Bundeseigene Rüstungsbetriebe
Nach angeblichem Hackerangriff auf Ruag: Kommission fordert regelmässige IT-Tests
Nach einem angeblichem Hack der Ruag attestiert die Geschäftsprüfungskommission des Nationalrats dem Bund grundsätzlich eine gute Reaktion. Dennoch fordert sie Verbesserungen.
Während sich Ruag International auf die Luft- und Raumfahrt ausrichtet, unterhält Ruag MRO für den Bund militärische Fahrzeuge oder Kampfjets.
Seit Anfang Jahr sollte die Informatik der Ruag International und jene der Ruag MRO getrennt sein. Das schreibt die Geschäftsprüfungskommission des Nationalrats (GPK) in einem Bericht nach einem angeblichen Hackerangriff auf den inzwischen aufgespaltenen Rüstungsbetrieb des Bundes. Weil die Information über die Entflechtung der Informatik jedoch «zu wenig transparent» abgelaufen sei, fordert die GPK den Bund auf, genauer hinzusehen. Während Ruag International nun in der Luft- und Raumfahrt tätig ist, erbringt Ruag MRO Leistungen für das Verteidigungsdepartement. Dabei geht es vorab um Wartungen, Reparatur und Instandhaltung von militärischen Fahrzeugen und Kampfjets.
Der angebliche Angriff auf die Informatik der Ruag war vergangenen Mai bekannt geworden. Wie die GPK nun schreibt, fehlen dazu zwar noch immer Beweise. Grundsätzlich hätten die Bundesstellen auf den mutmasslichen Angriff aber «angemessen» reagiert. Inzwischen seien dafür jedoch andere «schwerwiegende Mängel in der Informatiksicherheit von Ruag International» aufgeflogen, schreiben die Parlamentsdienste am Dienstag in einer Mitteilung. Diese hatte allerdings auch Ruag-CEO André Wall bereits im vergangenen Sommer eingeräumt.
Kommission verlangt Prüfung vor jedem Verkauf
Dass diese Mängel «nicht früher erkannt wurden» und Ruag International «ihre Informatik nicht schon früher von einer spezialisierten Firma testen liess», bezeichnet die GPK als «unverständlich». Sie fordert den Bundesrat darum in ihrem Bericht auf, sich gegenüber seinen beiden Rüstungsbetrieben dafür einzusetzen, dass solche Tests künftig regelmässig stattfinden. Das sei nämlich im Interesse der Unternehmen als auch des Bundes.
«Von höchster Bedeutung» ist für die GPK zudem, dass die beiden Unternehmen dafür sorgen, dass auf den Systemen von Ruag International «keine sensitiven Daten und insbesondere Daten der Ruag MRO verbleiben». Weil nicht ausgeschlossen werden könne, dass sich solche Daten beispielsweise in Archiven oder Backups befinden würde, fordert die GPK beispielsweise bei jedem Verkauf «gezielte Datenprüfungen». Über einen allfälligen Verkauf von Ruag International ist noch nichts entschieden.
Der Bundesrat hat nun einen Monat lang Zeit, um zum GPK-Bericht und den Forderungen der parlamentarischen Aufsicht Stellung zu nehmen.
