Empfehlungen zur Informatiksicherheit der RUAG sind umgesetzt

Bern, 01.04.2022 - Der Bundesrat hat an seiner Sitzung vom 30. März 2022 Stellung genommen zum Bericht der Geschäftsprüfungskommission des Nationalrates (GPK-N) betreffend Informatiksicherheit der RUAG. Die Empfehlungen der GPK-N sind bereits umgesetzt. Der Bund begleitet die Informatiksicherheit der RUAG MRO und der RUAG International weiterhin eng. Sensitive Restdaten bei der RUAG International wurden gelöscht. Zudem betont der Bundesrat, dass er die Oberaufsichtskommissionen auch weiterhin transparent über die für den Bund wesentlichen Entwicklungen der RUAG Konzerneinheiten informiert.

In ihrem am 22. Februar 2022 veröffentlichten Bericht zur Informatiksicherheit der RUAG kommt die GPK-N zum Schluss, dass es entgegen der Darstellung in Medienberichten keine erhärteten Belege für einen mutmasslichen Hackerangriff auf RUAG International im Frühjahr 2021 gibt. RUAG International erkannte aber aufgrund umgehend ausgelöster Prüfungen schwerwiegende Sicherheitsmängel. Weil dagegen sofort Massnahmen ergriffen und diese auch externen Härtetests unterzogen wurden, hat RUAG International nach Ansicht der Kommission angemessen reagiert.

Schutz der militärischen Daten

In seiner Stellungnahme hält der Bundesrat fest, dass die Löschung der militärischen sowie der weiteren sensitiven Daten bei der RUAG International abgeschlossen ist. Die RUAG MRO hat zusätzlich ein externes Audit in Auftrag gegeben, das zum Ziel hat, die Eigenständigkeit und Funktionalität der entflochtenen IT-Systeme zu überprüfen.
Die Systeme der RUAG International wurden in einem separaten Projekt manuell durchforstet und Restdaten wurden individuell gelöscht. Zudem wird RUAG International vor jedem Verkauf von Unternehmensteilen durch externe Experten überprüfen lassen, ob angemessene Vorkehrungen getroffen wurden, um ungewollte Datenabflüsse zu verhindern.

Hinzu kommt, dass die Verkäufe von Unternehmensteilen der RUAG International aufgrund der damit verbundenen Komplexitätsreduktion der IT-Systeme das Risiko für die ungewollte Weitergabe von Daten Schritt für Schritt verkleinern.

Die Eignerstellen im VBS und EFD werden die Informatiksicherheit der RUAG MRO und der RUAG International in jedem Fall weiterhin eng begleiten. Auch die Eidg. Finanzkontrolle (EFK) hat letztes Jahr eine Prüfung zur Informatiksicherheit durchgeführt und hat angekündigt, dieses Jahr eine weitere Prüfung durchzuführen.

Transparente Information

Wie der Bundesrat in seiner Stellungnahme weiter ausführt, nimmt er das Anliegen der GPK-N ernst, transparent und zeitnah über die Herausforderungen der RUAG zu kommunizieren. Er ist bestrebt, in seiner Berichterstattung zur Erreichung der strategischen Ziele der RUAG und in jeder weiteren Kommunikation präzis über die für den Bund wesentlichen Entwicklungen sowohl bei der Dachholding BGRB als auch bei den beiden Konzerneinheiten RUAG International und RUAG MRO zu informieren.

Adresse für Rückfragen

Lorenz Frischknecht
Stv. Chef Kommunikation / Sprecher VBS
+41 58 484 26 17