Daten gestohlen

Ruag-Chefs ignorierten gravierende Sicherheitslücken

twei

2.2.2021

Dem Rüstungskonzern Ruag drohen aufgrund interner Sicherheitslücken rechtliche Konsequenzen. (Symbolbild)
Dem Rüstungskonzern Ruag drohen aufgrund interner Sicherheitslücken rechtliche Konsequenzen. (Symbolbild)
Bild: Keystone / Peter Klauzner

Weil sensible Daten jahrelang unzureichend gesichert waren, steht der Rüstungskonzern Ruag unter Druck. Besonders pikant: Die Führungsebene wusste über die Lecks Bescheid.

Ein Rüstungskonzern, der sich mit seiner Cybersicherheit rühmt und dann im Zentrum eines Datenschutzskandals steht: 2016 bestimmte das bundeseigene Unternehmen Ruag die Schlagzeilen. Schon seit September 2014 hatten damals Hacker mit Schadsoftware ihr Unwesen im internen Netz der Ruag getrieben und stahlen erhebliche Datenmengen.

Überstanden ist die Daten-Affäre für Ruag aber noch lange nicht, wie nun Recherchen von CH Media zeigen. Demnach habe die Konzernspitze von den Mängeln bei der Datensicherheit gewusst, bewusst aber keine Investitionen getätigt. Stattdessen sollte laut Insiderberichten der Gewinn vermehrt werden. «Es ging immer um Boni», so ein einstiger Kadermann. Allein der Lohn von Geschäftsführer Urs Breitmeier erhöhte sich 2015 innert eines Jahres um 130'000 Franken auf mehr als eine Million Franken – samt einer beträchtlichen Steigerung der «Leistungskomponente».

Während die Bosse saftige Gehaltssteigerungen einstrichen, warnten IT-Experten intern vor Versäumnissen in der Datensicherheit. Im Jahr, in dem sich Hacker Zugriff auf Interna von Ruag verschafften, beklagten Sicherheitsexperten mangelnde Sicherheitsvorschriften innerhalb des Rüstungskonzerns. Konkret war von «Non-Konfirmitäten» die Rede. Vorschriften zur Validierung interner Systeme waren schon zuvor nur unzureichend umgesetzt worden.

Urs Breitmeier stand bis 2020 Ruag als CEO vor.
Urs Breitmeier stand bis 2020 Ruag als CEO vor.
Bild: Keystone

Teils ungehinderter Zugang zu sensiblen Daten möglich

Doch damit nicht genug: Selbst bei geheimen Daten arbeitete man bei Ruag nicht mit der gebotenen Vorsicht. Weil eine Klassifizierung sensibler Daten zu Rüstungsgütern über weite Strecken ausblieb, hatte der Konzern schon seit Langem den Überblick über die Speicherorte dieser Datensätze verloren.

Die Ruag-Führungsebene ignorierte aber nicht nur einmal die Warnungen der IT-Experten. Gravierende Mängel bestanden laut eines Prüfberichts der Eidgenössischen Finanzkontrolle (EFK) auch noch 2018. In dem Gutachten hiess es: «Die Ruag verfügt weder auf Stufe Division noch konzernweit über ein Inventar seiner schützenswerten Informationsobjekte. Damit ist nicht festgehalten, wo sich die heiklen Daten befinden und wer die Data-Owner sind bzw. ob diese genügend geschützt sind.»

Schon 2016 war laut den Nachforschungen von CH Media zudem der Konzernrechtsdienst über die «Non-Konformitäten» in Kenntnis gesetzt geworden. Allein: Geändert hatte sich durch die zahlreichen Mahnungen nichts. Der Zugang zu sensiblen Daten, etwa Explosionszeichnungen von Panzern, war teilweise ungehindert möglich – und das offenbar weltweit. 

Rechtliche Konsequenzen drohen

Die jahrelange Misswirtschaft könnte für das Unternehmen nun empfindliche Konsequenzen haben. Rechtlich sind besonders Patentverletzungen, die durch die Datenlecks in fremde Hände gelangten, heikel. Zudem bergen Daten aus den USA Explosionspotenzial, die dem ITAR-Regime, der «International Traffic in Arms Regulation», unterliegen. Dieses Gesetz reguliert, inwiefern US-Rüstungsgüter exportiert oder weiterverarbeitet werden.



Gleichzeitig verpflichtet die Regelung Unternehmen, die in Berührung mit geheimen Daten sind, diese sicher zu verwahren. Aufgrund der offensichtlichen Datenlecks bei Ruag befürchtete die Finanzkontrolle bereits in ihrem Bericht von 2018 Verletzungsklagen und den Ausschluss von Ruag bei «der Beschaffung von wichtigen Systemen». Ausserdem hiess es in dem Bericht: «Der Bund als Eigner trägt dadurch nicht nur ein finanzielles, sondern auch ein Reputationsrisiko.»

Würde die Ruag wegen Missachtung von ITAR verurteilt, drohen bis zu einer Million Dollar Geldstrafe pro Verstoss und im schlimmsten Fall bis zu 20 Jahre Haft. Zusätzlich verkompliziert die Trennung der Ruag in einen internationalen und einen nationalen Teil im vergangenen Jahr die Lage. Aufgrund der Neustrukturierung des Konzerngefüges ist der einstige Arbeitgeber nicht mehr existent. Stattdessen könnten Mitarbeiter aus der Cybersicherheit für die Datenlecks verantwortlich gemacht werden, obwohl sie ausdrücklich davor warnten. 

Zurück zur Startseite