Zum Hauptinhalt springen

Bund soll sich bei der Ruag durchsetzen

Das VBS hätte nach dem Cyberangriff gegenüber dem eigenen Rüstungskonzern bestimmter auftreten sollen, findet die Kommission des Nationalrates.

Seit 2014 im Visier von Hackerangriffen: Firmenlogo der Ruag bei der Produktionshalle im Emmen. (17. März 2016)
Seit 2014 im Visier von Hackerangriffen: Firmenlogo der Ruag bei der Produktionshalle im Emmen. (17. März 2016)
Urs Füeeler, Keystone
Wer hat die Ruag-Geheimnisse entwendet? Fertigung einer Schutzhülle für Satelliten in Emmen.
Wer hat die Ruag-Geheimnisse entwendet? Fertigung einer Schutzhülle für Satelliten in Emmen.
Michael Buholzer, Reuters
Der neue Vorfall könnte das Verhältnis der Schweiz zu Russland weiter belasten: Arbeiten an einer Atlas Rakete.
Der neue Vorfall könnte das Verhältnis der Schweiz zu Russland weiter belasten: Arbeiten an einer Atlas Rakete.
Michael Buholzer, Reuters
1 / 6

Beim Cyberangriff auf den bundeseigenen Rüstungskonzern Ruag waren mehr als 20 Gigabyte Daten gestohlen worden. Die Öffentlichkeit erfuhr im Frühjahr 2016 davon. Der Bundesrat war im Januar informiert worden. Er beschloss Massnahmen, die er im Detail nicht bekannt gab.

Aus Sicht der Geschäftsprüfungskommission (GPK) des Nationalrates haben der Bundesrat und das Verteidigungsdepartement (VBS) angemessen auf den Vorfall reagiert. Zu diesem Schluss kommt die Kommission in einem am Dienstag veröffentlichten Bericht. Die Behörden hätten auch mit der nötigen Dringlichkeit gehandelt, schreibt sie.

Die Ruag und deren Leitung hätten dagegen mehr Zeit benötigt, bis sie das Ausmass des Angriffs und die damit verbundenen Risiken anerkannt und eigene Massnahmen angeordnet hätten. Die GPK begrüsst es, dass das VBS Druck ausübte und mehrfach bei der Firma intervenierte.

Keine Forderungen gestellt

Kritik übt die GPK jedoch am späteren Umgang mit dem Cyberangriff. Der Angriff und dessen Folgen seien im Rahmen der strategischen Steuerung der Ruag zu wenig aufgenommen worden. Das VBS verfüge über die nötigen Instrumente, um die Eignerinteressen des Bundes zu vertreten und durchzusetzen. Es nutze diese aber nicht genügend.

Dies zeige sich am Beispiel der regelmässigen Eignergespräche zwischen VBS und Ruag. Diese dienten heute vor allem der laufenden Information über den Geschäftsgang, schreibt die GPK. Sie sollten aber auch genutzt werden, um Forderungen zu stellen und Aufträge zu erteilen.

Nur im informellen Rahmen

Es sei «nicht nachvollziehbar», dass die Bewältigung der Konsequenzen des Cyberangriffs im Rahmen der Eignergespräche kaum thematisiert worden seien, schreibt die GPK. Sie kritisiert insbesondere, dass wichtige Diskussionen in einem informellen Rahmen geführt und nicht schriftlich festgehalten wurden. Damit fehle dem VBS nicht nur eine solide Informationsgrundlage, sondern auch die Möglichkeit, Forderungen und Vorgaben nachhaltig durchzusetzen.

Die GPK erwartet vom VBS, dass es gegenüber der Ruag in Zukunft bestimmter auftritt und sich stärker für die Forderungen des Bundes und die Wahrung von dessen Interessen einsetzt.

Nicht untersucht hat die GPK, ob und wie die Massnahmen des Bundesrates zur Bewältigung des Cyberangriffs umgesetzt wurden. Dies wird die Eidgenössische Finanzkontrolle tun. Die GPK hält jedoch fest, sie erwarte vom VBS, dass es die Umsetzung der von der Ruag selber eingeleiteten Massnahmen kritisch begleite und falls nötig interveniere.

SDA/nag

Dieser Artikel wurde automatisch aus unserem alten Redaktionssystem auf unsere neue Website importiert. Falls Sie auf Darstellungsfehler stossen, bitten wir um Verständnis und einen Hinweis: community-feedback@tamedia.ch