Die GPDel wurde Ende Januar 2016 über die Aufdeckung eines fremden Schadprogramms bei der RUAG in Kenntnis gesetzt. Da sie den Vorfall von Anfang an als gravierend erachtete, führte sie seit dem 22. Februar 2016 mehrere Aussprachen mit den verantwortlichen Behörden sowie mit der Spitze der RUAG durch. Damit bezweckte sie eine angemessene Problembewältigung durch die verantwortlichen Stellen.

​Die Geschäftsprüfungsdelegation (GPDel) hat seit Ende Januar 2016 Kenntnis davon, dass es bei der RUAG zu einer schwerwiegenden Beeinträchtigung der Informatiksicherheit gekommen ist. Nachdem das Vorliegen eines Schadprogramms bestätigt werden konnte, hatte das VBS als zuständiges Departement die GPDel rasch informiert. Die Angelegenheit wurde vom VBS als geheim klassifiziert.

Am 22. Februar 2016 führte die GPDel mit dem Vorsteher des VBS eine Aussprache über die Risiken des Angriffs für die RUAG wie auch für die Informatiksysteme des VBS und erörterte mit ihm die notwendigen Massnahmen zur Bewältigung des Vorfalls. Weiter hörte die GPDel den Bundesanwalt an, der die Delegation über das Vorgehen seitens der Strafverfolgung informierte. Mit Schreiben vom 23. Februar 2016 empfahl die Delegation dem Bundesrat, rasch alles Notwendige vorzukehren, um im gegebenen Zeitpunkt die Öffentlichkeit informieren zu können.

Am 3. März 2016 traf sich die GPDel zu einer Standortbestimmung und analysierte den Bericht der Kerngruppe Sicherheit, welche letztere zu Handen des Sicherheitsausschusses des Bundesrates (SiA) ausgearbeitet hatte.

Am 14. März 2016 führte die GPDel eine Aussprache mit den Mitgliedern des SiA. Sie regte die Überprüfung der Geheimhaltung an, da sie der Ansicht war, dass die Geheimhaltung einer adäquaten Bewältigung des Vorfalls im Wege stehen könnte. Laut dem SiA lag die Geheimhaltung des Vorfalls jedoch weiterhin im Interesse der Strafverfolgung und war insbesondere auch eine Voraussetzung für eine erfolgreiche Bewältigung des Vorfalls durch die Firma.

Am 23. März 2016 beschloss der Bundesrat in einem geheimen Beschluss eine Reihe von Massnahmen, um die Konsequenzen des Sicherheitsvorfalls auf Seiten des Bundes zu bewältigen. Die GPDel befasste sich mit diesem Beschluss am 13. April 2016 und führte weitere Anhörungen mit der Führungsunterstützungsbasis der Armee (FUB) und dem Informatiksteuerungsorgan des Bundes (ISB) durch. Mit Schreiben vom 14. April 2016 teilte die GPDel dem Bundesrat ihre Schlussfolgerungen mit und äusserte erneut ihre Vorbehalte bezüglich der Aufrechterhaltung der Geheimhaltung, welche aus ihrer Sicht einer systematischen Bewältigung der erkannten Probleme im Wege stand.

Am 22. April 2016 führte die GPDel auch mit der Spitze der RUAG eine Aussprache durch. Diese erfolgte in Anwesenheit des Vorstehers des VBS, der im konkreten Fall für die Eignerinteressen der Eidgenossenschaft verantwortlich ist. Für die GPDel standen die Fragen im Vordergrund, wie die Firma den Schaden, der aus dem Vorfall entstehen konnte, beurteilte und mit welchen Massnahmen und gestützt auf welche Strategie sie den Vorfall bewältigen würde.

Die GPDel wird nächste Woche die Geschäftsprüfungskommissionen (GPK) in geeigneter Form über ihre bisherigen Arbeiten informieren und sich in ihrem Zuständigkeitsbereich weiterhin mit der Angelegenheit befassen. Gegenüber der Öffentlichkeit verzichtet die GPDel hingegen auf weiterführende Auskünfte. Die unmittelbare Verantwortung liegt beim Bundesrat, bzw. beim VBS und bei der RUAG.