Konsequenzen nach dem Ruag-Angriff
Eignerinteressen durchsetzen
Die GPK erwartet vom VBS, dass es gegenüber der Ruag in Zukunft bestimmter auftritt und sich stärker für die Forderungen des Bundes und die Wahrung von dessen Interessen einsetzt. Den Bundesrat fordert sie auf, für eine bessere Wahrung der Eignerinteressen zu sorgen. Die Regierung soll auch prüfen, ob es sinnvoll wäre, einen Vertreter in den Verwaltungsrat der Ruag zu entsenden.
Nicht untersucht hat die GPK, ob und wie die Massnahmen des Bundesrates zur Bewältigung des Cyberangriffs umgesetzt wurden. Damit ist die Eidgenössische Finanzkontrolle (EFK) beauftragt worden. Gestützt auf die bisherigen Prüfungen der EFK stellt die GPK fest, dass die Umsetzung auf Kurs sei.
IT-Netze entflechten
Eine Ausnahme bildet die Entflechtung der IT-Netze von Bund und Ruag. Diese sei komplexer und viel zeitaufwendiger als erwartet, schreibt die GPK. Gemäss dem VBS könne die Entflechtung voraussichtlich erst im Jahr 2023 abgeschlossen werden.
Dies spielt auch eine Rolle für die Diskussionen über eine mögliche Teilprivatisierung der Ruag. Die GPK fordert den Bundesrat auf, entsprechende Weichenstellungen zu prüfen. Weiter empfiehlt sie dem Bundesrat, die Verflechtungsproblematik bei zukünftigen Auslagerungen zu berücksichtigen.
1. Gebot: Planen Sie zuallererst das Sicherheitskonzept!
Definieren Sie Ihren «Goldschatz» und den richtigen Umgang damit. Machen Sie sich die Stärken und Schwächen Ihres Teams und die des Gegners bewusst. Bedenken Sie die Chancen und Risiken eines Cyberkrieges. Überlegen Sie, wie Sie Ihre Risiken reduzieren können. Erstellen Sie auf dieser Grundlage ein Sicherheitskonzept und ein passendes Kommunikationskonzept.