Cyberattacke
09.05.2018, 08:13 Uhr
Konsequenzen nach dem Ruag-Angriff
Der Angriff auf die Ruag im letzten Jahr war gravierender als angenommen. Zu diesem Schluss kommt ein Bericht der Geschäftsprüfungskommission des Nationalrates (GPK). Diese empfiehlt dem Bund nun, seine Interessen als Eigner des Rüstungsunternehmens besser wahrzunehmen.
Der Bundesrat soll dafür sorgen, dass die Interessen des Bundes als Eigner des Rüstungskonzerns Ruag besser gewahrt werden. Das empfiehlt die Geschäftsprüfungskommission des Nationalrates (GPK) nach dem Cyberangriff.
Beim Angriff auf die Ruag wurden mehr als 20 Gigabyte Daten gestohlen. Entscheidend sei aber nicht die Datenmenge, sondern die Bedeutung der Daten, schreibt die GPK in einem am Dienstag veröffentlichten Bericht.
Sie erhielt vom Verteidigungsdepartement (VBS) Angaben zu den betroffenen Verzeichnissen. Auf Basis dieser Informationen stuft die GPK den Vorfall als gravierend ein. Das Ausmass des Diebstahls könne aber nicht abschliessend bestimmt werden, schreibt sie.
Die Ruag gab an, die finanziellen Folgen des Cyberangriffs beschränkten sich auf die Kosten für die Bearbeitung des Vorfalls und das interne Massnahmenpaket für 10 Millionen Franken. Unmittelbare Kundenabgänge habe man nicht verzeichnet. Die GPK gibt zu bedenken, die längerfristigen und indirekten Folgen dürften nicht unterschätzt werden.
Rasch und angemessen gehandelt
Die Öffentlichkeit erfuhr im Frühjahr 2016 vom Cyberangriff. Der Nachrichtendienst des Bundes hatte Anfang Dezember 2015 einen Hinweis erhalten. Der Bundesrat beschloss in der Folge Massnahmen. Aus Sicht der GPK reagierten die Bundesbehörden angemessen auf den Vorfall.
Der Bundesrat und das VBS hätten rasch gehandelt, schreibt die Kommission. Die Ruag habe dagegen mehr Zeit benötigt, bis sie das Ausmass des Angriffs und die damit verbundenen Risiken anerkannt und eigene Massnahmen angeordnet habe. Die GPK begrüsst es, dass das VBS Druck ausübte und mehrfach bei der Firma intervenierte.