Ruag laut Schweizer Fern­sehen erneut gehackt

20. Mai 2021, 14:29
  • ruag
  • schweiz
  • verwaltung
  • security
  • ruag international
image

Die 'Rundschau' bestätigt Enthüllungen von inside-it.ch. Das wichtigste zur Sendung. Plus exklusive Antworten des VBS.

Die IT-Systeme der Ruag waren bis mindestens kurz vor der Aufteilung der Ruag in einen Schweizer und einen internationalen Teil nicht besser geschützt als zum Zeitpunkt des grossen Hacks Anfang 2016. Dies eine Erkenntnis der "Rundschau" von 'SRF'. Nach laut Eigenangaben "wochenlangen Recherchen und Kontakten mit einem Dutzend Informanten" wiederholt und bestätigt die TV-Sendung in einem 50-minütigen Bericht die Enthüllungen von inside-it.ch vom Februar 2021.
Beispielsweise ergab ein externer Scan des Ruag-Netzwerks, übertitelt "Privileged Account Security - Discovery & Audit (DNA)", vom 19. März 2019, dass das weitläufige Netzwerk anfällig für "Golden Ticket"-Attacken sei. Das heisst laut gängiger Definition, dass es zu diesem Zeitpunkt möglich war, dass ein Angreifer umfassend und vollständig Zugriff auf das gesamte Netzwerk erhalten konnte. Sie hätten laut dem Dokument bei einer "Maschine" eine "goldenen Eintrittskarte" zu allen Computern, Dateien, Ordnern und sogar zu Domain-Controllern (DC) finden können.
Ende August 2019 schlugen externe Security-Experten angesichts der Lage Alarm: "Der Global Risc Score steht derzeit bei 8.3. von 10 möglichen Punkten, was einen sehr schlechten Wert und hohes Risiko der Infrastruktur darstellt." An anderer Stelle heisst es Ende August 2019: "Der aktuelle Schutzgrad der Ruag ist nicht höher als zur Zeit des öffentlich gewordenen Angriffs 2016."
Angesichts der vielen Verbindungen der Ruag-IT zu andern stellen sich weitere Fragen.

VBS präzisiert Rolle der Ruag bei Polycom und Swisstopo

In einer Stellungnahme gegenüber  'SRF' präzisiert das VBS einige Punkte wie beispielsweise zu den Blaulichtorganisationen Polycom und Swisstopo, die nicht Eingang in die Sendung fanden, aber publiziert wurden. Allerdings antwortete das VBS nicht zu weiteren Verbindungen der Ruag zu den Bundes-IT-Netzwerken von Zoll, NCSC, Fedpol, Armasuisse, NDB, FisH oder Flieger Flabführen.
Frage 'SRF': Über das Ruag-Netzwerk gibt es offenbar einen Zugang zu Polycom. Ein Angreifer könnte die Kommunikation unter den Blaulichtorganisationen lahmlegen. Können Sie das ausschliessen? "Die Ruag MRO hat den exklusiven Vertriebskanal für die Polycom-Funkgeräte in der Schweiz. Weiter ist die Ruag MRO Reparatur- und Servicecenter für Polycom-Funkgeräte in der Schweiz (Hersteller ist Airbus, Airbus hat die Ruag MRO ausgewählt und befähigt). Zudem wird das Alarmierungs- und Meldungsvermittlungssystem Vulpus Telematik durch die Ruag MRO weiterentwickelt und sie ist für den Betrieb gegenüber Armasuisse verantwortlich. Für beide Systeme gibt es kontrollierte Zugänge für Wartungs- und Instandhaltungsarbeiten aus dem Sicherheitsperimeter V. Bei einem Cyber-Angriff kann die Verbreitung von Schadsoftware über die Schnittstellen zu anderen Systemen nicht kategorisch ausgeschlossen werden, allerdings sind Teilsysteme untereinander durch Sicherheitsmechanismen getrennt, so dass eine flächendeckende Ausbreitung unterbunden werden kann."
Und zu Swisstopo schreibt das VBS: "Eine schwerwiegende Manipulation der Geodaten innerhalb der Swisstopo-Produktionssysteme, die unbemerkt bleibt, hält Swisstopo angesichts der sehr grossen Nutzeranzahl ihrer Geodaten für unwahrscheinlich."

Der rätselhafte neue Hack

Die Sendung "Rundschau" zeigte Videoaufnahmen von "anonymen Hackern", welche zeigen sollen, wie sie letzten April Zugriff auf den Posteingang von André Wall, CEO von Ruag International, erhalten hätten. Beispielsweise hätten die Hacker auf Dateien zum Computer des Mars-Rover und zur geplanten NASA-Raumstation erhalten.
Die gezeigten Sequenzen sind verpixelt, sind also nicht zu beurteilen. Gegenüber der 'NZZ' präzisiert die "Rundschau", die Hacker seien nicht Mitarbeitende der Ruag. Die Sendung liess sich offenbar von Experten bestätigen, "das skizzierte Vorgehen der Angreifer sei plausibel".
Ruag International erklärte 'SRF', man habe bis anhin keinen Hack entdeckt. Liegt dies daran, dass der Hack nicht stattfand oder an der bis heute ungenügenden IT-Security? "Unsere Systeme sind nach neusten Erkenntnissen geschützt", verteidigt sich die Medienstelle. "Das uns vorliegende Bildmaterial ist kein schlüssiger Beweis" und man analysiere aktuell den Sachverhalt und behalte sich eine Strafanzeige vor, so Ruag International.
image
Foto: Ruag International

IT-Entflechtung immer noch im Gang

Die Verantwortlichen von Ruag Schweiz versichern der "Rundschau", sie habe inzwischen die Security im Griff. Die "Entflechtung" der IT-Systeme der alten Ruag in die neue Schweizer Firma und Ruag International ist aber, wie die Exponenten in der Sendung zugeben, wohl erst Ende 2021 vollzogen. Bisher sei nur die "organisatorische Entflechtung" abgeschlossen.
Die Netzwerk-Verbindungen zwischen Ruag International und Ruag Schweiz seien "in der Mehrheit" gekappt, die wichtigsten Daten in die IT-Systeme des VBS migriert, das heute für die Informatik der Schweizer Ruag verantwortlich ist.
Ein schwieriger Teil ist die Säuberung und Migration der unzähligen, lange Zeit bei der Ruag nicht inventarisierten und nicht korrekt klassifizierten Daten, wie wir ebenfalls im Februar enthüllten und die Finanzkontrolleure der EFK ebenfalls feststellten. Diese Daten-Migration bildet auch für Ruag  MRO "das Herzstück der Entflechtung aus 'IT-Optik'. Dieser Schritt wurde im April 2020 mit dem sog. Cut-Over erfolgreich vollzogen", schreibt die neue Schweizer Firma.
"Im Zuge des Datentransfers bei der Entflechtung wurden sämtliche Daten von RUAG MRO einem intensiven, mehrstufigen Prüfverfahren unterzogen, nach den geltenden Vorgaben analysiert, die Data Ownership verifiziert und entsprechend klassifiziert." Unsere Fragen wie dies getan wurde, beantwortete Ruag bis anhin nicht.
Die IT-Systeme seien nun komplett neu aufgesetzt worden und die Daten der "alten Ruag" wurden klar nach der Auftrennung der Geschäfte zugeteilt, heisst es wortkarg.

Das VBS erklärt sich zur Datenprüfung und Migration

Wie sieht dies auf Seiten VBS aus? Es wurde "dank der sorgfältigen Vorgehensweise keine Schadsoftware ins VBS migriert", so die Armee-Verantwortlichen in einer eigenen Stellungnahme. "Sämtliche Daten wurden nach ihrer Identifikation und vor der Übernahme in eine Quarantäne gebracht und dort auf Schadsoftware überprüft. Konkret: Um die Verschleppung von Malware auszuschliessen, durften keine Daten direkt vom System von RUAG in den Sicherheitsperimeter V kopiert werden. Deshalb wurden diese über extra dafür eingerichtete Datenleitungen in einen Quarantänebereich der FUB transferiert, dort auf Malware gescannt und erst dann auf die neuen Systeme übertragen."
Fragen an das VBS: Können Sie konkretisieren, wie die Migration und Integration ablief? Auf Anfrage antworten die Experten der Führungsunterstützungsbasis FUB des VBS dazu: "Der Datentransfer wurde in drei Phasen gegliedert: Initialer Copy, Delta Copy und Finaler Copy. Bei der Entflechtung wurden nicht klassifizierte sowie intern und vertraulich klassifizierte Daten übernommen. Verantwortlich für die Klassifizierung ist der Datenherr, sprich Ruag."
Und wie wurden die Daten gescannt, hat inside-it.ch das VBS unter anderem gefragt: Mit einem oder mehreren Antiviren-Scanner? Wie haben Sie sichergestellt, dass nicht nur bekannte Malware-Muster entdeckt werden konnten? Wie haben Sie sichergestellt, dass beispielsweise Profis in JPGs oder PPT keine Malware versteckt haben? Kam Malware Detection mit Behavioral Analytics, welche Logfiles auf Auffälligkeiten scannen, zum Einsatz? "Die Daten wurden über eine dedizierte Glasfaser-Leitung und/oder per NAS (Network Attached Storage) aus dem Netz der Ruag in eine DMZ (Demilitarisierte Zone) der FUB angeliefert. Die Prüfung erfolgte im Normalfall automatisiert mit mehreren Prüfschritten durch verschiedene Typen von Antivirenscanner, Sandboxlösungen und Umformatierungen von definierten Dateitypen."
Zudem habe die FUB Spezialprüfungen der Daten gemacht: "Die Spezialprüfungen erfolgten für grosse Datenfiles, pst-Files und die Daten, welche nach der ersten Prüfung auf die Blacklist gesetzt wurden."
Nach Abschluss der Datenübernahme sei die Verbindung getrennt und abgebaut worden, hält die FUB fest und fügt an: "Auf dem Zielsystem werden weitere Schutz- und Überwachungsmassnahmen eingesetzt, welche die Daten auch zukünftig überwachen. Da werden jeweils auch die neusten Erkenntnisse angewendet."

"Die Situation ist heute eine andere"

Das VBS will vorwärts schauen: "Informationen zur Informatiksicherheit aus den Jahren 2016 oder 2018 sind überholt. Die Situation ist heute eine andere, drei Jahre nach Beginn der Entflechtung und nach einer Investition von zweistelligen Millionenbeträgen in eine neu aufgesetzte IT und in den sicheren Transfer der Daten."
Heute, so versichert auch Ruag Schweiz, sei der Schutzgrad auch höher ist als zur Zeit des Hacks, der 2016 bekannt wurde. "RUAG MRO hat einen vollständigen Überblick über das eigene Netzwerk. Durch den Neuaufbau der kompletten Infrastruktur in der FUB-Umgebung entspricht der heutige Schutzgrad von RUAG MRO jenem des VBS. RUAG International hat nach der Entflechtung ebenfalls stark in die IT- und Informationssicherheit investiert."
Ruag International hingegen soll laut 'SRF'-Informanten vollständig über den alten Datenbestand des Ruag Netzwerks verfügen. Die Daten des neuen Schweizer Teils wurden laut Ruag-Angaben "auf der Umgebung von Ruag International bereinigt, gelöscht oder dauerhaft anonymisiert". Dies betreffe auch die SAP-Systeme, Mailboxen, File-Server sowie "Daten, die in relevanten Applikationen direkt gehalten werden".

Die EFK nimmt nachträglich Stellung

Die Eidgenössische Finanzkontrolle EFK wirft sich mit einer "kurzen Darstellung" ihrer Sicht zur Compliance bei der alten und neuen Ruag ins Informationsgetümmel. Die Ruag MRO Holding "hat seit der Entflechtung erhebliche Anstrengungen unternommen, um ein verantwortungsvolles und nachhaltiges Risiko- und Compliance Management aufzubauen". Sofort umsetzbare Massnahmen und Empfehlungen der EFK seien umgesetzt.
Bezogen auf die Compliance möglicherweise gehackte neue Ruag International schreibt die EFK: "Die Umsetzung der EFK Empfehlungen erfolgt anhand eines detaillierten Umsetzungsplans. Der Umsetzungsplan enthält die konkreten Massnahmen zur Umsetzung, die Bestimmung der verantwortlichen Funktionen sowie Zeitplanung und Meilensteine für Konzeptionierung, Dokumentation und Implementierung. Die Planung wurde nach der tatsächlichen Risikosituation sowie der Risikotragfähigkeit von RUAG International ausgerichtet und stellt eine risikoadäquate Priorisierung bei der Umsetzung unter effizientem Einsatz der Ressourcen sicher."
image
Priska Seiler Graf, Werner Salzmann

Und jetzt?

Die befragten Politikerinnen und Politiker fordern in der TV-Sendung jetzt Klarheit oder gar eine Parlamentarische Untersuchungskommission PUK, wie Balthasar Glättli (Grüne/ZH). Auch Nationalrätin Priska Seiler Graf (SP/ZH) und Josef Dittli (FDP/UR) äussern sich empört und betroffen insbesondere über den mutmasslichen Hack vom April.
Nun sei der Bundesrat gefragt und die Aufsplittung der Ruag und der geplante Verkauf beispielsweise des Ruag-Bereichs Ammotec müsse gestoppt werden bis "aufgeräumt" sei.
Verblüfft und ahnungslos zeigte sich verblüffenderweise selbst Werner Salzmann (SVP/BE), lange Präsident der Sicherheitspolitischen Kommission des Nationalrats und aktuell Vizepräsident der Sicherheitspolitischen Kommission des Ständerats. Angesichts der Bedeutung der Kommissionen und Relevanz der IT-Security: Wieso konnte inside-it.ch (und 'SRF') mehr Ruag-IT-Fakten recherchieren als die zuständigen Schweizer Sicherheitspolitiker?

Relevante Fragen bleiben unbeantwortet

Unbeantwortet bleiben auch zentrale, nach wie vor relevante Fragen über die Vergangenheit vor der organisatorischen und technologischen Entflechtung. Stimmt es, was Insider gegenüber 'SRF' sagten? "Gemäss mehreren Insidern waren von der Geschäftsleitung, über den Verwaltungsrat der Ruag bis zum CdA Thomas Süssli, BR Viola Amherd und VBS-Generalsekretär Toni Eder alle über die zahlreichen Schwachstellen des Netzwerkes informiert. Wieso wurde es gegenüber der Öffentlichkeit anders dargestellt? "Das ist falsch. Die NZZ hat bereits Ende 2019 über die hohe Komplexität berichtet", so die Antwort. "Der Eigner ist zu jeder Zeit und aktuell über den Stand der Entflechtung informiert worden."
Wann wurde wer zwischen 2016 und 2019 informiert und von wem? Und was unternahmen sie allenfalls in der Folge, um die IT-Sicherheit der Ruag und damit der Schweiz zu verbessern?

Was droht aus den USA?

Bis spät ins Jahr 2019 lagen die IT-Systeme jahrelang offen, wie Insider, inside-it.ch vorliegende interne Dokumente und EFK-Prüfungen zeigen. Das heisst, die "alte Ruag" und deren IT ist kein Kapitel aus dunkler Vergangenheit und was immer allfällige unabhängige Untersuchungen von NCSC (ex-Melani) und EKF-Berichte ergeben mögen: Diese jahrelangen Missstände in der IT-Security könnten auch juristische und technische Konsequenzen haben. Juristisch und politisch heikel sind speziell "ITAR"-Daten, also Daten, die den "International Traffic in Arms Regulations" unterliegen, denn damit könnte diese US-Gesetzgebung durch die Ruag und deren Besitzer, die Schweiz und womöglich gar von damaligen und heutigen Ruag-Mitarbeitenden verletzt worden sein.
Die USA könnten möglicherweise Bussen, Sanktionen und Haftstrafen verhängen, wie unsere Recherchen schon im Februar zeigten
Möglicherweise wurden zudem die Export Administration Regulations (EAR) im Bereich "Dual Use"-Produkte verletzt.
Seither setzten 17 Nationalräte das Thema ITAR auf die Traktandenliste, zudem das Thema "Mitarbeitendenschutz": "Wie schützt der Bundesrat Mitarbeitende vor Nachteilen, die damit verbunden sein können, dass die Schweiz den USA notifiziert hat, dass sie Zugang zu ITAR-kontrollierten Komponenten haben?"
Der Bundesrat beantwortete kürzlich den Fragenkatalog der Parlamentarier aus seiner Sicht. In den Räten ist das Thema noch nicht verhandelt worden.
Es ist entsprechend davon auszugehen, dass die USA seit den Enthüllungen von inside-it.ch im Februar und spätestens seit dem aktuellen "Rundschau"-Beitrag ebenfalls Klarheit von der Schweiz erhalten wollen, ob und wie die Schweiz ITAR-relevante Daten schützte und schützt. Sollten irgendwann heikle, ITAR unterstellte technische Daten aus den Ruag-Netzwerken in die Hände von Kriminellen gelangt sein, so kann die USA dies als Krise für ihre eigene Landesverteidigung einstufen.
Aber bis heute scheint niemand zu wissen, was in den letzten Jahren abfloss und wohin.
Update 20.5.: Es wurde die Information zur Eignerinformation präzisiert.

Loading

Mehr zum Thema

image

Bund sichert sich Printer und Zubehör für 80 Millionen Franken

An papierlos ist noch lange nicht zu denken. HP wird die nächsten Jahre für die Drucker der Verwaltung zuständig sein. Ein kleiner Teil des Auftrags geht daneben an Canon.

publiziert am 9.8.2022
image

Slack gibt Passwort-Fehltritt zu

Fünf Jahre lang hätten böswillige Angreifer unter Umständen Passwörter abgreifen können.

publiziert am 9.8.2022
image

In Zürich werden auch die Stühle smart

Im Rahmen von Smart City Zürich testet die Stadt neue Sensoren. Diese sollen an öffentlichen Stühlen Sitzdauer, Lärmpegel und mehr messen.

publiziert am 8.8.2022
image

Google wird bald Nachbar von AWS am Zürcher Seeufer

Google baut seine Büro­räumlichkeiten in Zürich weiter aus und zieht demnächst im ehemaligen Schweizer IBM-Hauptsitz ein. In der Nähe hat sich bereits AWS eingerichtet.

publiziert am 8.8.2022