Warum hat die Ruag Zugriff auf sensible Personaldaten?

Hacker sollen bei der Rüstungsfirma Ruag mehr als 30'000 Personendaten des Bundes erbeutet haben – darunter auch die Namen einer geheimen Spezialeinheit der Armee. Nun will die parlamentarische Geschäftsprüfungsdelegation klären, ob die Informatiksysteme von Bund und Ruag getrennt werden können.

Ruag-Produktionsstätte in Emmen Bild in Lightbox öffnen.

Bildlegende: Ruag-Produktionsstätte in Emmen Keystone

Gravierend sei der Vorfall bei der Ruag, so schrieb die Geschäftsprüfungsdelegation der eidgenössischen Räte (GPDel) am Mittwoch, ohne auf Details einzugehen. Nun also sollen mehr als 30'000 Personendaten des Bundes gehackt worden sein. Dabei soll es sich laut «Sonntagszeitung» um die Daten von Angestellten des Bundes sowie von National- und Ständeräten handeln. Die «NZZ am Sonntag» berichtet zudem, auch die Namen der Angehörigen des Armeeaufklärungs-Detachements AAD 10, einer Spezialtruppe der Armee, seien darunter.

Der Schwyzer Ständerat Alex Kuprecht, Präsident der GPDel, will diese konkreten Berichte nicht bestätigen. «Wir haben am Mittwoch in unserer Mitteilung von einem ‹gravierenden Vorfall› gesprochen», sagt er. «Sie können also davon ausgehen, dass wichtige Daten abgeflossen sind.»

Nun gehe es darum, das genaue Ausmass des Angriffes zu untersuchen und Konsequenzen einzuleiten, sagt Kuprecht. «Es muss davon ausgegangen werden, dass verschiedene Personen auch im Ausland davon betroffen sein können.» Diese müssten nun geschützt werden.

Warum hat die Ruag Zugriff auf sensible Daten?

«Wichtige Daten sind abgeflossen»

3:16 min, aus Echo der Zeit vom 08.05.2016

Dies alles beantwortet die Frage nicht, warum offenbar mehr als 30'000 Personendaten, die eigentlich beim Bundesamt für Informatik gespeichert sind, zur Ruag transferiert wurden – einer Aktiengesellschaft, deren Anteile voll und ganz dem Bund gehören.

Es erstaunt, dass die Computersystem von Bundesamt und Ruag zahlreiche Schnittstellen aufweisen. «Ursprünglich war die Ruag der Rüstungsbetrieb des Bundes und hatte aufgrund ihrer damaligen Stellung Zugriff auf die Daten des Bundesamtes für Technologie», erklärt Alex Kuprecht. Und dieser Datenfluss habe eben auch weiterhin stattgefunden.

Reto Kalbermatten, der Sprecher des Verteidigungsdepartements, nennt noch einen anderen Grund. «Weil die Ruag heute noch viele Instandhaltungsarbeiten für die Armee übernimmt, ist sie ein Schlüsselpartner», sagt er. «Aus diesem Grund gibt es verschiedene Verflechtungen zwischen den Systemen – und diese bergen natürlich auch ein Risiko im Falle von Cyberattacken.» Geprüft werde nun, ob und wie man die Computersysteme vollständig trennen könnte.

Eigenwillige Verflechtungen

Militärexperte Bruno Lezzi ist erstaunt, dass es diese Schnittstellen noch gibt. «Ich finde es eigenwillig, dass solche Verflechtungen bestehen.» Eine Einheit wie AAD 10 gehöre seiner Meinung nach in den Verantwortungsbereich der Armee, sagt Lezzi. «Diese hat dann auch den Schutz zu übernehmen.»

Der Hackerangriff ist inzwischen auch ein Fall für den Bundesanwalt. Er hat unlängst eine Strafverfolgung eingeleitet.

Sendungsbeitrag zu diesem Artikel