Die GPK-N begrüsst, dass der Bundesrat verschiedene Massnahmen beschlossen hat, um ihre Empfehlungen aus dem Bericht vom 8. Mai 2018 umzusetzen, und dass er wesentliche Entscheide im Hinblick auf die Entflechtung der Informatik und die Weiterentwicklung der RUAG getroffen hat. Sie stellt aber auch fest, dass einige Fragen noch vertieft werden müssen, beispielsweise zu den prognostizierten Kosten und Risiken der Neustrukturierung. Zudem stellt die GPK-N fest, dass die Transformation der RUAG besonders hohe Anforderungen an den Bund als Eigner stellen wird. Sie erwartet daher, dass das VBS und die Eidg. Finanzverwaltung (EFV) diese eng und kritisch begleiten und die nötigen Ressourcen dafür bereitstellen.

In ihrem Bericht vom 8. Mai 2018 befasste sich die GPK-N mit der Bewältigung des Cyberangriffs auf die RUAG, der im Frühling 2016 bekannt wurde. Sie kam dabei zum Schluss, dass der Bundesrat und das VBS grundsätzlich angemessen auf den Cyberangriff reagiert hatten. Sie forderte den Bundesrat und das VBS jedoch auf, gegenüber der RUAG bestimmter aufzutreten und sich stärker für die Wahrung der Interessen des Bundes einzusetzen. Die Kommission formulierte Empfehlungen im Hinblick auf eine Verbesserung der strategischen Steuerung der verselbständigten Unternehmen und Einheiten.

In der Folge prüfte die GPK-N die Massnahmen, die der Bundesrat zur Umsetzung ihrer Empfehlungen eingeleitet hat. Sie führte dabei weitere Abklärungen und Anhörungen durch und behandelte auch den Expertenbericht zur Corporate Governance des Bundes vom April 2019. Auf der Basis dieser Arbeiten stellt die GPK-N folgendes fest:

Strategische Steuerung der RUAG: Verbesserungen, aber auch noch offene Fragen

Im Bericht vom 8. Mai 2018 verlangte die GPK-N vom Bundesrat, darzulegen, wie er für einen zweckmässigen Einsatz der Steuerungsinstrumente und eine bessere Wahrung der Eignerinteressen gegenüber der RUAG sorgen will. Zugleich sollte er prüfen, ob er im Rahmen der strategischen Steuerung der Firma gewisse Weichenstellungen vornehmen will, insbesondere in Hinblick auf die künftige Organisations- und Rechtsform der RUAG bzw. eine allfällige Teilprivatisierung.
Vor diesem Hintergrund begrüsst es die GPK-N, dass sich der Bundesrat im Nachgang zum Cyberangriff vertieft mit der Problematik der Verflechtung und der Entwicklung der RUAG auseinandergesetzt hat. Gestützt auf die ihr vorliegenden Informationen, bewertet die GPK-N den Entscheid zur Neustrukturierung der RUAG als nachvollziehbar, insbesondere auch aus Gründen der (Informatik-)Sicherheit. Die Kommission stellt weiter fest, dass das VBS die vorhandenen Steuerungsinstrumente und insbesondere die Eignergespräche heute besser nutzt als früher.

Folgende Punkte müssen aus Sicht der GPK-N aber noch vertieft abgeklärt werden:

  • Integration der Informatik und der Daten der RUAG in den Sicherheitsparameter der Armee: Die GPK-N begrüsst, dass das VBS eine weitere Überprüfung eingeleitet hat, um sicherzustellen, dass sich in den zu integrierenden Daten keine Schadsoftware mehr verbirgt. Sie erwartet, dass das VBS gestützt auf die Erkenntnisse dieser Überprüfung bei Bedarf weitere Massnahmen trifft.
  • Drittaufträge der MRO Schweiz: Die GPK-N ist der Ansicht, dass solche Aufträge aus Gründen der Informatiksicherheit problematisch sein und zu neuen Verflechtungen führen können. Diesem Aspekt ist daher besondere Beachtung zu schenken.
  • Entsendung eines Bundesvertreters in den Verwaltungsrat der neuen Einheiten: Die GPK-N bedauert, dass der Bundesrat in seiner Stellungnahme von September 2018 nicht auf die Vor- und Nachteile einer solchen Entsendung eingeht. Der Bundesrat hält lediglich fest, dass er auf eine solche verzichten will – obwohl er im Juni 2018 in einer Medienmitteilung festhielt, dass er den Einsitz eines Vertreters des VBS begrüssen würde.
  • Neustrukturierung und Privatisierung von RUAG International: Die GPK-N erwartet, dass das VBS diesen Prozess eng begleitet und bei einer Veränderung der Rahmenbedingungen den Bundesrat informiert, damit dieser die bisher getroffenen Entscheide und den Zeitplan für die Entflechtung und Neustrukturierung bei Bedarf überprüfen und gegebenenfalls anpassen könnte (z.B. falls sich die Prognosen zum Verkaufserlös von Unternehmensteilen als zu optimistisch erweisen oder falls die von der RUAG in den Sicherheitsparameter der Armee zu übertragenden Daten noch Schadsoftware enthalten).

Die GPK-N kommt zum Schluss, dass die genannten Themen und die kommende Transformation besonders hohe Anforderungen an den Bund als Eigner der RUAG stellt. Sie erwartet daher, dass das VBS und die EFV diese eng und kritisch begleiten und die nötigen Ressourcen bereitstellen. Die Kommission begrüsst, dass die Vorsteherin des VBS erste Entscheide in diese Richtung getroffen hat.

Ungenügende Berücksichtigung der Verflechtungsthematik

Die GPK-N forderte den Bundesrat auf, der Verflechtungsproblematik im Bereich der Informatiksysteme besondere Aufmerksamkeit zu schenken und zu prüfen, ob das Thema auch in den relevanten Corporate-Governance-Vorgaben und Berichten aufgenommen werden sollte. Der Bundesrat erachtet dies als nicht nötig. Er wies darauf hin, dass er bereits jetzt die Möglichkeit habe, in den strategischen Zielen entsprechende Vorgaben festzulegen.

Die GPK-N bedauert, dass im Rahmen der vom Bundesrat angeordneten Überprüfung der Corporate Governance durch Experten die Verflechtungs-Problematik keine Rolle gespielt hat. Sie kritisiert, dass der Bundesrat zwar die Möglichkeit erwähnt, in den strategischen Zielen Vorgaben zur Entflechtung der Informatik zu definieren, es aber offenlässt, ob er diese Möglichkeit auch nutzen will. Sie fordert vom Bundesrat daher weitere Auskünfte.

Angesichts der noch offenen Fragen hat die GPK-N beschlossen, die Thematik weiterzuverfolgen. Sie fordert den Bundesrat auf, bis am 20. Februar 2020 Stellung zu ihrem Bericht zu nehmen und sie zum selben Zeitpunkt auch über die aktuellen Entwicklungen bzw. Entscheide in Sachen RUAG zu informieren.

Die GPK-N hat am 19. November 2019 unter dem Vorsitz von Nationalrätin Doris Fiala (FDP, ZH) in Bern getagt.