- Nach einem möglichen Hacker-Angriff auf den bundeseigenen Technologiekonzern Ruag International im letzten Frühling wurden «keine erhärteten Belege für einen Hack» gefunden.
- Allerdings wurden «schwerwiegende Mängel in der Informationssicherheit» entdeckt, wie es im veröffentlichten Bericht der Geschäftsprüfungskommission des Nationalrats (GPK-N) heisst.
- Vor einem Verkauf von Ruag International oder Teilen davon soll geprüft werden, ob sich sensible Daten in Archiven und Backups befinden, empfiehlt die GPK-N.
Die Kommission bemängelt weiter, in der Vergangenheit zu wenig transparent über den Stand der Entflechtung der Ruag informiert worden zu sein.
Schon 2016 war ein grosser Cyberangriff auf die frühere Ruag bekannt geworden, der gravierende Mängel in der Informatik ans Licht brachte. Anlass der aktuellen Untersuchung der Informationstechnologie (IT) bei Ruag International durch externe Experten war ein Fernsehbericht der SRF-«Rundschau» von Mitte Mai 2021, gemäss dem es einen erneuten Hackerangriff auf das Unternehmen gegeben haben soll.
Gezielte Datenprüfung gefordert
Die Oberaufsichtskommission zeigt sich überdies «überrascht», dass Ruag International ihre IT «nicht schon früher von einer spezialisierten Firma testen liess». Es sei «unverständlich», dass der Technologiekonzern die Mängel nicht früher erkannt habe. Die GPK-N ist der Ansicht, «dass solche Tests periodisch stattfinden sollten, im Interesse der Unternehmen, aber auch im Interesse des Bundes als Eigner».
Angemessen reagiert haben laut GPK-N die zuständigen Bundesstellen. Die Kommission begrüsst auch, dass Ruag International selbst rasch die nötigen Massnahmen einleitete und externe Experten beauftragte, um die Vorwürfe gründlich zu prüfen.
Möglich wäre aus Sicht der GPK-N insbesondere eine zusätzliche und gezielte Datenprüfung vor jedem Verkauf. Die Kommission werde diese Frage mit den zuständigen Stellen im Eidgenössischen Finanzdepartement (EFD) und im Eidgenössischen Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) klären. Ebenso werde sie weitere Auskünfte sowie eine Bestätigung der Löschung der Daten auf den Systemen von Ruag International verlangen.
Schrittweise Privatisierung
Der Bundesrat kann nun bis 25. März 2022 Stellung zum GPK-N-Bericht und dessen Empfehlungen nehmen. Die Landesregierung hatte im Sommer 2018 die Aufspaltung der Ruag in einen internationalen und einen für die Schweizer Armee tätigen Teil beschlossen. Das international tätige Luft- und Raumfahrttechnologieunternehmen Ruag International soll schrittweise privatisiert werden.
Was den aktuell diskutierten Verkauf der Ruag-Tochter Ammotec betrifft, gab die Eidgenössische Finanzkontrolle (EFK) Entwarnung betreffend Datensicherheit: Da die Informatik von Ammotec schon seit 2014 weitgehend von jener von Ruag International getrennt sei und Ammotec keinen Zugriff auf Ruag-Daten habe, schätzt die EFK das Risiko, dass bei einem Verkauf heikle Daten abfliessen, als klein ein.
