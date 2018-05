HACKERANGRIFF ⋅ Nach der Attacke auf die Ruag will der Bund seine digitalen Verbindungen zum Rüstungskonzern trennen. Doch die Entflechtung der Informatiksysteme ist komplexer als gedacht und dauert noch Jahre.

Michel Burtscher

Die Geschäftsprüfungskommission (GPK) des Nationalrats wählt deutliche Worte: Ein «gravierender Vorfall» sei die Cyberattacke auf den bundeseigenen Rüstungskonzern Ruag gewesen, heisst es in einem gestern Abend veröffentlichten Bericht zum Vorfall. Die Öffentlichkeit erfuhr Mitte 2016 vom Hackerangriff, begonnen hatte dieser aber bereits im Dezember 2014. Die mutmasslich russischen Urheber ergatterten dabei über 20 Gigabyte Daten.

Der Vorfall war für den Bund heikel: Die Ruag ist heute zwar ein eigenständiges Unternehmen, über verschiedene Infor­matikschnittstellen ist sie aber eng mit der Bundesverwaltung verbunden, insbesondere mit dem Verteidigungsdepartement (VBS). Diese Verbindungen sollen aus Sicherheitsgründen nun gekappt werden. Schon kurz nachdem die Landesregierung von der Cyberattacke erfuhr, leitete sie die Entflechtung der Informatiksysteme ein.

Bundesrat will Ruag aufspalten

Doch der Bericht der GPK zeigt nun: Der Bundesrat hat die Komplexität dieser Aufgabe massiv unterschätzt. Eigentlich sollte die Entflechtung innerhalb «kurzer Zeit» durchgeführt werden. Nun dauert die Umsetzung der Massnahme aber sicher bis ins Jahr 2023. Der Rüstungskonzern und das VBS arbeiten etwa bei der Luftraumüberwachung und der Wartung der Kampfjets sowie der Programmierung der Armeekommunikation und der Zeughauslogistik zusammen. Die GPK zitiert einen Bericht des Verteidigungsdepartements, wonach die Armee heute viele Leistungen nur mit Unterstützung der Ruag erbringen könne. Die Kommission zeigt in ihrem Bericht zwar Verständnis für die Verzögerung, fordert den Bundesrat und insbesondere das Verteidigungsdepartement aber auf, die nötigen Mittel bereitzustellen, damit die Frist diesmal wirklich eingehalten werden kann. Die Umsetzung der Massnahme müsse mit «grösster Dringlichkeit» vorangetrieben werden.

Einen ersten Schritt hat der Bundesrat vor kurzem gemacht: Er kündigte an, dass er die Ruag aufspalten will. Die fast ausschliesslich für die Schweizer Armee tätigen Geschäftsbereiche sollen in einer neuen Gesellschaft zusammengeführt und von der übrigen Ruag getrennt werden, die auf der ganzen Welt zivile und militärische Leistungen erbringt. Das erlaube eine Trennung der Informatiksysteme, so der Bundesrat.

Kommission kritisiert Vorgehen der Ruag

Grundsätzlich kommt die GPK zum Schluss, dass die Landesregierung und das VBS «rasch und angemessen» auf den Hackerangriff reagiert haben. Die Leitung der Ruag hingegen habe mehr Zeit benötigt, bis sie das Ausmass des Angriffs und die damit verbundenen Risiken anerkannte. Überhaupt kein Verständnis zeigt die GPK dafür, dass sich das bundeseigene Unternehmen zunächst wenig kooperativ zeigte und dem Verteidigungsdepartement nicht alle geforderten Informationen zur Verfügung stellen wollte. Dieses musste laut dem Bericht mehrmals bei der Firma intervenieren. Kritik übt die Kommission am späteren Umgang des Bundes mit der Cyberattacke. Der Angriff und dessen Folgen seien bei der strategischen Steuerung der Ruag zu wenig thematisiert worden, schreibt sie. Das VBS verfüge zwar über die nötigen Instrumente, um die Eignerinteressen des Bundes durchzusetzen, nutze diese aber nicht genügend. Dies zeige sich beispielsweise bei den regelmässigen Eignergesprächen zwischen Bund und Ruag. Diese dienten heute vor allem der Information über den Geschäftsgang. Sie sollten gemäss der Kommission aber auch genutzt werden, um Forderungen zu stellen und Aufträge zu erteilen.