Hat Ruag zu langsam auf Cyber-Angriff reagiert?

Nach dem Cyberangriff auf Ruag hätten VBS und Bundesrat angemessen reagiert. Der Rüstungskonzern "benötigte hingegen mehr Zeit" bis das Ausmass des Angriffs anerkannt wurde, schreibt die GPK.
 
Bei einem Cyberangriff auf Ruag waren Daten gestohlen worden. Nachdem der Bundesrat im Januar 2016 darüber informiert worden war, gelangte der Vorfall im Frühjahr an die Öffentlichkeit. Nachdem der Angriff öffentlich bekannt geworden war, leitete die Geschäftsprüfungskommission des Nationalrates (GPK-N) Abklärungen ein.
 
Der Fokus der GPK lag auf der Frage, ob die verantwortlichen Bundesstellen, insbesondere das Verteidigungsdepartement (VBS), mit der nötigen Dringlichkeit auf den Vorfall reagierten und ob die Interessen des Bundes als Alleinaktionär der Ruag sichergestellt wurden. Aus Sicht der GPK-N haben der Bundesrat und das VBS angemessen auf den Vorfall reagiert. Zu diesem Schluss kommt die Kommission in einem gestern veröffentlichten Bericht. Die Behörden hätten auch mit der nötigen Dringlichkeit gehandelt, schreibt sie.
 
Der Rüstungskonzern und dessen Leitung hätte dagegen mehr Zeit benötigt, bis sie das Ausmass des Angriffs und die damit verbundenen Risiken anerkannt und eigene Massnahmen angeordnet hätten, so die Mitteilung der Kommission. Die GPK begrüsst es aber, dass das VBS Druck ausübte und mehrfach bei der Firma intervenierte.
 
Angriff und Folgen flossen zu wenig in Steuerung von Ruag ein
Im Rahmen der Abklärungen habe die GPK-N detaillierte Angaben über die vom Angriff betroffenen Datenverzeichnisse und die damit verbundenen Risiken erhalten. Auf der Basis dieser Informationen habe sie den Vorfall als gravierend eingestuft.
 
Kritisiert wird von der Kommission, dass der Angriff und dessen Folgen zu wenig in die strategische Steuerung von Ruag geflossen seien. Das VBS verfüge über die nötigen Instrumente, um die Eignerinteressen des Bundes zu vertreten und durchzusetzen. Es habe diese aber nicht genügend genutzt.
 
Dies zeige sich am Beispiel der regelmässigen Gespräche zwischen VBS und Ruag. Diese dienten heute vor allem der laufenden Information über den Geschäftsgang, schreibt die GPK. Sie sollten aber auch genutzt werden, um Forderungen zu stellen und Aufträge zu erteilen. Es sei "nicht nachvollziehbar", dass die Bewältigung der Konsequenzen des Cyberangriffs im Rahmen der Eignergespräche kaum thematisiert worden seien, schreibt die GPK weiter.
 
Sie kritisiert insbesondere, dass wichtige Diskussionen in einem informellen Rahmen geführt und nicht schriftlich festgehalten wurden. Damit fehle dem VBS nicht nur eine solide Informationsgrundlage, sondern auch die Möglichkeit, Forderungen und Vorgaben nachhaltig durchzusetzen.
 
Die GPK erwartet vom VBS, dass es gegenüber der Ruag in Zukunft bestimmter auftritt und sich stärker für die Forderungen des Bundes und die Wahrung von dessen Interessen einsetzt. Denn obwohl Ruag gemäss eigenen Angaben aufgrund des Cyberangriffs bisher keinen direkten wirtschaftlichen Schaden erlitten habe, dürften dessen Folgen aus Sicht der Kommission nicht unterschätzt werden. Der Bund müsse als Eigner in Betracht ziehen, dass sich der Vorfall längerfristig und indirekt auf den Geschäftsgang der Firma auswirken kann.
 
Nicht untersucht hat die GPK, ob und wie die Massnahmen des Bundesrates zur Bewältigung des Cyberangriffs umgesetzt wurden. Dies wird die Eidgenössische Finanzkontrolle tun. Die GPK hält jedoch fest, sie erwarte vom VBS, dass es die Umsetzung der von der Ruag selber eingeleiteten Massnahmen kritisch begleite und falls nötig interveniere.
 
Die vom Bundesrat eingeleiteten Massnahmen werden durch die Eidgenössische Finanzkontrolle überprüft. (sda/kjo)