Ruag: Vergleich verhindert Offenlegung in Sachen IT-Lücken

31. Mai 2022, 15:48
  • security
  • ruag
  • cyberangriff
  • datenschutz
  • schweiz
image
Flugzeugmontagehalle der Ruag. Foto: WES1947 / Lizenz: CC BY-SA 3.0

Weil der Rüstungskonzern in einem Prozess mit einem ehemaligen Angestellten einen Vergleich geschlossen hat, bleiben die Vorgänge im Unternehmen im Verborgenen.

Ein arbeitsrechtliches Verfahren am Regionalgericht Bern-Mittelland sorgte letzte Woche für Wirbel. Die neu benannten Corporate Services des Technologie- und Rüstungskonzerns Ruag standen als beklagte Partei vor Gericht. Ein Informatiker, der das Unternehmen nach eigenen Angaben immer wieder vor gravierenden Sicherheitslücken in der IT-Infrastruktur gewarnt hatte, klagte gegen seine Kündigung.
Während sich die Medienvertreterinnen und -vertreter Zugriff auf brisante Informationen zu Cybersecurity von Ruag erhofften, einigten sich die beiden Parteien in einem nicht-öffentlichen Vergleich, über dessen Inhalt sie Stillschweigen vereinbarten. Auf Nachfrage von inside-it.ch bestätigte das Regionalgericht, dass Dokumente zur Klage auch für akkreditierte Medienschaffende nicht einsehbar sein werden. Die Vorgänge im Rüstungskonzern bleiben somit für die Öffentlichkeit weiterhin im Verborgenen.

Warnungen ignoriert

Das Onlinemagazin 'Republik' hat den Fall des Informatikers in einem ausführlichen Artikel aufgearbeitet: 2014 arbeitete dieser im Datenmanagement bei der Rüstungs­sparte Ruag Defence. Beim Aufbau einer zentralen Datenmanagement-Plattform bemerkte der Systemadministrator, dass er Zugang zu einem vertraulichen Dokument mit den technischen Daten eines Radarsystems hatte. Daraufhin stellte er fest, dass die gesamte Datenbank voll mit unverschlüsselten Daten war.
Der Informatiker meldete den Fund nach eigenen Angaben seinen Vorgesetzten, die gemäss ihm allerdings wenig taten, um das Problem in den Griff zu bekommen. Der Entdecker wurde laut der Klageschrift, die der 'Republik' vorlag, "knapp, aber unmissverständlich" aufgefordert, "keine weiteren Handlungen zu unternehmen". Ein Jahr später entdeckte der Mitarbeiter weitere schützenswerte Daten, darunter Konstruktions- und Modelldaten von Waffensystemen, Maschinengewehren, Kampfjets aus den USA, Kampfpanzern aus Deutschland oder Radschützenpanzern aus der Schweiz.
Erneut meldete er seinen Fund und intervenierte bei seinen Vorgesetzten. Diese antworteten ihm, dass ein Berechtigungskonzept erstellt werde und die Mitarbeitenden daran erinnert worden seien, wie sie mit militärischen Informationen umzugehen haben. Auf Anfrage der 'Republik' streitet die Ruag das ab: "Zugriffsberechtigungen auf Daten oder Informationen sind seit vielen Jahren streng geregelt – auch lange vor 2015." Weitere Dokumente, die dem Onlinemagazin vorliegen, sollen dieser Darstellung widersprechen. Den Informationen zufolge hat es die Ruag versäumt Zugriffs- und Administratorenrechte festzulegen und Betriebsgeheimnisse entsprechend zu kennzeichnen. Infolgedessen hatten sämtliche Mitarbeitenden Zugriff auf die zentrale Datenverarbeitungsplattform der Ruag Defence.

Internationale Konsequenzen

Der Systemadministrator bekam kalte Füsse, denn die Daten von amerikanischen Waffensystemen unterliegen einem international gültigen Reglement. Gemäss 'Republik' schreibt dieses vor, dass der Zugriff auf technische Daten von US-Verteidigungs- und Militärtechnologien auf Staatsangehörige der USA beschränkt werden muss. Sollten nicht-amerikanische Mitarbeitende die Pläne einsehen, müssen sie dies den US-Behörden melden oder es drohen ihnen Geldstrafen und bis zu 10 Jahre Haft.
Laut 'Republik' wurde der Informatiker noch besorgter, als sein Arbeitgeber Pläne aufstellte, um Waffenteile in einem 3-D-Druck-Zentrum in den Vereinigten Arabischen Emiraten herzustellen. Er wies seine Vorgesetzten auf die Sicherheitslücken hin und erläuterte auch die Konsequenzen, sollten Mitarbeitende klassifizierte US-Daten nach Abu Dhabi mitbringen. Das Projekt in den Emiraten kam letztlich nicht zustande. Gegenüber dem Onlinemagazin wollte die Ruag keine Stellung dazu nehmen.

Hack verändert alles

Im Mai 2016 informierte der Bundesrat die Öffentlichkeit darüber, dass Hacker mit einer Spionagesoftware in die IT-Infrastruktur der Ruag eingedrungen sind. Gemäss dem Nachrichtendienst des Bundes begann der Cyber-Angriff bereits im Dezember 2014. Die Bundesanwaltschaft leitete eine Strafuntersuchung gegen unbekannt ein. Bis heute ist nicht bekannt, wer die Eindringlinge waren und was für Daten sie gestohlen haben. Wir haben den Angriff im Zuge einer ausführlichen Recherche in einer zweiteiligen Serie aufgearbeitet.
Dem Informatiker wurde es nach dem Bekanntwerden des Cyberangriffs noch mulmiger zumute. Er wendete sich an seinen Rechtsdienst, weil er befürchtete, "dass durch das Einbinden von sensitiven, insbesondere auch militärisch klassifizierten Informationen in das SAP-System Geheimhaltungsvorschriften verletzt werden, die auch für ihn persönlich militärstrafrechtliche Konsequenzen haben könnten", zitiert 'Republik' die Klageschrift.
Er verlangte von der Ruag eine Haftpflichtentlastung, damit er nicht dafür verantwortlich gemacht werden kann, falls es zu Klagen wegen nicht vorschriftsgemäss geschützter US-Rüstungstechnologie aus den USA käme. Sein Arbeitgeber vertröstete ihn aber laut Bericht.

Eine eigene Lösung

Der Systemadministrator blieb gemäss 'Republik' hartnäckig und wies weiterhin auf die Sicherheitsrisiken im Konzern hin, die seiner Ansicht nach noch immer ungelöst waren. 2016 bemühte er sich sogar um eine Lösung, um den Datenzugriff korrekt zu regeln. Der Informatiker hatte das Ziel, dass die Daten, die einer Geheimhaltungs­verpflichtung unterstanden, nicht von Unberechtigten eingesehen und ins Ausland übermittelt werden konnten. Seine Vorgesetzten winkten allerdings ab: Die Daten könnten nicht gesperrt werden.
Er fragte erstaunt nach, "ob somit etwa Ruag-Mitarbeiter in Deutschland und Frankreich ohne weiteres geheime Daten in der Schweiz einsehen könnten". Laut Klageschrift fragte er weiter, wie das unterbunden werden könnte, weil es keine Freigabe für einen Know-how-Transfer gemäss Kriegsmaterialgesetz gibt. Im Juli 2017 erkundigte sich der Informatiker erneut nach der Regelung der Zugriffsberechtigungen. Man antwortete ihm, "dass das Problem erkannt und (unverändert) in Arbeit ist; dies notabene seit 2014", wie 'Republik' die Klageschrift zitiert.

Letztes Aufbäumen

In einem weiteren Schritt wandte sich der Informatiker im Oktober 2017 an den damaligen Ruag-CEO Urs Breitmeier und erklärte ihm den genauen Sachverhalt. Wenig später folgte dann der Paukenschlag: Der Bundesrat kündigte an, den bundeseigenen Waffen- und Technologie­konzern in einen nationalen und einen internationalen Teil aufzusplitten, unter anderem mit dem Ziel, die Cybersicherheit zu verbessern. Während der internationale Teil verkauft werden sollte, was teilweise auch bereits geschehen ist, sollte der nationale Teil unter dem Namen Ruag MRO in Bundesbesitz bleiben und weiterhin Dienstleistungen für die Schweizer Armee erbringen.
Die Aufteilung des Unternehmens bringt auch grosse Herausforderungen für die Informatik mit sich: Die Datennetze der beiden Teile müssen entflechtet und getrennt werden. Eine anspruchsvolle Sache, vor allem bei einem solch mangelhaften Datenmanagement. In diesem Zusammenhang erhält der Informatiker die Aufgabe, Netzwerkübergänge der Ruag in andere Netze wie jene des Verteidigungs­departements oder des Bundesamts für Informatik zu prüfen. Immer wieder weist er gemäss dem Online-Magazin auf die bekannten Schwachstellen hin.

Ein Ende mit Schrecken

Im Herbst 2019 erhielt der Informatiker dann die Kündigung. Die offizielle Begründung lautete, seine Stelle werde wegen Restrukturierungen weggespart. In Wahrheit sei die Stelle neu ausgeschrieben worden, schreibt die 'Republik'. Der ehemalige System­administrator verschickt seine Unterlagen verzweifelt an verschiedene Bundesparlamentarierinnen – und wird damit zum Whistleblower. Gegen die Ruag klagt er wegen missbräuchlicher Kündigung. Darüber reden darf der ehemalige Mitarbeiter nach dem Vergleich aber nicht mehr.
Auch die Ruag spricht nicht über den Fall. Ein Sprecher der Firma teilt der 'Republik' mit: 'Wir haben uns geeinigt und eine Vereinbarung getroffen. Dazu äussern wir uns öffentlich nicht, dies haben wir so vereinbart." Es sei der Firma ein wichtiges Anliegen, dass sich Mitarbeitende äussern, "wenn sie den Verdacht haben, dass gegen den Verhaltenskodex oder gegen anwendbares Recht verstossen wurde". Es bleibt zu hoffen, dass die Ruag aus ihren Verfehlungen gelernt hat und in Zukunft auf kritische Stimmen aus der Belegschaft hört, anstatt sie mundtot zu machen.

Loading

Mehr zum Thema

image

Wo steht die Schweiz bei der Digitalisierung?

Das Bundesamt für Statistik hat eine Reihe von Indikatoren gebüschelt. Eine klare Antwort geben sie nicht.

publiziert am 31.1.2023
image

Edtech-Startup Evulpo nimmt 7,7 Millionen Franken ein

Das Schweizer Startup hat an einer Finanzierungsrunde neues Geld gesammelt. Damit soll die E-Learning-Plattform über Europa hinaus wachsen.

publiziert am 30.1.2023
image

Competec hat eigene Marke für PC-Zubehör lanciert

Die neue Schweizer Marke Onit wurde bis jetzt nicht gross angekündigt. Das wird laut Competec bewusst so gehandhabt.

publiziert am 30.1.2023
image

Prantl behauptet: Die Massenentlassungen bei Google & Co. entschärfen den Fachkräftemangel

Die Entlassungswelle der Big Tech erreicht wohl bald die Schweiz. Unser Kolumnist Urs Prantl analysiert, welche Auswirkungen dies auf Schweizer IT-Firmen haben könnte.

publiziert am 30.1.2023