GPK des Nationalrats
25.11.2019, 08:49 Uhr
Weiterhin Cyberrisiken bei Ruag
Die Geschäftsprüfungskommission des Nationalrats spricht weiterhin von Risiken in Sachen IT-Sicherheit bei der Ruag. Vor allem Drittaufträge bleiben laut GPK diesbezüglich problematisch.
Die GPK des Nationalrats verlangt, dass die Transformation der Ruag eng begleitet wird
(Quelle: Béatrice Devènes/pd)
Die Geschäftsprüfungskommission des Nationalrats (GPK) ortet weiterhin Risiken bei der Informatiksicherheit der Ruag. Sie erwartet vom zuständigen Verteidigungsdepartement und der Finanzverwaltung, die Transformation des Rüstungsbetriebs eng und kritisch zu begleiten.
Für die GPK wird die Verflechtungsthematik nach wie vor ungenügend berücksichtigt. In ihrem am Freitag veröffentlichten Bericht begrüsst sie, dass das Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) eine weitere Überprüfung eingeleitet hat, um sicherzustellen, dass sich in den zu integrierenden Daten keine Schadsoftware mehr verbirgt. Sie erwarte, dass das VBS gestützt auf die Erkenntnisse dieser Überprüfung bei Bedarf weitere Massnahmen treffe.
Als problematisch aus Gründen der Informatiksicherheit erachtet die GPK Drittaufträge der MRO Schweiz, also jenem Bereich, der als Materialkompetenzzentrum für die Armee tätig sein wird. Diese Aufträge könnten zu neuen Verflechtungen führen. Diesem Aspekt müsse deshalb besondere Beachtung geschenkt werden.
Kein Bundesvertreter im Verwaltungsrat
Die GPK bedauert auch, dass der Bundesrat in seiner Stellungnahme vom September 2018 nicht auf die Vor- und Nachteile einer Entsendung eines Bundesvertreters in den Verwaltungsrat der neuen Einheiten eingegangen ist. Der Bundesrat halte lediglich fest, dass er auf eine Entsendung verzichten wolle, obwohl er im Juni 2018 noch festgehalten habe, dass er den Einsitz eines Vertreters des VBS begrüssen würde.
Im Fall der Neustrukturierung und Privatisierung der Ruag International erwartet die Kommission, dass das VBS diesen Prozess eng begleitet und bei einer Veränderung der Rahmenbedingungen den Bundesrat informiert. So könne die Landesregierung die bisher getroffenen Entscheide und den Zeitplan für die Entflechtung und Neustrukturierung bei Bedarf überprüfen und gegebenenfalls anpassen.
Dies sei zum Beispiel dann der Fall, wenn sich die Prognosen zum Verkaufserlös von Unternehmensteilen als zu optimistisch erwiesen oder falls die von der Ruag in den Sicherheitsparameter der Armee zu übertragenden Daten noch Schadsoftware enthielten.
Transformation soll kritisch begleitet werden
Die bevorstehende Transformation stelle besonders hohe Anforderungen an den Bund als Eigner der Ruag. Die Kommission erwarte daher, dass das VBS und die Eidgenössische Finanzverwaltung (EFV) diese eng und kritisch begleiteten und die nötigen Ressourcen bereitstellten. Die Vorsteherin des VBS habe erste Entscheide in diese Richtung getroffen.
Im Januar 2020 wird Ruag zu einer Holdinggesellschaft, die in zwei getrennt geführte Gruppen unterteilt ist. Die Sparte MRO Schweiz mit rund 2500 Mitarbeitenden mit Produktionsstandorten in der Schweiz wird weiterhin für die Schweizer Armee tätig sein, während Ruag International mit rund 6500 Mitarbeitenden, davon zwei Drittel im Ausland, in ein privates Unternehmen überführt wird.
Mit der Integration des Informatiksystems von MRO Schweiz in den Sicherheitsperimeter des VBS soll im Nachgang zum Cyber-Angriff von 2016 auch die Informatiksicherheit gestärkt erden. Bei dem Cyber-Angriff auf die Ruag waren mehr als 20 Gigabyte Daten gestohlen worden. Die Bundesanwaltschaft sistierte im Sommer 2018 das Strafverfahren, weil die Täterschaft nicht eruiert werden konnte.