Cybersicherheit
Projektziele erreicht: Bund stellt Ruag gutes Zeugnis aus

Die Eidgenössische Finanzkontrolle (EFK) ist zufrieden mit dem Stand der Entflechtung der Informations- und Kommunikationstechnik (IKT) der Ruag. Es gibt aber noch Verbesserungspotenzial.

André Bissegger
Merken
Drucken
Teilen
Die Eidgenössische Finanzkontrolle hat sich mit den Informatiksystemen der Ruag befasst. (Symbolbild)

Die Eidgenössische Finanzkontrolle hat sich mit den Informatiksystemen der Ruag befasst. (Symbolbild)

Keystone

Die Informatiksicherheit der Ruag sorgte erst kürzlich wieder für Schlagzeilen. So soll es Ende Mai einen Hackerangriff auf das auf zivile Luft- und Raumfahrt spezialisierte Unternehmen Ruag International gegeben haben. Zwar bestätigte das Unternehmen den Hackerangriff nicht, allerdings fanden externe Sicherheitsexperten «ernstzunehmende Sicherheitsmängel».

Der mögliche Angriff ist daher auch problematisch, weil die Entflechtung der früheren Ruag noch nicht abgeschlossen ist. Neu gibt es zwei Unternehmen: Eines, das für Unterhalt und Reparatur der Armeesysteme (MRO) zuständig ist, und eines, das auf zivile Luft- und Raumfahrt spezialisiert ist (Ruag International). Der Bundesrat hatte die Aufteilung seines Rüstungskonzerns beschlossen, nachdem bereits 2016 ein Cyberangriff auf die Ruag entdeckt worden war.

Diese Entflechtung betraf auch die Informatiksysteme der Ruag, die physisch vollständig getrennt wurden: Dasjenige der MRO-Seite wechselte in die Verantwortung des Eidgenössischen Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS). Dabei wurden die komplette Infrastruktur und die Systeme im Sicherheitsperimeter der Führungsunterstützungsbasis (FUB) neu aufgebaut und die Daten übernommen.

EFK-Bericht ist teilweise geschwärzt

Nun hat die Eidgenössische Finanzkontrolle die Sicherheit der IKT-Systeme geprüft und am Dienstag ihren für die Öffentlichkeit teilweise geschwärzten Bericht publiziert. Allerdings fand die Schlussbesprechung bereits am 3. Februar statt – lange vor dem erneuten Vorfall. Ihr Fazit: Die Projektziele wurden qualitativ und quantitativ erreicht.

«Die Prüfung hat gezeigt, dass die Überführung der Systeme und Daten, trotz offener Nachfolgeprojekte weitestgehend erfolgreich abgelaufen ist», schreibt die EFK im Bericht. Die Zusammenarbeit mit der FUB funktioniere, sei aber noch nicht eingeschliffen. Zudem seien die IKT-Governance und -Sicherheitsorganisation zweckmässig aufgestellt, müssten aber noch «umfangreiche Nacharbeiten» leisten.

Es geht um einzelne Aspekte in der Betriebssicherheit, die verbessert werden müssen. Die EFK bemängelt etwa, dass das betriebliche Kontinuitätsmanagement erst 2023 operativ wird und fordert daher eine raschere Lösung. Auch solle die FUB flächendeckende Sicherheitskonformitätsprüfungen konsequent durchführen. Ausnahmen bei gewissen Anwendungsfällen seien möglichst abzubauen oder zu formalisieren.