Die Geschäftsprüfungskommission des Nationalrates (GPK-N) leitete im vergangenen Jahr eine Prüfung der Informatiksicherheit bei RUAG International und RUAG MRO ein. Diese sollte klären, ob der Bund als Eigner angemessen auf den mutmasslichen Hackerangriff reagiert hatte, der im Mai 2021 bekannt wurde. Weiter prüfte die Kommission, wie es um die Informatiksicherheit der beiden Unternehmen steht, welche Verflechtungen zwischen den beiden Unternehmen bestehen und welche Risiken damit verbunden sind. Damit verbunden stellte sich auch die Frage, ob die Geschäftsprüfungskommissionen von den zuständigen Departementen und vom Bundesrat in den letzten Jahren transparent und korrekt über den Stand der Entflechtung und die Informatiksicherheit bei der RUAG informiert wurden.
Aufarbeitung des mutmasslichen Hackerangriffs
Die GPK-N kam zum
Schluss, dass die zuständigen Bundesstellen grundsätzlich angemessen auf den mutmasslichen Angriff reagiert haben. Sie begrüsst auch, dass RUAG International selber rasch die nötigen Massnahmen einleitete und externe Experten beauftragte, um die Vorwürfe gründlich zu prüfen. Dabei zeigte sich, dass es keine erhärteten Belege für den mutmasslichen Hackerangriff auf RUAG International im Mai 2021 gibt. Ungeachtet dessen führten die mediale Berichterstattung bzw. die anschliessenden Untersuchungen dazu, dass RUAG International auf schwerwiegende Mängel in der Informatiksicherheit aufmerksam wurde und in der Folge verschiedene Massnahmen einleitete. Für die Kommission ist unverständlich, dass die Mängel nicht früher erkannt wurden und RUAG International ihre Informatik nicht schon früher von einer spezialisierten Firma testen liess. Sie ist der Ansicht, dass solche Tests periodisch stattfinden sollten, im Interesse der Unternehmen, aber auch im Interesse des Bundes als Eigner. Sie fordert den Bundesrat bzw. das EFD als zuständiges Departement daher auf, eine solche Vorgabe an RUAG International zu prüfen.
Stand der Entflechtung und Risiken
Die letzten bestehenden Informatik-Verbindungen zwischen RUAG International und RUAG MRO sollten gemäss den Verantwortlichen bis Ende 2021 getrennt und die Entflechtung damit vollständig abgeschlossen sein. Für die GPK-N ist dabei von höchster Bedeutung, dass die beiden Unternehmen gemeinsam dafür sorgen, dass auf den Systemen von RUAG International keine sensitiven Daten und insbesondere Daten der RUAG MRO verbleiben. Da nicht ausgeschlossen werden kann, dass sich solche Daten in Archiven und Backups befinden und bei einem Verkauf von Teilen von RUAG International in fremde Hände gelangen könnten, sollten aus Sicht der GPK-N zusätzliche Massnahmen geprüft werden. Möglich wäre insbesondere eine zusätzliche und gezielte Datenprüfung vor jedem Verkauf. Die GPK-N wird diese Frage mit den zuständigen Stellen im EFD und im VBS klären. Ebenso wird sie weitere Auskünfte sowie eine Bestätigung der Löschung der Daten auf den Systemen von RUAG International verlangen.
Transparenz und Information der GPK
Die Information über den Stand der Entflechtung in den vergangenen Jahren erachtet die GPK-N als zu wenig transparent. Sie lädt den Bundesrat daher ein, sicherzustellen, dass er bzw. das EFD und das VBS mit ihren Eignerstellen die Oberaufsichtskommissionen künftig transparenter und zeitnah über allfällige Herausforderungen bei der Entflechtung der RUAG informieren, insbesondere auch im Zusammenhang mit der Weiterentwicklung von RUAG International.
Die GPK-N lädt den Bundesrat ein, bis am 25. März 2022 Stellung zu ihrem Bericht und ihren Empfehlungen zu nehmen