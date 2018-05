Zuerst merkte die Ruag nicht, dass sie Opfer eines Hackerangriffs geworden war. Doch selbst als sie Ende 2015 vom Nachrichtendienst darauf hingewiesen wurde, habe sie den Ernst der Lage unterschätzt. Bis heute spiele sie das Ausmass des Vorfalls herunter. Und beim Krisenmanagement habe sie sogar ihrem Alleinaktionär, dem Bund, wichtige Informationen vorenthalten: Diese happige Kritik erhebt die Geschäftsprüfungskommission (GPK) des Nationalrats in einem druckfrischen Bericht.

Das Verteidigungsdepartement (VBS) habe «wirklich ein Problem mit der Ruag», bilanziert CVP-Nationalrätin Ida Glanzmann, welche die für den Bericht zuständige GPK-Subkommission präsidiert. Zwar befinde sich der Rüstungskonzern zu 100 Prozent in Bundesbesitz. «Das will die Ruag aber nicht wahrhaben», konstatiert Glanzmann. Stattdessen glaube die Ruag-Spitze, alles selber entscheiden zu können.

Publik gemacht wurde der bisher wohl grösste bekannte Cyberangriff auf die Schweiz im Mai 2016 von dieser Zeitung. Die GPK konnte dazu jetzt auch geheime Unterlagen konsultieren und kommt gestützt darauf zum Schluss, es handle sich tatsächlich um einen «gravierenden Vorfall». Der Ruag wirft die GPK vor, das Ausmass herunterzuspielen. Weiter ins Detail geht die GPK nicht, weil es sich dabei um «äusserst sensitive Informationen» handle.

Auch Parmelin gerügt

Schlecht weg kommt auch der Beitrag der Ruag zum Krisenmanagement, während das VBS diesbezüglich gute Noten erhält. Verteidigungsminister Guy Parmelin setzte sofort eine Taskforce ein; der Gesamtbundesrat verabschiedete bereits am 23. März 2016 in einem Geheimbeschluss 14 Massnahmen. Die Ruag selber wurde beauftragt, acht Sofortmassnahmen zu ergreifen. Doch auch bei deren Umsetzung habe sich die Ruag zunächst «wenig kooperativ» gezeigt, so die GPK. Sie habe dem VBS Informationen entweder gar nicht oder erst nach mehrmaliger Intervention von höchster Stelle geliefert.

In einem Punkt rügt die GPK auch das VBS: Das Departement nehme die Eignerinteressen des Bundes gegenüber der Ruag generell ungenügend wahr. In den vierteljährlich stattfindenden Eignergesprächen zwischen VBS und Ruag war der Cyberangriff laut GPK fast gar kein Thema. Parmelin machte zwar geltend, er habe die Sache mit dem Verwaltungsratspräsidenten sehr wohl besprochen. Von diesen Vieraugengesprächen gibt es aber nicht einmal Protokolle. Er wolle verhindern, dass ein Journalist später diese Protokolle gestützt auf das Öffentlichkeitsgesetz einfordere und publiziere, rechtfertigte sich Parmelin. Die GPK verlangt jetzt in deutlichen Worten, das VBS müsse den Ruag-Chefs klarere Vorgaben machen.

Der Cyberangriff ist für den Bund aber auch darum ein Problem, weil die Computersysteme der Ruag und der Armee vielfach vernetzt sind. Ein Hacker könnte also auf diesem Weg auch in Bundescomputer eindringen. Im März 2016 beschloss der Bundesrat deshalb, die Computersysteme so rasch wie möglich zu entflechten. Das erweist sich nun aber als viel komplexer als gedacht. Die Verantwortlichen rechnen, dass die Entflechtung bis 2023 dauert.

Kein Thema sind die Urheber des Angriffs. Gemäss früheren, unbestätigten Informationen kam der Angriff aus Russland. Dazu habe die GPK keine weiteren Angaben erhalten, sagt Glanzmann.

(Tages-Anzeiger)