Ruag hat Mängel bei Datensicherheit noch nicht behoben

tl, sda

7.6.2021 - 23:00

Das Logo der Ruag Holding AG am Sitz in Emmen im Kanton Luzern.
Bild: Keystone

Der Schweizer Rüstungskonzern Ruag hat weiterhin Sicherheitslücken im IT-Bereich. Zu diesem Schluss kommt die Eidgenössische Finanzkontrolle. Sie fordert «umfangreiche Nacharbeiten».

tl, sda

7.6.2021 - 23:00

Die Eidgenössische Finanzkontrolle (EFK) sieht noch Sicherheitslücken bei der Überführung von Daten des Schweizer Rüstungskonzerns Ruag unter die Verantwortung des Verteidigungsdepartements VBS. So fordert die EFK in ihrem Prüfungsbericht «umfangreiche Nacharbeiten». Die Prüfung der Informatiksicherheit habe gezeigt, dass die Überführung der Systeme und Daten, trotz offener Nachfolgeprojekte, «weitestgehend erfolgreich» abgelaufen sei, schreibt das oberste Finanzaufsichtsorgan des Bundes, die EFK, in ihrem am Montag veröffentlichten Bericht.

Die Informations- und Kommunikationstechnik (IKT-Governance) und Sicherheitsorganisation seien zwar zweckmässig aufgestellt, müssten aber noch umfangreiche Nacharbeiten leisten. Die Zusammenarbeit mit der FUB (Führungsunterstützungsbasis der Armee) funktioniere, sei aber noch nicht eingeschliffen.

Bei der Einbindung der Systeme in die neue Umgebung seien keine flächendeckenden Sicherheitskonformitätsprüfungen durchgeführt worden. Dadurch bestehe vor allem bei Anwendungen mit Zugang zum Internet «ein erhebliches Risiko», schreibt die EFK und fordert, dass die Armee (FUB) und deren Securitiy Operations Center Sicherheitskonformitätsprüfungen konsequent durchführt.



EFK fordert raschere Lösung

Der Aufbau eines Informationssicherheitsmanagements zusammen mit Audit-Tätigkeiten trügen zu einer nachhaltigen Informationssicherheit bei, heisst es im EFK-Prüfungsbericht. Das Risikomanagement und das betriebliche Kontinuitätsmanagement seien im Aufbau, allerdings solle das Kontinuitätsmanagement erst 2023 operativ werden. Hier fordert die EFK von der Ruag AG eine raschere Lösung.

Im März 2018 hatte der Bundesrat beschlossen, die fast ausschliesslich für die Schweizer Armee tätigen Geschäftseinheiten der damaligen Ruag in einer neuen Konzerngesellschaft Ruag MRO Holding AG (MRO CH) beziehungsweise deren Tochtergesellschaft Ruag AG, zusammenzuführen. Diese Teile sollten von der übrigen Ruag (Ruag International), die international zivile und militärische Geschäfte tätigt, entflochten werden.

Die Entflechtung betraf auch die Informations- und Kommunikationstechnik (IKT) der Ruag. Es wurde entschieden, diese in die Verantwortung des VBS zu geben. Die komplette IKT-Infrastruktur und die -Systeme wurden im Sicherheitsperimeter der Führungsunterstützungsbasis der Armee (FUB) neu aufgebaut, und die Daten wurden übernommen. Entsprechend müssen die Sicherheitsvorgaben des Bundes erfüllt werden.



IT-Sicherheitsfirma stellte Mängel fest

Das Entflechtungsprojekt verursacht nach einer Schätzung vom September 2020 voraussichtlich Kosten in der Höhe von 81 bis 86 Millionen Franken. Von den bis Ende September aufgelaufenen Gesamtkosten von 57 Millionen sind 34 Millionen Franken der IKT-Entflechtung zuzuordnen Das Projekt betraf rund 2500 Mitarbeitende der MRO CH an über 20 Standorten der Schweiz.

Eine IT-Sicherheitsfirma hatte bei der Ruag IT-Sicherheitsmängel festgestellt. Diese waren nach Angaben von CEO André Wall «ernstzunehmend». Er hat Sofortmassnahmen angeordnet. So seien etwa Patches sofort ausgerollt und das Security-Monitoring ausgebaut worden, sagte Wall vergangene Woche in einem Interview mit der «Neuen Zürcher Zeitung». «In diesen Bereichen war das Risiko zu gross, auch nur Tage oder Wochen zuzuwarten.» Details zu den Sicherheitslücken nannte er nicht. Andere Massnahmen seien eingeleitet worden oder würden in den nächsten Wochen und Monaten umgesetzt, sagte Wall weiter. Das Thema sei nun «Chefsache».

Es waren nicht die ersten IT-Sicherheitsmängel bei dem Konzern. 2016 war ein grosser Cyberangriff auf die frühere Ruag bekannt geworden, der gravierende Mängel in der Informatik ans Licht brachte.

Der Bundesrat hatte nach Bekanntwerden dieses Angriffs die Aufteilung seines Rüstungskonzerns beschlossen. Ein Schweizer Teil mit technischer Nähe zur Armee sowie ein internationaler Teil sollten auch die IT sicherer machen. Ruag International mit Raumfahrtdivision, Munitionssparte, Flugzeugstrukturbau und internationalem Militärgeschäft soll zudem zerlegt werden. Die Firma will sich auf das Satellitengeschäft konzentrieren.

tl, sda