Im Rahmen ihrer Abklärungen zum Cyberangriff auf die RUAG kommt die GPK-N zum Schluss, dass der Bundesrat und das VBS rasch und angemessen auf den Vorfall reagiert haben, indem sie die Risiken analysierten und entsprechende Massnahmen anordneten. Sie ist aber auch der Meinung, dass der Angriff und dessen Folgen im Rahmen der strategischen Steuerung der Firma zu wenig aufgenommen wurden und dass das VBS gegenüber der Firma bestimmter hätte auftreten sollen. 

​Im Januar 2016 wurde der Bundesrat informiert, dass die RUAG Ziel eines Cyberangriffs geworden war. In der Folge ergriff er zusammen mit dem VBS als zuständigem Departement verschiedene Massnahmen. Nachdem der Angriff öffentlich bekannt geworden war, leitete die Geschäftsprüfungskommission des Nationalrates (GPK-N) eigene Abklärungen ein. Dabei legte sie ihren Fokus auf die Frage, ob die verantwortlichen Bundesstellen – insbesondere der Bundesrat und das VBS – angemessen und mit der nötigen Dringlichkeit auf den Vorfall reagiert hatten und dabei die Wahrung der Interessen des Bundes als Alleinaktionär der RUAG sicherstellten. Die Prüfung der Umsetzung der Massnahmen zur Bewältigung des Cyberangriffs stand dagegen nicht im Fokus, da diese Aufgabe durch andere Stellen, insbesondere durch die Eidg. Finanzkontrolle, wahrgenommen wird.
Die GPK-N erhielt im Rahmen ihrer Abklärungen detaillierte Angaben über die vom Angriff betroffenen Datenverzeichnisse und die damit verbundenen Risiken. Auf der Basis dieser Informationen stuft sie den Vorfall als gravierend ein. In ihrem Bericht vom 8. Mai 2018 hält sie aber auch fest, dass der Vorfall vom Bundesrat und vom VBS ab dem Zeitpunkt seiner Entdeckung mit der nötigen Dringlichkeit und angemessenen Massnahmen angegangen wurde. Die RUAG bzw. deren Leitung benötigte hingegen mehr Zeit, bis sie das Ausmass des Angriffs und die damit verbundenen Risiken anerkannte und eigene Massnahmen anordnete. Die GPK-N begrüsst es daher, dass das VBS diesbezüglich Druck ausübte und mehrfach bei der Firma intervenierte.
 
Die Kommission erachtet es auch als sinnvoll, dass Bundesrat den Umsetzungstand der von ihm angeordneten Massnahmen durch die EFK prüfen lässt. Sie hat dabei zur Kenntnis genommen, dass die Entflechtung der Netze von Bund und RUAG komplex und zeitaufwendig ist, fordert aber dennoch, dass diese mit grösster Dringlichkeit vorangetrieben werden muss. Zudem erwartet sie vom VBS, dass es die Umsetzung der von der RUAG selber eingeleiteten Massnahmen kritisch begleitet und falls nötig interveniert.
 
Im Rahmen ihrer Abklärungen hatte die GPK-N auch zu klären, wie der Cyberangriff und dessen Folgen im Rahmen der strategischen Steuerung aufgenommen wurden und wie sich das zuständige VBS für die Wahrung der Eignerinteressen des Bundes einsetzte. Denn obwohl die RUAG gemäss eigenen Angaben aufgrund des Cyberangriffs bisher keinen direkten wirtschaftlichen Schaden erlitten hat, dürfen dessen Folgen aus Sicht der Kommission nicht unterschätzt werden. So muss der Bund als Eigner insbesondere auch in Betracht ziehen, dass sich der Vorfall längerfristig und indirekt auf den Geschäftsgang der Firma auswirken kann.
Für die GPK-N ergaben sich Zweifel daran, dass das VBS die Eignerinteressen des Bundes gegenüber der RUAG angemessen vertritt und auch durchsetzen kann. Es verfügt dafür zwar über die nötigen Instrumente, nutzt diese aber nicht genügend und zweckmässig. Dies zeigt sich am Beispiel der Vorgabe der strategischen Ziele und deren Überprüfung, insbe-sondere im Rahmen der regelmässigen Eignergespräche. Diese dienen heute vor allem der laufenden Information über den Geschäftsgang. Aus Sicht der Kommission sollten sie aber vor allem auch genutzt werden, um wichtige Herausforderungen und deren Folgen für die Erreichung der strategischen Ziele zu diskutieren oder um seitens des Eigners Forderungen zu stellen und Aufträge zu erteilen. Für die GPK-N ist daher nicht nachvollziehbar, dass die Bewältigung und die Konsequenzen des Cyberangriffs im Rahmen der Eignergespräche zwischen dem VBS und der RUAG auf der strategischen Ebene kaum thematisiert wurden.
 
Die GPK-N kritisiert in diesem Zusammenhang insbesondere, dass wichtige Diskussionen in einem informellen Rahmen geführt und nirgends schriftlich festgehalten wurden. Auf diese Weise fehlt dem VBS nicht nur eine solide Informationsgrundlage, sondern auch die Möglichkeit bzw. ein Instrument, um Forderungen und strategische Vorgaben nachhaltig durchzusetzen.
Die Kommission erwartet daher vom VBS, dass es gegenüber der RUAG in Zukunft be-stimmter auftritt und sich stärker für die Forderungen des Bundes bzw. die Wahrung von dessen Interessen einsetzt. Sie richtet zudem drei Empfehlungen an den Bundesrat und verlangt von diesem verschiedene Abklärungen, welche zu Verbesserungen in der strategischen Steuerung der verselbständigten Unternehmen und Einheiten (Corporate-Governance) führen sollen.



Die GPK-N hat am 8. Mai 2018 unter dem Vorsitz von Nationalrätin Doris Fiala (FDP, ZH) in Bern getagt.