Es geschah letzten Herbst. Die berüchtigte Hackergruppe Akira ging vor, wie sie immer vorgeht. Dieses Mal drang sie in die Systeme der Ruag-Tochterfirma Ruag LLC in den USA ein und stahl dort grosse Datenmengen. Dann erpresste sie die Ruag: Entweder solle der Bundesbetrieb zahlen – oder aber die angeblich vertraulichen militärischen Daten der Ruag-Tochterfirma würden veröffentlicht. SRF hatte die Erpressung publik gemacht.
Jetzt wird bekannt: Die Ruag ging auf die Erpressung ein. «Wir haben bezahlt und haben glücklicherweise alle Daten zurückerhalten», sagt Ruag-Verwaltungsratspräsident Jürg Rötheli in der SRF-Samstagsrundschau.
Bundeskonzern verstösst gegen Bundesempfehlung
Die Ruag habe einen «kleineren Betrag» bezahlt, sagt Rötheli. Konkreter will er nicht werden. Laut Medienberichten hat die Hackergruppe Akira ihre Strategie jüngst verändert. Sie attackiert vermehrt kleinere Unternehmen und setzt auf hohe Fallzahlen statt auf einzelne Megasummen. Die Rede ist von Lösegeldforderungen im tiefen sechsstelligen Bereich.
Pikant ist, dass ausgerechnet ein Bundeskonzern Erpressern nachgibt. Der Bund nämlich empfiehlt mit Nachdruck, kein Lösegeld zu zahlen. Dieses diene der Finanzierung krimineller Aktivitäten, schreibt das Bundesamt für Cybersicherheit in einem Leitfaden auf seiner Website. Jede erfolgreiche Erpressung motiviere die Angreifer zum Weitermachen und fördere die Verbreitung solcher Angriffe.
VBS: Waren nicht informiert
Ruag-Präsident Rötheli weiss, dass sein Konzern gegen die Empfehlungen seines eigenen Eigentümers gehandelt hat. «Wir haben das entsprechend abgesprochen», sagt Rötheli. Mit Absprachen seien Gespräche mit unternehmensinternen Gremien gemeint, präzisiert die Ruag auf Nachfrage. Auch habe sich der Rüstungskonzern von US-Rechtsexperten beraten lassen. Den Entscheid zur Zahlung habe die Ruag im Rahmen ihrer unternehmerischen Kompetenz und Eigenständigkeit gefällt.
Das Verteidigungsdepartement (VBS) vertritt den Bund als Eigentümer gegenüber der Ruag. Es schreibt auf Anfrage: Das VBS sei im Vorfeld der Zahlung nicht informiert worden. Zur Tatsache, dass ein Bundeskonzern Lösegeld bezahlt habe, wolle man im Moment keinen Kommentar abgeben.
«Zahlung ist ein verheerendes Signal»
Deutlicher wird SVP-Nationalrat und Sicherheitspolitiker Mauro Tuena, der selbst als IT-Unternehmer tätig ist. «Ich bin schockiert», sagt Tuena. «Diese Hackergruppierung weiss jetzt, dass der Bund bereit ist, Lösegeld zu bezahlen – dieses Signal nach aussen ist verheerend.» Dabei spiele es keine Rolle, dass die Ruag als Aktiengesellschaft im Bundesbesitz nicht zur Bundesverwaltung selbst gehöre. Tuena kritisiert überdies, dass die Ruag die Zahlung öffentlich gemacht habe. «Das sollte man nie gegen aussen kommunizieren. Denn jede Bezahlung verleiht den Hackern Auftrieb, weil man weiss, dass bezahlt wird.»
Die Ruag hingegen verteidigt die Zahlung. Der Entscheid sei richtig gewesen, schreibt der Bundeskonzern. Das zeige die Tatsache, dass man sämtliche Daten zurückerhalten und den finanziellen und sicherheitsspezifischen Schaden auf ein Minimum haben begrenzen können.
