Cyberattacke 09.05.2018, 08:13 Uhr

Konsequenzen nach dem Ruag-Angriff

Der Angriff auf die Ruag im letzten Jahr war gravierender als angenommen. Zu diesem Schluss kommt ein Bericht der Geschäftsprüfungskommission des Nationalrates (GPK). Diese empfiehlt dem Bund nun, seine Interessen als Eigner des Rüstungsunternehmens besser wahrzunehmen.
(Quelle: pd)
Der Bundesrat soll dafür sorgen, dass die Interessen des Bundes als Eigner des Rüstungskonzerns Ruag besser gewahrt werden. Das empfiehlt die Geschäftsprüfungskommission des Nationalrates (GPK) nach dem Cyberangriff.
Beim Angriff auf die Ruag wurden mehr als 20 Gigabyte Daten gestohlen. Entscheidend sei aber nicht die Datenmenge, sondern die Bedeutung der Daten, schreibt die GPK in einem am Dienstag veröffentlichten Bericht.
Sie erhielt vom Verteidigungsdepartement (VBS) Angaben zu den betroffenen Verzeichnissen. Auf Basis dieser Informationen stuft die GPK den Vorfall als gravierend ein. Das Ausmass des Diebstahls könne aber nicht abschliessend bestimmt werden, schreibt sie.
Die Ruag gab an, die finanziellen Folgen des Cyberangriffs beschränkten sich auf die Kosten für die Bearbeitung des Vorfalls und das interne Massnahmenpaket für 10 Millionen Franken. Unmittelbare Kundenabgänge habe man nicht verzeichnet. Die GPK gibt zu bedenken, die längerfristigen und indirekten Folgen dürften nicht unterschätzt werden.

Rasch und angemessen gehandelt

Die Öffentlichkeit erfuhr im Frühjahr 2016 vom Cyberangriff. Der Nachrichtendienst des Bundes hatte Anfang Dezember 2015 einen Hinweis erhalten. Der Bundesrat beschloss in der Folge Massnahmen. Aus Sicht der GPK reagierten die Bundesbehörden angemessen auf den Vorfall.
Der Bundesrat und das VBS hätten rasch gehandelt, schreibt die Kommission. Die Ruag habe dagegen mehr Zeit benötigt, bis sie das Ausmass des Angriffs und die damit verbundenen Risiken anerkannt und eigene Massnahmen angeordnet habe. Die GPK begrüsst es, dass das VBS Druck ausübte und mehrfach bei der Firma intervenierte.

Keine Forderungen gestellt

Kritik übt die GPK jedoch am späteren Umgang mit dem Cyberangriff. Der Angriff und dessen Folgen seien im Rahmen der strategischen Steuerung der Ruag zu wenig thematisiert worden, schreibt sie. Das VBS verfüge über die nötigen Instrumente, um die Eignerinteressen des Bundes zu vertreten und durchzusetzen. Es nutze diese aber nicht genügend.
Dies zeige sich am Beispiel der regelmässigen Eignergespräche zwischen VBS und Ruag. Diese dienten heute vor allem der laufenden Information über den Geschäftsgang. Sie sollten aber auch genutzt werden, um Forderungen zu stellen und Aufträge zu erteilen.

Auf Protokolle verzichtet

Die GPK kritisiert insbesondere, dass wichtige Diskussionen in einem informellen Rahmen geführt und nicht schriftlich festgehalten wurden. Verteidigungsminister Guy Parmelin gab gemäss dem Bericht an, dass er bei den bilateralen Gesprächen bewusst auf eine Protokollierung und auf persönliche Notizen verzichtet habe.
Er begründete das mit dem Risiko einer Veröffentlichung: In den Gesprächen würden sehr sensible Themen diskutiert, und er wolle nicht, dass diese eines Tages öffentlich würden, weil ein Journalist das gestützt auf das Öffentlichkeitsgesetz verlange.

VBS tut sich schwer

Die GPK kritisiert, damit fehle dem VBS nicht nur eine solide Informationsgrundlage, sondern auch die Möglichkeit, Forderungen und Vorgaben durchzusetzen. «Die Kommission ist der Meinung, dass sich das VBS mit der Wahrung der Eignerinteressen des Bundes schwertut, und dies, obwohl die Ruag zu 100 Prozent dem Bund gehört», heisst es im Bericht.
Das liege sicher auch am teilweise unkooperativen Verhalten der Ruag, die sich immer wieder auf ihre Unabhängigkeit berufe. Die Unabhängigkeit bedeute aber nicht, dass die Firma ihre Geschäftsinteressen höher gewichten könne als die Anliegen und den Willen ihres Eigners, schreibt die GPK. Die Unabhängigkeit gelte lediglich für das operative Geschäft.

Eignerinteressen durchsetzen

Die GPK erwartet vom VBS, dass es gegenüber der Ruag in Zukunft bestimmter auftritt und sich stärker für die Forderungen des Bundes und die Wahrung von dessen Interessen einsetzt. Den Bundesrat fordert sie auf, für eine bessere Wahrung der Eignerinteressen zu sorgen. Die Regierung soll auch prüfen, ob es sinnvoll wäre, einen Vertreter in den Verwaltungsrat der Ruag zu entsenden.
Nicht untersucht hat die GPK, ob und wie die Massnahmen des Bundesrates zur Bewältigung des Cyberangriffs umgesetzt wurden. Damit ist die Eidgenössische Finanzkontrolle (EFK) beauftragt worden. Gestützt auf die bisherigen Prüfungen der EFK stellt die GPK fest, dass die Umsetzung auf Kurs sei.

IT-Netze entflechten

Eine Ausnahme bildet die Entflechtung der IT-Netze von Bund und Ruag. Diese sei komplexer und viel zeitaufwendiger als erwartet, schreibt die GPK. Gemäss dem VBS könne die Entflechtung voraussichtlich erst im Jahr 2023 abgeschlossen werden.
Dies spielt auch eine Rolle für die Diskussionen über eine mögliche Teilprivatisierung der Ruag. Die GPK fordert den Bundesrat auf, entsprechende Weichenstellungen zu prüfen. Weiter empfiehlt sie dem Bundesrat, die Verflechtungsproblematik bei zukünftigen Auslagerungen zu berücksichtigen.

Bildergalerie
1. Gebot: Planen Sie zuallererst das Sicherheitskonzept! Definieren Sie Ihren «Goldschatz» und den richtigen Umgang damit. Machen Sie sich die Stärken und Schwächen Ihres Teams und die des Gegners bewusst. Bedenken Sie die Chancen und Risiken eines Cyberkrieges. Überlegen Sie, wie Sie Ihre Risiken reduzieren können. Erstellen Sie auf dieser Grundlage ein Sicherheitskonzept und ein passendes Kommunikationskonzept.




Das könnte Sie auch interessieren