BVT-Supergau: Streng geheimes „Berner Club“-Dokument geleakt

Heute, am 12. November 2019, hat das Nachrichtenportal oe24.at, namentlich der Chefredakteur Richard Schmitt, Auszüge aus einem streng geheimen Dokument im Zusammenhang mit dem Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT) veröffentlicht. Es handelt sich dabei um eine Analyse von ausländischen Nachrichtendiensten. Das Dokument mit dem Titel „Security assessment of BVT“ entstammt vom „Berner Club“ und wurde von MI5, BfV, FIS und VSD verfasst. Der Berner Club, auch „Club de Berne“, ist ein Zusammenschluss aller europäischen Nachrichtendienste zur internationalen Vernetzung. Österreich wurde erst in den letzen zwei Jahren aus dem „Berner Club“ vorübergehend ausgeschlossen. Der vorliegende Bericht, der Fass ohne Boden vorliegt, hätte dazu beitragen sollen, die Missstände im BVT zu analysieren und Mängel aufzuzeigen. Die Umsetzung der Empfehlungen hätte die Reputation des BVT langfristig wiederherstellen können. Doch dafür ist es nun zu spät.

Über Berner Club: „Das Ergebnis dieser Analyse: blamabel.“

Die Missstände im Innenministerium kennen keine Grenzen. Bereits vor etlichen Wochen hat Fass ohne Boden das Sicherheitsdatenleck des BMI enthüllt. Aber auch die Duldung eines Kirchenfanatikers im Zusammenhang mit gravierenden Mobbing-Vorwürfen im BVT erscheint als Peanuts-Story. Denn diese Enthüllungen sind lediglich die Spitze eines Eisbergs.

Bereits auf der Titelseite des streng geheimen Dokuments wird auf die Geheimhaltung hingewiesen: „This report is owned by the Club of Berne SOTERIA group, and must not be shared outside of Club Services.“

Das nun geleakte Dokument belegt, in welch desolaten Zustand sich der österreichische Nachrichtendienst BVT befindet. Der Bericht empfiehlt beispielsweise die Einführung einer Sicherheitsstrategie, aber auch eine „security policy and a security concept“ sollte die Behörde für sich definieren.

Die Liste an Missständen gleicht wortwörtlich einem Fass ohne Boden. Auch über die interne Sicherheitsüberprüfung der Mitarbeiter, gemeint ist „Sicherheitserklärung“ für BVT-Mitarbeiter, lässt der „Berner Club“-Bericht kein gutes Wort über: „The security vetting is repeated every three years and may theoretically result in the revocation of the security clearance. This has, however, never happend so far.“

So ist dem Dokument zu entnehmen, dass der BVT nicht den Verordnungsstandards der Informationssicherheitsverordnung entspricht: „The Austrian Information Security Ordinance (§9, para 2) and the Information Security Manual (12.1.7) require that IT systems be accredited from level CONFIDENTIAL upwards, which is not the case with BVT:“

Darüber hinaus ist dem Dokument zu entnehmen, dass Auslandsreisen von BVT-Mitarbeitern in Länder mit „aggressive intelligence organisations“ nicht meldepflichtig sind. Mit anderen Worten, BVT-Mitarbeiter dürfen in kritische Länder reisen, in denen mit massiver nachrichtendienstlicher Aufklärung zu rechnen ist, müssen dies aber nicht gegenüber der Behörde melden.

Man würde glatt meinen, dass es sich bei diesem Dokument um einen Satire-Beitrag handelt, dem ist es aber nicht. Der BVT-Insider bestätigt die Inhalte gegenüber der Redaktion.

Aber auch die Mängel im Bereich der IT-Infrastruktur des BVT werden im Bericht angesprochen: „BVT’s internal network has connection to Internet“.

Und wenn man meinen würde, es kann nicht mehr übertroffen werden, reicht es aus, den Punkt 98. des Berichts zu lesen: „personal mobile equipment (mobile phones, laptops etc.) are alloweded in areas where classified information up to SECRET is handled.“

Schmitt hält in seiner Analyse fest: „Und es wird damit klar, warum diese Nachrichtendienste schon länger dem österreichischen Verfassungsschutz sehr wenig vertrauen – die Hausdurchsuchung am 28. Februar 2018 im BVT dürfte dabei wohl den geringsten Schaden im Vertrauensverhältnis verursacht haben.“

Aus jetziger Sicht bleibt nur noch die Reaktion des Innenministers abzuwarten. Der BVT-Insider gegenüber der Redaktion: “Im Berner Club wird es krachen. Der Direktor muss zurücktreten.”

Nachtrag: Dankenswerterweise durfte die Fass ohne Boden-Redaktion ebenfalls sich von dem Analyse-Bericht des “Berner Club” überzeugen. Herzlichen Dank an oe24.at und Richard Schmitt.

Ergänzende Informationen

BfV, Bundesamt für Verfassungsschutz, deutscher Inlandsnachrichtendienst.

FIS, Federal Intelligence Service, Schweizer Nachrichtendienst.  

MI5, Military Intelligence Section 5, Nachrichtengeheimdienst von Großbritannien.

VSD, Lietuvos Respublikos valstybės saugumo departamentas, sprich Departement für Staatssicherheit der Republik Litauen, der litauische Nachrichtendienst.

Informationssicherheitsverordnung (= InfoSiV) § 9 Elektronische Verarbeitung und Übermittlung klassifizierter Informationen:
 „(2) Informationen ab der Klassifizierungsstufe VERTRAULICH dürfen auf allen Informations- und Kommunikationssystemen verarbeitet werden, sofern eine Akkreditierung durch die Informationssicherheitskommission vorliegt. Die spezifischen Voraussetzungen (Anforderungen sowie Maßstab und Grad der Detaillierung) sind dabei in Abstimmung mit der Informationssicherheitskommission festzulegen. Für Informations- und Kommunikationssysteme, die Informationen der Klassifizierungsstufe EINGESCHRÄNKT verarbeiten, sind je nach Art und Umfang des Systems (Risikostufe bzw. Komplexität und Vernetzung) die Vorgaben der Informationssicherheitskommission zu beachten. In jedem Fall sind Maßnahmen zur Identifizierung und Protokollierung von Zugriffen vorzusehen. Bei Informations- und Kommunikationssystemen, die der Erfüllung von Aufgaben des Bundesheeres gemäß Art. 79 Abs. 1 B-VG dienen, nimmt diese Aufgaben die vom Bundesminister für Landesverteidigung und Sport für seinen Wirkungsbereich bestimmte Zertifizierungsstelle wahr.“