Nationalrätin Priska Seiler Graf (SP/ZH) hat mit 16 Mitunterzeichnenden aus dem links-grünen Lager eine Interpellation mit dem Titel "ITAR-Gesetzgebung der USA - endlich Klarheit über Abhängigkeiten der Schweiz schaffen" eingereicht.

Die International Traffic in Arms Regulations (ITAR) sind ein öffentlich wenig bekanntes US-Gesetz, das nicht nur für Raketenwerfer oder ähnliches relevant ist. Es kommt auch bei der Informatik des Bundes und Bundesbetrieben zum Tragen, welche Daten speichern und managen, die unter ITAR-Gesetze fallen. Und bei Verstössen drohen happige Konsequenzen der USA für Staaten, Firmen und deren Mitarbeitende.

Dies zeigen aktuell unsere exklusiven Enthüllungen zum Informatik-Einsatz, zur Aufräumaktion und zur Governance bei der Ruag nach dem grossen Hack exemplarisch. Die Ruag, im Besitze der Schweiz, hatte und hat mit geheimen Daten und CAD-Informationen zu tun, beispielsweise zu F-18 und anderen Waffensystemen.

Unsere Recherchen weisen darauf hinUnsere Recherchen weisen darauf hin, dass in Tat und Wahrheit jahrelang bei der Ruag nach dem Hack und bis mindestens August 2019 nichts Wirksames geschah, um geheime Informationen zu schützen: 4918 Tage alte Passworte, 100% verwundbare Maschinen... das Ruag-Netzwerk stand im August 2019 so weit offen wie beim bekanntgewordenen Hack von 2014/2015.

Die Eidgenössische Finanzkontrolle (EFK) stellte in einem geheimen Prüfbericht Ende 2019 zudem im Rahmen der Entflechtung der Ruag und der Datenmigration zum VBS fest, dass "die Migration durch bisher fehlende Datenklassifikationen, das fehlende bzw. unvollständige Gesamtinventar sowie durch potenziell mit Schadsoftware infizierte Daten und Systeme erschwert wird und sehr aufwendig ist."

Das bedeutet im Klartext, die Ruag wusste auch Ende 2019 nicht sicher, welche ITAR-relevanten Daten sie besass, ob sie richtig klassifiziert waren und wo sie lagen. Das heisst, möglicherweise haben die Ruag und die Schweiz unwissentlich gegen ITAR verstossen, es könnten Millionenbussen und andere Sanktionen drohen, wie auch die EFK befürchtet.

Entsprechend interessant ist die Fragen der Interpellation Seiler Graf, ob der Bundesrat ein zentrales Register von ITAR-kontrollierten Komponenten hat und ebenso der Schweizer Waffensysteme mit ITAR-kontrollierten Einzelteilen.

Ebenso beunruhigend könnte werden, dass auch Mitarbeitenden von Ruag und dem Bund seitens USA persönliche Strafen wegen Verletzungen drohen könnten. Bis zu 20 Jahre kann man ins Gefängnis wandern deswegen. Zumindest befürchten dies Einzelpersonen, die uns bekannt sind. Es ist unklar, ob und wie Ruag aktuelle und frühere Mitarbeitende schützte und schützt. Die Frage von Seiler Graf dürfte auch darauf abzielen: "Wie schützt der Bundesrat Mitarbeitende vor Nachteilen, die damit verbunden sein können, dass die Schweiz den USA notifiziert hat, dass sie Zugang zu ITAR-kontrollierten Komponenten haben? Wie viele solcher Notifikationen sind bisher erfolgt?"

Bis anhin ist aus Bundesbern bei den Bürgerlichen wenig Lust zu verspüren, sich für ITAR, die Ruag oder um den Schutz von festangestellten Geheimnisträgern zu interessieren. Vielleicht ändert sich dies mit dieser Interpellation.

Zumindest will der Bundesrat nun genauer beaufsichtigen als früher, was die beiden Ruag-Nachfolgegesellschaften eigentlich taten und tun. Kürzlich gab er bekannt, er wolle als Eigner des Ruag-Konzerns bis zum Abschluss der Entflechtung Einsitz in den Verwaltungsrat der übergeordneten Beteiligungsgesellschaft nehmen. "Damit will er den Prozess der Privatisierung der Ruag International noch enger begleiten."

Gleichzeitig erregt das VBS Aufsehen, weil es laut den eigenen Revisoren im ISMS nicht den Überblick über schützenswerte Objekte hat. Darunter könnten auch ITAR-relevante Objekte sein.