDel, für den folgenden Tag eine ausserordentliche Sitzung einzuberufen. Am gleichen Abend nahm der Präsident der GPDel an der Sendung Rundschau teil. An der Sitzung vom 13. Februar 2020 beschloss die GPDel, eine formelle Inspektion durchzuführen und informierte den Bundesrat und die Öffentlichkeit darüber.1 Die GPDel nahm sich insbesondere vor, die Berührungspunkte von Bundesstellen mit den in dieser Angelegenheit relevanten ausländischen Nachrichtendiensten zu untersuchen und abzuklären, ob und inwieweit der Bundesrat über die Sachlage bezüglich der Firma Crypto AG informiert war.
Gleichzeitig verlangte die GPDel vom VBS die Herausgabe einer Vielzahl von Unterlagen. Weiter holte sie bei der Bundeskanzlei (BK) die Protokollauszüge aller Sitzungen ein, anlässlich welcher der Bundesrat den Fall Crypto AG besprochen hatte.
Ebenso nahm die Delegation umgehend die Anhörung von heutigen und ehemaligen Angestellten des Bundes an die
Hand. Zwischen dem 19. und dem 26. Februar 2020 befragte die GPDel bereits vierzehn Personen und führte eine Aussprache mit der Vorsteherin des VBS.
Bis zu ihrer letzten Anhörung am 26. August 2020 hörte die GPDel insgesamt 32 aktuelle und ehemalige Angehörige des Bundes an, einzelne davon mehrmals. Unter den 12 angehörten Personen, die nicht mehr im Dienst des Bundes standen, waren zwei ehemalige Vorsteher des Eidgenössischen Militärdepartementes (EMD), respektive des VBS (Kaspar Villiger und Samuel Schmid), sowie ein früherer Vorsteher des 1
Inspektion der Geschäftsprüfungsdelegation zum Fall Crypto AG, Medienmitteilung der GPDel vom 13. Febr. 2020.
8 / 64
BBl 2021 156
Eidgenössischen Justiz- und Polizeidepartementes (EJPD) (Arnold Koller). Es wurden alle früheren Direktoren des NDB und des Strategischen Nachrichtendienstes (SND)2 und die letzten Chefs der Bundespolizei (BuPo) und des SND angehört.
Nachdem die GPDel ihre Ermächtigung für die Untersuchung, mit welcher der Bundesrat Niklaus Oberholzer beauftragt hatte, widerrief, liess sich die Delegation am 24. Februar 2020 von Herrn Oberholzer über seine bisherigen Arbeiten im Auftrag des Bundesrates orientierten. Zugleich kam die GPDel mit ihm überein, dass er seine Untersuchung unter einem neuen Mandat der GPDel weiterführen würde. Die Vorsteherin des VBS zeigte sich mit dem Vorgehen der GPDel anlässlich der gemeinsamen Aussprache vom 25. Februar 2020 einverstanden.
Herr Oberholzer nahm am 2. März 2020 offiziell seine Arbeit als Untersuchungsbeauftragter der GPDel auf. Er hatte Zugang zu allen Unterlagen, welche die GPDel erhalten hatte, und erhielt die Protokolle aller relevanten Anhörungen der Delegation zur Kenntnisnahme. Seine Teilnahme an den Befragungen erachtete die GPDel jedoch nicht als notwendig.
Der Schwerpunkt seiner Arbeit galt der Aufarbeitung der operativen Akten der Vorgängerorganisationen des NDB (vgl. Ziff. 2.1.3) und der Analyse der relevanten Ereignisse. Auf dieser Grundlage nahm er auch eine Einordnung der Ereignisse vor, wie sie sich unter dem NDB entwickelt hatten.
Am 2. Juli 2020 besprach Herr Oberholzer den Entwurf seines Berichtes mit der GPDel und übergab ihn danach in seiner endgültigen Form der Delegation. Im Bericht werden alle verfügbaren Informationen zusammengetragen, darunter auch diejenigen, welche die GPDel aus Geheimhaltungsgründen im vorliegenden Inspektionsbericht ausgelassen hat. Der Bericht von Herrn Oberholzer umfasst rund 90 Seiten und ergänzt den offiziellen Inspektionsbericht. Er ist nur für die GPDel und den Bundesrat bestimmt.
2
Aktenbasis für die Inspektion
2.1
Sachverhalt
2.1.1
MINERVA-Bericht
Der Bericht «MINERVA A History» beschreibt, wie die amerikanischen Nachrichtendienste die Crypto AG, die ab den Fünfzigerjahren in der Schweiz Verschlüsselungsgeräte herstellte, im Einvernehmen mit ihrem schwedischen Eigentümer für ihre Zwecke nutzten. Im Jahr 1970 ging die Firma, die den Decknamen MINERVA erhielt, in den gemeinsamen Besitz amerikanischer Dienste und des deutschen Nachrichtendienstes über. Die Schilderungen des Berichts umfassen noch den Rückzug der deutschen Seite Ende 1993 und finden ihren Abschluss im Jahr 1995.
Der MINERVA-Bericht wurde von den amerikanischen Diensten nach dem Jahr 2000 unter Einbezug von Vertretern des deutschen Nachrichtendienstes erarbeitet. Um das 2
Im Jahr 2001 wurde die militärische Untergruppe Nachrichtendienst aufgelöst und ihre Abteilung SND in die zivile Direktion SND überführt.
9 / 64
BBl 2021 156
Jahr 2005 herum erhielt die deutsche Seite offenbar eine Kopie des Berichts und erstellte später ergänzende Beurteilungen dazu. Diese Version des amerikanischen Berichts gelangte zusammen mit den deutschen Papieren in den Besitz der Medien, welche ab der zweiten Woche des Monats Februar 2020 über einzelne, ausgewählte Passagen aus dem Papier berichteten. Den knapp hundertseitigen MINERVA-Bericht selbst machten die Medien jedoch der Öffentlichkeit bisher nicht zugänglich.
Die GPDel hat den MINERVA-Bericht vom NDB erhalten und analysiert. Die vom NDB dargelegten Zusatzinformationen lassen an der Authentizität des Dokuments keine Zweifel offen. Die Angaben im Bericht zu Ereignissen in der Schweiz und über die Schweizer Behörden sind allerdings oft wenig präzise und enthalten auch nachweislich falsche Detailinformationen. Dies lässt vermuten, dass die amerikanischen Autoren mit der Schweiz und ihrem Staatswesen nur wenig vertraut waren. Die GPDel geht aber grundsätzlich davon aus, dass die Ersteller des Berichts die Ereignisse, von denen sie über ihre Verbindungsleute in der Crypto AG oder von anderer Seite erfahren haben, nach ihrem besten Wissen wiedergegeben und nach ihren eigenen Erklärungsmustern eingeordnet haben. Die deutschen Berichte sind der GPDel nur teilweise bekannt, wobei die verfügbaren Informationen keine direkte Relevanz für die Inspektion der GPDel hatten.
2.1.2
Protokolle der Führungsgespräche der Vorsteher des VBS
Mit der Überführung des SND in ein ziviles Bundesamt übernahm der Vorsteher des VBS ab dem Jahr 2001 eine direkte Führungsverantwortung für den Auslandnachrichtendienst. Zu den Jahren 2002 bis 2008 konnte das VBS die Protokolle der regelmässigen Monatsgespräche des Vorstehers des VBS (Samuel Schmid) mit dem Direktor des SND (Hans Wegmüller, Paul Zinniker) der GPDel zur Verfügung stellen.
Diese Protokolle hatte der zuständige Referent des Departementsvorstehers erstellt.
Im Protokoll des letzten Monatsgesprächs des Jahres 2008 fand die GPDel einen Hinweis darauf, dass der damalige Vorsteher des VBS noch weitere, nicht protokollierte Gespräche mit dem Direktor SND geführt hatte und seine diesbezüglichen persönlichen Aufzeichnungen ausserhalb des Bundesarchivs (BAR) archivieren lassen wollte.
Nachdem die GPDel das VBS und das BAR um entsprechende Abklärungen gebeten hatte, konnten die beiden Notizhefte mit den handschriftlichen Aufzeichnungen des damaligen Vorstehers des VBS in der Bibliothek am Guisanplatz gefunden werden.
Offenbar waren diese Akten dem früheren Leiter der Militärbibliothek anvertraut worden, ohne dass sie danach ordentlich archiviert worden wären. Die GPDel wird dafür sorgen, dass das Generalsekretariat des VBS (GS-VBS) diese Aufzeichnungen sicher und gesetzeskonform archiviert.
Nach dem Wechsel des Departementsvorstehers (neu: Ueli Maurer) auf Anfang 2009 wurde das erste Monatsgespräch mit dem SND zwar noch protokolliert. Die Abschaffung der Stelle des für die Nachrichtendienste zuständigen Referenten führte jedoch dazu, dass seitens des GS-VBS keine weiteren Führungsgespräche mit dem Direktor des SND protokolliert wurden. In keinem der dokumentierten Führungsgespräche der
10 / 64
BBl 2021 156
Departementsvorsteher mit den Direktoren des SND fand die GPDel Hinweise auf die Crypto AG.
Auf Anfang 2009 wurde der Dienst für Analyse und Prävention (DAP) vom EJPD ins VBS überführt und zu Beginn des Jahres 2010 mit dem SND zum NDB zusammengelegt. Die Monatsgespräche des Vorstehers des VBS mit dem Direktor des NDB (Markus Seiler) wurden allerdings erst ab Anfang 2014 protokolliert, diesmal durch den Leiter der VBS-internen nachrichtendienstlichen Aufsicht. Dessen Teilnahme an den Monatsgesprächen war letztlich eine Konsequenz aus der Administrativuntersuchung, welche Professor Heinrich Koller im Auftrag des Vorstehers des VBS nach dem Datendiebstahl im NDB durchgeführt und auf Ende März 2013 abgeschlossen hatte.3 Aus den früheren Jahren bilden die Traktandenlisten, welche der Direktor des NDB im Hinblick auf seine Führungsgespräche mit dem Vorsteher des VBS erstellt hatte, die einzigen existierenden Akten.
Die Protokollierung der Führungsgespräche wurde unter dem nachfolgenden Vorsteher des VBS (Guy Parmelin) weitergeführt. In all den Unterlagen finden sich keine Hinweise, dass der Direktor des NDB mit seinem Departementsvorsteher in irgendeiner Form über die Crypto AG gesprochen hätte.
2.1.3
Operative Akten der BuPo und des SND
Um die Frage zu beantworten, welches Wissen die Schweizer Nachrichtendienste über die Crypto AG besassen, wurde die GPDel letztlich vor allem in den Unterlagen über die Informationsbeschaffung der BuPo und des SND fündig. Es ging dabei um Aktivitäten, welche bis in die 1970er-Jahre zurückreichten.
Nach der «Fichenaffäre» bestand die BuPo gegenüber dem BAR darauf, dass bei der Archivierung von Unterlagen zwischen gerichts- und nicht gerichtstauglichen Akten unterschieden werde und dem BAR nur die gerichtstauglichen Akten abzuliefern seien. Wie die GPDel anfangs 2001 erfahren hatte, erachtete der damalige Direktor des BAR (Christoph Graf) dieses Ansinnen zwar rechtlich nicht für zulässig, konnte aber die Ablieferung der präventivpolizeilichen Akten nicht erzwingen.
Die polizeilichen Abklärungen, welche die BuPo aufgrund der Anschuldigungen von Hans Bühler und der Medien gegen die Crypto AG im Jahr 1994 durchführte, erfolgten im Hinblick auf die spätere Eröffnung eines gerichtspolizeilichen Verfahrens. Da diese Akten als gerichtstauglich erachtet wurden, wurden sie im BAR archiviert und konnten dort relativ rasch aufgefunden werden.
Zur Untersuchung, welche die BuPo in den 1970er-Jahren aufgrund der Hinweise des früheren Entwicklungsleiters der Crypto AG durchführte, finden sich hingegen keine Akten im BAR. Als Akten von präventivpolizeilichen Abklärungen wurden sie dem BAR nie übergeben, immerhin jedoch unter der Bezeichnung «Fall Code» (vgl.
Ziff. 3.1.1) intern aufbewahrt. Zusammen mit den Akten zur «Operation Rötel» (vgl.
Ziff. 3.1.2) gingen sie anfangs 2010 in den Besitz des NDB über. Sie wurden in der 3
Inspektion als Folge der Verhaftung einer ehemaligen Quelle des NDB in Deutschland, Bericht der GPDel vom 13. März 2018, Ziff. 2.3 (BBl 2018 5045, hier 5062).
11 / 64
BBl 2021 156
ehemaligen K-Anlage4, welche der SND zur Aufbewahrung von besonders geheimhaltungswürdigen Unterlagen umgebaut hatte, gefunden (vgl. Ziff. 2.1.4). In dieser Anlage befanden sich auch die relevanten Akten des SND zur Crypto AG.
2.1.4
Archivierungspraxis der Nachrichtendienste
Das Archivierungsgesetz (BGA)5 trat am 1. Oktober 1999 in Kraft und ersetzte das Reglement des Bundesrates vom 15. Juli 1966 für das Bundesarchiv. Mit dem neuen Gesetz wurde die Ablieferungspflicht durch eine Anbietepflicht ersetzt. Das Ziel der Archivierung, nämlich alle «wertvollen» Akten für die Nachwelt zu erhalten, blieb jedoch bestehen. Auch sah das BGA keine Ausnahmen vor. Zugunsten der Nachrichtendienste begann der Bundesrat jedoch, auf Verordnungsstufe von diesem Prinzip abzuweichen.
Laut Artikel 17 Absatz 7 des Bundesgesetzes über Massnahmen zur Wahrung der inneren Sicherheit (BWIS)6, welches am 1. Juli 1998 in Kraft getreten war, musste der Quellenschutz im Verkehr mit dem Ausland in jedem Fall gewährleistet werden. Gestützt auf diese Bestimmung nahm der Bundesrat im Juni 2001 den DAP als Nachfolgeorganisation der BuPo von der Pflicht aus, klassifizierte Daten aus dem direkten Verkehr mit ausländischen Sicherheitsbehörden dem BAR zur Archivierung anbieten zu müssen (Art. 21 Abs. 2 VWIS)7. Wie der damalige Chef des DAP (Urs von Daeniken) der GPDel im Juli 2001 erläuterte, würde sein Dienst solche Unterlagen in der Regel spätestens nach fünf Jahren vernichten. Im Jahr 2008 erhielt der DAP beispielsweise 8'200 Meldungen von Partnerdiensten und liess diesen seinerseits 10'900 Meldungen zukommen.8 Die Abklärungen über die Kontakte der Schweizer Nachrichtendienste mit Südafrika, welche die GPDel zwischen 1999 und 2003 vornahm, zeigten, dass der militärische Nachrichtendienst über die Jahre hinweg systematisch Akten vernichtet und sie so der Archivierung entzogen hatte.9 Als die GPDel im Januar 2001 dem BAR einen Besuch abstattete, stellte sich heraus, dass die jüngsten Archivbestände des Nachrichtendiens-
4
5 6 7 8 9
Die Liste AGFA (Abteilung für Genie und Festung Anlageverzeichnis) des früheren Bundesamtes für Genie und Festungen teilte die Anlagen und Bauten der Armee in verschiedene Kategorien ein. Führungsanlagen fielen unter die Kategorien «A» oder «F», wie z.B. die Anlage A-01780 der Organisation P-26 in Gstaad (vgl. Jahresbericht 2018 der GPK und GPDel vom 28. Jan. 2019, Ziff. 4.10 [BBl 2019 2729, hier 2814]). Als K-Anlagen (Kriegsanlagen) wurden früher oft auch Führungsanlagen der zivilen und militärischen Führung bezeichnet.
Bundesgesetz vom 26. Juni 1998 über die Archivierung (Archivierungsgesetz, BGA; SR 152.1).
Bundesgesetz vom 21. März 1997 über Massnahmen zur Wahrung der inneren Sicherheit (BWIS; SR 120).
Verordnung vom 27. Juni 2001 über Massnahmen zur Wahrung der inneren Sicherheit (VWIS; AS 2001 1829).
Rechenschaftsbericht 2008 des fedpol vom Mai 2009, 18 Untersuchung über die Kontakte des Schweizer Nachrichtendienstes zu Südafrika zur Zeit des Apartheidregimes, Bericht der GPDel vom 18. Aug. 2003, Ziff. 4.3.7 (BBl 2004 2267, hier 2296).
12 / 64
BBl 2021 156
tes aus den 1940er-Jahren stammten. Wie die GPDel später erfuhr, hatte der neue Direktor des SND allerdings Anfang 2001 entschieden, dass keine weiteren Akten ohne Einverständnis des BAR vernichtet werden sollten.
Anfang 2004 trat mit Artikel 99 Absatz 4 Militärgesetz (MG)10 eine neue Bestimmung zum Quellenschutz in Kraft. Laut der Botschaft des Bundesrates erhielt der SND dadurch die Kompetenz, vom BGA abzuweichen.11 In der Folge sah der neue Artikel 12 Absatz 2 der Verordnung über die Nachrichtendienste (VND)12 vor, dass der SND klassifizierte Unterlagen aus dem direkten Verkehr mit ausländischen Diensten und aus der operativen Beschaffung nicht zur Archivierung anbieten musste, sondern sie in Absprache mit dem BAR intern aufbewahren würde. Um solche Akten über längere Zeit sicher aufbewahren zu können, liess der SND die bereits erwähnte K-Anlage zu einem eigenen, ausschliesslich internen Archiv umbauen (vgl. Ziff. 2.1.3).
Während die Ausnahmeregelung für den DAP die endgültige Vernichtung aller Akten aus dem Verkehr mit dem Ausland zur Folge hatte, gab zumindest der Wortlaut der VND dem SND keine Kompetenz zur Vernichtung wichtiger Akten. Der Bundesrat bewilligte damit aber dem SND ein eigenes Archiv ausserhalb des BAR. Offen blieben dabei jedoch Fragen bezüglich der Organisation dieser Aktensammlung oder der Regelung der Einsicht. Wie die GPDel im Januar 2011 anlässlich einer Aussprache mit dem Direktor des BAR (Andreas Kellerhals) feststellte, waren das BAR und der SND in all den Jahren nie zu einer Einigung über die Modalitäten für die Aufbewahrung der Akten in der K-Anlage gelangt. Das BAR hatte auch keinen Zugang zu diesen Akten.
Als im Jahr 2009 die Verordnungen für den neuen NDB erarbeitet wurden, liess der designierte Direktor des NDB (Markus Seiler) die Bestimmungen aus der VWIS und der VND in Bezug auf die Ausnahmen von der Archivierungspflicht vereinheitlichen.
Der neue Artikel 28 Absatz 2 der Verordnung über den Nachrichtendienst des Bundes (V-NDB)13 entzog alle Unterlagen aus dem Verkehr mit ausländischen Nachrichtendiensten und aus der operativen Beschaffung der Anbietepflicht an das BAR. Die Verordnungsbestimmung galt ebenfalls rückwirkend für noch nicht abgelieferte Akten.
Die unwiederbringliche Vernichtung, die der DAP für Akten aus dem Verkehr mit dem Ausland praktiziert
hatte, wurde in der Verordnung explizit auch auf Unterlagen aus der operativen Beschaffung ausgedehnt. Eine Vernichtung von Akten war, zumindest nach dem Wortlaut der Bestimmung, jedoch erst nach einer Aufbewahrungsdauer von 45 Jahren zulässig.
Aus Sicht der GPDel waren diese neuen Ausnahmebestimmungen, welche der Bundesrat dem NDB zugestanden hatte, nicht mit den neuen gesetzlichen Grundlagen des NDB vereinbar, welche die Delegation im Rahmen der Parlamentarischen Initiative
10 11 12 13
Bundesgesetz vom 3. Febr. 1995 über die Armee und die Militärverwaltung (Militärgesetz, MG; SR 510.10).
Botschaft vom 24. Okt. 2001 zur Armeereform XXI und zur Revision der Militärgesetzgebung (BBl 2002 858, hier 877) Verordnung vom 26. Sept. 2003 über die Nachrichtendienste im VBS (VND; AS 2003 4001).
Verordnung vom 4. Dez. 2009 über den Nachrichtendienst des Bundes (V-NDB; AS 2009 6937).
13 / 64
BBl 2021 156
(Pa. Iv.) Hofmann selbst konzipiert hatte.14 Das neue Bundesgesetz über die Zuständigkeiten im Bereich des zivilen Nachrichtendienstes (ZNDG)15 hob die Quellenschutzbestimmungen des MG und des BWIS auf, und im letzten Fall auch die vom Bundesrat geltend gemachte Legitimation für die Vernichtung von Unterlagen aus dem Verkehr mit Partnerdiensten. Einzig menschliche Quellen, welche sich durch ihre Informationstätigkeit über das Ausland einer Gefährdung aussetzten, waren gemäss Artikel 7 ZNDG in jedem Fall zu schützen. Für die Umgehung der Vorschriften des BGA war diese Bestimmung jedoch nicht gedacht.
Nachdem die GPDel beim Bundesamt für Justiz (BJ) ein Gutachten eingeholt und Anfang 2011 den Direktor des BAR und Vertreter des NDB angehört hatte, beschloss sie, bei der nächsten Gelegenheit die vollständige und sichere Archivierung aller Unterlagen des NDB auf Gesetzesstufe explizit festzuschreiben.16 Der GPDel erschien dieses Vorgehen als zweckmässig, weil sie in guten Treuen davon ausging, dass die Vernichtung weiterer Unterlagen wegen der Frist von 45 Jahren in absehbarer Zeit ausgeschlossen sei.
Die Eidgenössischen Räte folgten den Anträgen der GPDel im Jahr 2013 zuerst bei der Revision des ZNDG und im Folgejahr bei der Beratung des Bundesgesetzes über den Nachrichtendienst (NDG)17. Im Jahr 2019 begann die GPDel, die Umsetzung der neuen Archivierungsbestimmung zu überprüfen. Aus einem Bericht, den der NDB im Mai 2019 für die GPDel erstellte, musste sie jedoch darauf schliessen, dass der NDB noch zwischen 2011 und 2014 Unterlagen von Partnerdiensten des früheren DAP unwiederbringlich vernichtet hatte. Laut den Erklärungen des NDB im November 2019 erfolgte dies bei der Umstellung auf eine neue Version des Informationssystems Innere Sicherheit (ISIS)18.
In der Folge bat die GPDel die Vorsteherin des VBS (Viola Amherd), die Rechtmässigkeit der Vernichtung dieser Daten zu beurteilen und zu eruieren, wer für die damalige Aktenvernichtung verantwortlich zeichnete. Gemäss einem Zusatzbericht des NDB vom 3. März 2020 und anlässlich der Aussprache mit der Vorsteherin des VBS vom 25. Mai 2020 bezeichnete das VBS die von der GPDel kritisierte Aktenvernichtung als rechtmässig. Laut den Ausführungen des Direktors des NDB (Jean-Philippe Gaudin) soll sich die Aktenvernichtung vor Ablauf der vorgeschriebenen 45-jährigen Aufbewahrungsdauer auch auf das Gutachten des BJ von 2010 gestützt haben.
14 15 16 17 18
Pa. Iv. Hofmann «Übertragung der Aufgaben der zivilen Nachrichtendienste an ein Departement » vom 13. März 2007 (07.404).
Bundesgesetz vom 3. Okt. 2008 über die Zuständigkeiten im Bereich des zivilen Nachrichtendienstes (ZNDG; AS 2009 6565).
Jahresbericht 2013 der GPK und GPDel vom 31. Jan. 2014, Ziff. 4.4 (BBl 2014 4963, hier 5034).
Bundesgesetz vom 25. Sept. 2015 über den Nachrichtendienst (Nachrichtendienstgesetz, NDG; SR 121).
Vor dem Jahr 2010 stand ISIS für «informatisiertes Staatsschutzinformationssystem», danach bedeutete die Abkürzung «Informationssystem Innere Sicherheit».
14 / 64
BBl 2021 156
2.2
Beurteilung der GPDel
Seitens der Öffentlichkeit, aber auch des Parlaments wurde die GPDel aufgefordert, mit ihrer Inspektion Transparenz in die Aktivitäten der Nachrichtendienste, die teils mehr als 40 Jahre zurückliegen, zu bringen. Die GPDel möchte deshalb darauf hinweisen, dass in der Vergangenheit der Gesetzgeber der Archivierung im Nachrichtendienst zu wenig Bedeutung beigemessen hat. Eine verlässliche Archivierung im Bereich der Nachrichtendienste ist auf Gesetzesstufe erst seit November 2014 gewährleistet nicht zuletzt dank den Bemühungen der GPDel.
Festzuhalten ist auch, dass der Bundesrat über Jahrzehnte den Nachrichtendiensten die Möglichkeit offenliess, im grossen Stil wichtige Akten der Archivierung zu entziehen. Noch im Mai 2020 zeigte sich das VBS bereit, offensichtlich unrechtmässige Aktenvernichtungen des NDB aus jüngster Vergangenheit zu rechtfertigen und sich dabei tatsachenwidrig auf ein Gutachten des BJ, das die GPDel selber eingeholt hatte, zu berufen. Für die GPDel ist dies unverständlich.
Rückblickend zeigt sich auch, dass der Bundesrat die Ausnahmen zur Archivierungspflicht für die Nachrichtendienste konzeptlos und widersprüchlich vorgenommen hatte. Offensichtlich verfügen weder der NDB, das VBS noch der Bundesrat über einen verlässlichen Überblick darüber, welche Arten von Akten durch die Nachrichtendienste in den letzten Jahrzehnten archiviert, noch nicht archiviert oder vernichtet wurden. Der heutige Direktor des NDB (Jean-Philippe Gaudin) war mehr als ein Jahr im Amt, als er von der Existenz der Aktenablage in einer früheren K-Anlage erfuhr.
Gestützt auf ihre Abklärungen geht die GPDel davon aus, dass die gefundenen Unterlagen die Aktivitäten der BuPo im Zusammenhang mit der Crypto AG so weit beleuchten, dass die Oberaufsicht über eine ausreichende Informationsbasis verfügt, um eine grundsätzliche Beurteilung vorzunehmen. Allerdings hat die GPDel keine Gewähr, dass alle präventivpolizeilichen Akten mit einem Bezug zur Crypto AG erhalten geblieben sind und in die K-Anlage des NDB überführt wurden. Sollte es in Zukunft notwendig sein, die Beziehungen der BuPo oder des DAP mit ausländischen Partnern zu untersuchen, so kann die GPDel bereits heute darauf hinweisen, dass aufgrund der vom Bundesrat erlaubten Vernichtungspraxis die Aktenbestände nicht vollständig sind.
Für die Inspektion der
GPDel ist es als Glücksfall zu werten, dass seitens des SND wichtige Unterlagen zur Crypto AG intern aufbewahrt wurden und ihren Weg vollständig in die K-Anlage gefunden haben. Dazu hat wohl auch die Weisung von 2001 des Direktors des SND (Hans Wegmüller), keine Akten mehr zu vernichten, beigetragen. Eine Garantie, dass die Akten zu anderen und insbesondere älteren Beschaffungsaktivitäten des militärischen Nachrichtendienstes in ähnlicher Qualität vorliegen, besteht jedoch nicht.
Aus Sicht der GPDel hat die aktuelle Inspektion zudem gezeigt, dass die Aktenvernichtung kein probates Mittel des Quellenschutzes ist, sondern seinem Zweck auch zuwiderlaufen kann. Es muss nämlich berücksichtigt werden, dass der NDB oft nicht die einzige Seite ist, welche von der Existenz seiner Quellen weiss. Die Quelle selber, eventuell ihre Angehörigen oder auch andere Dienste, mit denen der NDB gemeinsam Informationen beschafft, wissen unter Umständen von ihrer Tätigkeit für die Schweiz.
15 / 64
BBl 2021 156
Wird nun eine solche Quelle ohne Verschulden des Schweizer Nachrichtendienstes von einer anderen Seite aufgedeckt, so muss der NDB immer noch von der Existenz dieser Quelle wissen. Nur so kann er innerhalb seiner Möglichkeiten weiter für den Schutz der Quelle sorgen. Ist dieses Wissen nicht mehr verfügbar, besteht die Gefahr, dass die Reaktion des NDB, des VBS oder des Bundesrates zu einer zusätzlichen Gefährdung einer solchen Quellen führt. Die Vernichtung von Unterlagen aus der operativen Beschaffung kann somit je nach Konstellation die Konsequenz haben, dass der NDB seiner gesetzlichen Pflicht zum Quellenschutz nach Artikel 35 NDG gar nicht oder nicht mehr nachkommen kann.
Die Inspektion der GPDel belegt erneut die Bedeutung der politischen Führung des Nachrichtendienstes. Es muss deshalb nachvollziehbar sein, ob und wie die Departementsvorsteher ihre direkte Führungsverantwortung wahrnehmen. Die GPDel ist deshalb von der Wichtigkeit überzeugt, dass die Führungsgespräche nachvollziehbar protokolliert und diese Protokolle vollständig und sicher archiviert werden.
3
Aktivitäten der Bundespolizei
3.1
Sachverhalt
3.1.1
Fall «Code»
Im Jahr 1977 wandte sich der ehemalige Forschungs- und Entwicklungschef der Crypto AG über Angehörige der Armeeführung, die er aus dem Militärdienst kannte, an die BuPo. Nach seinen Aussagen würde die Firma den deutschen und amerikanischen «Nachrichtenbeschaffungsorganisationen» gehören und auf deren Anordnung absichtlich Schwachstellen in den für das Ausland bestimmten Geräten einbauen.
Dadurch, so der Vorwurf, werde es ausländischen Nachrichtendiensten ermöglicht, chiffriert übermittelte Meldungen zu entschlüsseln und mitzulesen.
Um die erhobenen Vorwürfe abzuklären, wandte sich die BuPo an das Bundesamt für Übermittlungstruppen (BAUEM). Zum Zweck weiterer Abklärungen empfahl das BAUEM im April 1979, ein verdächtiges Gerät im Ausland zu beschaffen und zu analysieren. Vom Rechtsdienst der Bundesanwaltschaft (BA) wurde im Juli 1979 eine umfangreiche Analyse der in Frage kommenden Straftatbestände, insbesondere im Bereich des verbotenen Nachrichtendienstes, vorgelegt. Eine Besprechung zwischen dem Bundesanwalt (Rudolf Gerber), dem Chef der BuPo (André Amstein) und weiteren Vertretern der BA ergab im August 1979, dass im Zusammenhang mit der Crypto AG nachrichtendienstliche Aspekte nicht ausgeschlossen werden konnten und der Vorschlag des BAUEM weiterverfolgt werden sollte. Als sich die angestrebten Abklärungen des BAUEM mit einem geeigneten ausländischen Staat verzögerten, beschloss der Chef der BuPo im März 1980, bis auf Weiteres auf die Durchführung eines gerichtspolizeilichen Ermittlungsverfahrens zu verzichten.
Es dauerte bis ins Jahr 1982, bis das BAUEM Zugang zu einem passenden Chiffriergerät eines Nachbarstaates erhielt. Im Jahr darauf kam das Bundesamt zum Schluss, dass die Vorwürfe, wonach Geräte abgeändert worden seien, weder bewiesen noch
16 / 64
BBl 2021 156
endgültig widerlegt werden konnten. Festgestellt wurde indes, dass zwischen logischer Schaltung und Beschreibung in der Benutzerdokumentation eine Diskrepanz bestand und die Manipulationsthese deshalb nicht komplett auszuschliessen war.
Nicht aktenkundig ist, wie die BA, respektive die BuPo auf diese letzte Stellungnahme des BAUEM reagierte. Ersichtlich ist aber, dass das BAUEM seinen Fokus verstärkt auf die Sicherheit der in der Schweiz im Einsatz stehenden Geräte legte, mit der Folge, dass für die nachrichtendienstliche Fragestellung der BuPo keine Ressourcen mehr zur Verfügung standen.
3.1.2
Operation «Rötel»
Im Jahr 1988 wurde festgestellt, dass Nachrichtendienste von Staaten des Warschauer Pakts versuchten, sich via Drittpersonen Verschlüsselungsgeräte bei der Crypto AG zu beschaffen. Gleichzeitig erhielt die BuPo aus der Crypto AG Informationen über verdächtige Anfragen sowie Kundenlisten. Dieser Informationsfluss war jedoch von beschränkter Dauer, da er nach dem Ausscheiden des zuständigen Mitarbeiters der BuPo eingestellt wurde. Die erhaltenen Informationen und der Informationszugang zur Firma scheinen danach innerhalb der BuPo in Vergessenheit geraten zu sein.
3.1.3
Affäre Bühler
Nach einer neunmonatigen Inhaftierung im Iran kehrte der Crypto-Verkaufsingenieur Hans Bühler im Januar 1993 in die Schweiz zurück und wurde noch im gleichen Monat von der BuPo befragt, insbesondere zu den im Iran gegen ihn erhobenen Spionagevorwürfen. Weitergehende Abklärungen erfolgten einstweilen aber nicht. Im Frühjahr 1993 löste die Crypto AG das Arbeitsverhältnis mit Hans Bühler auf, woraufhin sich die Medien des Falles annahmen.
Als sich im März 1994 das mediale Interesse zuspitzte, informierte die BuPo das GSEJPD über die bevorstehende Medienberichterstattung und nahm erneut Abklärungen vor. Dabei ging es einerseits um die Frage der Beherrschung der Crypto AG durch ausländische Nachrichtendienste und andererseits um den Vorwurf der absichtlichen Manipulation von Chiffriergeräten.
Im Rahmen ihrer polizeilichen Abklärungen befragte die BuPo zwischen März und November 1994 Hans Bühler ein zweites Mal sowie 20 weitere aktive und ehemalige Mitarbeiter sowie Verwaltungs- und Beiräte der Crypto AG als Auskunftspersonen.
Von den Befragten konnten lediglich zwei Personen von angeblichen Manipulationen an Chiffriergeräten berichten, während die restlichen die Gerüchte nur vom Hörensagen kannten, ohne dass sie konkrete Angaben hätten machen können. Gestützt auf diese Abklärungen erhärteten sich zum damaligen Zeitpunkt keine hinreichenden Verdachtsmomente, welche die Eröffnung eines gerichtspolizeilichen Ermittlungsverfahrens durch die BA gerechtfertigt hätten. In ihrem Schlussbericht vom 3. Mai 1995 hielt die BuPo allerdings fest, dass die wahren Eigentümer der Crypto AG nicht hatten eruiert werden können.
17 / 64
BBl 2021 156
Das EJPD unterstützte die BuPo bei ihren Abklärungen zu den Eigentumsverhältnissen der Crypto AG. Als die Befragung von zwei Beiräten der Firma keine befriedigenden Antworten ergab, bat der Generalsekretär des EJPD (Armin Walpen) Nationalrat Georg Stucky, der seit 1992 Verwaltungsrat der Crypto AG war, am 5. Mai 1994 mit Nachdruck, seinen Einfluss zugunsten der Abklärungen der Eigentumsverhältnisse geltend zu machen.
Nachdem der Schlussbericht der BuPo vorlag, schickte der Vorsteher des EJPD (Arnold Koller) diesen Bericht an den Vorsteher des vormaligen EMD (Kaspar Villiger) und erwähnte im Begleitbrief vom 2. Juni 1995, dass der Bericht bei einem Gespräch mit Nationalrat Stucky über die Eigentumsverhältnisse dieser Firma von Nutzen sein dürfte. Ob ein entsprechendes Gespräch stattgefunden hat, ist nicht aktenkundig. Dagegen spricht, dass der Vorsteher des EJPD gemäss einer Aktennotiz seines Generalsekretärs von Ende Juni 1995 plante, selber mit Nationalrat Stucky ein Gespräch über die Offenlegung der Eigentumsverhältnisse der Crypto AG zu führen.
Der Vorsteher des EJPD ging in seiner Auskunft an die GPDel davon aus, dass ein solches Treffen nicht erfolgt ist.
Die Abklärungen der GPDel, insbesondere bei der Bundeskanzlei, erbrachten keine Hinweise, dass der Schlussbericht der BuPo im Bundesrat zur Sprache kam oder dass die Schlussfolgerungen daraus publiziert wurden. Im Juli 1997 liess die BuPo der Crypto AG auf deren Wunsch ein Schreiben zukommen, welches die Ergebnisse der letztlich ergebnislosen Ermittlungen zusammenfasste.
3.1.4
Information der Oberaufsicht
Die GPDel liess sich mehrmals über den Verlauf der Abklärungen der BuPo zur Affäre Bühler orientieren. Gegenüber der parlamentarischen Oberaufsicht versicherte der Chef der BuPo (Urs von Daeniken) am 24. März 1994, dass seine Behörde abklären werde, wer die eigentlichen Eigentümer der Crypto AG seien. Die GPDel ersuchte die BuPo kurze Zeit später, der GPDel einen schriftlichen Bericht zuzustellen, um über den aktuellen Stand des Verfahrens und die Ergebnisse der Abklärungen informiert zu sein.
Mit Schreiben vom 27. Mai 1994 orientierte der Chef der BuPo die GPDel darüber, dass sich bislang kein konkreter Verdacht einer strafbaren Handlung ergeben habe und deshalb kein gerichtspolizeiliches Verfahren eingeleitet werde. Konkrete Angaben über die angebliche Einflussnahme deutscher oder amerikanischer Geheimdienste hätten die Auskunftspersonen keine machen können oder wollen. Der Chef der BuPo schlussfolgerte, dass die Vorwürfe der Manipulation an Chiffriergeräten nicht konkret hätten belegt werden können. Es lagen der BuPo aber Hinweise vor, die möglicherweise auf zwei Qualitätsstufen bei der Chiffrierung hindeuteten. Auffallend sei überdies die Zurückhaltung der Firma bei der Bekanntgabe ihrer Eigentümer gewesen.
Diesbezüglich endete die Spur bei einer «liechtensteinischen Stiftung mit bundesdeutscher Kapitalbeteiligung».
Vom Inhalt dieses Schreibens nahm die GPDel anlässlich der Sitzung von Ende Juni 1994 Kenntnis. Weitere Informationen an die GPDel oder Nachfragen von ihrer Seite blieben, soweit rückblickend dem Aktenbestand entnommen werden kann, aus.
18 / 64
BBl 2021 156
3.2
Beurteilung der GPDel
Mit Blick auf die Abklärungen der BuPo in den 1970er, 1980er und 1990er-Jahren kommt die GPDel zum Schluss, dass diese nach dem verfügbaren Informationsstand korrekt durchgeführt wurden und deshalb keinen Anlass zu Beanstandungen geben.
Es bestehen keine Anhaltspunkte, wonach die Abklärungen durch politische Instanzen in der Schweiz behindert oder beeinflusst bzw. bestimmte Sachverhalte bewusst nicht oder nur oberflächlich untersucht worden wären.
Insbesondere erfolgten die BuPo-Abklärungen in den 1990er-Jahren unter Ausschöpfung des gesamten, damals zur Verfügung stehenden Instrumentariums. Die Leitung des EJPD wurde zeitnah und umfassend orientiert, während der Departementsvorsteher die Abklärungen zur Kenntnis nahm, nicht aber direkt in den Verfahrensablauf eingriff. Vom Ergebnis der Abklärungen zeigten sich aber weder der Chef der BuPo (Urs von Daeniken) noch der Vorsteher des EJPD (Arnold Koller) restlos befriedigt.
Das EJPD versuchte deshalb noch über den Abschluss der Ermittlungen hinaus über unterschiedliche Kanäle der Frage der Eigentümerschaft der Crypto AG nachzugehen.
Die mit dem Crypto-Verwaltungsrat Stucky gesuchte Kooperation in dieser Sache kam offensichtlich nicht zustande.
Gemäss dem MINERVA-Bericht, aber auch anderen Akten, welche die GPDel im Rahmen ihrer Inspektion ediert hat, informierte die Geschäftsleitung der Crypto AG im Frühjahr 1994 Nationalrat Stucky über die wahren Eigentümer der Firma. Es ist davon auszugehen, dass diese Informationen ihren Weg aus der Geschäftsleitung, von welcher einzelne Mitglieder in die wahren Besitzverhältnisse eingeweiht waren, in die erwähnten Berichte gefunden haben. Diesen Personen war ja auch bekannt, welche Mitglieder des Verwaltungsrates sie eingeweiht hatten. Alt Nationalrat Stucky liess hingegen im Mai 2020 der GPDel ausrichten, er habe nicht gewusst, dass er für eine Firma im Besitz der amerikanischen Geheimdienste tätig gewesen war.
Laut dem MINERVA-Bericht soll Nationalrat Stucky sein Wissen über die wahren Eigentümer der Crypto AG mit dem damaligen Vorsteher des EMD (Kaspar Villiger) geteilt haben. Diese Information und korrespondierende Angaben in anderen Akten, welche der GPDel vorliegen, bestätigen, dass die Geschäftsleitung der Crypto AG davon ausging, dass ein solches Gespräch zwischen Nationalrat Stucky und dem Vorsteher
des EMD erfolgt war. Ob und in welcher Form dieses Gespräch effektiv stattgefunden hatte, konnte die GPDel aufgrund der Aktenlage und der Anhörungen nicht eruieren. Gegenüber der GPDel ging der frühere Vorsteher des EMD jedoch davon aus, dass er während der «Affäre Bühler» mit Nationalrat Stucky ein Gespräch über die Crypto AG geführt hatte. Er habe aber keine Erinnerung, dass er jemals über die Eigentumsverhältnisse der Crypto AG und die im MINERVA-Bericht erwähnte nachrichtendienstliche Operation unterrichtet worden wäre.
19 / 64
BBl 2021 156
4
Aktivitäten der Dienste im EMD und VBS
4.1
Sachverhalt
4.1.1
Informationszugänge des SND
Ab Herbst 1993 gelang es dem SND19, verlässliche Informationen über die Crypto AG zu erhalten. So erfuhr er, dass die Firma im Besitze der amerikanischen und deutschen Nachrichtendienste war; später wusste er auch vom Ende der deutschen Beteiligung (vgl. Ziff. 2.1.1). Dem SND wurde ebenfalls bekannt, dass die Firma «schwache» Geräte, deren Verschlüsselung sich im Gegensatz zu den «starken» Geräten mit einem realistischen Aufwand brechen liess, exportierte.
Der SND setzte sich zum Ziel, die Verschlüsselung der «schwachen» Geräte selber systematisch brechen zu können. Zu diesem Zweck beschaffte er technische Informationen über die Verschlüsselungsverfahren der exportierten Geräte. Dieses Wissen konnte auch dazu verwendet werden, um allfällige «schwache» Verschlüsselungsverfahren in den von der Schweiz gekauften Geräten aufzuspüren.
Im Nachgang zur Affäre Bellasi20 wurde die Untergruppe Nachrichtendienst (UG ND) aufgelöst und der SND wurde auf Anfang 2001 zu einem zivilen Bundesamt. Unter seinem ersten Direktor (Hans Wegmüller) bemühte sich der SND, die Beschaffung von Informationen über die von der Crypto AG eingesetzten «schwachen» Verschlüsselungsverfahren weiterhin sicherzustellen. Dies gelang letztlich nur, weil die amerikanischen Nachrichtendienste einverstanden waren, dass die Schweiz die gewünschten Informationen in einem sachdienlichen Ausmass erhielt.
Um das erworbene Wissen über die «schwachen» Verschlüsselungsverfahren für die Gewinnung von sicherheitspolitisch relevanten Erkenntnissen nutzen zu können, musste der SND auch systematisch Zugang zu verschlüsselten Übermittlungen erhalten. Die Funkaufklärung wurde von der Führungsunterstützungsbasis der Armee (FUB) im Auftrag des SND betrieben. Nach der Modernisierung der Systeme zur Kurzwellenaufklärung wurden ab dem Jahr 2000 die Kapazitäten zur Aufklärung von Verbindungen von Kommunikationssatelliten aufgebaut.21 Im Jahr 2006 nahm das System «Onyx» den Vollbetrieb in der geplanten Konfiguration auf. Die Fähigkeiten zur Entschlüsselung wurden in den vom SND gesteuerten Funkaufklärungsprozess integriert.
19
20 21
Zur organisatorischen Einbettung des SND zwischen 1985 und 2009 siehe die Untersuchung über die Kontakte des Schweizer Nachrichtendienstes zu Südafrika zur Zeit des Apartheidregimes, Bericht der GPDel vom 18. Aug. 2003, Ziff. 4.3.1 (BBl 2004 2267, hier 2284, 2286 und 2288).
Vorkommnisse in der Untergruppe Nachrichtendienst des Generalstabs («Bellasi-Affäre»), Bericht der GPDel vom 24. Nov. 1999 (BBl 2000 586).
Satellitenaufklärungssystem des Eidgenössischen Departements für Verteidigung, Bevölkerungsschutz und Sport (Projekt «Onyx»), Bericht der GPDel vom 10. Nov. 2003 (BBl 2004 1499).
20 / 64
BBl 2021 156
4.1.2
Information der vorgesetzten Stellen und Bundesräte
Die Informationsbeschaffung zur Crypto AG war innerhalb des SND ein gut gehütetes Geheimnis. Bescheid wussten nur der Chef des Dienstes (Fred Schreier), die späteren Direktoren (Hans Wegmüller, Paul Zinniker) und je nach Zeitpunkt ein oder zwei weitere Angehörige des SND. Während der Unterstellung des SND unter die UG ND war die militärische Hierarchie nicht eingeweiht.
Der NDB entstand im Jahr 2010 aus der Fusion des SND und des DAP. Dieser war ein Jahr zuvor aufgrund der Pa. Iv. Hofmann vom EJPD ins VBS überführt worden.22 Der Direktor des neuen Dienstes (Markus Seiler) wurde in seinem ersten Amtsjahr (2010) über die Existenz von «schwachen» Geräten der Crypto AG informiert und zumindest ansatzweise auf die Bezüge zwischen der Crypto AG und den amerikanischen Diensten hingewiesen. In seinem letzten Amtsjahr (2017) wurde ihm auch aufgezeigt, was den Schweizer Nachrichtendienst zur Nutzung dieser «schwachen» Verschlüsselungsverfahren befähigte. Gleichzeitig wurden ihm der Handlungsbedarf für den NDB erläutert und mögliche Handlungsoptionen aufgezeigt. Der Direktor des NDB sah sich jedoch nicht in der Verantwortung und verweigerte die Entgegennahme einer entsprechenden Informationsnotiz. Sein Stellvertreter (Paul Zinniker), der bereits zu Zeiten des SND eingeweiht war, unterstützte die Haltung seines Direktors, in dieser Angelegenheit nicht weiter tätig zu werden.
Die Vorgänger der heutigen Vorsteherin des VBS wurden weder vom SND noch später vom NDB darüber informiert, dass die Crypto AG durch die amerikanischen Nachrichtendienste kontrolliert wurde und dass der Schweizer Nachrichtendienst von den «schwachen» Verschlüsselungsverfahren wusste bzw. diese zur nachrichtendienstlichen Informationsbeschaffung nutzte.
4.1.3
Information der heutigen Vorsteherin des VBS und des Bundesrates
Im Frühjahr 2019 wurden dem heutigen Direktor des NDB (Jean-Philippe Gaudin) im Wesentlichen die gleichen Informationen zur Kenntnis gebracht wie seinem Vorgänger zwei Jahre zuvor. Im Gegensatz zu diesem erkannte er einen Handlungsbedarf.
Er verlangte eine detaillierte Präsentation und erteilte Mitte Juni 2019 den Auftrag, eine Standortbestimmung vorzunehmen.
Gegen Ende Juni 2019 wurde der NDB über nachrichtendienstliche Kanäle über die Recherchen amerikanischer und deutscher Medien zur Crypto AG und zur Rolle, welche die Firma in einer breit angelegten Beschaffungsoperation der amerikanischen und deutschen Nachrichtendienste gespielt hatte, orientiert. Diese zufällige Entwicklung gab Anlass zur Beschleunigung der Abklärungen, welche der Direktor NDB angeordnet hatte.
22
Pa. Iv. Hofmann «Übertragung der Aufgaben der zivilen Nachrichtendienste an ein Departement » vom 13. März 2007 (07.404).
21 / 64
BBl 2021 156
Anlässlich der Amtsleitungssitzung vom 19. August 2019 informierte der Direktor des NDB die Vorsteherin des VBS, dass die Crypto AG mit ausländischen Nachrichtendiensten zusammengearbeitet hatte. Gemäss den verfügbaren handschriftlichen Notizen zum Treffen wurde erwähnt, dass auch der Schweizer Nachrichtendienst die eingebauten Schwächen in den Verschlüsselungsverfahren der Firma nutzen konnte.
Mitte September 2019 wurde die vom Direktor des NDB in Auftrag gegebene Standortbestimmung abgeschlossen. Das eine Exemplar des Berichts, der als ausschliesslich dienstinternes Dokument betrachtet wurde, ging an den Direktor NDB, das andere an den Chef NDBU (Unterstützung). Erst anfangs November 2019 wurden weitere Exemplare für den amtierende Chef NDBB (Beschaffung), der im Jahr 1994 die Untersuchungen der BuPo geleitet hatte, und für ein weiteres Mitglied der Geschäftsleitung des NDB erstellt. Das Papier enthielt alle relevanten Informationen, um das Verhältnis der Nachrichtendienste des VBS zu den amerikanischen Diensten und ihrer Operation mit der Crypto AG zu verstehen. Es analysierte so weit als möglich ebenfalls die Konsequenzen, die sich aus der erfolgten Aufspaltung der Firma im Vorjahr ergaben. Das Papier wurde weder NDB-intern weiterbearbeitet, noch gelangten die darin aufgezeigten politisch relevanten Erkenntnisse an die Vorsteherin des VBS.
Mitte Oktober 2019 gelangte der NDB in den Besitz des MINERVA-Berichts (vgl.
Ziff. 2.1.1) und der Direktor NDB wurde über seinen Inhalt informiert. Ab Ende Oktober intensivierte sich der Informationsaustausch zwischen dem NDB, den amerikanischen und weiteren involvierten ausländischen Diensten. Es ging darum, einen Informationsgleichstand zu schaffen und die Konsequenzen der Medienberichterstattung über den MINERVA-Bericht zu antizipieren.
Anlässlich der Amtsleitungssitzung vom 31. Oktober 2019 brachte der Direktor des NDB erneut die Angelegenheit Crypto AG zur Sprache. Er informierte die Vorsteherin des VBS darüber, dass nun auch Schweizer Medien recherchierten, und berichtete über die Gespräche zwischen dem NDB und den betroffenen ausländischen Diensten.
In der Folge reichte das VBS für die Bundesratssitzung vom 6. November 2019 eine Informationsnotiz über die nachrichtendienstlichen Hintergründe zur Crypto AG ein.
Darin wurde betont, die Schweizer
Nachrichtendienste seien nie direkt an dieser ausländischen Operation beteiligt gewesen, hätten aber indirekt davon profitiert, weil sie sich entsprechendes technisches Wissen verschaffen konnten. Diese Aussagen widerspiegelten die politisch relevanten Erkenntnisse und den Handlungsbedarf, die sich aus der Standortbestimmung von Mitte September 2019 ergaben, allerdings nur unvollständig, weil der NDB der Chefin des VBS die Standortbestimmung erst Mitte Februar 2020 zur Kenntnis brachte.
4.1.4
Information der Oberaufsicht
Während sich die GPDel im Jahr 1994 wiederholt mit den polizeilichen Abklärungen der BuPo über die Crypto AG befasst hatte, war die Firma selber bis zum Jahr 2019 nie ein Thema zwischen der Oberaufsicht und Stellen des EMD bzw. des VBS gewesen. Hingegen wurden die Sicherheit von Kommunikationsmitteln für den Bund und der Einsatz der Kryptologie wiederholt diskutiert. So erfuhr die GPDel im Jahr 2007
22 / 64
BBl 2021 156
vom Direktor des SND, dass mit einem europäischen Partner die kryptologische Zusammenarbeit ausgebaut werde und dies sich auch positiv auf den Informationsaustauch bezüglich der Funkaufklärung auswirke.
Ebenfalls im Jahr 2007 hatte die GPDel eine Orientierung zur Kryptologie im VBS gewünscht. Dabei wurde ihr die Integration der Entschlüsselung in den Prozess der Kommunikationsaufklärung erläutert. Aus einem Faktenblatt ging u.a. hervor, dass viele Hersteller von Verschlüsselungsgeräten absichtlich Schwachstellen in die Geräte für gewisse Kunden einbauten. Hinter dieser Praxis stünden die Nachrichtendienste der Vereinigten Staaten und gewisse ihrer Verbündeten. Davon könnten aber auch andere Staaten mit entsprechenden Fähigkeiten profitieren, wie beispielsweise die Schweiz. Die Hauptaufgabe bei der Entschlüsselung sei es, solche Hintertüren aufzudecken.
Zur Vertiefung des Themas Kryptologie führte die GPDel im Mai 2009 eine weitere Anhörung durch. Darüber, dass Verschlüsselungsverfahren von Firmen in der Schweiz im Auftrag von ausländischen Nachrichtendiensten manipuliert würden und die Schweiz im Einvernehmen mit diesen Diensten von den Schwachstellen wusste, erfuhr die GPDel jedoch auch dieses Mal nichts. Die Diskussion drehte sich um die Frage der Sicherheit der von der Schweiz beschafften Geräte.
Am 12. November 2019 informierte das VBS den Präsidenten der GPDel (Claude Janiak) zum ersten Mal mündlich über den Fall Crypto AG. Im Nachgang zu diesem Treffen liess der Präsident der GPDel der Vorsteherin des VBS eine persönliche Kopie des Protokolls der GPDel-Anhörung vom Mai 2009 zukommen. Dies erfolgte unter dem Eindruck, dass das VBS auf alle verfügbaren Hinweise angewiesen war, um sein spärliches Wissen in dieser Angelegenheit vervollständigen zu können.
Die Orientierung der GPDel als Oberaufsichtsorgan erfolgte offiziell am 25. November 2019. Laut dem Direktor des NDB sei die Schweiz über die Operation der amerikanischen Nachrichtendienste mit der Crypto AG informiert gewesen. Die relevanten Vorgänge situierte er zeitlich noch im Kalten Krieg, ohne Bezug zur Gegenwart. Die Schweiz habe von diesem Wissen nachrichtendienstlich profitieren können. Bezüge des NDB oder seiner Vorgängerorganisationen zur Crypto AG hätte es in dieser Angelegenheit jedoch keine gegeben. Aus Sicht des Direktors NDB
handelte es sich um eine historische Angelegenheit, die nicht überbewertet werden sollte.
Die Vorsteherin des VBS sah ihrerseits kein Reputationsrisiko für die Schweiz, da die Eidgenossenschaft weder an der Crypto AG beteiligt noch mit ihr verbandelt sei.
Auch benötige die Firma weder Lizenzen oder Bewilligungen des Bundes. Unter der Leitung des VBS sei eine interdepartementale Arbeitsgruppe (IDAG) eingesetzt worden, um die Fakten in dieser komplexen Geschichte zu etablieren und gegenüber den Medien eine konsolidierte Kommunikationspolitik des Gesamtbundesrates zu gewährleisten (vgl. Ziff. 6.1.1).
An dieser Sitzung vom 25. November 2019 erhielt die GPDel die Zusage des VBS, dass die weiteren Abklärungen in einem Bericht zusammengefasst und ihr zugestellt würden. Ein solcher Bericht wurde jedoch nie erstellt. Trotz Nachfragen des Sekretariats der GPDel war das GS-VBS überdies nicht in der Lage, der Delegation eine Ko-
23 / 64
BBl 2021 156
pie der Informationsnotiz zukommen zu lassen, welche das VBS für die Bundesratssitzung vom 6. November 2019 erstellt hatte. Die Zustellung dieses Dokuments erfolgte erst nach Eröffnung der Inspektion der GPDel.
4.2
Beurteilung der GPDel
4.2.1
Rechtmässigkeit der Informationsbeschaffung (vor 2002)
Als der SND im Herbst 1993 mit der Informationsbeschaffung zu den «schwachen» Verschlüsselungsgeräten der Crypto AG begann, existierten keine spezifischen gesetzlichen Grundlagen für den Auslandnachrichtendienst der Armee. Mit der Botschaft23 zum neuen Militärgesetz vom 8. September 1993 hatte der Bundesrat jedoch bereits eine solche Bestimmung vorgeschlagen. Damit wollte der Bundesrat auch den Vorstössen der Parlamentarischen Untersuchungskommission EMD (PUK EMD)24 Rechnung tragen.
Im neuen Militärgesetz, welches am 19. Juni 1995 in Kraft trat, war die Aufgabe des SND diesbezüglich in sehr offener Form umschrieben, nämlich «sicherheitspolitisch bedeutsame Informationen über das Ausland zu beschaffen» (Art. 99 Abs. 1 MG).
Laut der Botschaft zum MG waren darunter Informationen über alle Bedrohungen von aussen, die einen Einsatz der Armee oder von Teilen davon nach sich ziehen könnten, zu verstehen. Der Begriff der Sicherheitspolitik wurde in den nachfolgenden Jahren zunehmend über die militärische Landesverteidigung hinaus erweitert. Dies widerspiegelte sich auch in der Umwandlung des SND in ein ziviles Bundesamt im Jahr 2001. Die Rechtsgrundlagen für den zivilen Auslandnachrichtendienst wurden hingegen erst neun Jahre später vom MG ins ZNDG überführt.
Laut der Botschaft zum MG sollten zudem nur Informationen beschafft werden, die aus anderen, allgemein zugänglichen Quellen nicht oder nicht rechtzeitig beschafft werden können. Dies implizierte, dass der SND für die Informationsbeschaffung aktiv nachrichtendienstliche Mittel einsetzen konnte, seien es menschliche Quellen oder auch technische Mittel wie die Funkaufklärung oder das Brechen von Verschlüsselungen.
Aus Sicht der GPDel war somit unter dem MG die Beschaffung von Informationen darüber, welche Staaten «schwache» Geräte von der Crypto AG gekauft hatten, und die Beschaffung von Wissen über die darin benutzten Verschlüsselungsverfahren mit der Aufgabe des SND zu vereinbaren, sofern es darum ging, Übermittlungen von ausländischen Behörden, insbesondere aus dem Bereich der Streitkräfte und Sicherheitsdienste, zu entschlüsseln.
23
24
Botschaft vom 8. Sept. 1993 betreffend das Bundesgesetz über die Armee und die Militärverwaltung sowie den Bundesbeschluss über die Organisation der Armee (BBl 1993 IV 1).
Pa. Iv. Büro N «Vorkommnisse im EMD. Parlamentarische Untersuchungskommission» vom 13. März 1990 (90.022).
24 / 64
BBl 2021 156
Zu bedenken war allerdings, dass die Crypto AG ihre Geräte in der Schweiz entwickelte, produzierte und von hier aus exportierte. Die Beschaffung von Informationen über die Firma war deshalb nur soweit zulässig, als sie dem Zweck diente, später mittels Entschlüsselung von ausländischen Übermittlungen Informationen über das Ausland zu gewinnen. Die Beschaffung anderer Informationen über die Aktivitäten der Firma oder ihrer Angestellten hatte der SND jedoch zu vermeiden. Dies war allerdings nicht immer der Fall.
Laut der Botschaft ging das MG von einer klaren Trennung zwischen dem SND und dem zivilen Abwehr- und Nachrichtendienst (damals BuPo) aus. Bezüglich der Spionageabwehr im Inland hatte sich der SND auf die Bedrohung innerhalb seines Dienstes selbst zu beschränken. Sollte der SND bei seiner Tätigkeit auf strafbare Handlungen stossen, so hätte er die Strafverfolgungsbehörden einschalten müssen.
Aufgrund seines Wissens über den Einbau von «schwachen» Verschlüsselungsverfahren in die Geräte der Crypto AG war es dem SND klar, dass dies den amerikanischen Diensten zur Informationsbeschaffung über andere Staaten diente. Während es nicht Aufgabe des SND war, Informationen für den Nachweis verbotener nachrichtendienstlicher Aktivitäten zu beschaffen, hätte er seine Erkenntnisse der Abwehr bzw. der Strafverfolgung zur Verfügung stellen müssen vor allem nachdem die BuPo mit einer entsprechenden Untersuchung begonnen hatte. Dies erfolgte jedoch nicht. Vielmehr teilte der SND der BuPo mit, er habe keine Hinweise darauf, dass fremde Nachrichtendienste hinter der Crypto AG stünden.
Der SND gewichtete somit sein Interesse an der nachrichtendienstlichen Informationsbeschaffung und der ungestörten Beziehungen zu den amerikanischen Nachrichtendiensten höher als die Interessen der Strafverfolgung. Aus Sicht der GPDel war er dazu nicht befugt und die erwähnte Güterabwägung hätte klar auf der politischen Stufe erfolgen müssen.
4.2.2
Rechtmässigkeit der Zusammenarbeit mit den amerikanischen Nachrichtendiensten (nach 2002)
Als seitens der amerikanischen Dienste das Einverständnis vorlag, dass mit dem Schweizer Partnerdienst technisches Wissen über die «schwachen» Geräte der Crypto AG geteilt werden konnte, war es nach Ansicht der GPDel seitens des SND nicht mehr möglich, von einer verdeckten Nachrichtenbeschaffung gegen die Crypto AG auszugehen. Vielmehr handelte es sich um eine nachrichtendienstliche Zusammenarbeit des SND mit einem ausländischen Nachrichtendienst.
Nach Artikel 99 Absatz 3 Buchstabe c MG sollte der Bundesrat die Zusammenarbeit des SND mit ausländischen Diensten regeln. Da dies nicht erfolgt war, blieb in den 1990er-Jahren die Zusammenarbeit des SND mit einem Partnerdienst dem Ermessen des Dienstes selbst überlassen oder wurde vom Departementsvorsteher genehmigt. 25
25
Jahresbericht 2001/2002 der GPK und GPDel vom 17. Mai 2002, Ziff. 9.1 (BBl 2002 5945, hier 5977).
25 / 64
BBl 2021 156
Aufgrund ihrer ersten Inspektion zu den Beziehungen des Schweizer Nachrichtendienstes zu Südafrika empfahl die GPDel, dass der Bundesrat über die Aufnahme, Pflege und Kontrolle regelmässiger Auslandkontakte zu entscheiden habe.26 Als der SND auf Anfang 2001 in ein ziviles Bundesamt überführt wurde, unterzog der Bundesrat die damalige VND27 aus dem Jahr 1995 einer Totalrevision. Gemäss Artikel 6 VND28 musste neu der Bundesrat die Aufnahme regelmässiger Kontakte mit einem ausländischen Dienst genehmigen.
Die Genehmigung des Bundesrates deckte ein weites Spektrum der nachrichtendienstlichen Zusammenarbeit ab: von einem Austausch von Daten über sogenannte Fachgespräche zwischen Fachexperten bis zur gemeinsamen Führung von Quellen oder Operationen zur Informationsbeschaffung. Darunter liess sich auch der Wissenstransfer bezüglich der «schwachen» Verschlüsselungsverfahren in den Geräten der Crypto AG subsumieren. Der amerikanische Nachrichtendienst, in dessen Einverständnis die Weitergabe von Informationen über die Verschlüsselungsgeräte der Crypto AG erfolgte, figurierte von Anfang an auf der Liste der genehmigten Auslandkontakte des Bundesrates.
Wie unter Ziff. 4.1.1 dargelegt wurde, kam ein systematischer Informationszugang des SND zu den Verschlüsselungsverfahren der Crypto AG nur zustande, weil die amerikanischen Dienste sich damit einverstanden erklärten. Die GPDel beurteilt den Informationsfluss, der auf diesem Einvernehmen basierte, deshalb als nachrichtendienstliche Zusammenarbeit im Sinne von Artikel 99 Absatz 3 Buchstabe c MG. Entscheidend für die Beurteilung der Oberaufsicht ist die nachweisliche Existenz dieser Zusammenarbeit, die mit Wissen der Leitung des SND erfolgte. Nicht relevant sind aus Sicht der GPDel die konkreten Umstände, wie diese Zusammenarbeit zustande kam und wie sie konkret erfolgte. Weiter ist festzuhalten, dass Artikel 99 Absatz 3 Buchstabe c MG als einzige gesetzliche Bestimmung, auf welche sich der SND für den Zugang zu diesen Informationen überhaupt abstützen konnte, in Frage kam. Diese Bestimmungen des Militärgesetzes behielten ihre Gültigkeit auch nach der Schaffung des NDB und wurden später ins NDG integriert (vgl. Ziff. 5.1.)
Aus Sicht der GPDel ist somit die von den Verantwortlichen im SND vertretene Haltung, dass gar keine solche Zusammenarbeit zwischen dem
SND und den amerikanischen Diensten vorlag, nicht nachvollziehbar und rechtlich nicht korrekt. Problematisch war diese Haltung ausserdem, weil sie der Leitung des SND als Ausrede dafür diente, ihre direkte Aufsicht nicht zu informieren.
Wie die GPDel vom heutigen Direktor des NDB (Jean-Philippe Gaudin) erfahren hat, gingen die amerikanischen Dienste davon aus, dass im Schweizer Nachrichtendienst auch spätere Verantwortliche Kenntnis von der Zusammenarbeit erhalten würden. Es liegt auch auf der Hand, dass die amerikanischen Dienste sich des Nutzens bewusst waren, den ein Mitwissen des Schweizer Dienstes für die Sicherstellung ihrer Operation mit sich brachte. Aus Sicht der GPDel ergibt sich aus der Tatsache, dass der SND
26 27 28
Beziehungen zu Südafrika: Rolle des Schweizer Nachrichtendienstes, Bericht der GPDel vom 12. Nov. 1999 (BBl 2000 563, hier 570).
Verordnung vom 4. Dez. 1995 über den Nachrichtendienst (VND; AS 1995 5298).
Verordnung vom 4. Dez. 2000 über den Nachrichtendienst im VBS (VND; AS 2001 124).
26 / 64
BBl 2021 156
und die amerikanischen Dienste im gegenseitigen Einvernehmen handelten, auch eine Mitverantwortung der Schweizer Behörden für die Aktivitäten der Crypto AG.
4.2.3
Zweckmässigkeit und Wirksamkeit der Informationsbeschaffung
Die GPDel kommt zum Schluss, dass die Informationen, welche sich die Schweiz dank ihrem Wissen über die «schwachen» Verschlüsselungsverfahren der Geräte der Crypto AG erwerben konnte, über die Jahre nachweislich für die Schweiz einen nachrichtendienstlichen Nutzen erbrachten.
Das Wissen konnte direkt dazu verwendet werden, um Kommunikationen von ausländischen Stellen zu entschlüsseln. Dieses Know-how bot auch eine wertvolle Grundlage für einen Erfahrungs- und Datenaustausch mit ausländischen Nachrichtendiensten, was wiederum zu einer Verbesserung der schweizerischen Entschlüsselungskapazitäten führte und die Position der Schweiz im nachrichtendienstlichen Umfeld stärkte.
Die GPDel kennt konkrete Fälle, in denen diese Entschlüsselungskapazitäten Resultate lieferten, aus denen die Schweizer Behörden und die Armee grossen Nutzen ziehen konnten. Gleichzeitig ist zu beachten, dass die Verschlüsselungsverfahren und der Zugang zu den relevanten Kommunikationen einem steten Wandel unterworfen waren, weshalb das erarbeitete Know-how auch rasch wieder an Wert verlieren konnte.
Für die Sicherheit der Schweiz ist es notwendig, dass die für die eigenen Behörden beschafften Verschlüsselungsgeräte sicher sind. Die Fähigkeit, die Sicherheit von Geräten zu überprüfen, und die Fähigkeit, ihre Schwächen zu nutzen, sind unabdingbar miteinander verbunden. Wie die Inspektion der GPDel ergeben hat, gelang es der Schweiz, solche Schwächen in verschiedenen Gerätetypen zu identifizieren und die Mängel selber zu beheben. Es hat sich dabei auch gezeigt, wie wichtig es ist, die Lieferanten im eigenen Land gut zu kennen und auf die Qualität ihrer Produkte Einfluss nehmen zu können. Die Informationen, die der Nachrichtendienst erhalten konnte, haben wesentlich dazu beigetragen.
4.2.4
Zweckmässigkeit der Aufsicht und Führung durch die Vorsteher des EMD und des VBS
Bis zu seiner Überführung in ein ziviles Bundesamt war der SND Teil der UG ND, welche dem Generalstabschef unterstellt war. Die Informationsbeschaffung über die Crypto AG erfolgte ohne Kenntnis der militärischen Führung. Dies wirft insbesondere Fragen zum internen Funktionieren der damaligen UG ND auf, welchen die GPDel im Rahmen dieser Inspektion jedoch nicht weiter nachgegangen ist.
Der damalige Vorsteher des EMD (Kaspar Villiger) war nicht direkt in die Führung des militärischen SND involviert. Wie eine Informationsnotiz des SND vom März 1994 zur Affäre Bühler zeigt, wurde er über die wahren Eigentümer der Crypto AG im Dunkeln gelassen, obwohl der Chef des SND (Fred Schreier) zu diesem Zeitpunkt 27 / 64
BBl 2021 156
darüber Bescheid wusste. Gleichzeitig war der Vorsteher des EMD ausreichend beunruhigt über die Anschuldigungen gegen die Firma, dass er sich bei den zuständigen Spezialisten der Übermittlungstruppen über die Sicherheit der Verschlüsselungsgeräte der Armee erkundigte.
Als ziviles Bundesamt war der SND der politischen Führung des VBS unterstellt, ab 2004 gemäss Gesetz sogar unmittelbar dem Departementsvorsteher (Art. 99 Abs. 5 MG). Die Inspektion der GPDel ergab keine Hinweise, dass der Direktor des SND (Hans Wegmüller) seinen Departementsvorsteher (Samuel Schmid) über die Zusammenhänge zwischen den amerikanischen Nachrichtendiensten und der Crypto AG und über die Informationszugänge des SND informiert hätte. Aufgrund der rechtlichen Beurteilung der GPDel, dass der zivile SND sich letztlich in ein Zusammenarbeitsverhältnis mit den amerikanischen Diensten begeben hatte, hätte der Vorsteher des VBS jedoch zwingend davon wissen müssen.
Wie die GPDel aus den handschriftlichen Notizen zu den Jahren 2002 bis 2008 des Vorstehers des VBS (vgl. Ziff. 2.1.2) in Erfahrung brachte, war die Sicherheit von Verschlüsselungsgeräten des Bundes wiederholt ein Thema zwischen dem Direktor des SND und dem Vorsteher des VBS. Als bekannt wurde, dass ein Schweizer Hersteller (nicht die Crypto AG) unsichere Geräte an den Bund und an zwei Grossfirmen geliefert hatte, traf das VBS die notwendigen Vorkehrungen, um diese Lücken zu beheben. Der Vorsteher des VBS wurde vom SND über diesen Vorgang auf dem Laufenden gehalten.
Im Jahr 2010 nahmen der NDB und seine neue Leitung ihre Arbeit auf. Aus Sicht der GPDel entzog sich der erste Direktor des NDB (Markus Seiler) seiner Verantwortung, als er im Jahr 2017 mit klaren Hinweisen zur Crypto AG konfrontiert wurde, diese jedoch nicht in schriftlicher Form entgegennehmen wollte. Mit seinem Verhalten verhinderte er insbesondere, dass sich die politische Führung des Departements mit den relevanten Fragen befassen konnte. Rückblickend erscheint das Versäumnis des ersten Direktors des NDB umso schwerwiegender, als der NDB damals noch ohne Zeitdruck die notwendigen Führungsentscheide hätte vorbereiten und in Abstimmung mit der Departementsleitung und allenfalls dem Bundesrat umsetzen können. Als sich der NDB zwei Jahre später dieser Herausforderung stellen musste, erfolgte dies wegen des
medialen Drucks unter massiv erschwerten Umständen.
Die GPDel hat keine Hinweise darauf, dass der erste Direktor des NDB von seinem Stellvertreter (Paul Zinniker) auf den Umfang der Problematik im Zusammenhang mit der Crypto AG hingewiesen wurde. Dieser war früher Direktor des SND und im SND persönlich in die Vorgeschichte des Falles Crypto AG involviert gewesen (vgl.
Ziff. 4.1.2). Als sein Vorgesetzter die Funktion des Generalsekretärs im eidgenössischen Departement für auswärtige Angelegenheiten (EDA) übernahm, führte er den NDB interimistisch von Dezember 2017 bis Juli 2018. Bei der Amtsübergabe an den heutigen Direktor des NDB (Jean-Philippe Gaudin) war die Crypto AG kein Thema.
Aus Sicht der GPDel hätte der Direktor des NDB aber von seinem Stellvertreter spätestens dann vollumfänglich eingeweiht werden müssen, als sich im Sommer 2019 das Interesse der Medien am Fall Crypto AG abzeichnete (vgl. Ziff. 4.1.3).
Unter diesen Umständen konnten die damaligen Vorsteher des EMD und des VBS ihre Führungsverantwortung gar nicht wahrnehmen. Aus Sicht der GPDel wäre dies 28 / 64
BBl 2021 156
essentiell gewesen und lag nicht im alleinigen Ermessen der direkt Verantwortlichen im Nachrichtendienst.
4.2.5
Zweckmässigkeit des Vorgehens des heutigen NDB und der Information an die Vorsteherin des VBS
Im Frühjahr 2019 wurde der heutige Direktor des NDB im Wesentlichen mit den gleichen Informationen wie sein Vorgänger im Jahr 2017 konfrontiert. Er nutzte diese Gelegenheit, um eine Standortbestimmung zur Angelegenheit Crypto AG zu veranlassen. Diese sollte auch den Handlungsbedarf für den NDB aufzeigen. Weiter machte der Direktor des NDB innert nützlicher Frist die Vorsteherin des VBS auf das sich abzeichnende Medieninteresse an der Crypto AG aufmerksam.
Dennoch bedauert die GPDel, dass die Leitung des NDB nach Erhalt der schriftlichen Standortbestimmung nicht in der Lage war, die Rolle ihres eigenen Dienstes als Nachfolgeorganisation des SND richtig einzuordnen und die politischen Konsequenzen daraus zu ziehen. Insbesondere hätte der Direktor des NDB dafür sorgen müssen, dass sein Dienst alle verfügbaren Informationen rasch zusammenträgt und einer fundierten Bewertung unterzieht. Mit dieser Aufgabe hätte er eine kompetente Person mit der notwendigen Erfahrung beauftragen müssen.
Infolge der Nichtinformation des neuen Direktors des NDB durch den interimistischen Direktor und Stellvertreter (vgl. Ziff. 4.2.4) und der darauf basierenden unvollständigen und ungenügenden Lagebeurteilung konzentrierten sich die Anstrengungen des Dienstes und des VBS im Herbst 2019 darauf, die Fragen und die Berichterstattung der Medien zu antizipieren und dafür eine geeignete Kommunikationsstrategie zu erarbeiten. Eine Analyse der Rolle des NDB und seiner Vorgängerorganisationen erfolgte jeweils nur aufgrund von Hinweisen, die im Laufe der Zeit an leitende Angehörige des Dienstes herangetragen wurden und denen ohne Dringlichkeit nachgegangen wurde.
Anstatt der Natur der Beziehungen des Schweizer Nachrichtendienstes mit der Crypto AG und der amerikanischen Dienste auf den Grund zu gehen, begnügte sich der Direktor des NDB damit, ihre Relevanz für den NDB herunterzuspielen und den heutigen Dienst aus der Verantwortung zu nehmen. Die Absicht, den eigenen Dienst und die Departementsvorsteherin zu schützen, prägten die nachfolgende ungenügende Lageburteilung zuhanden des Departements und der GPDel.
Das GS-VBS erkannte die Tragweite der Problematik ebenfalls nicht, ungeachtet dessen, dass dort auch die Stelle eines Nachrichtendienstberaters der Departementsvorsteherin angesiedelt ist.
Gleichzeitig verpasste es das VBS,
nachhaltig die strategischen Fragen anzugehen, die sich aufgrund des Falles Crypto AG bezüglich der kryptologischen Kompetenz der Schweiz, sei es im Nachrichtendienst, der Armee oder in der Industrie, stellten.
Die Spitze der Armee wurde nicht beigezogen, obwohl die Sicherheit ihrer Netze und der Erfolg wichtiger Projekte direkt davon betroffen waren.
29 / 64
BBl 2021 156
5
Grundsätzliche Fragen für die Zukunft
5.1
Nachrichtendienstliche Operationen mit Schweizer Firmen
Die Schweiz ist nicht Mitglied in einer militärischen Allianz und ist der Neutralität verpflichtet. Wegen der politischen Eigenständigkeit der Schweiz und den guten bilateralen und multilateralen Beziehungen haben andere Staaten kaum Anlass anzunehmen, dass von der Schweiz aus eine Bedrohung gegen sie ausgeht. Firmen und Organisationen, welche auf Schweizer Boden tätig sind, profitieren im Ausland vom neutralen Image des Landes. Es kann deshalb für ausländische Nachrichtendienste von Interesse sein, Schweizer Firmen als Tarnung zu verwenden, um nachrichtendienstlich gegen fremde Staaten tätig zu werden.
Fallen solche Aktivitäten unter den Tatbestand des verbotenen Nachrichtendienstes (Art. 272274 und 301 StGB)29, so ist ihre Bekämpfung Aufgabe der Spionageabwehr, welche vom NDB und den Strafverfolgungsbehörden im Rahmen ihrer jeweiligen Zuständigkeiten wahrgenommen wird. Kommt es zu einem Strafverfahren, entscheidet letztlich das EJPD oder der Bundesrat über die gerichtliche Verfolgung der betroffenen Personen.
Denkbar ist aber auch, dass ein ausländischer Nachrichtendienst die Zusammenarbeit mit den NDB sucht, um die Vorteile der Schweiz für eine nachrichtendienstliche Operation nutzen zu können und bereit ist, den NDB im Gegenzug an den Resultaten teilhaben zu lassen. Da Artikel 12 Absatz 1 Buchstabe c NDG dem NDB gemeinsame Tätigkeiten zur Beschaffung und Auswertung von Informationen erlaubt, ist eine solche Zusammenarbeit mit einem ausländischen Nachrichtendienst gesetzlich zulässig («Joint Operation»). Nach Artikel 34 NDG kann der NDB überdies auch ausländische Dienste und Private mit der Informationsbeschaffung beauftragen, dies sowohl im Inland wie im Ausland.
Die Informationsbeschaffung über Vorgänge im Ausland darf nach Artikel 36 Absatz 1 NDG verdeckt erfolgen. Während das Gesetz keine Vorgaben über die Modalitäten macht, ist jedoch nach Artikel 36 Absatz 3 NDG das Verhältnismässigkeitsprinzip zu beachten. Der Informationsgewinn muss somit in einem vertretbaren Verhältnis zu den operationellen und politischen Risiken einer Operation und den Eingriffen in die Grundrechte der betroffenen Personen stehen.
Die Informationsbeschaffung des NDB muss auf die aktuellen sicherheitspolitischen Bedrohungen ausgerichtet sein. Im Grundauftrag an den NDB entscheidet der Bundesrat, welche Staaten
prioritäre Aufklärungsziele des NDB sind. Über die Genehmigung der Auslandkontakte legt der Bundesrat fest, mit welchen ausländischen Nachrichtendiensten der Bundesrat eine Zusammenarbeit politisch als opportun erachtet.
Der Nachrichtendienst ist somit ein Instrument, welches der Bundesrat bedrohungsgerecht und nach politischer Opportunität einsetzen kann. Eine vorbehaltlose Gleichbehandlung fremder Staaten in nachrichtendienstlichen Belangen ist dabei nicht vorgesehen und würde der vom Gesetz geforderten Verhältnismässigkeit widersprechen.
29
Schweizerisches Strafgesetzbuch vom 21. Dez. 1937 (StGB; SR 311.0).
30 / 64
BBl 2021 156
Nach dem geltenden Recht ist es somit zulässig, dass der NDB und ein ausländischer Dienst eine Firma in der Schweiz gemeinsam nutzen, um Informationen über das Ausland zu beschaffen (vgl. Art. 34 Abs. 2 NDG). Im Rahmen einer vom NDB mitgetragenen Operation würden die Aktivitäten des fremden Nachrichtendienstes auch nicht mehr unter den Straftatbestand des verbotenen Nachrichtendienstes fallen.
Sollte eine Schweizer Firma Teil einer nachrichtendienstlichen Zusammenarbeit des NDB mit einem Partnerdienst sein, so erachtet es die GPDel aber als zwingend notwendig, dass die möglichen politischen Konsequenzen vorgängig auf politischer Stufe beurteilt werden. Zu prüfen sind insbesondere die Konsequenzen auf den Wirtschaftsstandort Schweiz und allfällige betroffene Personen einer solchen Firma. Ebenso zu berücksichtigen sind die Auswirkungen auf die Schweizer Aussenpolitik generell und betroffene bilaterale Beziehungen im Speziellen.
Die GPDel hält es deshalb für notwendig, dass sich der Bundesrat grundsätzlich mit den Möglichkeiten befasst, die das NDG dem NDB eröffnet. Insbesondere sollte er klären, welchen politischen Handlungsspielraum er bereit ist, dem VBS einzuräumen, und wann er selber informiert werden, bzw. über solche Operationen entscheiden will.
5.2
Sichere Kryptographie für die Schweiz
Die Verfügbarkeit sicherer Kryptographie ist eine grundlegende Voraussetzung für die Sicherheit der Informatik- und Kommunikationsinfrastruktur der Schweiz. So sind die beiden VBS-Projekte «Führungsnetz Schweiz» und «Neue Telekommunikation für die Armee» auf eine sichere Verschlüsselung der Datenübertragung angewiesen.
Ohne sie ist der Nutzen dieser Investitionen im Umfang von 2.2 Mia. Fr. in Frage gestellt. Weiter sind auch das EDA und der NDB auf sichere Kommunikationsverbindungen angewiesen.
Es ist eine zentrale Erkenntnis aus der Inspektion der GPDel, dass Lieferanten von Verschlüsselungstechnik ein attraktives Ziel für die Unterwanderung durch ausländische Nachrichtendienste sind. Die Geschichte der Crypto AG zeigt, dass auch Schweizer Firmen unter dem Einfluss ausländischer Nachrichtendienste Geräte mit «schwachen» Verschlüsselungsverfahren produzieren können. Gleichzeitig hat die Inspektion der GPDel aber auch ergeben, dass es den Schweizer Behörden trotzdem möglich war, die Sicherheit der eigenen Geräte zu gewährleisten.
Wie die GPDel sich versichern konnte, haben alle Überprüfungen ergeben, dass die Crypto AG den Schweizer Behörden nie «schwache» Verschlüsselungsgeräte geliefert hat, dies im Gegensatz zu einer anderen Firma, welche der Bundesverwaltung, inklusive den Nachrichtendiensten, unsichere Geräte verkaufte (vgl. Ziff. 4.2.4).
Zwingend notwendig ist es deshalb, dass der Bund über ausreichend selbstständige Kompetenzen im Bereich der Kryptologie verfügt. Erst dieses Wissen erlaubt es, die Sicherheit der beschafften Geräte zu überprüfen oder sogar auf ihre Konzeption Einfluss zu nehmen. Diese Kompetenz ist untrennbar mit dem Know-how verbunden, fremde Verschlüsselungen brechen zu können. Letzteres wäre wiederum eine zwingende Voraussetzung für eine nachrichtendienstliche Zusammenarbeit, wie sie in Ziff. 5.1. diskutiert wird.
31 / 64
BBl 2021 156
Letztlich hat der Bund jedoch nur dann ausreichende Möglichkeiten, die Sicherheit der gelieferten Verschlüsselungsgeräte in seinem Sinne zu beeinflussen, wenn der Lieferant seine Geräte in der Schweiz entwickelt und produziert. Der Lieferant sollte zudem auch nachweislich in Schweizer Besitz sein. Hingegen hat der Bund so gut wie keine Möglichkeit, um Einfluss auf die Vertrauenswürdigkeit ausländischer Lieferanten zu nehmen. Aufgrund dieser Überlegungen kommt die GPDel zum Schluss, dass sichere Kryptographie für den Bund nur mittels einer einheimischen Industrie im Bereich der Verschlüsselungstechnik sichergestellt werden kann.
Im Verlauf ihrer Inspektion stellte die GPDel allerdings fest, dass der Bundesrat und insbesondere das Eidgenössische Departement für Wirtschaft, Bildung und Forschung (WBF) kein Verständnis dafür zeigten, dass der Bund für vertrauenswürdige Verschlüsselungstechnik auf eine Zusammenarbeit mit einheimischen Lieferanten angewiesen ist. Auch für das VBS, welches noch am 6. November 2019 den Bundesrat darauf hinwies, dass die erwarteten Pressemeldungen zum Fall Crypto AG die Existenz der Nachfolgefirmen der Crypto AG gefährden könnten, hatte diese Problematik keine Priorität.
Laut den Abklärungen der GPDel sprachen zwar der Chef der Armee (CdA) und der Generalsekretär des VBS im Februar 2020 über mögliche Konsequenzen für die Armee, falls diese ihre Lieferanten für die Verschlüsselungstechnik verlieren würde.
Nach einer Strategie, um Alternativen zu den Geräten der Nachfolgefirmen der Crypto AG zu finden, wurde jedoch nicht gesucht. Es gab auch nie ein Gespräch zwischen der Vorsteherin des VBS und dem CdA zur Frage, wie die Armee ihren Zugang zu sicherer Kryptologie gewährleisten könnte, falls die bisherigen Lieferanten ihre Geschäftstätigkeit einstellen müssten.
Am 19. Juni 2020 erteilte der Bundesrat seine Ermächtigung für das Strafverfahren der BA im Zusammenhang mit den früheren Exporten der Crypto AG und beschloss, dass über die von der Crypto International AG und der TCG Legacy AG gestellten Ausfuhrgesuche bis zum Abschluss des Strafverfahrens nicht entschieden werden soll (vgl. Ziff. 8.4). Vorgängig zum Entscheid des Bundesrates hatte das VBS zwar auf die Abhängigkeit der Schweiz von den Nachfolgefirmen der Crypto AG, insbesondere der CyOne Security AG, hingewiesen. Wie
aus dem Antrag des EJPD vom 17. Juni 2020 hervorging, konnte das VBS jedoch die Konsequenzen eines Konkurses der Crypto International AG, die primär von der Sistierung der Exporte auf unbestimmte Zeit betroffen war, für die Armee nicht beurteilen. Ernsthafte Abklärungen zu dieser Frage unternahm das VBS erst ab September 2020. Über die laufenden Abklärungen mit den betroffenen Firmen wurde die GPDel vom CdA nur ungenügend informiert.
Nach Meinung der GPDel trug der Bundesrat in seinem Entscheid vom 19. Juni 2020 den elementaren Interessen der Schweiz an einer sicheren Kryptographie zu wenig Rechnung. Das VBS hatte es aber vorgängig auch versäumt, die Risiken für den Bund und insbesondere die Armee vertieft abzuklären und überzeugend auszuweisen.
Die GPDel erachtet es nicht als ihre Aufgabe, im Rahmen ihrer Inspektion die durch die Exekutive unterlassenen Abklärungen und Risikobeurteilungen selber vorzunehmen. Sie kann auch nicht den Ausgang des Strafverfahrens und des Beschwerdeverfahrens, das die betroffenen Unternehmen gegen die vom Bundesrat ausgesetzten
32 / 64
BBl 2021 156
Ausfuhrbewilligungen führen, vorwegnehmen. Entsprechend enthält sich die Delegation einer abschliessenden Beurteilung, inwiefern die Entscheide des Bundesrates den Zugang der Schweiz zu sicherer Kryptographie nachhaltig in Frage gestellt haben.
6
Massnahmen des VBS und des Bundesrates
6.1
Bundesratsbeschluss vom 20. Dezember 2019
6.1.1
Einsetzung der IDAG
Am 7. November 2019 wurde an einer Sitzung der Vorsteherin des VBS (Viola Amherd), des Vizekanzlers, des Generalsekretärs des VBS, der Generalsekretärin des EJPD und Vertretern des NDB im Zusammenhang mit der Crypto AG beschlossen, eine interdepartementale Arbeitsgruppe (IDAG) einzusetzen. Zu jenem Zeitpunkt war die Informationsgrundlage unklar und mehrere Departemente wurden mit Gesuchen gemäss dem Bundesgesetz über das Öffentlichkeitsprinzip der Verwaltung (BGÖ) 30 und des BGA konfrontiert. Auftrag der IDAG war es, die Informationen im Sinne einer Auslegeordnung zusammenzutragen, unter anderem um gestützt auf diese Arbeiten über das weitere Vorgehen zu beschliessen. Der Sachverhalt rund um das Unternehmen Crypto AG sollte vertieft geprüft werden. Die Arbeitsgruppe traf sich zu einer ersten Sitzung am 18. November 2019 unter der Leitung des Generalsekretärs des VBS. Die Bundeskanzlei (BK) wurde miteinbezogen, da man davon ausging, dass auch der Gesamtbundesrat direkt betroffen war und die BK die Information koordinieren sollte. Verschiedene Anhörungen im Rahmen der Inspektion zeigten, dass die Aufgabenstellung an die IDAG nicht alle Mitglieder der Arbeitsgruppe gleich interpretierten und demzufolge nicht klar genug war.
An der ersten Sitzung beschloss die Arbeitsgruppe (GS-VBS, GS-EJPD, der Vizekanzler, der Chef NDBU, ein Vertreter des BJ und weitere Vertreter des VBS), die Angelegenheit in zwei aufeinanderfolgenden Schritten aufzuarbeiten. Einerseits sollte eine historische Aufarbeitung vorgenommen werden. Andererseits legte die Arbeitsgruppe als zweiten Schwerpunkt die heutigen Entwicklungen fest. Prioritär sollte jedoch zuerst eine Chronologie erarbeitet werden, damit in einem zweiten Schritt konkrete Fragen beantwortet und eine Strategie sowie die Kommunikation erarbeitet werden konnten. Zudem sollten ab dem zweiten Treffen der IDAG auch jeweils ein Vertreter des EDA und der BA teilnehmen. In der Aktennotiz zu dieser ersten Sitzung der IDAG ist weiter festgehalten, dass die GPDel im Jahr 2009 durch das VBS über einige Aspekte des Falles Crypto AG informiert worden sei. Diese Information entsprach jedoch nicht dem Inhalt des Protokolls, welches der Präsident der GPDel der Vorsteherin des VBS im Nachgang zu ihrem Treffen vom 12. November 2019 zukommen liess (vgl. Ziff. 4.1.4).
Es fanden vier
weitere Treffen der IDAG statt (am 29. November 2019, am 9. Dezember 2019, am 10. Februar 2020 und am 2. März 2020). Ab der dritten Sitzung nahmen auch Vertreter des GS-WBF und des BAR teil. Es scheint, als hätten insbesondere 30
Bundesgesetz vom 17. Dez. 2004 über das Öffentlichkeitsprinzip der Verwaltung (Öffentlichkeitsgesetz, BGÖ; SR 152.3).
33 / 64
BBl 2021 156
zwei Aspekte im Vordergrund der Tätigkeit der IDAG gestanden: Einsichtsgesuche im Sinne des BGÖ und die Erarbeitung der Chronologie durch den NDB. An der Sitzung der IDAG vom 9. Dezember 2019 legte der NDB der Arbeitsgruppe eine erste Chronologie vor. Diese wurde jedoch zur Überarbeitung zurückgewiesen, da sie unklar und unvollständig war. So fehlten in der Chronologie des NDB etwa Angaben zu den letzten 20 Jahren.
Letztlich verzichtete die IDAG auf eine eigene, detaillierte Erarbeitung des Sachverhalts mit Verweis auf die am 16. Januar 2020 begonnenen Arbeiten von Niklaus Oberholzer (vgl. Ziff. 6.2). Die GPDel stellt fest, dass nach ihren heutigen Erkenntnissen die Ergebnisse der im Herbst 2019 vorgenommenen Standortbestimmung, welche der Direktor des NDB in Auftrag gegeben hatte, nicht in die Arbeiten der IDAG eingeflossen sind. Gemäss den Ausführungen der Vorsteherin des VBS wurde der Chef NDBU an den ersten vier Sitzungen der IDAG jeweils gefragt, ob weitere Dokumente oder Informationen vorliegen, was von ihm stets verneint wurde. Von der durchgeführten Standortbestimmung hatten nur wenige Personen Kenntnis, darunter auch der Chef NDBU. Der NDB wollte die nachrichtendienstliche Zusammenarbeit mit den amerikanischen Nachrichtendiensten bezüglich der Crypto AG in der IDAG nicht offenlegen und verhinderte entsprechend auch, dass dieses Thema im Rahmen der IDAG vertieft wurde. So wurden auch die Akten aus der K-Anlage nicht erwähnt.
Wäre die Standortbestimmung vom Herbst 2019 der Departementsvorsteherin bereits damals bekannt gewesen, so hätte man gemäss Aussagen der Vorsteherin des VBS wohl auf die Einsetzung einer IDAG verzichten können und der Auftrag an Herrn Oberholzer wäre anders ausgefallen. Die Arbeitsgruppe hat beschlossen, sich vorerst nicht aufzulösen und nach Bedarf zu tagen. Der Bundesrat hat am 15. Januar 2020 beschlossen, dass die IDAG das eingesetzte Forschungsgremium um Herr Oberholzer beratend unterstützen soll.
Insgesamt ist festzuhalten, dass sich die IDAG im Sinne der oben genannten Aufgaben in erster Linie mit Fragen formeller Art beschäftigte und den Informationsaustausch zu den Medienanfragen sicherstellte. Vor dem Hintergrund der Intervention der GPDel und auch mit dem Bekanntwerden der durchgeführten Standortbestimmung des NDB kam der IDAG lediglich eine koordinierende Funktion zu, deren Arbeiten dem Bundesrat nur beschränkt als Entscheidungsgrundlage dienen konnten.
6.1.2
Aktenfund in der K-Anlage
Am 12. November 2019 erhielt der NDB erste, noch wenig konkrete Hinweise dazu, dass im Zusammenhang mit der Crypto AG weitere Akten vorhanden sein müssten.
Anschliessend dauerte es fast einen Monat bis am 10. Dezember 2019 , bis diese Informationen verifiziert wurden. Am Tage danach wurden acht Schachteln gefüllt mit Akten im Zusammenhang mit der Crypto AG an einem externen Ort ausserhalb des BAR aufgefunden (K-Anlage, vgl. Ziff. 2.1.4). Der Direktor des NDB wurde am 12. Dezember 2019 über den Fund und erste Erkenntnisse informiert. Auf die Frage, weshalb der NDB fast einen Monat zugewartet hat, bis er den Hinweisen tatsächlich nachging, antwortete der Direktor des NDB, dass keine zeitliche Dringlichkeit bestanden habe.
34 / 64
BBl 2021 156
Diese Aussage irritiert die GPDel, da der Abschluss der Standortbestimmung im Herbst 2019 (siehe dazu Ziff. 4.1.4) vorgezogen wurde, um dem Direktor des NDB im Hinblick auf eine mögliche Berichterstattung in den Medien einen Informationsvorsprung zu geben. Dass der NDB hinsichtlich jener Akten, die in der K-Anlage aufgefunden wurden, nicht rascher handelte und keine Dringlichkeit sah, zeigt nach Ansicht der GPDel auf, dass die verantwortlichen Personen im NDB das Ausmass und die Tragweite der Angelegenheit nicht erkannt hatten.
Auch die Tatsache, dass die Akten aus der K-Anlage nur rudimentär gesichtet wurden und weder ein vollständiges Inhaltsverzeichnis erstellt noch eine Auswertung der Akten durchgeführt wurde, bestätigt diesen Schluss der GPDel. Als die GPDel am 17. Februar 2020 um ein Inhaltsverzeichnis der Unterlagen bat, konnte der NDB einzig Stichworte zu einzelnen Aktenbehältern vorlegen, die ein Mitarbeiter aus eigener Initiative notiert hatte.
Der Direktor des NDB erstattete am 16. Dezember 2019 der Vorsteherin des VBS mündlich Bericht, dass Dokumente in einer K-Anlage gefunden wurden. Daraufhin befasste sich der Bundesrat an seiner Sitzung vom 20. Dezember 2019 zum zweiten Mal mit dem Fall Crypto AG.
6.1.3
Entscheidungsgrundlagen des Bundesrates für den Bundesratsbeschluss vom 20. Dezember 2019
Im Antrag des VBS an den Bundesrat für die Sitzung vom 20. Dezember 2019 war festgehalten, dass die bekannten Informationen nicht ausreichten, um im Bundesrat eine inhaltliche Diskussion führen zu können. Diese Auffassung trifft nach den heutigen Erkenntnissen der GPDel zu, was jedoch nicht daran liegt, dass nicht sämtliche Informationen vorgelegen hätten, sondern dass diese durch den NDB nicht entsprechend und mit der nötigen Dringlichkeit gesichtet bzw. aufgearbeitet wurden. Zudem wurde der Bundesrat durch das VBS nicht richtig informiert, ansonsten im Antrag an den Bundesrat nicht ausgeführt worden wäre, dass offizielle Dokumente kaum existieren bzw. nicht auffindbar seien und dass der NDB nur auf relativ wenige Unterlagen Zugriff habe. Zu jenem Zeitpunkt hatte der NDB bereits Kenntnis von der Existenz der Dokumente aus der K-Anlage, auch wenn diese noch nicht im Detail studiert worden sind; einzelne Stichworte zum Inhalt der Akten wurden niedergeschrieben und lagen zu jenem Zeitpunkt vor. In Bezug auf die aufgefundenen Dokumente wurde der Vorsteherin des VBS lediglich mitgeteilt, dass ein ehemaliges Mitglied des Bundesrates (Kaspar Villiger) wohl von den verschiedenen Vorgängen gewusst habe.
Aus den heutigen Erkenntnissen kann geschlossen werden, dass die im Herbst 2019 durchgeführte Standortbestimmung sämtliche wichtigen Informationen enthielt, um die Tragweite und die Auswirkungen der Crypto-Affäre verstehen zu können. Diese flossen jedoch nicht in genügendem Masse in die Information an den Bundesrat für dessen Sitzungen vom 6. November 2019 und vom 20. Dezember 2019 ein, weshalb dieser nicht ausreichend informiert war (vgl. Ziff. 4.1.3). Es wurde unter anderem geltend gemacht, dass die Quellenbasis der Standortbestimmung sehr dünn gewesen sei und das Papier eigentlich noch hätte ergänzt werden müssen. Eine entsprechende Überarbeitung wurde allerdings nie vorgenommen.
35 / 64
BBl 2021 156
Wie bereits in Ziffer 4.1.3 beschrieben, erhielt der NDB im Oktober 2019 den Bericht MINERVA zusammen mit weiteren Unterlagen. Am 21. November 2019 nahmen der Vizekanzler und zwei Vertreter des GS-VBS während einer Stunde Einsicht in diese Dokumente. Vor dem Hintergrund des Umfangs dieser Dokumente ist festzuhalten, dass eine Stunde für ein seriöses Studium bei weitem nicht ausreicht. Die Vertreter der BK und des GS-VBS, welche auch Mitglieder der IDAG sind, wurden von ebendieser dazu beauftragt. An der zweiten Sitzung der IDAG wurde lediglich festgehalten, dass die Prüfung der Unterlagen vorgenommen wurde und dass diese ein wichtiger Bestandteil bei der Erarbeitung der Chronologie sein müssen. Nach dem heutigen Kenntnisstand sind die Informationen aus diesen Dokumenten jedoch nicht in die Entscheidfindung des Bundesrates an der Sitzung vom 20. Dezember 2019 eingeflossen.
Aufgrund der fehlenden Information der IDAG durch den NDB und der daraus resultierenden Unwissenheit (vgl. Ziff. 6.1.1) hielt es die IDAG am 9. Dezember 2019 für notwendig, dem Bundesrat drei Vorgehensvorschläge zu unterbreiten, unter anderem weitergehende Abklärungen durch externe Stellen vorzunehmen. Dies führte dazu, dass der Bundesrat, auf Empfehlung des VBS, an seiner Sitzung vom 20. Dezember 2019 den Beschluss gefasst hat, einem Forschungsgremium das Mandat zu erteilen, den Fragekomplex rund um die Crypto AG aufzuarbeiten und das VBS damit beauftragt, dem Bundesrat bis zur Sitzung vom 15. Januar 2020 einen Vorschlag für die Leitung des Forschungsgremiums vorzulegen und bis Ende Februar 2020 über das weitere Vorgehen Bericht zu erstatten. Damit wurde der Bundesrat auf eine falsche Fährte geführt.
Aus der an der Sitzung getroffenen Sprachregelung geht hervor, dass der Bundesrat zu jenem Zeitpunkt davon ausging, dass es sich lediglich um eine historische Recherchearbeit handelt.
6.2
Einsetzung des Untersuchungsbeauftragten
Am 23. Dezember 2019 fand eine erste Besprechung im GS-VBS statt, um möglicherweise alt Bundesrichter Niklaus Oberholzer als Leiter des Forschungsgremiums einzusetzen. Eine erste Besprechung mit Herrn Oberholzer fand am 8. Januar 2020 statt, bei der dieser sich bereit zeigte, die Forschungsgruppe zu übernehmen.
An der Sitzung vom 15. Januar 2020 entschied der Bundesrat auf Antrag des VBS, Niklaus Oberholzer als Leiter des Forschungsgremiums einzusetzen. Gemäss dem Bundesratsbeschluss vom 15. Januar 2020 war der Auftrag wie folgt definiert: Er sollte eine ganzheitliche Prüfung des Sachverhalts um das Unternehmen Crypto AG ab 1945 bis zur Aufspaltung des Unternehmens im Februar 2018 durchführen.
Dabei sollte untersucht werden, welche Rolle der Bundesverwaltung und den politischen Behörden zukam. Gemäss dem Antrag des VBS fielen aktuelle Fragen der Rechtmässigkeit und Zweckmässigkeit von nachrichtendienstlichen Tätigkeiten in die Zuständigkeit der regulären Aufsichtsbehörden (Unabhängige Aufsichtsbehörde über die nachrichtendienstlichen Tätigkeiten [AB-ND] und GPDel). Das Mandat sah vor, dem Bundesrat bis spätestens Ende Juni 2020 Bericht zu erstatten. Niklaus Oberholzer wurden als Unterstützung aufgrund der zeitlichen Dringlichkeit und der grossen Anzahl der zu sichtenden Dokumente Juristen einer renommierten Anwaltskanzlei zur 36 / 64
BBl 2021 156
Verfügung gestellt. Von dieser Möglichkeit wurde indes kein Gebrauch gemacht.
Herr Oberholzer nahm die Tätigkeit am 16. Januar 2020 auf.
Der Umstand, dass das Untersuchungsmandat für einen Zeitraum bis Februar 2018 abgesteckt war, zeigt nach Ansicht der GPDel, dass zum damaligen Zeitpunkt die Möglichkeit, dass Bezüge zur Aktualität bestehen könnten, nicht in Betracht gezogen wurde. Der Vorschlag für dieses Mandat gründete zudem auf einem ungenügenden Wissensstand der IDAG.
Als Niklaus Oberholzer am 16. Januar 2020 seine Arbeit aufnahm, hatte er vom VBS lediglich die unvollständige Chronologie erhalten, die der NDB für die IDAG erstellt hatte (vgl. Ziff. 6.1.1). Er erhielt weder den MINERVA-Bericht noch erfuhr er von den Akten aus der K-Anlage. Seine ersten Informationen zum Inhalt des MINERVABerichts erhielt Herr Oberholzer aus den Medien. Als Reaktion auf die mediale Diskussion über die Mitwisserschaft einzelner Bundesräte erstellte er am 15. Februar 2020 eine Aktennotiz zuhanden der Vorsteherin des VBS (Viola Amherd). Da er die Unterlagen aus der K-Anlage nicht kannte, kam er zum Schluss, dass sich dies aus den Akten nicht belegen liess. Am Tag darauf berichtete die Sonntagspresse über die Akten aus der K-Anlage, welche belegen würden, dass der damalige Vorsteher des EMD (Kaspar Villiger) informiert gewesen sein musste.
Das Vorgehen des VBS verunmöglichte es, dass die Untersuchung Oberholzer rasch verlässliche Erkenntnisse für weitere politische Entscheide liefern konnte. Aufgabe des Forschungsgremiums war primär die Aufarbeitung historischer Ereignisse und nicht die Unterstützung des Bundesrates bei der Bewältigung des Falles Crypto AG.
Zwar hatte der Bundesrat die Möglichkeit vorgesehen, nach einer ersten Sichtung der vorhandenen Unterlagen den Forschungsauftrag noch präzisieren zu können. Dies war jedoch nicht möglich, solange das VBS aufgrund des mangelnden Informationsaustauschs im VBS nicht die Akten unter seiner Kontrolle offenlegte.
6.3
Rolle des Sicherheitsausschusses
Anlässlich der Sitzung des Sicherheitsausschusses (SiA) vom 18. Februar 2020 informierte die Vorsteherin des VBS (Viola Amherd), dass sie am nächsten Tag im Bundesrat über die ersten Zwischenergebnisse der Untersuchung Oberholzer orientieren werde. Der Bundesrat erhielt daraufhin die Aktennotiz, die Herr Oberholzer am 15. Februar 2020 in Unkenntnis der wichtigsten Akten zuhanden der Vorsteherin des VBS verfasst hatte.
Danach war der Fall Crypto AG kein Thema mehr im SiA. So nutzte der SiA die Sitzung vom 5. Mai 2020 nicht, um das Ermächtigungsgesuch, welches die BA am 13. März 2020 beim EJPD eingereicht hatte (vgl. Ziff. 8.4.3), zu besprechen. Ebenso wenig brachte das EDA die diplomatischen Schwierigkeiten zur Sprache, welche sich mit befreundeten Staaten, die von den sistierten Lieferungen der Nachfolgefirmen der Crypto AG betroffen waren, abzeichneten.
Die geplante Sitzung des SiA vom 20. August 2020 wurde mangels dringender Themen fallen gelassen, obwohl zu diesem Zeitpunkt alle Mitglieder des Bundesrats ein Wiederwägungsgesuch der Crypto International AG bezüglich der Sistierung ihrer 37 / 64
BBl 2021 156
Ausfuhrbewilligungen erhalten hatten (vgl. Ziff. 8.5). Auch die Frage, ob ein Konkurs der Crypto International AG die Verfügbarkeit sicherer Kryptographie für die Armee gefährden könnte (vgl. Ziff. 5.2), war offenbar aus Sicht des VBS, welches den ständigen Vorsitz innehat, kein Geschäft für den SiA. Anzumerken ist allerdings, dass der CdA und die Armee seit der Reform31 der sicherheitspolitischen Führungsinstrumente im Oktober 2011 nicht mehr zum festen Teilnehmerkreis des SiA gehören. Die Direktorin des Bundesamtes für Polizei (fedpol) und der Direktor des NDB nehmen hingegen immer teil, in der Regel auch die Generalsekretärin und die Generalsekretäre der drei Departemente.
7
Übernahme durch die GPDel
7.1
Ermächtigung nach Artikel 154a ParlG
Am 13. Februar 2020 beschloss die GPDel an einer ausserordentlichen Sitzung, eine Inspektion einzuleiten. Am 14. Februar 2020 wurde dem Bundesrat die Eröffnung der Inspektion mittels Brief angezeigt.
Artikel 154a Absatz 1 des Bundesgesetzes über die Bundesversammlung (ParlG)32 sieht vor, dass Disziplinaruntersuchungen und Administrativuntersuchungen des Bundes, die Sachverhalte oder Personen betreffen, welche Gegenstand einer Untersuchung durch die Geschäftsprüfungsdelegation sind, nur mit Ermächtigung der Geschäftsprüfungsdelegation angehoben oder weitergeführt werden dürfen.
Im Brief vom 14. Februar 2020 teilte die GPDel dem Bundesrat mit, dass sie ihm die Ermächtigung im Sinne von Artikel 154a ParlG erteilt, die Untersuchung Oberholzer weiterzuführen. Gleichzeitig forderte die GPDel den Bundesrat dazu auf, Herrn Oberholzer uneingeschränkten Zugang zu allen Archivbeständen zu gewähren und zeigte ihm an, dass sie die eigene Untersuchung eng mit Niklaus Oberholzer koordinieren wolle. Im Weiteren wurde der Bundesrat darüber informiert, dass die GPDel ihren Vorrang bei der Anhörung von aktuellen oder ehemaligen Personen im Dienst des Bundes geltend macht.
Anlass für die Forderung der GPDel, Niklaus Oberholzer vollständigen Zugang zu den archivierten Akten zu gewähren, waren die Einschränkungen, welche sich aus dem Bundesratsbeschluss vom 15. Januar 2020 ergaben. Gemäss dem Antrag des VBS vom 13. Januar 2020 sollten für das Forschungsgremium die gleichen Einsichtsrechte in Personendaten gemäss Artikel 11 BGA gelten wie für jeden anderen Gesuchsteller. Somit war jedes Einsichtsgesuch in solche Daten von der zuständigen Bundesstelle im Einzelfall zu prüfen. Dies bedeutete letztlich, dass bei überwiegenden Schutzinteressen Herrn Oberholzer Akten hätten vorenthalten werden können. Dies widersprach jedoch dem Ziel einer uneingeschränkten Abklärung aller historischen Fragen zum Fall Crypto AG.
31 32
Weisungen des Bundesrates vom 24. Aug. 2011 über die Organisation der sicherheitspolitischen Führung des Bundesrates (BBl 2011 6837).
Bundesgesetz vom 13. Dez. 2002 über die Bundesversammlung (Parlamentsgesetz, ParlG; SR 171.10).
38 / 64
BBl 2021 156
Aus Sicht der GPDel musste das Forschungsgremium letztlich über die gleichen Einsichtsrechte nach Artikel 14 BGA verfügen wie die Bundesstellen, welche die Akten abgeliefert hatten. Schliesslich war Niklaus Oberholzer im Auftrag des Bundesrates tätig, dem die zuständigen Ämter unterstellt waren. Die Einsichtnahme in archivierte Personendaten ist gemäss Artikel 14 BGA allerdings nur in klar definierten Fällen erlaubt, beispielsweise, wenn diese als Beweismittel benötigt werden. Für die Untersuchung Oberholzer bestand diese Notwendigkeit, weshalb die GPDel keine rechtlichen Gründe dafür erkennen konnte, dass Bundesstellen den Zugang zu ihren Akten, welche sie ans BAR abgeliefert hatten, hätten einschränken können. In der Diskussion mit der GPDel vom 25. Februar 2020 erachtete es hingegen die Vorsteherin des VBS (Viola Amherd) als rechtlich notwendig, dass auch für Herrn Oberholzer das Einsichtsverfahren nach Artikel 11 BGA zur Anwendung komme.
7.2
Edierung von Unterlagen
7.2.1
Zurückhalten von Unterlagen gegenüber der GPDel
Mit Mail vom 12. Februar 2020 wurde das GS-VBS gebeten, der GPDel rasch und ohne Vorbehalte sämtliche benötigten Unterlagen und Dokumente zur Verfügung zu stellen. Diesen Anspruch machte die GPDel unter Berufung auf ihre weitgehenden Informationsrechte geltend, wonach den Delegationen der Aufsichtskommissionen keine Informationen vorenthalten werden dürfen (Art. 154 Abs. 1 ParlG). Zudem kommt den Delegationen das Recht zu, Protokolle der Bundesratssitzungen und auch geheim klassifizierte Unterlagen herauszuverlangen (Art. 154 Abs. 2 ParlG).
Anlässlich der Treffen, welche die GPDel oder ihr Präsident vor der Eröffnung ihrer Inspektion mit der Vorsteherin des VBS (Viola Amherd) oder mit dem Direktor des NDB (Jean-Philippe Gaudin) durchführten, wurde mit Ausnahme des MINERVABerichts die Existenz keiner weiteren Unterlagen erwähnt. Die GPDel wurde so im Glauben gelassen, dass fast keine Unterlagen zur Crypto AG vorhanden waren, was nachweislich nicht der Realität entsprach. Zum Zeitpunkt der ersten Aussprache in dieser Sache zwischen der GPDel, der Vorsteherin des VBS und dem Direktor des NDB vom 25. November 2019 lag die vom NDB erstellte Standortbestimmung vom Herbst 2019 bereits vor. Der GPDel wurde auch der Fund der Akten in der K-Anlage nicht angezeigt.
Vor dem Hintergrund, dass die GPDel die Vorsteherin des VBS an der Sitzung vom 25. November 2019 um die Resultate der Abklärungen gebeten hat, befremdet die GPDel die Tatsache, dass sie nicht über das Vorhandensein der verschiedenen Unterlagen informiert worden ist.
Auf ausdrückliches Verlangen des GPDel-Präsidenten erhielt die GPDel eine Kopie des MINERVA-Berichts am 10. Februar 2020, und am 13. Februar 2020 folgte eine Kopie der geheimen Informationsnotiz des VBS an den Bundesrat von Anfang November 2019 (vgl. Ziff. 4.1.3). Die Standortbestimmung des NDB vom Herbst 2019 wurde erst am 17. Februar 2020 nachgereicht. Der Vorsteherin des VBS wurde die Standortbestimmung erstmals am Tag darauf zur Kenntnis gebracht.
39 / 64
BBl 2021 156
Des Weiteren gilt es festzuhalten, dass die Informationsrechte der GPDel auch Notizen und Dokumente umfassen, welche lediglich zum internen Gebrauch eines Departementsvorstehers, eines Direktors oder eines Amtsvorstehers erstellt werden.
7.2.2
Gewährung der Einsicht in Dokumente
Die GPDel forderte den Bundesrat mit Brief vom 14. Februar 2020 auf, Niklaus Oberholzer uneingeschränkten Zugang zu den Archivbeständen zu gewähren. Hintergrund dazu war das Bestreben der GPDel, dass Herr Oberholzer die Angelegenheit vollständig und in Kenntnis sämtlicher Dokumente aufarbeiten können soll und die damit verknüpfte und nach Ansicht der GPDel falsche Auslegung des BGA durch das VBS (vgl. Ziff. 7.2.1).
Am 17. Februar 2020 erhielt die GPDel erstmals Kenntnis der durchgeführten Standortbestimmung des NDB vom Herbst 2019. Am Nachmittag des 18. Februar 2020, respektive am frühen Morgen des 19. Februar 2020 analysierten die Mitglieder der GPDel die erwähnte Standortbestimmung und erkannten die Bedeutung ihres Inhalts.
Daraufhin teilte der Präsident der GPDel der Departementsvorsteherin des VBS umgehend mit, dass die Standortbestimmung weder Herrn Oberholzer noch dem Bundesanwalt (Michael Lauber) zur Verfügung zu stellen sei und keine irreversiblen Schritte bezüglich Aktenweitergabe vorzunehmen seien. Dieser Aufforderung kam das VBS indes nicht nach und stellte Niklaus Oberholzer dieses Dokument noch am gleichen Tag in den Räumlichkeiten des NDB zur Einsicht zur Verfügung. Dies geschah offenbar auf Anordnung der Departementsvorsteherin. Auch der Bundesanwalt erhielt Einblick in verschiedene Teile des Dokumentes am 20. Februar 2020. Gemäss den Aussagen des VBS hat aber weder Herr Oberholzer noch der Bundesanwalt eine Kopie des Dokumentes erhalten.
7.2.3
Beurteilung der Tragweite des Sachverhalts
Die verantwortlichen Personen, sowohl beim NDB als auch im Departement VBS, gingen nach der Medienberichterstattung von Mitte Februar 2020 weiterhin davon aus, dass es sich beim Fall Crypto AG um Geschehnisse handelt, welche weit in der Vergangenheit lagen und die keinen direkten Bezug zur Gegenwart aufwiesen. Es sollte eine geschichtliche Aufarbeitung erfolgen, um die grösstmögliche Transparenz herzustellen. Diese Sichtweise manifestierte sich in diversen Dokumenten und Aussagen der verschiedenen Akteure.
Das GS-VBS erhielt am 18. Februar 2020 Kenntnis von der Standortbestimmung des NDB vom Herbst 2019. Tags darauf wurde Herr Oberholzer und einen weiteren Tag später dem Bundesanwalt Einsicht in das Dokument oder Teile davon gewährt. Aufgrund dieser Informationen sollte die BA dem VBS erläutern, ob die Aktivitäten der Crypto AG den Straftatbestand der Spionage erfüllen würden, was die BA nicht bestätigen konnte. Dieses Vorgehen zeigt, dass das GS-VBS nicht in der Lage war, die Erkenntnisse der Standortbestimmung des NDB selbst einzuordnen. Insbesondere
40 / 64
BBl 2021 156
wurde weder die Rolle des Schweizer Nachrichtendienstes im Fall Crypto AG verstanden noch die rechtliche Bedeutung dieser Zusammenarbeit mit den amerikanischen Diensten erkannt (vgl. Ziff. 4.2.2 und 5.1).
Aus der Standortbestimmung gingen nämlich klar die Modalitäten und die Dauer der Zusammenarbeit zwischen den schweizerischen und amerikanischen Nachrich-tendiensten, welche letztlich auch eine Mitverantwortung der Schweizer Behörden für die Aktivitäten der Crypto AG nach sich zogen, hervor. Während sich diese nachrichtendienstliche Operation grundsätzlich auf geltendes Recht abstützen konnte, machte die Tatsache, dass sie ohne Genehmigung der zuständigen politischen Behörde erfolgte, die Information des Bundesrats dringlich. Die politische Tragweite dieser Operation betraf potenziell die Aussen- und Wirtschaftspolitik, erstreckte sich aber auch auf die persönliche Sicherheit von unwissentlich betroffenen Mitarbeitenden der Firma. Gegenüber solchen Herausforderungen blieb die Schweizer Regierung handlungsunfähig, solange sie kein klares Verständnis von den Aktivitäten ihres eigenen Nachrichtendienstes hatte.
Im Zusammenhang mit der Eröffnung der Inspektion und den damit verbundenen Informationsbedürfnissen realisierte das VBS am 18. Februar 2020, wie ungenügend die politische Stufe durch den NDB informiert war. Insbesondere begann das VBS zu erkennen, dass der Fall Crypto AG nicht mehr als rein historische Angelegenheit betrachtet werden konnte. Nicht verstanden wurde aber, dass sich die Beurteilung der aktuellen Situation nicht von der historischen Entwicklung trennen liess. So beschloss das VBS noch am 18. Februar 2020 neben der Untersuchung Oberholzer, zusätzlich bei der AB-ND eine Überprüfung der Gesetzeskonformität der heutigen nachrichtendienstlichen Praxis im Bereich Kommunikationsaufklärung und Entschlüsselung zu beantragen. Dabei übersah das VBS, dass die Rechtmässigkeit dieser Aktivitäten nicht ohne eine detaillierte Analyse der Unterlagen aus der K-Anlage beurteilt werden konnte (vgl. Ziff. 4.2.2).
Die der GPDel bekanntgewordenen Akten führten ihrerseits zu einer Neubeurteilung des Falles Crypto AG in seiner Gesamtheit. Aufgrund ihres neuen Informationsstandes erschien es der GPDel als zwingend notwendig, die problematischen Parallelitäten zwischen den beiden Untersuchungen der
Exekutive und ihrer Inspektion, welche letztlich ihre Arbeit beeinträchtigen würden, zu entwirren. Sie erachtete es deshalb für angezeigt, dass die neu aufgetauchten Informationen vorerst nicht an weitere Stellen (Untersuchung Oberholzer und BA) gingen, solange das weitere Vorgehen nicht geklärt war. Die GPDel hielt es auch für falsch, dass die Strafverfolgungsbehörden involviert wurden, bevor das VBS die Tragweite der neuen Informationen begriffen hatte. Deshalb bat die GPDel das VBS bis zu einer Aussprache mit dessen Vorsteherin, bezüglich der Informationsweitergabe auf irreversible Schritte zu verzichten.
7.3
Entzug der Ermächtigung nach Artikel 154a ParlG
Mit Kenntnisnahme der Standortbestimmung des NDB am 18. Februar 2020 wurde der GPDel schlagartig bewusst, dass es sich keineswegs nur um eine Vergangenheitsbewältigung handelt, sondern dass gewisse Tätigkeiten bis in die Aktualität hineinreichen und von grosser Brisanz und Tragweite sind.
41 / 64
BBl 2021 156
Die GPDel teilte dem Bundesrat mit Brief vom 21. Februar 2020 mit, dass sie die Ermächtigung der Untersuchung des Bundesrates, welche von Herrn Oberholzer durchgeführt wurde, widerruft.33 Es hat sich gezeigt, dass nebeneinander durchgeführte Untersuchungen einer raschen und reibungslosen Aufklärung des Sachverhaltes hinderlich sind. Zum einen wurde der GPDel klar, dass weder der NDB noch das VBS zum damaligen Zeitpunkt das Ausmass und die Tragweite des zu untersuchenden Sachverhalts erkannt hatten, sodass sich die GPDel einstimmig gezwungen sah, die Inspektion an sich zu ziehen und die Ermächtigung vom 14. Februar 2020 zu widerrufen. Zum anderen schlug die Vorsteherin des VBS (Viola Amherd) der AB-ND mit Brief vom 18. Februar 2020 vor, die Rechtmässigkeit der kryptanalytischen Aktivitäten des VBS zugunsten des NDB zu prüfen. Da dieser Sachverhalt Gegenstand einer Untersuchung der GPDel war, hätte die Vorsteherin des VBS gemäss Artikel 154a Absatz 1 ParlG die Ermächtigung der Delegation einholen müssen. Ein entsprechendes Gesuch auf Ermächtigung wurde durch die Vorsteherin des VBS nicht gestellt. Damit sie den Sachverhalt rasch und effizient untersuchen konnte, beschloss die GPDel, die Ermächtigung auf Fortführung der Untersuchung durch die Exekutive zu widerrufen. Gleichzeitig wurde dem Bundesrat mitgeteilt, dass die GPDel die vom VBS beantragte Untersuchung durch die AB-ND ablehne.
Artikel 154a Absatz 2 ParlG sieht vor, dass die GPDel über die Ermächtigung nach Anhörung des Bundesrates entscheidet. Der Bundesrat hat in der Folge geltend gemacht, im Widerspruch zu Artikel 154a Absatz 2 ParlG vor dem Widerruf der Ermächtigung nicht angehört worden zu sein. Am 19. Februar 2020 hat der Präsident der GPDel der Departementsvorsteherin des VBS mitgeteilt, dass man Herrn Oberholzer und dem Bundesanwalt keine Einsicht in die Standortbestimmung des NDB gewähren solle. Bei dieser Gelegenheit wurde der Departementsvorsteherin angeboten, sie vor der Bundesratssitzung anzuhören. Dieses Angebot wurde abgelehnt. Stattdessen wurde der 25. Februar 2020 als neuer Termin vorgeschlagen. Mit dem Angebot, die Vorsteherin des VBS anzuhören, erachtet die GPDel die Anforderung von Artikel 154a Absatz 2 ParlG als erfüllt. Die Delegation konnte mit dem Entscheid des Widerrufs nicht bis nach der Sitzung am 25. Februar 2020
zuwarten, da dieser zeitlich äusserst dringlich war, um die Weiterverbreitung der sensiblen Informationen zu unterbinden.
Die Voraussetzung der Anhörung wurde damals im Artikel 154a ParlG aufgenommen, weil es Fälle gibt, in denen der Bundesrat das Recht haben muss, eine Disziplinar- oder eine Administrativuntersuchung weiter- bzw. durchzuführen.34 Ein derartiger Grund ist vorliegend nicht ersichtlich. Der Bundesrat hat damals vorgeschlagen, weitergehende Ausnahmen direkt ins Gesetz aufzunehmen. So sollte etwa beim Vorliegen von triftigen Gründen die Ermächtigung in der Regel erteilt werden. Unter triftigen Gründen nannte der Bundesrat etwa das Bedürfnis, sich möglichst rasch ein eigenes Bild zu verschaffen und mutmassliche Mängel unverzüglich zu beseitigen. 35 Die Bundesversammlung verzichtete auf die Aufnahme dieser expliziten Nennung, 33 34 35
Crypto AG: GPDel übernimmt die Federführung der Abklärungen, Medienmitteilung der GPDel vom 26. Febr. 2020.
Siehe dazu die Debatte im Ständerat: AB 2004 409.
Parallelverfahren der GPDel mit personalrechtlichen Untersuchungen oder Administrativuntersuchungen des Bundes, Stellungnahme des Bundesrats vom 31. März 2004 zum Bericht der GPK-S vom 21. Nov. 2003 (BBl 2004 1477, hier 1481).
42 / 64
BBl 2021 156
kam aber zum Schluss, dass eine Anhörung durchaus Sinn machen könnte. Die GPDel hält fest, dass der Bundesrat in seiner Antwort vom 5. März 2020 zum Entzug der Ermächtigung auch keine Gründe nennt, weshalb die Ermächtigung hätte weiterbestehen sollen. Aufgrund der zeitlichen Dringlichkeit und der Tragweite, welche bis dahin durch den Bundesrat verkannt worden sind, konnte mit dem Widerruf der Ermächtigung nicht zugewartet werden.
7.4
Beizug eines Untersuchungsbeauftragten durch die GPDel
Gleichzeitig mit dem Entzug der Ermächtigung wurde dem Bundesrat im Brief vom 21. Februar 2020 auch angezeigt, dass die GPDel die Untersuchung durch Niklaus Oberholzer weiterführen will, jedoch im Auftrag der GPDel. Damit sollte sichergestellt werden, dass die Arbeiten nahtlos weitergeführt werden konnten.
Die GPDel machte somit von ihrem Recht Gebrauch, einen Untersuchungsbeauftragten im Sinne von Artikel 166 Absatz 2 i.V.m. Artikel 155 Absatz 6 ParlG einzusetzen.
Ein Untersuchungsbeauftragter kann zum Zwecke der Beweiserhebung eingesetzt werden. Aufgrund der Verweisnorm in Artikel 155 Absatz 6 ParlG kommt das Recht, einen Untersuchungsbeauftragten einzusetzen, neben der PUK auch der GPDel zu.
Artikel 155 Absatz 6 ParlG sieht nämlich explizit vor, dass für das Verfahren und die Rechte der Betroffenen die Artikel 166171 ParlG für die Delegationen der Aufsichtskommissionen anwendbar sind. In diesem Sinne stehen der PUK und der GPDel dieselben Kompetenzen und Rechte zu.
7.5
Tätigkeit der AB-ND und Aufsichtsverantwortung des VBS
Nachdem die Vorsteherin des VBS (Viola Amherd) am 12. November 2019 den Präsidenten der GPDel zum ersten Mal über den Fall Crypto AG orientiert hatte (vgl.
Ziff. 4.1.4), informierte sie am gleichen Tag auch den Leiter der AB-ND. Zu diesem Zeitpunkt hatten die Vorsteherin des VBS und die direkt betroffenen Stellen im Departement auch den Prüfplan der AB-ND für das Jahr 2020 zur Stellungnahme erhalten. Weder das VBS noch die AB-ND erkannten zu diesem Zeitpunkt eine Notwendigkeit, Aspekte des Falles Crypto AG unter dem neuen Prüfprogramm der Aufsichtsbehörde untersuchen zu lassen.
Drei Monate später beschloss die GPDel die Eröffnung ihrer Inspektion. Daraufhin informierte der Leiter der AB-ND die Delegation über seine Bereitschaft, die Arbeiten der GPDel im Rahmen seiner Möglichkeiten zu unterstützen. Weiter teilte die ABND mit, dass sie allfällige Erkenntnisse aus den Medien in zwei ihrer laufenden Prüfungen berücksichtigen würde, jedoch keine eigenen Abklärungen im Zusammenhang mit dem Fall Crypto AG plane.
Die GPDel begrüsste diese Koordinationsbemühungen der AB-ND und bedankte sich mit Schreiben vom 24. Februar 2020 für die angebotene Unterstützung. In der Folge nahm die AB-ND mit dem Einverständnis der GPDel einen Augenschein in der 43 / 64
BBl 2021 156
K-Anlage und weiteren Aktendepots des NDB vor. Dies erfolgte im Rahmen einer unangekündigten Prüfung. Der Prüfbericht wurde im Juli 2020 fertiggestellt und bestätigte den Eindruck der GPDel, dass zu diesen Aktenbeständen kein verlässliches Inventar existierte.
In ihrem Prüfbericht verzichtete die AB-ND auf die Abgabe von Empfehlungen. Angesichts ihrer laufenden Inspektion erachtete dies die GPDel als zweckmässig. Damit konnten von Anfang an Widersprüche mit späteren Empfehlungen der Oberaufsicht vermieden werden.
Als problematisch erachtete die Oberaufsicht hingegen den Vorschlag des VBS vom 18. Februar 2020, die AB-ND solle umgehend die Rechtmässigkeit der kryptanalytischen Aktivitäten des VBS zugunsten des NDB überprüfen. Dieser Antrag der Vorsteherin des VBS erging erst, nachdem die öffentliche Diskussion über den Fall Crypto AG voll im Gang war, die GPDel ihre Inspektion aufgenommen und den Koordinationsbedarf mit der AB-ND bereits geklärt hatte. Das VBS hatte somit die Zeit seit November 2019 nicht genutzt, um seine Aufsicht über die Nutzung krypt-analytischer Fähigkeiten durch den NDB selbständig oder mit Unterstützung der AB-ND wahrzunehmen. Dabei ist es das VBS und nicht die AB-ND , welches die Verantwortung für die Rechtmässigkeit der nachrichtendienstlichen Aktivitäten trägt.
Bei einer nachrichtendienstlichen Affäre von politischer Tragweite sieht die GPDel primär die Leitung des VBS in der Pflicht, sich selbstständig die notwendigen Informationsgrundlagen zu verschaffen, um seine politische Führungsaufgabe wahrnehmen zu können. Diese Aufgabe muss von der Departementsleitung aus eigenen Kräften bewältigt werden können und kann nicht an ein unabhängiges, weisungsungebundenes Kontrollorgan wie die AB-ND übertragen werden.
7.6
Zwischeninformation an die Bundespräsidentin
Mit Brief vom 10. März 2020 stellte die GPDel der Bundespräsidentin (Simonetta Sommaruga) eine Aussprache in Aussicht, falls dies gewünscht werde. Die Gründe für diesen Vorschlag waren zweierlei: Einerseits wollte die GPDel der Bundespräsidentin den Entzug der Ermächtigung nochmals detailliert darlegen, auch um zu verhindern, dass das Verhältnis zwischen Bundesrat und GPDel durch diese Massnahme Schaden nehmen würde. Andererseits zweifelte die GPDel daran, dass der Bundesrat die Tragweite und Brisanz der Angelegenheit zu jenem Zeitpunkt erkannt hatte. Die Bundespräsidentin antwortete positiv auf diesen Vorschlag. So führte die GPDel am 25. Mai 2020 mit der Bundespräsidentin zusammen mit der Vorsteherin des VBS (Viola Amherd) eine Aussprache durch. In diesem Rahmen wurde die Bundespräsidentin über die wichtigsten Erkenntnisse aus den Abklärungen der GPDel informiert. Die Delegation legte dabei der Bundespräsidentin zuhanden des Bundesrates die aus ihrer Sicht anstehenden Herausforderungen dar. Eine dieser Herausforderungen lag damals in der Beantwortung des Ermächtigungsgesuchs der BA an das EJPD in Bezug auf die Strafanzeige des Staatsekretariats für Wirtschaft (SECO) (vgl. dazu Ziff. 8).
44 / 64
BBl 2021 156
8
Sistierung der Ausfuhrbewilligungen durch das WBF und den Bundesrat und Strafanzeige des SECO
8.1
Sachverhalt
Am 3. Dezember 2019 erteilte das SECO der TCG Legacy AG, einem der Nachfolgeunternehmen der Crypto AG, eine Generalausfuhrbewilligung.
Am 16. Dezember 2019 besprach die Generalsekretärin des WBF und der persönliche Mitarbeiter des Vorstehers des WBF den Fall Crypto AG mit dem Chef NDBU. Daraus ergab sich, dass es für die Schweiz ungünstig wäre, wenn publik würde, dass dem Unternehmen erst kurz vor der Berichterstattung in den Medien eine Ausfuhrbewilligung erteilt wurde. Gemäss dem Chef NDBU sei das einzige Ziel gewesen, Zeit zu gewinnen. Am Abend des 19. Dezember 2019 hat der Vorsteher des WBF (Guy Parmelin) in einer Besprechung mit der Vorsteherin des VBS (Viola Amherd) unter Anwesenheit beider Generalskretäre über die beabsichtigte Aussetzung der Generalausfuhrbewilligung informiert.
Am 20. Dezember 2019 setzte das SECO diese Generalausfuhrbewilligung bis auf weiteres aus, zusammen mit jenen der Crypto International AG, einem weiteren Nachfolgeunternehmen der Crypto AG. Dies erfolgte direkt als Weisung der Departementsleitung. Aus der Aktennotiz der IDAG-Sitzung vom 10. Februar 2020 geht hervor, dass das SECO aber weiterhin Einzelausfuhrgesuche bearbeiten werde.
Am 25. Februar 2020 reichte das SECO bei der Bundesanwaltschaft Strafanzeige gegen Unbekannt auf der Grundlage von Artikel 18 des Bundesgesetzes über die Kontrolle zivil und militärisch verwendbarer Güter, besonderer militärischer Güter sowie strategischer Güter (GKG)36 und Artikel 10 der Verordnung über die Ausfuhr und Vermittlung von Gütern zur Internet- und Mobilfunküberwachung (VIM)37 ein. Die Strafanzeige wurde vorgängig von der Staatsekretärin SECO genehmigt und deren Einreichen durch das GS-WBF unterstützt.
Am 2. März 2020 wurden der Präsident der GPDel und die Sekretärin der GPDel über die Strafanzeige durch den Bundesanwalt informiert. Zwei Tage später, am 4. März 2020, traf sich die Exportkontrollgruppe (EKG). Die beteiligten Personen kamen zum Schluss, dass die eingereichten Einzelausfuhrgesuche dem Bundesrat zur Entscheidung vorgelegt werden sollen. In der Exportkontrollgruppe (Art. 27 Abs. 3 GKV) sind neben dem SECO auf Departementsstufe das EDA, das VBS und das Eidgenössische Departement für Umwelt, Verkehr, Energie und Kommunikation (UVEK) vertreten.
Der NDB wird zu den Gesuchen angehört.
Die Bundeskriminalpolizei
(BKP) stellte am 6. März 2020 knapp 400 Geräte der Crypto International AG und der TCG Legacy AG sicher. Der Grossteil dieser Geräte wurde in den Lagerräumen der Crypto International AG belassen. Das Durchsuchungsprotokoll wurde der Firma am 9. Mai 2020 zugestellt.
36
37
Bundesgesetz vom 13. Dez. 1996 über die Kontrolle zivil und militärisch verwendbarer Güter, besonderer militärischer Güter sowie strategischer Güter (Güterkontrollgesetz, GKG; SR 946.202).
Verordnung vom 13. Mai 2015 über die Ausfuhr und Vermittlung von Gütern zur Internet- und Mobilfunküberwachung (VIM; SR 946.202.3).
45 / 64
BBl 2021 156
Auf Wunsch des SECO organisierte der Delegierte des Bundes für Cybersicherheit am 10. März 2020 einen Meinungsaustausch zum Thema der Manipulationsmöglichkeiten und deren Nachweise.
Am 13. März 2020 stellte die Bundesanwaltschaft ein Ermächtigungsgesuch an das EJPD im Sinne von Artikel 66 des Bundesgesetzes über die Organisation der Strafbehörden des Bundes (StBOG)38.
Bis am 18. Mai 2020 stellten die Crypto International AG und die TCG Legacy AG insgesamt 15 Einzelausfuhrgesuche für die Lieferung von Chiffriergeräten und Chiffriermodulen. Sowohl die Vertreter des VBS und des UVEK in der Exportkontrollgruppe sprachen sich im Mai 2020 für die Bewilligung sämtlicher Einzelausfuhrgesuche aus. Vertreter des EDA wollten hingegen nur die Gesuche von TCG Legacy AG genehmigen. Die Gesuche von Crypto International AG sollten hingegen dem Bundesrat zur Entscheidung vorgelegt werden.
Am 25. Mai 2020 führte die GPDel vormittags eine Aussprache mit der Bundespräsidentin, der Vorsteherin des VBS und nachmittags mit der Vorsteherin des EJPD (Karin Keller-Sutter) durch. Dabei wurde die GPDel über die Bearbeitung des Ermächtigungsgesuchs im EJPD informiert.
Für die Bundesratssitzung vom 12. Juni 2020 stellte das WBF den Antrag, die 15 Einzelausfuhrgesuche der Crypto International AG und der TCG Legacy AG zu bewilligen. Im Mitberichtsverfahren wurde vorgeschlagen, das Geschäft zu verschieben.
Umstritten war auch die Zweckmässigkeit, mit einem Entscheid bis zum Abschluss der noch laufenden Untersuchungen der GPDel und der BA zuzuwarten.
Am 19. Juni 2020 entschied der Bundesrat aufgrund eines modifizierten Antrags des WBF, den Entscheid über die 15 Einzelausfuhrgesuche der beiden Nachfolgefirmen der Crypto AG bis zum Abschluss der Untersuchungen der BA auszusetzen und erteilte gleichzeitig die Ermächtigung zur Strafverfolgung gegen Unbekannt.
Am 3. Juli 2020 verfügte das SECO gegenüber der TCG Legacy AG, dass die Einzelausfuhrgesuche der TCG Legacy AG bis zum Abschluss der Untersuchung der Bundesanwaltschaft ausgesetzt werden. An der Sitzung vom 26. August 2020 wies der Bundesrat ein Wiedererwägungsgesuch der Crypto International AG bzgl. Einzelausfuhrgenehmigungen ab.
8.2
Gesetzliche Grundlagen
Es stellen sich im vorliegenden Kontext gleich mehrere Fragen im Zusammenhang mit dem Güterkontrollrecht. Der gesetzliche Rahmen für die Massnahmen des Bundes gegenüber den Nachfolgefirmen der Crypto AG ist das Güterkontrollrecht. Gemäss Artikel 2 Absatz 2 GKG bestimmt der Bundesrat, welche Güter dem GKG unterstellt
38
Bundesgesetz vom 19. März 2010 über die Organisation der Strafbehörden des Bundes (Strafbehördenorganisationsgesetz, StBOG; SR 173.71).
46 / 64
BBl 2021 156
werden. Der Bundesrat hat diese Präzisierung unter anderem mit dem Erlass der Verordnung über die Kontrolle zivil und militärisch verwendbarer Güter, besonderer militärischer Güter sowie strategischer Güter (GKV)39 vorgenommen.
Die verschiedenen Güter, deren Ausfuhr bewilligungspflichtig ist, werden in den Anhängen zur GKV aufgelistet. Anhang 2 Teil 2 beinhaltet dabei Verschlüsselungssysteme und -verfahren40 sowie auch Systeme, Ausrüstung und Bestandteile41 für die Überwindung, die Schwächung oder die Umgehung von Informationssicherheit, welche zur Ausführung kryptanalytischer Funktionen entwickelt oder geändert worden sind.
Weiter unterstellte der Bundesrat im Bemühen darum, dass von der Schweiz exportierte Überwachungssysteme durch ausländische Empfänger nicht zur politischen Unterdrückung eingesetzt werden, solche Ausfuhren einem zwingenden Einzel-bewilligungsverfahren. Aus diesem Grund hat der Bundesrat 2015 mit der VIM eine entsprechende Verordnung erlassen. Betroffen sind gemäss Anhang der Verordnung auch Geräte mit kryptanalytischen Funktionen.
8.3
Sistierung der Generalausfuhrbewilligung durch das WBF
8.3.1
Rechtmässigkeit der Sistierung
Im Rahmen des GKG gibt es zwei verschiedene Arten von Bewilligungen: eine Einzelbewilligung oder eine Generalausfuhrbewilligung. Das SECO kann gemäss Artikel 12 bzw. 13 GKV eine ordentliche bzw. ausserordentliche Generalausfuhrbewilligung erteilen, wenn die verschiedenen Anforderungen des GKG und der GKV erfüllt sind.
Das SECO hat den Nachfolgefirmen der Crypto AG insgesamt fünf Generalausfuhrbewilligungen erteilt, sowohl ordentliche als auch ausserordentliche. Unter anderem wurde am 4. Dezember 2019 eine ordentliche Generalausfuhrbewilligung für Deutschland ausgestellt. Am 16. Dezember 2019 erfuhr das SECO erstmals vom Fall Crypto AG. Erste Belege für Bestrebungen, die Generalausfuhrbewilligungen der drei Unternehmen zu sistieren, datieren vom 16. Dezember 2019, als der Chef NDBU das GS-WBF informierte. Am 20. Dezember 2019 wurden die Generalausfuhrbewilligungen durch das SECO dann sistiert. Dieser Entscheid wurde vom Departementsvorsteher des WBF (Guy Parmelin) gefällt. Der persönliche Mitarbeiter des Departementsvorstehers instruierte dabei die betroffenen Personen im SECO, welche die Entscheidung umzusetzen hatten. In dieser Instruktion wurde explizit festgehalten, dass der Entscheid gegenüber den betroffenen Unternehmen nicht weiter zu begründen sei und dass man zur Praxis der Einzelausfuhrbewilligungen zurückkehren solle. Das
39
40 41
Verordnung vom 3. Juni 2016 über die Kontrolle zivil und militärisch verwendbarer Güter, besonderer militärischer Güter sowie strategischer Güter (Güterkontrollverordnung, GKV; SR 946.202.1).
Anhang 2 Teil 2 GKV, Exportkontrollnummer (EKN) 5A002.
Anhang 2 Teil 2 GKV, EKN 5A004.
47 / 64
BBl 2021 156
SECO vollzog diesen Entscheid, die Kommunikation erfolgte dabei über die elektronische Plattform ELIC42. Bei vier der fünf Generalausfuhrbewilligungen steht explizit, dass die Bewilligungen des SECO widerrufen wurden und bis auf weiteres ausgesetzt werden. In Bezug auf das Gesuch der TCG Legacy AG fehlt der Begriff des Widerrufs. Eine Begründung findet sich, wie vom GS-WBF instruiert, in keinem der Gesuche. Auf die Frage der TCG Legacy AG nach dem Grund für die Aussetzung der Bewilligung antwortete das SECO, dass in Bezug auf die ordentliche Generalausfuhrbewilligung eine neue Beurteilung vorgenommen werde. Sowohl die Crypto International AG als auch die TCG Legacy AG gingen davon aus, dass ihnen eine Begründung bzw. eine Verfügung per Post zugestellt werde, was allerdings nicht der Fall war.
Das geltende Recht weder das GKG noch die GKV sieht eine Sistierung bzw. eine Suspendierung nicht vor. Auf diesen Umstand wurde das GS-WBF durch das SECO hingewiesen. Nichtsdestotrotz wurde an der Suspendierung festgehalten. Da eine Suspendierung nicht vorgesehen ist, muss diese als Widerruf gemäss Artikel 7 GKG behandelt werden. Demnach ist ein Widerruf einer Ausfuhrgenehmigung zu vollziehen, wenn sich nach ihrer Erteilung die Verhältnisse so geändert haben, dass die Voraussetzungen für die Verweigerung nach Artikel 6 erfüllt sind (Art. 7 Abs. 1 GKG). Alternativ hierzu kann eine Bewilligung widerrufen werden, wenn die daran geknüpften Bedingungen und Auflagen nicht eingehalten werden (Art. 7 Abs. 2 GKG).
8.3.2
Würdigung durch die GPDel
Gemäss den Ausführungen des SECO wurden die Generalausfuhrbewilligungen aufgrund von Artikel 7 Absatz 2 GKG i.V.m. Artikel 5 Absatz 2 GKV widerrufen. Die GPDel kommt hierbei zum Schluss, dass es sich lediglich um einen vorgeschobenen Grund handelt, der einer tatsächlichen und rechtlichen Analyse aus mehreren Gründen nicht standhält:
42
Erstens liegen der GPDel Unterlagen vor, aus denen ersichtlich ist, dass kein Grund nach Artikel 7 GKG vorgelegen hatte und indes fieberhaft versucht worden ist, das Verfahren bürokratisch zu verzögern, um damit Zeit zu gewinnen und eine Begründung für den Widerruf zu konstruieren. Das Resultat hiervon war die Verknüpfung von Artikel 7 Absatz 2 GKG mit Artikel 5 Absatz 2 GKV.
Zweitens überzeugt der Rückgriff auf Artikel 5 Absatz 2 GKV nicht, da mindestens eine Generalausfuhrbewilligung erst am 3. Dezember 2019 erteilt worden ist. Dass diese Voraussetzung noch 17 Tage vor dem Widerruf durch das betroffene Unternehmen erfüllt wurde, unterstreicht den Schluss der GPDel, wonach es sich um einen vorgeschobenen, nachträglich konstruierten Grund handelt, weiter. Ansonsten hätte die Bewilligung am 3. Dezember 2019 gar nicht erst erteilt werden dürfen.
E-licensing, elektronisches Bewilligungssystem.
48 / 64
BBl 2021 156
Drittens kam das WBF in Bezug auf die Einzelausfuhrgesuche, welche vom Bundesrat am 19. Juni 2020 abgelehnt bzw. der Entscheid darüber aufgeschoben wurden, zum Schluss, dass eine Bewilligung eigentlich erteilt werden müsste. Wäre die Voraussetzung von Artikel 5 Absatz 2 GKV tatsächlich nicht erfüllt, hätte das SECO sich auch hier für eine Ablehnung der Gesuche aussprechen müssen. Dies hat es nicht getan.
Das SECO wollte zudem vermeiden, dass eine anfechtbare Verfügung erlassen werden muss. Weiter macht das SECO geltend, die betroffenen Unternehmen hätten eine anfechtbare Verfügung verlangen können, hätten dies aber unterlassen. Auch wenn man dem SECO hier rechtlich keinen Vorwurf machen kann, passen diese Aussagen ins hier aufgezeigte Bild: Hat doch sowohl die Crypto International AG als auch die TCG Legacy sich dahingehend geäussert, dass man davon ausging, die Verfügung bzw. die Begründung des Widerrufs per Post zu erhalten. Die GPDel hält dazu fest, dass der Grundsatz von Treu und Glauben, wie er auch durch die Bundesverfassung 43 (Art. 9 BV) garantiert wird, sehr stark strapaziert wird.
Zudem erstaunt die GPDel, dass der Vorsteher des WBF nach eigenen Aussagen erst nach dem 20. Dezember 2019 und damit nach dem Widerruf der Generalausfuhrbewilligungen den Auftrag erteilte, die rechtliche Lage zu klären. Des Weiteren wurde auch die EKG nicht mit der Frage des Widerrufs befasst.
Die GPDel hält fest, dass der Widerruf der Generalausfuhrbewilligungen durch das SECO vom 20. Dezember 2019 auf Weisung des Vorstehers WBF ohne rechtliche Grundlage und damit widerrechtlich erfolgte. Dies stellt einen Verstoss des Legalitätsprinzips nach Artikel 5 BV und des Willkürverbots nach Artikel 9 BV dar.
Den verantwortlichen Personen beim SECO soll aber seitens der GPDel kein Vorwurf gemacht werden, da sie in der misslichen Lage waren, den Entscheid des Vorstehers WBF ausführen und begründen zu müssen. Die Verantwortung für dieses Vorgehen ist einzig dem Vorsteher des WBF und dem GS-WBF zuzuschreiben.
8.4
Strafanzeige des SECO
Am 25. Februar 2020 erstattete das SECO bei der BA Strafanzeige gegen Unbekannt.
Das SECO hielt in der Strafanzeige fest, dass die bis 2018 ausgeführten und folglich der Schweizer Exportkontrolle unterstellten Chiffriergeräte manipuliert gewesen sein könnten, womit ein Verstoss gegen das Exportkontrollrecht vorliegen könnte. Das SECO begründet die Anzeige insbesondere mit einem möglichen Verstoss gegen Artikel 14 Absatz 1 Buchstabe c GKG und Artikel 9 Absatz 1 Buchstabe a VIM.
8.4.1
Entscheidfindung im WBF
Im Nachgang zur Aussetzung der Generalausfuhrbewilligungen durch das WBF stellte sich das SECO die Frage nach der Strafbarkeit der Tätigkeit der Crypto AG.
43
Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999 (BV; SR 101).
49 / 64
BBl 2021 156
Erste Belege hierfür datieren vom 12. Februar 2020. Dabei machte der Leiter des Bewilligungsressorts für Industrieprodukte (BWIP) beim SECO geltend, dass die mögliche Verletzung des Güterkontrollrechts umgehend der BA zur Kenntnis gebracht werden müsse. Die dafür notwendige Rechtsauslegung wurde vom Leiter des BWIP selber vorgenommen. Die Kontaktaufnahme mit der BA wurde sowohl von den direkten Vorgesetzten im SECO als auch vom GS-WBF begrüsst. Daraufhin wurde noch am gleichen Tag die BA um eine Besprechung ersucht.
Der Leiter des BWIP wurde gleichzeitig vom GS-WBF gebeten, so rasch als möglich abzuklären, ob das SECO eine Strafanzeige einreichen müsse. Am 17. Februar 2020 wurde dem GS-WBF mitgeteilt, dass aus Sicht des SECO zumindest eine mutmassliche Verletzung des GKG vorliege (Art. 14 Abs. 1 Bst. c GKG).
Am 21. Februar 2020 fand das Treffen zwischen den Vertretern und Vertreterinnen des SECO und der BA statt. Aus der vom SECO erstellten Aktennotiz geht hervor, dass die BA zum damaligen Zeitpunkt und unter Berücksichtigung des damaligen Kenntnisstandes keinen Verstoss gegen das Exportkontrollrecht erkannt hatte. Die BA vermutete, dass es sich bei den fraglichen Chiffriergeräten um solche handelt, die eine «schwache» Verschlüsselung ohne kryptanalytische Eigenschaften aufweisen. In diesem Fall hätten die Gesuchssteller keine falschen oder unrichtigen Angaben gemacht.
Insgesamt hielt die BA fest, dass sich eine formelle Anzeige durch das SECO nicht aufdränge. Eine Anzeige war allerdings Anlass für die BA, vorsorglich die zum Export beantragten Chiffriergeräte sicherzustellen. Der Bundesanwalt (Michael Lauber) bestätigte an seiner Anhörung durch die GPDel, dass man dem SECO von einer Strafanzeige abgeraten hatte. Der Bundesanwalt sah den Grund für die Strafanzeige darin, dass die heisse Kartoffel vom WBF weg hin zur BA gereicht werden sollte. Die Opportunität einer Strafanzeige hing nach Ansicht der BA auch vom Resultat der politischen Aufarbeitung des Falles Crypto AG ab, insbesondere durch die GPDel.
Nach dem Treffen mit der BA fand ein weiterer Austausch zwischen dem SECO und dem GS-WBF statt. Daraus geht hervor, dass der Entscheid, eine Strafanzeige einzureichen, vom SECO und nicht vom GS-WBF getroffen wurde, obwohl das GS-WBF darauf hinwirkte. Der Entwurf der Strafanzeige wurde der
Staatssekretärin vorgelegt, welche die Anzeige unterstützte, auf eine Mitunterzeichnung jedoch verzichtete. Der Vorsteher des WBF (Guy Parmelin) machte später gegenüber der GPDel geltend, die rechtliche Lage sei klar gewesen und das SECO habe gar keine andere Wahl gehabt, als eine Strafanzeige einzureichen. Hätte das SECO nicht gehandelt, hätte man dies dem SECO vorwerfen können und umgekehrt. Am 25. Februar 2020 wurde die Strafanzeige offiziell eingereicht.
8.4.2
Beurteilung der Anzeige durch die GPDel
Gemäss seiner Anzeige vermutete das SECO, dass die Crypto AG vor 2018 Geräte exportiert hatte, die manipuliert gewesen seien, d.h. «schwache» Verschlüsselungsverfahren verwendeten. Diese Vermutung stützte sich laut SECO auf die damalige Berichterstattung in den Medien zum Fall Crypto AG.
Aus der vermuteten Existenz eines «schwachen» Verschlüsselungsverfahrens schloss das SECO wiederum, dass diese Geräte nicht nur der Verschlüsselung dienen würden, 50 / 64
BBl 2021 156
sondern auch der Kryptanalyse.44 Sie würden somit erlauben, Verschlüsselungsverfahren zu analysieren, um mit Hilfe der gewonnenen Erkenntnisse durch diese Verfahren verschlüsselte Informationen entschlüsseln zu können.
Vom SECO nicht beachtet wurde indes die Tatsache, dass der im Rahmen der Exportkontrolle überprüfte Empfänger eines Geräts mit «schwachem» Verschlüsselungsverfahren daraus gar keinen kryptanalytischen Nutzen ziehen kann. Weil er die Informationen selber verschlüsselt hat, muss er gar nicht erst die Verschlüsselung brechen, um sie zu kennen. «Schwache» Verschlüsselungsverfahren können es hingegen Dritten erleichtern, die Verschlüsselung der aus der Schweiz exportierten Geräte zu brechen.
Über die geäusserte Vermutung hinaus enthielt die Anzeige des SECO keine konkreten Angaben zu den «Schwächen» in den verwendeten Verschlüsselungsverfahren oder zu den postulierten kryptanalytischen Funktionen. Es wurden auch keine konkreten Medieninformationen genannt, welche die vermutete Existenz von kryptanalytischen Funktionen belegen würden.
Aus der damals vorliegenden Berichterstattung der Medien ging allerdings hervor, dass die Existenz der «schwachen» Verschlüsselungsverfahren vor den Empfängern der Geräte geheim gehalten wurde. Die Empfänger konnten somit von den kryptanalytischen Funktionen, die das SECO vermutete, gar keine Kenntnis haben.
Gemäss den Informationen, welche die Medien aus dem MINERVA-Bericht publizierten, hatten die amerikanischen Nachrichtendienste die «schwachen» Verschlüsselungsverfahren für die Geräte der Crypto AG selbst entwickelt und derart ausgestaltet, dass mit diesem Vorwissen und ausreichender Rechnerkapazität die Verschlüsselungen innerhalb nützlicher Zeit gebrochen werden konnten.45 Die dafür notwendigen kryptanalytischen Fähigkeiten waren somit von Anfang an in der Hand der amerikanischen Dienste und ihrer Partner. Ein Export dieser Funktionalitäten, die im Ausland aufgebaut worden waren, war somit über ein in der Schweiz hergestelltes Gerät der Crypto AG gar nicht möglich.
Offensichtlich liessen sich das SECO und damit auch das WBF für die Strafanzeige von der öffentlichen Berichterstattung leiten, ohne deren Inhalt analysiert und verstanden zu haben. Es wurden auch keine anderen Stellen der Verwaltung beigezogen, um die Vermutungen des SECO im Hinblick
auf die Strafanzeige zu plausibilisieren.
Das SECO liess somit nicht die notwendige Sorgfalt bei der Abklärung des Sachverhalts walten, die angesichts der weitreichenden Konsequenzen seiner Strafanzeige unabdingbar gewesen wäre. Es zeigt sich auch, dass sich das SECO mit einer pauschalen Rechtsbeurteilung begnügte, ohne deren Plausibilität je überprüft zu haben. Dazu
44 45
vgl. EKN 5A004 in Anhang 2 Teil 2 der Liste der Güter mit doppeltem Verwendungszweck.
vgl. The intelligence coup of the century. In: Washington Post, 11. Febr. 2020: Die National Security Agency (NSA) installierte weder simple «Hintertüren» noch programmierte sie die Geräte darauf, ihre Schlüssel herauszurücken. Auch musste die NSA immer noch den Kommunikationsverkehr anderer Staaten abfangen. (...) Aber die Manipulationen an den Algorithmen der Crypto (AG) vereinfachte den Entschlüsselungsprozess, indem einzelne Aufgaben, welche sonst Monate gebraucht hätten, innerhalb von Sekunden erledigt werden konnten [Übers.].
51 / 64
BBl 2021 156
passt auch der Umstand, dass erst nach dem Einreichen der Strafanzeige Kontakt mit dem Delegierten des Bundes für Cybersicherheit aufgenommen wurde.
Das SECO äusserte ebenfalls die Vermutung, dass die Exporte der Crypto AG einer Bewilligungspflicht gemäss der VIM unterstanden hätten. Dies wäre allerdings nur plausibel, wenn der Empfängerstaat Geräte der Crypto AG mit «schwachen» Verschlüsselungsverfahren auch dazu nutzen könnte, um die elektronischen Aktivitäten seiner Einwohner zu überwachen. Letztlich beeinträchtigte jedoch die «schwache» Kryptologie der Geräte nur die Verschlüsselungen der Behörden des repressiven Empfängerstaates, nicht jedoch die seiner Bürger. Die Vermutung, dass die Verschlüsselungsgeräte der Crypto AG unter die Bestimmungen der VIM fallen könnten, kann somit faktisch gar nicht zutreffen. Entsprechend kann daraus auch nicht gefolgert werden, dass die Firma ihre Deklarationspflichten unter der VIM verletzt hätte.
Nicht überzeugend sind auch die Argumente des SECO für die vermuteten Zuwiderhandlungen gegen das GKG, nach welchem die Ausfuhr von Gütern mit kryptanalytischen Funktionen bewilligungspflichtig ist. Weil in den Ausfuhrgesuchen der Crypto AG keine solche Funktionen deklariert wurden, verdächtigte das SECO die Firma, sich wegen unvollständigen Angaben strafbar gemacht zu haben.
Hierzu ist festzuhalten, dass nur «starke» Verschlüsselungsverfahren der Exportkontrolle unterliegen.46 Aus der abstrakten Vermutung des SECO, dass mit einer «schwachen» Verschlüsselung zwingend auch kryptanalytische Funktionen verbunden sind, folgt somit, dass ein und dieselbe Eigenschaft eines Geräts nämlich die «schwache» Verschlüsselung dazu führt, dass dessen Ausfuhr wegen der kryptanalytischen Funktionen bewilligungspflichtig ist, gleichzeitig als «schwache» Kryptologie jedoch keiner Bewilligung bedarf. Somit würden widersprüchliche Vorgaben für die Ausfuhr eines Gerätes gelten, welches die vom SECO vermuteten Doppeleigenschaften besitzt. Da der Fehler nicht im Exportkontrollrecht liegen kann, muss die abstrakte Vermutung des SECO, dass Geräte mit «schwachen» Verschlüsselungsverfahren auch kryptanalytische Funktionen besitzen müssen, im Sinne des Güterkontrollrechts falsch sein.
8.4.3
Ermächtigungsgesuch der BA und Aussprache der GPDel mit der Bundespräsidentin und der Vorsteherin des EJPD
Artikel 66 Absatz 1 StBOG (politische Straftaten) sieht vor, dass die Verfolgung politischer Straftaten einer Ermächtigung durch den Bundesrat bedarf. Demnach darf die Verweigerung der Ermächtigung zur Wahrung der Interessen des Landes geltend gemacht werden.
Im Ermächtigungsgesuch vom 13. März 2020 führt die BA aus, dass ein hinreichender Verdacht bestehe, dass Vergehen oder Verbrechen gemäss Artikel 14 GKG und Artikel 9 VIM vorliegen. Die BA macht geltend, dass die Anwendbarkeit von Artikel 66 46
Die Liste der Güter mit doppeltem Verwendungszweck bestimmt in Anhang 2 Teil 2 GKV unter der EKN 5A002 die Arten von Verschlüsselungsverfahren und die Mindestlänge der verwendeten Schlüssel, welche bewilligungspflichtig sind.
52 / 64
BBl 2021 156
StBOG nicht abschliessend geregelt sei und dass sich dieser nicht auf den 13. Titel des StGB beschränke. Die BA kam zum Schluss, dass die verschiedenen Voraussetzungen bei der vom SECO eingereichten Strafanzeige erfüllt sind und legte dem Bundesrat den Entscheid über die Ermächtigung zur gerichtlichen Verfolgung vor. Auf die Darlegung der verschiedenen Gründe kann an dieser Stelle verzichtet werden.
Die BA hielt im Ermächtigungsgesuch an den Bundesrat fest, dass eine Ermächtigung nicht eile und dass eine Ermächtigung vor der politischen Würdigung durch die GPDel wenig Sinn mache.
Am 25. Mai 2020 führte die GPDel auch vor dem Hintergrund des Ermächtigungsgesuchs der BA eine Aussprache mit der Bundespräsidentin (Simonetta Sommaruga) und der Vorsteherin des EJPD (Karin Keller-Sutter) durch, an die das Ermächtigungsgesuch gerichtet wurde. Wie in Kapitel 7.5 dargelegt wurde, wusste die GPDel zum damaligen Zeitpunkt nicht, ob der Bundesrat die Brisanz und die Tragweite richtig einzuschätzen wusste. Gerade vor dem Hintergrund des Ermächtigungsgesuchs der BA an das EJPD war es der Delegation ein Anliegen, die Bundespräsidentin und die Vorsteherin des EJPD über die neuesten Erkenntnisse zu informieren, damit der Bundesrat im Wissen darüber das Ermächtigungsgesuch angemessen beurteilen konnte.
Zudem hatte die Vorsteherin des EJPD eine Aussprache mit der GPDel gewünscht.
Bei dieser Aussprache ging es für die Vorsteherin des EJPD auch darum, zu erörtern, ob es vorliegend um einen Fall von besonderer Bedeutung geht, welcher dem Bundesrat zur Entscheidung vorgelegt werden müsste. Die Departementsvorsteherin machte geltend, dass gemäss ständiger Praxis eine Ermächtigung nur in seltenen Fällen verweigert werde und nur dann, wenn dies aus wichtigen staatspolitischen Gründen als inopportun erscheine.
Die GPDel informierte daraufhin den Gesamtbundesrat mit Brief vom 28. Mai 2020 über die wichtigsten Zwischenergebnisse der Inspektion und zeigte dem Bundesrat gleichzeitig die aus ihrer Sicht verschiedenen Risiken im Zusammenhang mit der Strafanzeige des SECO für die Sicherheit der Schweiz auf. Die GPDel machte jedoch unmissverständlich geltend, dass der Entscheid in Bezug auf das Ermächtigungsgesuch der BA eine politische Fragestellung sei, welche allein der Bundesrat zu beantworten habe.
Entsprechend fasste
der Bundesrat an seiner Sitzung vom 19. Juni 2020 den Beschluss, die BA zur Strafverfolgung zu ermächtigen. Die wichtigsten Erkenntnisse der GPDel wurden im Antrag des EJPD an den Bundesrat aufgenommen.
8.5
Einzelausfuhrgesuche der Nachfolgefirmen der Crypto AG
Mit dem Entscheid des WBF vom 20. Dezember 2019, die Generalausfuhrbewilligungen zu widerrufen, ging der Beschluss einher, allfällige Gesuche künftig im Einzelbewilligungsverfahren zu beurteilen. Bis am 10. Juni 2020 lagen demnach dreizehn Ausfuhrgesuche der Crypto International AG und zwei Gesuche der TCG Legacy AG vor.
53 / 64
BBl 2021 156
Am 4. März 2020 traf sich die Exportkontrollgruppe im Sinne von Artikel 27 Absatz 3 GKV, um über die verschiedenen Ausfuhrgesuche zu beraten. Die EKG beschloss, die Gesuche zum Entscheid gemäss Artikel 47 Absatz 4 des Regierungs- und Verwaltungsorganisationsgesetzes (RVOG)47 dem Bundesrat vorzulegen. Sie kam jedoch zum Schluss, dass keine rechtlichen Gründe vorliegen, die gegen die Erteilung einer Ausfuhrbewilligung sprechen. Im Mai 2020 befürworteten das UVEK und das VBS die Erteilung der Ausfuhrbewilligung. Das EDA wollte die Gesuche der TCG Legacy AG bewilligen und jene der Crypto International AG dem Bundesrat zum Entscheid vorlegen.
Am 10. März 2020 trafen sich das SECO und der Delegierte des Bundes für Cybersicherheit zu einer Besprechung. Diese Kontaktaufnahme ging auf einen Auftrag des SECO zurück, zu eruieren, wer das SECO bei der Analyse von allfällig manipulierten Chiffriergeräten bei künftigen Ausfuhrgesuchen unterstützen könnte. Der Delegierte beantwortete die Fragen des SECO am 30. März 2020 mittels einer Informationsnotiz.
Er kam zum Schluss, dass eine Überprüfung der Geräte zwar möglich, jedoch mit einem erheblichen zeitlichen Aufwand verbunden wäre und zudem wohl kaum belastbare Aussagen liefern würde. Ohne das Wissen der Kryptologen der Armee sei eine technische Überprüfung nicht realistisch. Das GS-VBS lehnte eine entsprechende Zusammenarbeit jedoch ab. Der Delegierte schlug vor diesem Hintergrund vor, auf eine Überprüfung der Geräte vor dem Export zu verzichten. Aus Sicht der GPDel ist hierbei festzuhalten, dass nach dem Entscheid des Widerrufs der Generalausfuhrbewilligungen und nach Einreichen der Strafanzeige dies die ersten Bestrebungen seitens SECO waren, das zur Beurteilung der Gesuche notwendige Fachwissen anzuwerben.
Das WBF beantragte in einem ersten Antrag an den Bundesrat vom 10. Juni 2020, sämtliche Gesuche zu bewilligen. Daraus wird ersichtlich, dass die EKG zum Schluss kam, dass keine rechtlichen Gründe vorliegen, welche die Verweigerung des Exports rechtfertigen würden. Dann nahm das WBF überraschenderweise eine Kehrtwende vor und beantragte dem Bundesrat mit einem überarbeiteten Antrag, den Entscheid über die Ausfuhrgesuche bis zum Abschluss der Untersuchungen durch die BA auszusetzen. Die Gründe für diese Kehrtwende erschliessen sich der GPDel nicht, hat sich
doch weder an der Einschätzung des Delegierten für Cybersicherheit noch an jener der EKG etwas geändert. Einziger Anhaltspunkt könnte das Mitberichtsverfahren sein, in dem sich ein Departement dafür ausgesprochen hat, über die Ausfuhrgesuche erst nach Vorliegen der Untersuchungen der BA und der GPDel zu entscheiden.
Dieses Anliegen wurde vom Bundesrat an seiner Sitzung vom 19. Juni 2020 angenommen. Das WBF hielt in der Begründung des Antrags zudem fest, dass nicht ausgeschlossen werden könne, dass auch Geräte aus Beständen der ehemaligen Crypto AG Gegenstand der pendenten Einzelausfuhrgesuche sein könnten. Auch deshalb verwundert die ursprüngliche Position des WBF, die Gesuche zu bewilligen. Die Begründung zum Bundesratsantrag des WBF wurde übrigens trotz der fundamentalen Änderung des Antrags nicht angepasst.
Ob die Gesuche auch Geräte betrafen, welche von der BA beschlagnahmt wurden, oder ob dieser Aspekt seitens des WBF abgeklärt wurde, ist der GPDel nicht bekannt.
47
Regierungs- und Verwaltungsorganisationsgesetz vom 21. März 1997 (RVOG; SR 172.010).
54 / 64
BBl 2021 156
Die Crypto International AG hat am 7. August 2020 ein Wiedererwägungsgesuch zur Erteilung der Ausfuhrbewilligung gestellt. Dieses Gesuch wurde vom Bundesrat an der Sitzung vom 26. August 2020 abgelehnt.
8.6
Strafanzeige und Aufschub der Behandlung von Einzelausfuhrgesuchen: Würdigung der GPDel
Die GPDel kann das Vorgehen des Bundesrates, des WBF und des SECO in Bezug auf die Einzelausfuhrgesuche der beiden Firmen Crypto International AG und der TCG Legacy AG nicht nachvollziehen. Einerseits sei an dieser Stelle darauf hingewiesen, dass es sehr lange zwischen dem Einreichen der Gesuche und dem Beschluss des Bundesrates vom 19. Juni 2020 bzw. der Stellung des Antrages an den Bundesrat zur entsprechenden Beschlussfassung dauerte. Dies gilt es insbesondere deshalb zu erwähnen, weil die EKG bereits am 4. März 2020 zur Einsicht kam, dass keine rechtlichen Gründe einem Export entgegenstehen. Andererseits und gerade vor diesem Hintergrund kritisiert die GPDel die Beschlüsse des Bundesrates vom 19. Juni 2020 und vom 26. August 2020, den Entscheid über die Gesuche bis zum Abschluss des Verfahrens der BA auszusetzen. Auch wenn hier, wie dies der Bundesrat beteuert, gesetzlich keine Fristen zur Behandlung eines Gesuchs bestehen, dürfte das Vorgehen des Bundesrates gegen Treu und Glauben verstossen, da jedem Schweizer Unternehmen grundsätzlich die speditive Bewilligung seiner Exporte zusteht, sofern keine rechtlichen Gründe dagegen sprechen.
Die Tatsache, dass das SECO die Beschlüsse des Bundesrates vom 19. Juni 2020 und vom 26. August 2020, die sich auf einzelne konkrete Ausfuhrgesuche bezogen, nun auch auf weitere Einzelausfuhrgesuche anwendet, ist nicht haltbar.
In Bezug auf die Strafanzeige zeigt sich die GPDel erstaunt darüber, dass eine Strafanzeige aus politischen Gründen von einem Bundesamt bzw. einem Staatssekretariat eingereicht wird und dies nicht in die Kompetenz der obersten politischen Instanz (Departementsvorsteher oder Bundesrat) fällt, zumal die Anzeige mit politischen Gründen gerechtfertigt wird. Insbesondere möchte die GPDel darauf hinweisen, dass das SECO nur Bruchstücke des Sachverhaltes kannte und es sich bei der Meinungsbildung in erster Linie auf die Medienberichterstattung stützte. Nach Ansicht der GPDel führte dieser Umstand auch dazu, dass das SECO die Ausfuhr von Chiffriergeräten fälschlicherweise unter die Bewilligungspflicht nach der VIM subsumierte.
Dieses Vorgehen verunmöglichte es, die Tragweite des Sachverhalts richtig einzuschätzen. Vor diesem Hintergrund ist die Einreichung einer Strafanzeige durch das SECO aus politischen Gründen mehr als problematisch.
Letztlich wurde das Güterkontrollverfahren vom übergeordneten Departement dafür verwendet, um dem politischen Druck aus der öffentlichen Diskussion um den Fall Crypto AG zu begegnen. Das Güterkontrollrecht war jedoch nicht ein geeignetes Mittel für die Behörden, um eine Nachrichtendienstaffäre wie den Fall Crypto AG politisch zu bewältigen. Mit der Strafanzeige des SECO entzogen sich zuerst das WBF und dann der Bundesrat ihrer politischen Führungsverantwortung.
55 / 64
BBl 2021 156
8.7
Konsequenzen für die Inspektion der GPDel
Das Vorgehen des SECO und des WBF hatte auch weitreichende Konsequenzen für das Handeln des Bundesrats und für die Arbeit der GPDel. Die BA hatte bereits in ihrem Ermächtigungsgesuch an das EJPD auf eine mögliche Verknüpfung zwischen dem Strafverfahren und den Ergebnissen der Inspektion der GPDel hingewiesen. Als der Bundesrat beschloss, erst nach Abschluss des Verfahrens der BA über die Bewilligung der Ausfuhrgesuche der Nachfolgefirmen der Crypto AG zu entscheiden, nahm er somit in Kauf, dass dies auch nicht vor Abschluss der Arbeiten der GPDel erfolgen könnte.
Als die GPDel nach den Beschlüssen des Bundesrats vom 19. Juni 2020 erkannte, dass damit ein abschliessender Entscheid über die Exportgesuche der Nachfolgefirmen der Crypto AG auf unbefristete Zeit aufgeschoben würde, sah sie sich gezwungen, ihre Inspektion auf diesen neuen Aspekt des Falles Crypto AG auszudehnen. Die Entscheide des Bundesrats hatten somit einen Mehraufwand für die Inspektion der GPDel zur Folge, was wiederum dem Fortschritt der Arbeiten der BA nicht förderlich sein konnte. Letztlich hatte der Bundesrat seine Behandlung der pendenten Ausfuhrgesuche von der Inspektion der parlamentarischen Oberaufsicht abhängig gemacht, was aus Sicht der Gewaltenteilung problematisch ist.
Aus Sicht der GPDel ist auch klarzustellen, dass sie am 28. Mai 2020 den Bundesrat über alle zentralen Fakten zum Verhältnis zwischen der Crypto AG, den amerikanischen Nachrichtendiensten und dem Schweizer Nachrichtendienst schriftlich informiert hatte. Seit dem 26. Februar 2020 war auch jedes Mitglied des Bundesrats im Besitz einer Kopie der internen Standortbestimmung des NDB von Mitte September 2019 (vgl. Ziff. 4.1.3.). Der Bundesrat verfügte somit am 19. Juni 2020 über alle notwendigen Informationen, um eine eigene Beurteilung zu allen relevanten Aspekten des Falles Crypto AG vorzunehmen. Somit hätte sich der Bundesrat auch die notwendigen Entscheidungsgrundlagen geben können, um abschliessend über die beiden Geschäfte (Ermächtigungsgesuch und Ausfuhrgesuche) zu entscheiden, welche durch die eigenmächtige Reaktion des Vorstehers des WBF (Guy Parmelin) auf den Fall Crypto AG anstanden. Es gab keinen Grund, den Abschluss des Strafverfahrens der BA, respektive der Inspektion der GPDel, abzuwarten.
In seiner Antwort auf diverse parlamentarische Vorstösse,
die in der Frühjahrssession eingereicht wurden, sagte der Bundesrat, er werde auf den Bericht der GPDel warten, nachdem diese am 21. Februar 2020 ihre Ermächtigung zur Untersuchung des Bundesrats mit Herrn Oberholzer zurückgezogen hatte.48 Im Übrigen werde der Bundesrat keine Entscheide fällen, welche die Inspektion der GPDel beeinträchtigen oder präjudizieren könnten. Mit seiner Strafanzeige vom 25. Februar 2020 handelte das SECO bereits im Widerspruch zu dieser Politik des Bundesrats, bevor diese gegenüber den Eidgenössischen Räten kommuniziert wurde. Ohne das unabhängige Funktionieren der Justiz in Frage zu stellen, erkennt die GPDel deshalb zukünftig einen Koordinationsbedarf bei Strafanzeigen der Exekutive, wenn diese eine von der Delegation beschlossene Inspektion beeinträchtigen können.
48
z. B. Fra. Sozialdemokratische Fraktion «Crypto-Leaks. Der Bundesrat muss handeln, anstatt die Affäre auszusitzen» (20.2001).
56 / 64
BBl 2021 156
9
Empfehlungen
Empfehlung 1: Die Vorsteherin des VBS und ihr Generalsekretariat geben sich die notwendigen Instrumente, um sich im Falle einer Nachrichtendienstaffäre einerseits umgehend und eigenständig eine ausreichende Informationsgrundlage zu verschaffen und andererseits die politische Führung gegenüber dem NDB sowie die Handlungsfähigkeit auf Stufe Bundesrat sicherzustellen. Solange dies nicht gewährleistet ist, sind Abklärungsaufträge an die AB-ND oder an externe Untersuchungsbeauftragte nicht als zielführend zu betrachten.
Empfehlung 2: Das VBS nutzt den SiA gezielt, um den notwendigen Informationsaustausch über nachrichtendienstliche Angelegenheiten zu gewährleisten und damit die Führungsfähigkeit des Bundesrates bei Nachrichtendienstaffären zu stärken. Der SiA oder ein ad hoc Ausschuss des Bundesrates soll insbesondere dann zum Zug kommen, wenn das VBS geheime Informationen in Gremien auf Stufe Verwaltung nicht offenlegen will oder kann.
Empfehlung 3: Das VBS stellt sicher, dass der CdA grundsätzlich als Verwaltungsvertreter an den Sitzungen des SiA teilnimmt. Soweit es für die Vorbereitung von Geschäften des SiA durch die Kerngruppe Sicherheit notwendig ist, nimmt der CdA auch dort Einsitz.
Empfehlung 4: Umfasst die nachrichtendienstliche Zusammenarbeit des NDB mit einem Partnerdienst ein Schweizer Unternehmen, so informiert das VBS den Bundesrat.
Der Bundesrat legt die Kriterien fest, nach welchen er über eine solche Zusammenarbeit selbst entscheiden will.
Empfehlung 5: Der Bund bezieht keine Verschlüsselungslösungen von ausländischen Lieferanten. Inländische Lieferanten müssen dem Bund Gewähr geben, die sicherheitsrelevanten Aspekte der Entwicklung und Produktion kontrollieren zu können.
Empfehlung 6: Das VBS stellt sicher, dass die Armee kryptologische Sachkompetenzen wie bisher in ausreichendem Masse hat, um die Sicherheit der vom Bund beschafften Verschlüsselungslösungen beurteilen zu können. Es ist sicherzustellen, dass die Synergien zwischen den kryptographischen und kryptanalytischen Kompetenzen optimal genutzt werden.
Empfehlung 7: Das VBS stellt sicher, dass die Fähigkeiten zur Kryptanalyse mit den Bedürfnissen der Kommunikationsaufklärung, deren Möglichkeiten mit dem NDG auf die Kabelaufklärung ausgedehnt wurden, Schritt halten.
Empfehlung 8: Das VBS regelt, wie Unterlagen der obersten
Departementsleitung, welche ihre direkte Führungs- und Aufsichtstätigkeit in nachrichtendienstlichen Belangen dokumentieren, sicher und gesetzeskonform zu archivieren sind. Weiter sorgt das GS-VBS für die Archivierung von persönlichen Unterlagen früherer Vorsteher des VBS und erstattet Bericht an die GPDel.
Empfehlung 9: Die GPDel erachtet es als notwendig, dass der NDB im Bedarfsfall rasch das verfügbare Wissen über frühere nachrichtendienstliche Aktivitäten zur Hand hat. Parallel zur Archivierung der Unterlagen, die aus der operativen Beschaffung und dem Verkehr mit ausländischen Diensten seiner Vorgängerorganisationen stammen,
57 / 64
BBl 2021 156
erstellt der NDB zu diesem Zweck eine Übersicht über die Operationen und Quellen, zu denen noch Akten existieren.
Empfehlung 10: Die GPDel fordert den Bundesrat auf, seine Ermächtigung für das Strafverfahren, welches die BA aufgrund der Strafanzeige des SECO eröffnet hat, zu widerrufen. Danach soll das WBF den Nachfolgeunternehmen der Crypto AG alle beantragten Ausfuhrgesuche bewilligen, für deren Verweigerung keine nachvollziehbaren rechtlichen Gründe bestehen.
Empfehlung 11: Die GPDel erhält laufend die geheimen Informationsnotizen, welche der Bundesrat zu nachrichtendienstlichen Angelegenheiten oder solchen mit Bezug zu laufenden Geschäften der GPDel zur Kenntnis genommen hat. Der Bundesrat unterbreitet der GPDel einen Vorschlag für das Verfahren.
Empfehlung 12: Zu Strafanzeigen des Bundes, die Sachverhalte oder Personen betreffen, welche Gegenstand einer laufenden Untersuchung der GPDel sind, ist die Delegation vorgängig zu konsultieren. Das zuständige Departement oder die BK holen dazu eine schriftliche Stellungnahme der betroffenen Strafverfolgungsbehörde ein.
10
Weiteres Vorgehen
Die GPDel ersucht den Bundesrat, bis spätestens am 1. Juni 2021 zu den obigen Ausführungen und Empfehlungen Stellung zu nehmen. Die Bundesanwaltschaft wird ersucht, sich bis zum 1. Juni 2021 zu Empfehlung 12 zu äussern.
2. November 2020
Im Namen der Geschäftsprüfungsdelegation Der Präsident: Alfred Heer Die Sekretärin: Beatrice Meli Andres
Die Geschäftsprüfungskommissionen des Nationalrates und des Ständerates haben diesen Bericht zur Kenntnis genommen und seiner Veröffentlichung zugestimmt.
10. November 2020
Im Namen der Geschäftsprüfungskommissionen Der Präsident der Geschäftsprüfungskommission des Nationalrates: Erich von Siebenthal, Nationalrat Die Präsidentin der Geschäftsprüfungskommission des Ständerates: Maya Graf, Ständerätin Die Sekretärin: Beatrice Meli Andres
58 / 64
BBl 2021 156
Abkürzungsverzeichnis AB AB-ND AG AGFA AS BA BAR BAUEM BBl BGA BGÖ BJ BK BKP BuPo BV BWIP BWIS CdA DAP EDA EFD EJPD EKG EKN ELIC EMD fedpol FUB GKG
Amtliches Bulletin der Bundesversammlung Unabhängige Aufsichtsbehörde über die nachrichtendienstlichen Tätigkeiten Aktiengesellschaft Abteilung für Genie und Festung Anlageverzeichnis Amtliche Sammlung Bundesanwaltschaft Bundesarchiv Bundesamt für Übermittlungstruppen Bundesblatt Bundesgesetz vom 26. Juni 1998 über die Archivierung (Archivierungsgesetz, SR 152.1) Bundesgesetz vom 17. Dezember 2004 über das Öffentlichkeitsprinzip der Verwaltung (Öffentlichkeitsgesetz, SR 152.3) Bundesamt für Justiz Bundeskanzlei Bundeskriminalpolizei Bundespolizei Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999 (SR 101) Bewilligungsressort für Industrieprodukte Bundesgesetz vom 21. März 1997 über Massnahmen zur Wahrung der inneren Sicherheit (SR 120) Chef der Armee Dienst für Analyse und Prävention Eidgenössisches Departement für auswärtige Angelegenheiten Eidgenössisches Finanzdepartement Eidgenössisches Justiz- und Polizeidepartement Exportkontrollgruppe Exportkontrollnummer E-Licensing (elektronisches Bewilligungssystem) Eidgenössisches Militärdepartement Bundesamt für Polizei Führungsunterstützungsbasis Bundesgesetz vom 13. Dezember 1996 über die Kontrolle zivil und militärisch verwendbarer Güter, besonderer militärischer Güter sowie strategischer Güter (Güterkontrollgesetz, SR 946.202)
59 / 64
BBl 2021 156
GKV GPDel GPK GS IDAG ISIS K-Anlage MG Mia.
NDB NDBB NDBU NDG Pa. Iv.
ParlG PUK RVOG SECO SiA SND SR StBOG StGB UG ND UVEK VBS VIM
60 / 64
Verordnung vom 3. Juni 2016 über die Kontrolle zivil und militärisch verwendbarer Güter, besonderer militärischer Güter sowie strategischer Güter (Güterkontrollverordnung, SR 946.202.1) Geschäftsprüfungsdelegation Geschäftsprüfungskommissionen der eidgenössischen Räte Generalsekretariat interdepartementale Arbeitsgruppe «informatisiertes Staatsschutzinformationssystem» resp.
«Informationssystem Innere Sicherheit» Kriegsanlage Bundesgesetz vom 3. Februar 1995 über die Armee und die Militärverwaltung (Militärgesetz, SR 510.10) Milliarde/n Nachrichtendienst des Bundes Abteilung Beschaffung des NDB Abteilung Unterstützung des NDB Bundesgesetz vom 25. September 2015 über den Nachrichtendienst (Nachrichtendienstgesetz, SR 121) Parlamentarische Initiative Bundesgesetz vom 13. Dezember 2002 über die Bundesversammlung (Parlamentsgesetz, SR 171.10) parlamentarische Untersuchungskommission Regierungs- und Verwaltungsorganisationsgesetz vom 21. März 1997 (SR 172.010) Staatssekretariat für Wirtschaft Sicherheitsausschuss des Bundesrates Strategischer Nachrichtendienst Systematische Rechtssammlung Bundesgesetz vom 19. März 2010 über die Organisation der Strafbehörden des Bundes (Strafbehördenorganisationsgesetz, SR 173.71) Schweizerisches Strafgesetzbuch vom 21. Dezember 1937 (SR 311.0) Untergruppe Nachrichtendienst Eidgenössisches Departement für Umwelt, Verkehr, Energie und Kommunikation Eidgenössisches Departement für Verteidigung, Bevölkerungsschutz und Sport Verordnung vom 13. Mai 2015 über die Ausfuhr und Vermittlung von Gütern zur Internet- und Mobilfunküberwachung (SR 946.202.3)
BBl 2021 156
VND
V-NDB VWIS WBF ZNDG
Verordnung vom 4. Dezember 1995 über den Nachrichtendienst, aufgehoben per 1. Januar 2001, zitiert in den Versionen vom 4. Dezember 1995 (AS 1995 5298), vom 4. Dezember 2000 (AS 2001 124) und unter dem neuen Titel «Verordnung über die Nachrichtendienste im VBS» vom 26. September 2003 (AS 2003 4001) Verordnung vom 4. Dezember 2009 über den Nachrichtendienst des Bundes, aufgehoben per 1. September 2017 (AS 2009 6937) Verordnung vom 27. Juni 2001 über Massnahmen zur Wahrung der inneren Sicherheit, aufgehoben per 1. Januar 2010 (AS 2001 1829) Eidgenössisches Departement für Wirtschaft, Bildung und Forschung Bundesgesetz vom 3. Oktober 2008 über die Zuständigkeiten im Bereich des zivilen Nachrichtendienstes, aufgehoben per 1. September 2017 (AS 2009 6565)
61 / 64
BBl 2021 156
Anhang 1
Verzeichnis der angehörten Personen Die GPDel führte zwischen dem 19. Februar 2020 und dem 26. August 2020 mit folgenden aktuellen und ehemaligen Angehörigen des Bundes Anhörungen oder Aussprachen durch: Amherd, Viola
Bundesrätin, Vorsteherin des VBS (seit 2019)
Boehler, Jürgen
Ressortleiter Exportkontrollen/Industrieprodukte, SECO, WBF
Brossard, Jean-Claude
Chef Führungs- und Einsatzunterstützung NDB, VBS
Bühler, Jürg
Vizedirektor und Chef Beschaffung NDB a.i., VBS, vorm.
zweiter stv. Chef der BuPo (ab 1993), Chef Beschaffung des DAP (ab 2001), Chef Steuerung und Lage NDB (ab 2010), Chef Auswertung NDB (ab 2015)
Eckmann, Nils
Assistenz-Staatsanwalt des Bundes, Abteilung Staatsschutz / Kriminelle Organisationen, BA
Eder, Toni
Generalsekretär des VBS
Gaudin, Jean-Philippe
Direktor NDB, VBS (seit 2018)
Haefelin, Rainer
ehem. Chef Informationssicherheit / Kryptologie (20052018), FUB, VBS
Keller-Sutter, Karin
Bundesrätin, Vorsteherin des EJPD (seit 2019)
Koller, Arnold
alt Bundesrat, Vorsteher des EMD (19871989) und des EJPD (19891999)
Lauber, Michael
Bundesanwalt (20122020)
Leuthold, Christian
Chef Zentrum für Elektronische Operationen, FUB, VBS
Maurer, Ueli
Bundesrat, Vorsteher des EFD (seit 2016), vorm. Vorsteher des VBS (20092015)
Nydegger, Kurt
ehem. Chef FUB (20032010)
Nyffeler, Peter
ehem. Chef Sektion Kryptologie und Chiffrierwesen (1982 2004), BAUEM/Untergruppe Führungsunterstützung / FUB
Oberholzer, Niklaus
alt Bundesrichter, Leiter Forschungsgremium des Bundesrats, Untersuchungsbeauftragter der GPDel
Parmelin, Guy
Bundesrat, Vorsteher des WBF (seit 2019), vorm. Vorsteher des VBS (20162018)
62 / 64
BBl 2021 156
Regli, Peter
ehem. Unterstabschef Nachrichtendienst (19912000), vorm. stv. Unterstabschef Nachrichtendienst (19891991) und Chef der Sektion Flieger- und Fliegerabwehrnachrichtendienst (19811988)
Schmid, Samuel
alt Bundesrat, Vorsteher des VBS (20012008)
Schöttli, Thomas
Vizedirektor und Chef Steuerung und Lage des NDB, VBS
Schreier, Fred
ehem. Chef SND (19901999), vorm. Chef der Sektion Auswertung (19781989), Untergruppe Nachrichtendienst und Abwehr
Seiler, Markus
Generalsekretär des EDA (seit 2017), vorm. Direktor des NDB, VBS (20102017) und Generalsekretär VBS (20042009)
Sommaruga, Simonetta Bundespräsidentin, Vorsteherin des UVEK (seit 2019), vorm. Vorsteherin des EJPD (20102018) Süssli, Thomas
Chef der Armee (seit 2020), vorm. Chef FUB (20182019)
Villiger, Kaspar
alt Bundesrat, Vorsteher des EMD (19891995) und des EFD (19962003)
von Daeniken, Urs
ehem. Chef DAP (20012008), vorm. Chef BuPo (19902000)
Walter, René
Chef Informationssicherheit / Kryptologie (seit 2018), FUB, VBS
Wegmüller, Hans
ehem. Direktor SND (20012008), vorm. Chef der Sektion Beschaffung (19871993) in der Untergruppe Nachrichtendienst
Wüger, Daniel
stv. Generalsekretär, EJPD
X
Person im heutigen Dienst des VBS
Y
Person im früheren Dienst des VBS
Zinniker, Paul
ehem. stv. Direktor NDB und Chef Beschaffung NDB (20102019), vorm. Direktor NDB a.i. (20172018), Direktor SND (20082009) sowie Chef Beschaffung SND (ab 1996)
63 / 64
BBl 2021 156
64 / 64