Bundesrat: Beim Bund wäre die Ruag-Malware gefunden worden

Ansonsten wolle man jetzt mal mit dem Ruag-Verwaltungsrat über die Sache reden.
 
Der Bundesrat hat gestern Antworten auf einige Fragen der CVP und der Grünen zur Ruag-Affäre veröffentlicht. Viele der Antworten bleiben eher vage, aber eine ist relativ griffig: Die Grünen merken an, dass die verwendete Malware der Familie Epic Turla/Tavdig längst bekannt sei und fragen, ob es denn in den Netzen des Bundes und der Ruag keine regelmässigen Scans der Computer gebe. Die Antwort: Beim BIT und auch im VBS würden solche Scans, sowohl im Netz als auch auf den Clients durchgeführt. Der Bundesrat ist sich daher sicher, dass die Ruag-Malware im Bundesnetz gefunden worden wäre.
 
Das sollte man auch hoffen können, denn laut der Antwort auf eine der CVP-Fragen lässt die technische Analyse den Schluss zu, dass die gleiche Malware-Familie schon bei einem Angriff auf das EDA im Jahr 2012 verwendet wurde. Und was ist mit der Ruag, einem bundeseigenen Betrieb, der sich als Kompetenzzentrum für Cyber-Defense und Security profilieren möchte? Dort finden solche Scans offensichtlich nicht statt. Der Bundesrat schreibt dazu, dass man technische Indikatoren zur erwähnten Malware-Familie im Rahmen des Public-Private-Partnerships der Melde- und Analysestelle Informationssicherung (Melani) bereits seit Jahren mit Betreibern von kritischen Infrastrukturen, darunter auch die Ruag, ausgetauscht habe. Ob die Unternehmen diese Informationen für ihre betriebseigenen Sicherheitssysteme nutzen, liege allerdings in ihrer eigenen Verantwortung.
 
Ist der Ruf mal ruiniert...
Die Grünen glauben, dass der Ruf der Ruag im Security-Bereich nun "ruiniert" sei und fragen, ob der Bundesrat auf eine Änderung der Strategie hinwirken wolle. Dieser sieht das anscheinend nicht so dringlich: Man werde die Erkenntnisse aus dem Cyber-Angriff mit dem Verwaltungsrat der Ruag thematisieren, allerdings nicht an Sondersitzungen, sondern während der "ordentlichen Aussprachen". Dort wolle man sich auch "aufzeigen lassen, welche Auswirkungen der Angriff auf die Konzernstrategie haben wird."
 
Entflechtung der Netze?
Eines der Sicherheitsprobleme, welche die Ruag-Affäre aufgezeigt hat, ist die Verflechtung der IT-Netze des Bundes mit den Staatsbetrieben, die als eigenständige Unternehmen geführt werden. Zumindest die Ruag hat ihr Netz offensichtlich deutlich schlechter geschützt, als der Bund selbst. Bei der Ruag wurden nicht nur Malware-Scans unterlassen, vor September 2014 wurde laut dem vor drei Wochen veröffentlichten technischen Bericht von Melani auch keine Logs über Internetverbindungen von Ruag-Systemen aus geführt. Übrigens stimmt die in vielen Medien immer wiederholten Information nicht, der Angriff habe im Dezember 2014 begonnen. Schon in den allerersten vorhandenen Logs wurden "Indicators of Compromise" (IOCs), also Anzeichen einer bereits vorhandenen Malware-Infektion gefunden. Was vorher geschah, ob also beispielsweise bereits Jahre zuvor Daten abgegriffen wurden, weiss niemand.
 
Aber zurück zur Verflechtung der Netze: Die CVP fragt den Bundesrat, ob es nicht besser wäre, die Netze zu trennen. Konkrete Massnahmen nennt der Bunderat diesbezüglich noch nicht, erklärte aber, dass eine Überprüfung der Entflechtung angeordnet worden sei.
 
Zugleich betont unsere Regierung, dass der Angriff der Ruag gegolten habe und nicht Bundesverwaltung. Ein Zugriff auf die Netze der Bundesverwaltung sei nach heutigem Kenntnisstand nicht erfolgt. An anderer Stelle betont der Bundesrat denn auch nochmal ausdrücklich, dass die Angreifer keinen Zugriff auf Daten im VBS hatten.
 
Problematische Datenflüsse
Das Problem sind allerdings eher VBS-Daten, die auf Ruag-Systemen gespeichert wurden. Die Grünen fragten, warum das BIT Daten ans VBS und dieses Daten an die Ruag ausgelagert habe. Der Bunderat beeilt sich zu betonen, dass das BIT keine Daten oder Anwendungen an das VBS ausgelagert habe. Das BIT betreibe Verzeichnis- und Personalsysteme, welche von den Verwaltungseinheiten der Bundesverwaltung genutzt würden. Die Frage, welchen Nutzergruppen welche Daten aus diesen Verzeichnissen zugänglich sein dürfen, solle im Zuge der Abklärungen zur Ruag-Attacke überprüft und neu geregelt werden.
 
Zum allfälligen Datenfluss zwischen dem VBS und der Ruag äussert sich der Bundesrat in seinen Antworten gar nicht. (Hans Jörg Maron)