Teil 2 - Ruag nach dem Hack: Drohen Millionenbussen, 20 Jahre Haft, Reputationsschäden?

10. Februar 2021, 15:30
  • ruag
  • security
  • schweiz
  • usa
  • datenschutz
  • channel
image

Die Kontrolle, Säuberung und Klassifikation von sensiblen Daten der Ruag war sehr schwer. Müssen Ruag, Einzel­personen und der Bund die USA fürchten?

Ende August 2019 befand sich das Ruag-Netzwerk laut externen Auftragnehmern in einem immer noch anfälligen Zustand wie beim Hack 2014, wie wir im Teil 1 basierend auf unveröffentlichten, internen Dokumenten berichteten. Wenn man optimistisch davon ausgeht, dass die Ruag viel Glück benötigte, um die Hacker auszuschliessen oder neue Angriffe abzuwehren, befanden sich der Konzern und das VBS zu diesem Zeitpunkt vor der Herausforderung, bei der Aufsplittung der Ruag in einen internationalen und einen nationalen Teil die richtigen, korrekt klassifizierten und gesäuberten Daten innert weniger Monate, nämlich bis Mai 2020 zum VBS zu migrieren.
Der Bericht der Eidgenössischen Finanzkontrolle (EFK) von 2019 fokussiert genau auf die Entflechtung und die Migration der Daten von Ruag in die Systeme der Armee. "Die EFK beurteilt das dafür vorgesehene Vorgehen als zielführend und geeignet. Sie stellt aber auch fest, dass die Migration durch bisher fehlende Datenklassifikationen, das fehlende bzw. unvollständige Gesamtinventar sowie durch potentiell mit Schadsoftware infizierte Daten und Systeme erschwert wird und sehr aufwendig ist", hält die GPK des Nationalrats in ihrer Stellungnahme "Bewältigung des Cyber-Angriffs auf die RUAG: Bewertung der Stellungnahme des Bundesrates vom 28. September 2018" am 19. November 2019 fest.
Kein Dateninventar? Fehlende Datenklassifikation? Das deutet auf grosse Herausforderungen und noch mehr Ärger hin. Die 'Aargauer Zeitung' (Paywall) erhielt offenbar Zugang zum geheimen EFK-Bericht und zitierte: "Die Ruag verfügt weder auf Stufe Division noch konzernweit über ein Inventar seiner schützenswerten Informationsobjekte. Damit ist nicht festgehalten, wo sich die heiklen Daten befinden und wer die Data-Owner sind bzw. ob diese genügend geschützt sind."
Eine mit dem EFK-Bericht vertraute Person bestätigt die Korrektheit des Zitats.
Es war alles noch viel schlimmer als vermutet. Und haben die EFK-Prüfer recht, so wäre klar, dass die Ruag ein grosses Datenchaos hat und nicht weiss, wer für welche Daten zuständig ist, welche Daten korrekt die Klassifizierung in "intern", "vertraulich" oder "geheim" erhalten haben, wie viele Daten es überhaupt sind, wer intern und extern Zugriffsberechtigungen hat, beziehungsweise auf Daten zugreift, die er nicht sehen oder bearbeiten dürfte. Auch die Redundanzen, Backup, Caches/Proxies dürften im Rahmen einer Migration Kopfzerbrechen bereiten.
War der Ruag-Spitze das Problem mit den Datenklassifikationen und allfälligen unnötig privilegierten Berechtigungen vor dem Hack bekannt? Wann wurden die nötigen Schritte zur Behebung eingeleitet? Die Ruag beantwortet die Fragen nicht.
Viele zentrale, geschäftsrelevante und sensible Daten lagen bei der Ruag in SAP-Lösungen, soviel ist bekannt. Welche SAP-Versionen, welcher Patch- und Upgrade-Stand vor, während und nach dem Hack herrschte, ist nicht bekannt. Diese Information wäre wichtig, um die Bedrohungslage besser zu verstehen.
Konnten Patches zeitnah eingespielt werden? Wie würden Sie das Patch-Niveau vor der Entflechtung/Migration bezeichnen? Die Ruag beantwortet die Fragen nicht.
Ebensowenig ist klar, ob all die SAP-Module, die Verknüpfungen oder die Abhängigkeiten sauber dokumentiert waren. Angesichts der bekannten Informationen über die Ruag-IT ist letzteres zumindest fraglich. Wir verfügen nur über ein einziges A4-Blatt der SAP-Architektur ‒ und mehr als dieses Blatt sei ihm nie unter die Augen gekommen, so ein Informant.
Um welche Daten geht es im SAP-System überhaupt? Laut unserem Informanten betrifft es Triebwerksdaten der FA-18 und sämtliche Funkfrequenzen der Blaulichtorganisationen. Insbesondere auch Informationen von newKOFIMA, einer "Webanwendung für Überwachung und Management des Polycom Funknetzes. Zu diesem Zweck visualisiert webapps die Standorte mit deren Hardware und Betriebszustand auf einer Schweizer Karte und macht sie damit einfach zugänglich".

Wer informiert war, wer informiert hätte sein müssen

Führt man sich den Zustand des Ruag-Netzwerks während und nach dem Hack sowie die EFK-Analysen vor Augen, so war der Schluss des damaligen Ruag-CISO Blumenthal in der 'Bilanz', es seien nur wenige Server betroffen und keine geheimen Daten abgeflossen, zumindest voreilig.
Seine Aussage ist nach heutigem Kenntnisstand auch schlecht belegbar. Die 'Aargauer Zeitung' jedenfalls schreibt mit Verweis auf einen geheimen EFK-Bericht: "Vertrauliche Daten, das steht fest und ist durch den EFK-Bericht bestätigt, lagen ungesichert im Ruag-Netz herum."
Um das Informationsmanagement sicherzustellen, müssen solche Probleme überhaupt bekannt und entsprechende Prozesse etabliert sein, die gewährleisten, dass das Top-Management reagieren kann. So lautet die Lehrmeinung. Waren die von der EFK genannten Missstände der Ruag-Spitze tatsächlich seit 2014 bekannt, wie die 'Aargauer Zeitung' schreibt? Ruag-IT-Spezialisten informierten Linien-Vorgesetzte laut unseren Informationen 2014 schriftlich darüber. Ihre Warnungen wurden von diesen in einer "Schnell-Analyse" bestätigt und entsprechende Massnahmen formuliert.
Es ist für uns nicht abschliessend geklärt, wann und wie weit nach oben in der Hierarchie die Warnungen in der Folge gelangten und ob diese unterschätzt oder ignoriert wurden, wie die 'Aargauer Zeitung' vermutet. Klar ist laut unseren Unterlagen, dass 2016 der Rechtsdienst der Ruag wegen genau derselben Klassifizierungs- und Berechtigungs-Probleme gewarnt wurde.
Es ist unbekannt, ob die Juristen in der Folge die Compliance der Daten auditiert haben und sich zudem für den Schutz ihrer IT-Mitarbeitenden interessierten. Falls ja, warum konnte die EFK 2018 und 2019 noch auf gravierende Datenprobleme stossen? Vermutlich geschah auch nach der erneuten Warnung wenig, nicht genügend oder gar nichts, um die Situation zu bereinigen. Anders ist die EFK-Beurteilung wohl nicht zu werten.
Den Verdacht einer ungenügenden Security-Kultur unterstützt eine EFK-Prüfung von Ende 2016 zum Thema "Compliance Management System". Die Ruag-Spitze musste in der Folge auch Fehler zugeben, beispielsweise, dass Geschäftspartner und Agenten der Ruag zu wenig überprüft werden.
"Die Risiken bezüglich Korruption und Umgehung schweizerischer Exportbeschränkungen seien beträchtlich", fasste 'SRF' die beunruhigenden EFK-Erkenntnisse zusammen. Und: "Das Risiko für den Bund aus möglichen Korruptionsfällen bzw. Verstössen gegen internationale Regulierungen müsse reduziert werden."
Die Ruag-Spitze hatte jedenfalls bezüglich IT-Security, Informationsmanagement und Compliance-Risiken genügend Informationen, um entschlossen zu handeln. Warum taten sie es nicht? Um ihre Karrieren und Boni nicht zu gefährden, wie die 'Aargauer Zeitung' schreibt und unsere Informanten ihnen ebenfalls unterstellen?
Es gilt jedenfalls für alle Involvierten die Unschuldsvermutung.

ITAR – das wenig bekannte, kritische RisikoDiese Missstände könnten juristische, politische und technische Konsequenzen haben. Juristisch und politisch heikel sind speziell "ITAR"-Daten, also Daten, die den "International Traffic in Arms Regulations" unterliegen. Möglicherweise wurden auch die Export Administration Regulations (EAR) im Bereich "Dual Use"-Produkte verletzt durch die von der EFK festgestellten Unklarheiten im Handling der Daten.

ITAR gilt für Waren, Software und Technologie, und die Gesetze haben einen weiten extraterritorialen Geltungsbereich, sie sind also nicht nur in den Landesgrenzen der USA gültig. Die US-Regierung ahndet Verstösse gegen diese Gesetze durch Unternehmen und Einzelpersonen ungeachtet von deren Standort, so ein Bericht der Rechtswissenschaftlichen Fakultät der Universität Luzern (PDF).
Als ITAR-Verstoss können offenbar auch nicht korrekt gemanagte Daten zu einer Schraube in einer F/A-18 gelten.
Die Ruag musste ITAR-Regulierungen einhalten, und die Rechtslage war dem Konzern-Management und dem VR sicher klar.
Umfassten die von der EFK festgestellten fehlenden Datenklassifikationen auch ITAR-relevante Daten? Die Ruag MRO beantwortet die Frage nicht.
Falls die Fragen wegen Verletzungen sich bewahrheiten und bekannt werden, so sind heute Risiken vorhanden, dass die USA wegen jahrelanger Verstösse gegen unterschiedliche "Verantwortliche" der früheren Ruag vorgehen könnte. Dabei könnten die Ruag und Einzelpersonen, darunter ehemalige und aktuelle Ruag-Mitarbeitende, wegen Verstössen belangt werden.
Ob die Schweiz als Ruag-Besitzerin ebenfalls in die Schusslinie kommen kann, ist unklar. Die EFK jedenfalls warnte laut 'Aargauer Zeitung' im Geheimbericht: "Im Falle von internationalen Vorschriften wie zum Beispiel ITAR könnten Verletzungsklagen zu hohen Bussen führen oder Ruag könnte von der Beschaffung von wichtigen Systemen ausgeschlossen werden. Der Bund als Eigner trägt dadurch nicht nur ein finanzielles, sondern auch ein Reputationsrisiko."
Die Luzerner Juristen schreiben: "Im schweizerischen Strafrecht steht die Bestrafung der für das Delikt verantwortlichen natürlichen Personen im Vordergrund. Der Täter ist derjenige, der die Tatherrschaft besitzt, also über das 'ob' und 'wie' der Tatausführung bestimmt. Dies kann im Ergebnis sogar den Mitarbeiter der Versandabteilung betreffen. Meist stehen aber diejenigen Personen im Mittelpunkt der Strafuntersuchung, die für das Zustandekommen solch fehlerhafter Entscheide verantwortlich sind."
Kann Ruag ausschliessen, dass bspw. die USA den Bund, die Ruag sowie deren frühere oder aktuelle Mitarbeitende gemäss ITAR im In- oder Ausland belangen kann? Die Ruag-Nachfolgefirma Ruag MRO Holding beantwortet die Frage nicht.

Haftstrafen bis zu 20 Jahren und administrative Strafen pro Verfehlung

Aber sicherheitshalber könnten Involvierte nun ihre Reisetätigkeit einschränken, denn die USA geht laut Juristen gegen schuldig Gesprochene hart vor: "Es sind Haftstrafen bis zu 20 Jahren und/oder Geldstrafen bis zu USD 1 Mio. vorgesehen. Weiterhin sind administrative Strafen bis zu USD 250'000 pro Verfehlung möglich, bzw. es wird der zweifache Wert der Transaktion als Bemessungsgrundlage herangezogen. Während in der Vergangenheit vor allem Unternehmen im Fokus der Behörden standen, werden heute zusätzlich die verantwortlichen Personen strafrechtlich verfolgt," heisst es von US-Juristen der Kanzlei Williams Mullen.
Würde die USA Bussen pro Verstoss verrechnen, könnten wegen der Dauer der Security- und Datenklassifizierungsprobleme tatsächlich riesige Forderungen erhoben werden.
Wenn grosse Risiken bestehen: Wer ist nun verantwortlich für das Datenchaos, wer definierte, welche Daten ITAR-relevant sind, wer wusste von allfälligen ITAR-Verletzungen und reagierte nicht? Die Fachleute, deren Vorgesetzte, das Top-Management? Dies kann für viele Menschen eine lebenswichtige Frage werden – vielleicht geht es um ihre Freiheit und ihre berufliche Zukunft. Ebenso zentral ist nun, ob und wie die Ruag und der Bund frühere und aktuelle Mitarbeitende im In- und Ausland schützen will und kann.
Ehemalige Ruag-Mitarbeitende befürchten jedenfalls, für die Probleme mit den Datenklassifikationen von den USA belangt zu werden, wie auch die 'Aargauer Zeitung' schreibt.
Darum die Frage: Was tut Ruag MRO heute, um heutige und frühere Mitarbeitende gegen allfällige ITAR-bezogene Anschuldigungen zu schützen? Die Firma beantwortet die Frage nicht.
Auf politischer Ebene stellen sich sofort weitere Fragen, die bis zu "Air2030" reichen könnten: Soll die Schweiz vor diesem Hintergrund einen US-Kampfflieger beschaffen? Muss sie dies gar, um die USA zu beschwichtigen? Oder, beliefert die USA die Schweiz nicht mehr mit F/A-18-Ersatzteilen? Werden Wartungsverträge gekündigt?
Oder will die USA der Eidgenossenschaft ihre neuen Kampfflieger mit Tarnkappentechnologie, laut SP-Nationalrätin Priska Seiler-Graf bei 'SRF' ein fliegender "Supercomputer", gar nicht mehr verkaufen? Denkbar ist es.
Und falls Dual-Use-Verletzungen nach EAR auftauchen, könnte weiteres Ungemach auf die Ruag und die Schweiz zukommen: Auch Soft- und Hardware aus den USA könnten dann auf die Sanktionsliste geraten.

Datenklassifizierung und Migration unter Zeitdruck

Auch auf technologischer Ebene präsentierten sich in der zweiten Hälfte 2019 grosse Herausforderungen für Ruag-Mitarbeitende und Partner. Sie mussten die irgendwo gespeicherten und verknüpften Daten inventarisieren, klassifizieren und von Malware säubern. Es handelt sich um grosse Datenbestände bei einem Konzern mit rund 9000 Mitarbeitenden, die seit der Firmengründung 1998 täglich in unterschiedlichen Ländern unterschiedlichste Daten neu generieren, speichern und bearbeiten, darunter Excel-Files en masse. Die Daten müssen eine juristisch korrekte Nachklassifizierung erhalten, nachdem man sie zuerst gescannt hat, die Meta-Daten, Berechtigungen und Inhalte extrahiert und allenfalls mit anderen Daten verknüpft hat.
Eine vollständige Automatisierung dieser Vorgänge ist unseres Wissens nicht möglich und je nach Ist-Zustand nur schwer möglich.
Es müssen auch Entscheide gefällt werden. Was muss, was soll migriert werden? Was nicht? Warum? Auch dieser Prozess ist bei einer erfolgreichen Nachklassifizierung anspruchsvoll. Und die Daten müssen 100% gesäubert sein, nur 99,5% genügen für die Ruag-Daten nicht, will man nicht auch die IT-Systeme des VBS kompromittieren.
Das Ziel lautete laut 'NZZ' dass bis Ende 2019 alle "geschäftsrelevanten Daten" kontrolliert und transferiert seien. "Dazu gehören E-Mails, Personalsysteme oder Zutrittssysteme. Zu Verzögerungen kommt es jedoch bei einigen Anwendungen der Ruag, die mit den Systemen der Luftwaffe sowie der Logistikbasis verknüpft sind. Dazu gehören zum Beispiel Angaben über den Zustand der Einzelteile in einem Kampfjet oder auch dessen Flugdaten", schrieb die 'NZZ'. Wegen des WEF in Davos im Januar 2020 sei die Migration später, über die Osterfeiertage im April 2020, geplant gewesen, was das VBS der 'NZZ' (Paywall) allerdings damals nicht bestätigen wollte.

Warum wurde keine Malware gefunden?

Bis Ende November 2019 habe man keine Malware gefunden, schrieb die Ruag laut der 'NZZ' damals, was nach einer Erfolgsmeldung klingt und zuversichtlich stimmte. Aber: "Wer nicht richtig sucht, der findet auch nichts", kommentiert ein Informant diese Ruag-Aussage. Damit stellt sich die Frage, wie wurden denn die Daten nach Malware gescannt? Anti-Viren-Software genügt hierzu nicht, sie entdeckt nur bekannte Muster und diese können auch mal ein Jahr unbekannt bleiben. Und von Profi-Hackern in Daten wie JPGs versteckte Malware findet ein Anti-Virenscan üblicherweise nicht.
Das Risiko eines erneuten Hacks mit anderer Malware war sehr real, war doch, wie von externen Experten festgehalten, der Schutzgrad des Ruag-Netzwerks Ende August 2019 nicht höher als im September 2014.
Falls bloss Windows Defender und ein weiteres Antiviren-Programm die Daten gescannt haben, dann wäre dies nicht genügend, sagen Security-Experten.
Wie also hat Ruag die Daten gesäubert, fragten wir schriftlich: "Gängige Anti-Viren-Scanner finden nur Signaturen und bekannte Malware. Es gibt teilweise monatelang unbekannte oder ungepatchte Exploits, und Anti-Viren-Programme (AV) können Code, der in Files (jpg, ppt, ….) implantiert wurde, nicht identifizieren. Deshalb setzt man heute beispielsweise auf Malware Detection mit Behavioral Analytics, welche Logfiles auf Auffälligkeiten scannen. Hat die Ruag solche oder ähnliche Tools auch eingesetzt oder 'nur' AV?"
Seitens des VBS zeigte man sich 2019 jedenfalls auch besorgt oder misstrauisch wegen der Qualität der Daten, die in ihre Verantwortung übergehen würden: "Um sicherzustellen, dass sich in den zu integrierenden Daten keine Schadsoftware mehr verbirgt und damit die Integration der Daten erfolgreich abgeschlossen werden kann, hat das VBS eine zusätzliche Überprüfung eingeleitet", schreibt die GPK, dies bei der ETH Zürich. Dies wurde der GPK am 1. Juli 2019 mitgeteilt. Die Resultate sind bis heute unbekannt.

"Intensive, mehrstufige Prüfverfahren"

Viola Amherd, nach Guy Parmelin und Ueli Maurer dritte VBS-Vorsteherin im fraglichen Zeitraum ab September 2014, sagte jedenfalls der GPK NR, es brauche "absolute Gewissheit, dass diese Daten 'sauber' seien – dies könne man bisher aber nicht mit Sicherheit sagen".
Die Ruag MRO sagt auf unsere (schriftliche) Anfrage heute dazu: "Im Zuge des Datentransfers wurden sämtliche Daten der RUAG einem intensiven, mehrstufigen Prüfverfahren unterzogen, nach den geltenden Vorgaben analysiert, die Data Ownership verifiziert und bei Bedarf neu klassifiziert (intern, vertraulich, geheim). Für die Überprüfung und den Transfer von ITAR-relevanten Daten wurden zusätzliche Sicherheitsvorkehrungen zur Einhaltung der gesetzlichen Vorgaben getroffen. Militärisch klassifizierte Daten (ITAR, IOS) wurden protokolliert, inventarisiert und durch entsprechende Schutzmassnahmen vor unbefugtem Zugriff und Data Leakage geschützt. Details zum genauen Verfahren werden aus Sicherheitsgründen nicht offengelegt."

20 Millionen Franken richtig investiert?

Während die Quellen von inside-it.ch Zweifel an den Erfolgschancen der Ruag-Datensäuberung äussern, zeigte sich der Bundesrat zufrieden. Am 19. Februar 2020 diskutierte er die GPK-NR-Stellungnahme und hielt fest, die GPK-Empfehlungen seien bereits erfüllt worden und damit sei die "Entflechtung und Weiterentwicklung der Ruag nach dem Cyberangriff auf Kurs", wie es in einer Medienmitteilung hiess.
Das mag stimmen, wenn der Bundesrat die entsprechenden, uns nicht bekannten Informationen hatte, und die Ruag einen veritablen Kraftakt schaffte. Laut 'NZZ' betrugen die Kosten für die Säuberung und Aufbereitung über 20 Millionen Franken.
RUAG MRO Holding schreibt als eigene Bilanz: "Die Daten der RUAG AG sind mit der Entflechtung in den Sicherheitsperimeter des VBS respektive den Perimeter der Führungsunterstützungsbasis der Armee FUB transferiert worden. Dabei wurden sämtliche Systeme neu aufgebaut und ausschliesslich auf Malware geprüfte Daten in den FUB-Perimeter transferiert. Die neue IT-Infrastruktur der RUAG AG hat somit heute den gleichen Schutz wie die Systeme des VBS. Die FUB erbringt als Service-Provider für die RUAG AG Dienstleistungen der IKT Grundversorgung. Für den proaktiven Schutz der IT-Infrastruktur und von Daten vor internen und externen Gefahren bezieht die RUAG AG zusätzlich Dienstleistungen vom Security Operations Center (SOC) der FUB."
Die Eidgenössische Finanzkontrolle (EFK) wird laut ihrem Jahresprogramm 2021 prüfen, ob Bundesrat und Ruag zielführend und korrekt gehandelt haben. Das Parlament hat ihr einen Sonderauftrag zur "Prüfung der Massnahmenumsetzung im Zusammenhang mit den Sicherheitsvorfällen bei RUAG" erteilt. Vielleicht erteilt die EFK aller Skepsis zum Trotz der Ruag und dem VBS ihre Absolution.
Die möglichen früheren ITAR-Probleme allerdings werden mit der Entflechtung angesichts der langjährigen Security- und Informationsmanagement-Schwächen nicht aus der Welt geschafft. So könnte es sein, dass der Ruag-Hack tatsächlich einer Corona-Infektion ähnelt und Long-Covid-Schäden resultieren.
Update (15.2.2021):  Webapps hält gegenüber inside-it.ch fest: Die Firma habe im Rahmen des Projekts newKOFIMA als Unter-Auftragnehmer die Weboberfläche für das Projekt newKOFIMA umgesetzt. "webapps hatte weder Einsicht in geschützte Daten noch Zugang zu geschützten Systemen. Der Satz 'einfache Zugänglichkeit' bezieht sich auf die Gestaltung der Weboberfläche und nicht auf die Verfügbarkeit der Daten." Wir entschuldigen uns für die missverständliche Formulierung.

Loading

Mehr zum Thema

image

Zurich Film Festival – Ticketverkauf dank flexibler Standortvernetzung.

Heute ist das Zurich Film Festival (ZFF) das grösste Herbstfilm-Festival im deutschsprachigen Raum und ein Sprungbrett zu den Oscars. 2005 fand es zum ersten Mal statt.

image

Wegen Daten-Spionage: Sammelklage gegen Meta

In einer Klageschrift gegen Meta heisst es, Apps von Instagram und Facebook würden Daten mittels eines JavaScript-Code auf Websites einspeisen.

publiziert am 23.9.2022
image

Das OIZ der Stadt Zürich hat seine SAP-Dienstleister bestimmt

Für 22 Millionen Franken hat sich der Stadtzürcher IT-Dienstleister SAP-Unterstützung in 4 Bereichen gesichert.

publiziert am 23.9.2022
image

TAP Portugal bestätigt den Klau von Passagierdaten

Nach dem Cyberangriff sind 600 Gigabyte an Daten der Airline veröffentlicht worden – auch von Schweizer Passagieren. Kunden werden vor möglichen Phishing-Angriffen gewarnt.

publiziert am 23.9.2022