EFK verlangt Verbesserungen bei der Ruag

8. Juni 2021, 10:32
image

Die Eidgenössische Finanzkontrolle veröffentlicht ihren Bericht "Prüfung der Informatiksicherheit" und fordert "umfangreiche Nacharbeiten".

Die Eidgenössische Finanzkontrolle (EFK) sieht noch Sicherheitslücken bei der Überführung von Daten des Rüstungskonzerns Ruag unter die Verantwortung des Verteidigungsdepartements VBS. Die Prüfung der Informatiksicherheit habe jedoch gezeigt, dass die Überführung der Systeme und Daten, trotz offener Nachfolgeprojekte, "weitestgehend erfolgreich" abgelaufen sei, schreibt das oberste Finanzaufsichtsorgan des Bundes in einem am 7. Juni veröffentlichten Bericht.
Im März 2018 hatte der Bundesrat beschlossen, die fast ausschliesslich für die Schweizer Armee tätigen Geschäftseinheiten der damaligen Ruag in der neuen Konzerngesellschaft Ruag MRO Holding AG (MRO CH) beziehungsweise deren Tochtergesellschaft Ruag AG, zusammenzuführen. Diese Teile sollten von der übrigen Ruag (Ruag International), die international zivile und militärische Geschäfte tätigt, entflochten werden.
Die Entflechtung betraf auch die Informations- und Kommunikationstechnik (IKT) der Ruag. Es wurde entschieden, diese in die Verantwortung des VBS zu geben. Die komplette IKT-Infrastruktur und die -Systeme wurden im Sicherheitsperimeter der Führungsunterstützungsbasis der Armee (FUB) neu aufgebaut, und die Daten wurden übernommen. Entsprechend müssen die Sicherheitsvorgaben des Bundes erfüllt werden.

Zusammenarbeit mit der FUB "noch nicht eingeschliffen"

Die Informations- und Kommunikationstechnik (IKT-Governance) und Sicherheitsorganisation seien zwar zweckmässig aufgestellt, müssten aber noch umfangreiche Nacharbeiten leisten, so nun die EFK. Die Zusammenarbeit mit der FUB (Führungsunterstützungsbasis der Armee) funktioniere, sei aber noch nicht eingeschliffen.
Nach der IKT-Entflechtung sollten künftig die Standardservices der FUB beansprucht werden. "Der für den 1. Januar 2020 geplante Übergang in die neue Umgebung konnte aufgrund verschiedener Umstände nicht eingehalten werden. Die Migration erfolgte daher verspätet an Ostern 2020. Per Ende April 2020 konnte der IT-Cutover abgeschlossen werden und per Ende Juni 2020 wurde der erste Arbeitsschritt der Entflechtung abgeschlossen", schreibt die EFK. Die Projektziele seien damit erreicht worden.

Anwendungen mit erheblichem Risiko

Der Betrieb der Systeme der Ruag AG sei nach der Migration in der Verantwortung der FUB. Die Sicherheitsüberwachung erfolge durch deren SOC. Hier formuliert die EFK Kritik: "Bei der Einbindung der Systeme in die neue Umgebung wurden keine flächendeckenden Sicherheitskonformitätsprüfungen durchgeführt. Dadurch besteht, insbesondere bei Anwendungen mit Zugang zum Internet, ein erhebliches Risiko. Die FUB sollte diese Sicherheitskonformitätsprüfungen konsequent durchführen."
Mit dem Übergang in die Governance der Bundesverwaltung unterliege die Ruag AG den Vorgaben des Bundes. "Daher mussten für gewisse Anwendungsfälle Ausnahmen zum IKT-Grundschutz beantragt werden. Diese gilt es, wo möglich, abzubauen oder andernfalls noch zu formalisieren", so die EFK. Sie empfiehlt der Ruag AG, sämtliche Ausnahmen zu den IKT-Grundschutzanforderungen zu erfassen und zu prüfen. Primär sollten Grundschutzunterschreitungen vermieden werden.
Die Ruag AG sei mit diesen Empfehlungen einverstanden, heisst es in einer Stellungnahme im Bericht: "Ein entsprechender Prozess wird derzeit aufgebaut mit dem Zweck, die laufenden und neuen Ausnahmen zu erfassen."

"Raschere Lösung" gefordert

Der Aufbau eines Informationssicherheitsmanagements zusammen mit Audit-Tätigkeiten trügen zu einer nachhaltigen Informationssicherheit bei der Ruag bei, heisst es weiter im EFK-Prüfungsbericht. Das Risikomanagement und das betriebliche Kontinuitätsmanagement seien im Aufbau, allerdings solle das Kontinuitätsmanagement erst 2023 operativ werden. Hier fordert die EFK von der Ruag AG eine raschere Lösung.
2016 war ein grosser Cyberangriff auf die frühere Ruag bekannt geworden, der gravierende Mängel in der Informatik ans Licht brachte. Bis mindestens 2019 bestanden weiterhin Security-Mängel, wie Recherchen von inside-it.ch im Februar 2021 zeigten. Auch die 'Rundschau' von 'SRF' hatte kürzlich auf Sicherheitsmängel bei der Ruag aufmerksam gemacht. Die Sicherheitspolitische Kommission will untersuchen lassen, welche Gefahren bei der Datensicherheit bestehen.
Die EFK fordert nun als weitere Konsequenz aus der Entflechtung: "Der Bereinigung von Archiven und Datensicherungen muss mehr Beachtung geschenkt werden." Nach der erfolgten Migration müsse die Ruag AG sicherstellen, dass alle kritischen Daten bei Ruag International gelöscht werden.

Vertrauliche Daten müssen gelöscht werden

Das Konzept für die Löschung der Daten auf den Systemen von Ruag International sei aus der Sicht der EFK zweckmässig aufgebaut. Die Abnahme durch den Lenkungsausschuss stelle eine weitere unabhängige Kontrolle dar. "Dennoch kann nicht ausgeschlossen werden, dass vereinzelte militärische oder vertrauliche Daten nicht gefunden und somit auch nicht bereinigt werden", schreibt die EFK.
Die Kommission empfiehlt deshalb, im Rahmen des Projektes die Erarbeitung einer Übersicht über die Backup- und Archivierungslandschaft von Ruag zu erstellen. "Die Löschung der vorhandenen Sicherungen muss mit hoher Priorität angegangen werden."
In einer Stellungahme im Bericht antwortet Ruag MRO: "Ruag MRO ist mit der Empfehlung einverstanden. Die Empfehlung wird innerhalb des zweiten Arbeitsschrittes der Entflechtung umgesetzt. Ruag MRO fasst eine organisatorische Lösung ins Auge, welche die Inventare und Zugangsprozesse regelt."

Loading

Mehr zum Thema

image

Zurich Film Festival – Ticketverkauf dank flexibler Standortvernetzung.

Heute ist das Zurich Film Festival (ZFF) das grösste Herbstfilm-Festival im deutschsprachigen Raum und ein Sprungbrett zu den Oscars. 2005 fand es zum ersten Mal statt.

image

Das OIZ der Stadt Zürich hat seine SAP-Dienstleister bestimmt

Für 22 Millionen Franken hat sich der Stadtzürcher IT-Dienstleister SAP-Unterstützung in 4 Bereichen gesichert.

publiziert am 23.9.2022
image

In Glarus wird Pierre Rohr Chef der neu geschaffenen IT-Hauptabteilung

Ab 2023 amtet der bisherige Leiter der kantonalen IT-Dienste auch als Chef der dann integrierten Gemeinde-IT-Firma Glarus hoch3.

publiziert am 23.9.2022
image

TAP Portugal bestätigt den Klau von Passagierdaten

Nach dem Cyberangriff sind 600 Gigabyte an Daten der Airline veröffentlicht worden – auch von Schweizer Passagieren. Kunden werden vor möglichen Phishing-Angriffen gewarnt.

publiziert am 23.9.2022