Update: Empfehlungen zu Ruag-Sicherheit sind gemäss Bundesrat bereits umgesetzt
Da Teile von Ruag International verkauft werden sollen, hat die GPK des Nationalrates zusätzliche Sicherheitsmassnahmen gefordert, damit nicht etwa sensitive Daten in falsche Hände gelangen. Der Bundesrat sieht diese Empfehlungen als bereits umgesetzt an.
Update vom 4.04.2022: Der Bundesrat ist der Auffassung, dass die Empfehlungen der Geschäftsprüfungskommission des Nationalrates (GPK-N) betreffend Informatiksicherherheit bei der Ruag bereits umgesetzt sind. Weiter erklärt er in einer Stellungnahme, dass sensitive Daten bei Ruag International schon gelöscht wurden. Der Bundesrat will die Oberaufsichtskommission weiterhin transparent über wesentliche Entwicklungen der Ruag-Konzerneinheiten informieren.
Massnahmen bereits getroffen, sensible Daten bereits gelöscht
Vor dem geplanten Verkauf von Teilen von Ruag International forderte die GPK-N vom Bundesrat zusätzliche Massnahmen, um sicherzustellen, dass keine sensiblen Daten auf Ruag-Systemen verbleiben. Der Bundesrat hält in seiner Stellungnahme hingegen fest, dass die Löschung militärischer und anderer sensitiver Daten bei Ruag International bereits abgeschlossen sei. Zudem habe Ruag MRO ein externes Audit in Auftrag gegeben mit dem Ziel, die Eigenständigkeit und Funktionalität der entflochtenen IT-Systeme zu überprüfen. In einem separaten Projekt seien die Restdaten der Ruag International manuell durchforstet und individuell gelöscht worden.
Vor jedem Verkauf von Unternehmensteilen würden ausserdem externe Experten überprüfen, ob angemessene Vorkehrungen zur Verhinderung von ungewollten Datenabflüssen getroffen wurden. Weiter heisst es, dass die Verkäufe von Unternehmensteilen von Ruag International die Komplexität der IT-Systeme Schritt für Schritt reduzieren werden. Dadurch sinke auch das Risiko ungewollter Weitergabe von Daten.
Die Eignerstellen im VBS und EFD werden die Informatiksicherheit von Ruag MRO und Ruag International gemäss Mitteilung weiter eng begleiten. Auch die Eidgenössische Finanzkontrolle (EFK) hat letztes Jahr eine Überprüfung der Informationssicherheit durchgeführt und angekündigt, 2022 eine weitere Prüfung vorzunehmen.
Transparente Information
Weiter erklärt der Bundesrat, das Anliegen der GPK-N ernst zu nehmen, "transparent und zeitnah über die Herausforderungen der Ruag zu kommunizieren". Er sei bestrebt, in seiner Berichterstattung zur Erreichung der strategischen Ziele von Ruag und in jeder weiteren Kommunikation präzise über die für den Bund wesentlichen Entwicklungen zu berichten.
Originalmeldung vom 23.02.2022: Ruag International: Zusätzliche Security-Massnahmen gefordert
Die Geschäftsprüfungskommission des Nationalrats (GPK-N) hat den mutmasslichen Hackerangriff auf Ruag International im Mai 2021 untersucht. Die Kommission kommt gemäss Mitteilung auf "Parlament.ch" zum Schluss, dass die zuständigen Bundesstellen und Ruag International grundsätzlich angemessen auf den Hackerangriff reagierten. Doch fordert die GPK-N den Bundesrat auf, angesichts der angestrebten Verkäufe von Unternehmtensteilen von Ruag International zusätzliche Massnahmen zu treffen, um sicherzustellen, dass auf den System von Ruag International keine sensitiven Daten verbleiben.
Was bisher geschah
Hintergrund dieser Forderung ist die Trennung des staatlichen Rüstungsunternehmen Ruag in Ruag MRO und Ruag International, die der Bundesrat 2018 beschloss. Ruag MRO soll sich um die Belange der Schweizer Armee kümmern, während Ruag International für weltweite zivile und militärische Geschäfte zuständig ist. Die Entflechtung der beiden Firmen ist schwierig und war stets von der Sorge begleitet, dass wichtige und sensive Daten von Ruag MRO im System von Ruag International verbleiben.
Im Mai 2021 soll dann eine Cyberattacke auf Ruag International stattgefunden haben. Eine externe Firma fand bei der nachfolgenden Prüfung keine Hinweise auf einen Angriff, doch deckte sie ernstzunehmende Sicherheitsmängel auf. Die GPK-N untersuchte den mutmasslichen Hack ebenfalls und zeigte sich zumindest mit den Reaktionen der zuständigen Bundesstellen und von Ruag International zufrieden. Doch will sie auch zusätzliche Massnahmen für die Sicherheit.
Die Forderungen der GPK-N
Die GPK-N wunderte sich gemäss Bericht, weshalb die ersten Sicherheitsmängel nicht zu einem früheren Zeitpunkt erkannt wurden und Ruag International seine Informatik nicht früher professionell testen liess. Solche Tests sollten der Meinung der Kommission nach periodisch stattfinden, im Interesse der Unternehmen, aber auch im Interesse des Bundes als eigner. Daher fordert die GPK-N den Bundesrat respektive das EFD als zuständiges Departement auf, diese Vorgabe an Ruag International zu überprüfen.
Ausserdem sollen Ruag International und Ruag MRO gemeinsam dafür sorgen, dass auf den Systemen des internationalen Unternehmens keine sensitiven Daten - insbesondere von Ruag MRO - verbleiben. Offiziell seien die letzten bestehenden Informatikverbindungen zwischen den Firmen getrennt und die Entflechtung damit abgeschlossen. Das schliesse aber nicht aus, dass sich noch sensitive Daten in Archiven und Backups befinden, die bei einem Verkauf von Teilen von Ruag International in fremde Hände gelangen könnten.
Deshalb spricht sich die GPK-N für zusätzliche Massnahmen aus, wie es weiter heisst. Möglich wäre insbesondere eine zusätzliche und gezielte Datenprüfung vor jedem Verkauf. Die GPK-N werde diese Frage mit den zuständigen Stellen im EFD und VBS klären. Darüber hinaus verlange sie weitere Auskünfte sowie eine Bestätigung der Löschung der Daten auf den Systemen von Ruag International.
Zuwenig Transparenz bei Entflechtung
Laut Meldung beurteilt die GPK-N zudem den Stand der Entflechtung in den vergangenen Jahren als zu wenig transparent. Daher wolle die Kommission den Bundesrat dazu einladen, sicherzustellen, dass er respektive "das EFD und das VBS mit ihren Eignerstellen die Oberaufsichtskommissionen künftig transparenter und zeitnah über allfällige Herausforderungen bei der Entflechtung der Ruag informiert", heisst es weiter.
Die GPK-N erwartet die Stellungsnahme zum Bericht und den Empfehlungen bis am 25. März 2022.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.