Ruag-Entflechtung: Daten-Migration ist aufwändiger als erwartet

24. Februar 2020, 16:42
  • e-government
  • bundesrat
  • ruag
  • security
  • insideit
image

Der Bundesrat sieht die Ruag-Entflechtung auf Kurs. Bis Mitte des Jahres soll auch die Trennung der IT abgeschlossen sein.

Die Entflechtung des Rüstungskonzerns Ruag in das Unternehmen MRO Schweiz, das für die Schweizer Armee tätig sein wird, und dem privaten Technologieunternehmen Ruag International schreitet planmässig voran. Dies schreibt der Bundesrat in seiner Stellungnahme zum zweiten Bericht der der Geschäftsprüfungskommission des Nationalrates (GPK-N) zur Bewältigung des Cyberangriffs auf die Ruag.
Die von der GPK-N Mitte November 2019 gemachten Empfehlungen seien mittlerweile erfüllt, so der Bundesrat.
Organisatorisch sei die Trennung auf Anfang 2020 erfolgt. Die rechtliche und finanzielle Entflechtung sowie die Trennung der IT werde Mitte 2020 abgeschlossen sein, so der Bundesrat weiter. Auch habe der Verwaltungsrat der neu gegründeten Dach-Holding zur Durchsetzung der strategischen Ziele des Bundesrats seine Arbeit aufgenommen.
In der Stellungnahme (PDF) selbst heisst es denn auch, die beiden Teilkonzerne werden ab Mitte 2020 unabhängig voneinander arbeiten.

"Keine unkontrollierten Verflechtungen"

Bei der Entflechtung der Informatik und der Integration der Daten von MRO Schweiz in den Sicherheitsperimeter der Führungsunterstützungsbasis der Armee (FUB) seien umfangreiche Vorsichtsmassnahmen getroffen worden, heisst es in der Mitteilung. Und weiter: Alle für die Geschäftstätigkeit notwendigen Schnittstellen seien durch Firewalls und Zugangskontrollen abgegrenzt worden. Es werde keine unkontrollierten "Verflechtungen" mehr geben, und MRO Schweiz werde den Sicherheitsstandard des Bereichs Verteidigung einhalten. Die Verbesserung der Prozesse und die Sicherstellung der Cyber- und Informationssicherheit nehme der Bundesrat als ständige Aufgabe wahr.
Zudem bestätigt der Bundesrat der GPK-N, dass die Vorsichtsmassnahmen der FUB beinhaltet, dass die Daten von MRO Schweiz sich nun innerhalb einer abgetrennten Zone befinden. "Die Daten werden nach ihrer Identifikation und vor der Übernahme in eine Quarantäne gebracht und dort auf alle bekannten Muster von Schadsoftware überprüft".
Hierzu habe man allerdings die anfänglich bereitgestellten Kapazitäten massiv vergrössern müssen. Denn die Menge der zu migrierenden Daten habe sich erst bei der detaillierten Festlegung der definitiven MRO-Struktur gezeigt. Konkret habe man deshalb umfangreiche zusätzliche technische Ausrüstung in Betrieb nehmen müssen.

Keine weitere Schadsoftware gefunden

Das habe allerdings zur Folge gehabt, dass bis Ende Januar 2020 noch nicht alle Daten überprüft und migriert werden konnten. Jedoch, auch das hält der Bundesrat fest, habe dieser "aufwendige Prozess bis zu diesem Datum zu keinen weiteren Funden von Schadsoftware geführt und damit auch zu keinem Bedarf an weiteren Massnahmen".
Ausserdem nimmt der Bundesrat die Befürchtung der GPK-N auf, Aufträge von Dritten an MRO Schweiz könnten aus Gründen der Informatiksicherheit problematisch sein und zu neuen Verflechtungen führen. Da Schnittstellen zu Geschäftspartnern unumgänglich sind, heisst es dazu, seien Verflechtungen im Sinne von definierten Schnittstellen durchaus gewollt.
Doch da die IT von MRO Schweiz sich künftig innerhalb einer abgetrennten Zone befinde, würden – wie bei anderen Teilen der Armee auch – Schnittstellen für die Kommunikation über Zonengrenzen hinaus definiert. Das gelte für jede Art von Kontakt mit einem Geschäftspartner. Für die im Einzelfall gewählte Schnittstelle sei aber nicht der jeweilige Ansprechpartner, sondern der konkrete Geschäftsprozess ausschlaggebend.
"Die dafür nötige Einrichtung von Webportalen oder anderen Möglichkeiten für den Austausch von Datenpaketen werden von der FUB auf Einzelfallbasis beurteilt und genehmigt". Jedenfalls seien alle notwendigen Schnittstellen durch Firewalls und Zugangskontrollen abgegrenzt. Die wiederum seien nur einzelnen, berechtigten Nutzern zugänglich und würden dokumentiert, schreibt der Bundesrat. In diesem Sinne werde es "keine unkontrollierten Verflechtungen" mehr geben, und MRO Schweiz werde den Sicherheitsstandard des Bereichs Verteidigung einhalten.

Loading

Mehr zum Thema

image

Zürcher Datenschützerin zum Cloudeinsatz: "Der Regierungsratsbeschluss ändert gar nichts"

Bei Dominika Blonski häufen sich seit dem Frühling Anfragen von Behörden zur Cloudnutzung. Im Gespräch sagt die Datenschützerin: "Ich weiss nicht, was die Absicht der Zürcher Regierung war."

publiziert am 30.9.2022 7
image

EPD-Infoplattform von eHealth Suisse gehackt

Unbekannte haben von der Website Patientendossier.ch Nutzerdaten abgegriffen. Das BAG erstattet Anzeige, gibt aber Entwarnung.

publiziert am 30.9.2022 3
image

ALV braucht IT-Know-how für bis zu 55 Millionen Franken

In 8 Arbeitsgebieten sucht das Seco Digitalisierungs-Knowhow für die RAVs und die Arbeitslosenversicherung.

publiziert am 30.9.2022
image

Palantir übernimmt 230-Millionen-Auftrag, um US-Drohnen effizienter zu machen

Der opake Datenanalyse-Konzern des rechtslibertären Milliardärs Peter Thiel gibt auch in Europa wieder zu Reden. CEO Alex Karp inszeniert sich als kritischer Geist.

publiziert am 30.9.2022