Nach einem erfolgreichen Ransomware-Angriff durch Akira auf die US-Tochter Ruag LLC hat der Schweizer Rüstungskonzern Lösegeld bezahlt. Dies gab kürzlich Ruag-Verwaltungsratspräsident Jürg Rötheli in einer Sendung von 'Radio SRF' zu. Die Aussage sorgte für mehr als nur Stirnrunzeln in der Politik. Nationalrat Mauro Tuena (SVP/ZH) sagte gegenüber 'Tamedia' (Paywall): "Das ist ein fatales Signal, das gegen aussen gesendet wird." Hackergruppen würden nun denken, dass auch andere Bundesbetriebe bereit seien, bei einem Datenklau Lösegeld zu zahlen.

Tuena war einer von mehreren Nationalrätinnen und Nationalräten, die danach im Parlament Fragen zum Vorfall einreichten. "Wie war der Bundesrat als Eigner in diesen folgenschweren Entschluss einbezogen?", fragte Tuena. Linda de Ventura (SP/SH) wollte wissen: "Welche konkreten Massnahmen wird der Bundesrat ergreifen, um bei der Ruag und anderen bundesnahen Betrieben sicherzustellen, dass zukünftig keine Lösegeldzahlungen getätigt werden und gleichzeitig sicherheitsrelevante Daten besser geschützt sind?" Und Fabian Molina (SP/ZH) fragte: "Wie beurteilt der Bundesrat den Umstand, dass die Ruag als bundeseigenes Unternehmen ein Lösegeld an die Hackergruppe Akira bezahlt hat, ohne das VBS als Vertreter des Eigentümers Bund vorgängig zu informieren?"

Der Bundesrat beantwortete die insgesamt sieben Anfragen alle gleich und mit einem kurzen Text: "Der konkrete Sachverhalt zum Cybervorfall bei der Ruag LLC in den USA und der von Jürg Rötheli, dem Verwaltungsratspräsidenten der Ruag MRO, erwähnten Lösegeldzahlung wird vom VBS mit der Unterstützung von Ruag MRO aufgearbeitet. Das VBS wird die Aufsichtskommissionen informieren." Im Weiteren stütze der Bundesrat weiterhin die Empfehlung des Bundesamtes für Cybersicherheit (Bacs), auf Lösegeldforderungen bei einem Vorfall mit Ransomware nicht einzutreten.

Die Ransomware-Bande hatte den Angriff auf LLC (ehemals Mecanex USA) am 3. November 2025 im Darkweb publiziert. Akira behauptete, im Besitz eines Datenpakets von 24 Gigabyte zu sein. Darin würden sich "detaillierte Mitarbeiterdaten, vertrauliche militärische Informationen, zahlreiche Verträge und Vereinbarungen (einschliesslich militärischer), Informationen zum Umgang mit Sprengstoff sowie Geheimhaltungsvereinbarungen" befinden.

Am 4. November gab der Rüstungskonzern den Angriff selbst bekannt. "Aufgrund der Autarkie der dort eingesetzten IT-Systeme ist der Vorfall isoliert und hat keine Auswirkungen auf andere Systeme des Ruag-Konzerns", hiess es in einer Mitteilung. Für die Ruag LLC im US-Bundesstaat Virginia seien 8 Mitarbeitende tätig, die den Austausch mit amerikanischen Institutionen, Lieferanten und Partnerfirmen sicherstellen.

Vor einer Woche erklärte Verwaltungsratspräsident Rötheli gegenüber 'SRF': "Wir haben bezahlt, einen kleinen Betrag, und haben glücklicherweise alle Daten zurückerhalten." Eine genaue Summe nannte er nicht. Sie sei aber "gering" gewesen. Der Entscheid sei nach internen Abklärungen und unter Beizug von US-Rechtsexperten getroffen worden. Die Zahlung sei im Rahmen der unternehmerischen Eigenständigkeit erfolgt.

Die jetzt beginnende Aufarbeitung des Falls könnte Konsequenzen haben. Ständerat Josef Dittli (FDP/UR), Präsident der zuständigen Subkommission, brachte gegenüber der 'NZZ am Sonntag' Verschärfungen in Sachen Lösegeldzahlungen ins Spiel. "Ich frage mich, ob eine Weisung vom Bundesamt für Cybersicherheit reicht oder ob es ein Verbot braucht", sagte Dittli. Ein solches Verbot der Zahlung von Lösegeldern wurde bereits in Grossbritannien eingeführt. Es gilt für Behörden, Spitäler, Schulen und Betreiber von kritischen Infrastrukturen.

Noch vor Bekanntwerden des Angriffs auf Ruag LLC hatte das Bacs im Oktober explizit vor Akira gewarnt. Ungefähr 200 Schweizer Unternehmen seien der Gruppe schon zum Opfer gefallen, was Schäden in Höhe von mehreren Millionen Franken zur Folge gehabt hätte. Seither sind bereits weitere neue Schweizer Opfer bekannt geworden, unter anderem im März dieses Jahres die Schreinerei Hauri Staffelbach. Im April erwischte es den Provider und Hoster der Gemeinde Vétroz im Wallis. Die Informatik der Gemeinde war zeitweise komplett lahmgelegt. Die Datenbanken und andere grundlegende Anwendungen waren nicht zugänglich.