Sicherheitsprüfung bei Ruag International gefordert

Vor einem Verkauf des Technologiekonzerns Ruag International oder Teilen davon soll geprüft werden, ob sich sensible Daten in Archiven und Backups befinden, die in fremde Hände gelangen könnten. Das empfiehlt die Geschäftsprüfungskommission des Nationalrats (GPK-N).

Schon 2016 war ein grosser Cyberangriff auf die frühere Ruag bekannt geworden, der gravierende Mängel in der Informatik ans Licht brachte. Anlass der aktuellen Untersuchung der Informationstechnologie (IT) bei Ruag International durch externe Experten war ein Fernseh-Bericht der SRF-«Rundschau» von Mitte Mai 2021, gemäss dem es einen erneuten Hackerangriff auf das Unternehmen gegeben haben soll.

In der Folge hatten sich zwar «keine erhärteten Belege» für einen «Hack» finden lassen. Allerdings wurden «schwerwiegende Mängel in der Informationssicherheit» entdeckt, wie es im veröffentlichten GPK-N-Bericht heisst. Die Kommission bemängelt, in der Vergangenheit zu wenig transparent über den Stand der Entflechtung der Ruag informiert worden zu sein. 

Die Oberaufsichtskommission zeigt sich überdies «überrasch», dass Ruag International ihre IT «nicht schon früher von einer spezialisierten Firma testen liess». Es sei «unverständlich», dass der Technologiekonzern die Mängel nicht früher erkannt habe. Die GPK-N ist der Ansicht, «dass solche Tests periodisch stattfinden sollten, im Interesse der Unternehmen, aber auch im Interesse des Bundes als Eigner». 

«Angemessen reagiert» haben laut GPK-N die zuständigen Bundesstellen. Die Kommission begrüsst auch, dass Ruag International selber rasch die nötigen Massnahmen einleitete und externe Experten beauftragte, um die Vorwürfe gründlich zu prüfen. 

Vor einem Verkauf von Ruag International solle der Bundesrat aber zusätzliche Massnahmen prüfen, da nicht ausgeschlossen werden könne, dass sich sensible Daten in Archiven und Backups befinden und bei einem Verkauf von Teilen von Ruag International in fremde Hände gelangen könnten, heisst es im Bericht weiter. 

Möglich wäre aus Sicht der GPK-N insbesondere eine zusätzliche und gezielte Datenprüfung vor jedem Verkauf. Die Kommission werde diese Frage mit den zuständigen Stellen im Eidgenössischen Finanzdepartement (EFD) und im Eidgenössischen Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) klären. Ebenso werde sie weitere Auskünfte sowie eine Bestätigung der Löschung der Daten auf den Systemen von Ruag International verlangen. 

Der Bundesrat kann nun bis 25. März 2022 Stellung zum GPK-N-Bericht und dessen Empfehlungen nehmen. Die Landesregierung hatte im Sommer 2018 die Aufspaltung der Ruag in einen internationalen und einen für die Schweizer Armee tätigen Teil beschlossen. Das international tätige Luft- und Raumfahrttechnologieunternehmen Ruag International soll schrittweise privatisiert werden. 

Was den aktuell diskutierten Verkauf von der Ruag-Tochter Ammotec betrifft, gab die Eidgenössische Finanzkontrolle (EFK) Entwarnung betreffend Datensicherheit: Da die Informatik von Ammotec schon seit 2014 weitgehend von jener von Ruag International getrennt sei und Ammotec keinen Zugriff auf Ruag-Daten habe, schätzt die EFK das Risiko, dass bei einem Verkauf heikle Daten abfliessen, als klein ein.