Seit der Cyber-Angriff auf den bundeseigenen Rüstungs- und Technologiekonzern Ruag bekannt wurde, rätselt die Schweiz, wie gravierend das Datenleck tatsächlich ist. Während Sicherheitspolitiker wie der Schwyzer SVP-Ständerat Alex Kuprecht von einem «gravierenden» Fall ausgehen, versucht die Ruag zu beschwichtigen.

Keine Entwarnung geben die IT-Experten des Bundes, mit welchen die «Nordwestschweiz» sprechen konnte. Es handle sich um einen «substanziellen, ernst zu nehmenden» Angriff, der mit grossen Mitteln durchgeführt worden sei. «Dahinter stehen absolute Profis», sagt ein IT-Kadermann. Volumenmässig sei zwar nur ein sehr kleiner Teil der bei Ruag vorhandenen Daten angezapft worden. Doch der Angriff habe militärisch und technologisch sensiblen Bereichen gegolten. Der Bund geht von klassischer Werk- und Industriespionage aus. Welche konkreten Daten in die Hände der Angreifer gefallen sind, können oder wollen die IT-Fachleute aber nicht sagen.

Adressliste gefunden

Die Bundesverwaltung sei vom Hacker-Angriff offenbar nur am Rande betroffen. Man habe alle Schnittstellen zwischen der Ruag und der Verwaltung kontrolliert und keine Spuren von Malware gefunden. In die Hände der Angreifer ist aber die bundesinterne Adressliste der Mitarbeiter der Bundesverwaltung gefallen – das sogenannte Admin Directory. Es umfasst Informationen über Personen, Organisationen, Funktionen, Räumlichkeiten und digitale Zertifikate der gesamten Bundesverwaltung.

Das Bundesamt für Informatik und Telekommunikation (BIT) bereitet die Daten auf und leitete diese wie in der Verordnung über die Verzeichnisdienste vorgesehen periodisch der Ruag weiter. «Wir wissen vom Angreifer, dass er sich im Netz der Ruag unbemerkt bewegen konnte», sagt Pascal Lamia, Chef der Analyse- und Meldestelle Informationssicherung Melani. «Aus diesem Grund gehen wir davon aus, dass er zumindest Einsicht in die gelieferten Daten hatte.» Ob er sie effektiv gestohlen habe, sei offen.

Unter diesen Daten sollen sich gemäss «NZZ am Sonntag» auch Angaben zum bisher geheimen Aufklärungsdetachement AAD-10 der Schweizer Armee befinden. Zudem stellt sich die Frage, ob im Adressverzeichnis nicht auch sämtliche Mitarbeitende des Nachrichtendienstes des Bundes (NDB) aufgeführt – und damit enttarnt sind. Das Verteidigungsdepartement VBS winkt ab: «Nicht alle Mitarbeiter sind im Verzeichnis des Bundes aufgeführt.» NDB-Mitarbeitende seien zurzeit nicht gefährdet.

Das für die Erstellung der Liste zuständige Bundesamt für Informatik und Telekommunikation konnte bis Redaktionsschluss keine Angaben zum beruflichen Hintergrund und der Anzahl Personen machen, die im Verzeichnis nicht aufgeführt sind.

Ruag sponsert Cyber-Konferenz

Die IT-Experten des Bundes weisen im Gespräch auf drei Dinge hin. Erstens sei die Cyber-Sicherheit primär eine Aufgabe jedes einzelnen Unternehmens. Der Bund könne fachliche Unterstützung bieten. Für den Schutz der Infrastruktur sei jedoch immer noch das betreffende Unternehmen verantwortlich. Zweitens, so betonen die Experten, sei weiterhin mit Angriffen zu rechnen, die vorerst unbemerkt blieben. Und drittens sei die 2012 vom Bundesrat aufgegleiste nationale Strategie für den Schutz der Schweiz vor Cyber-Risiken (NSC) auf guten Wegen. Ohne die im Rahmen der NSC vorgesehene Zusammenarbeit mit ausländischen Partnern wäre der Angriff wohl noch länger unentdeckt geblieben.

Klar ist: Im Fall Ruag bleiben viele Fragen offen. Für Gesprächsstoff ist morgen Freitag an der Konferenz zum Thema Cyber-Sicherheit an der ETH Lausanne gesorgt. Hauptsponsor der Veranstaltung ist übrigens die Ruag.