Update: Bund sieht Ruag gegen Cybergefahren gerüstet
Der Bundesrat hat zum Bericht der Geschäftsprüfungskommission über den Cyber-Angriff auf die Ruag Stellung genommen. Die Massnahmen zur Aufarbeitung der Attacke hätten sich bewährt. Die Corporate Governance des Rüstungsunternehmens sei gestärkt worden.
Update, 3. Oktober 2018: Der Bundesrat hat eine Stellungnahme zum Bericht der Geschäftsprüfungskommission über die Bewältigung des Cyber-Angriffs auf Ruag die abgegeben. Die Aufarbeitung des Vorfalls mit einer speziell für diesen geschaffenen Projektorganisation habe sich bewährt, wie die Regierung schreibt.
Die Kommission habe in ihrem Bericht festgestellt, dass die Massnahmen des Bundesrats und des Eidgenössischen Departements für Verteidigung, Bevölkerungsschutz und Sport angemessen waren und deren weitere Umsetzung auf Kurs ist, heisst es weiter.
Die Corporate Governance sei in den letzten Jahre weiterentwickelt und an die veränderten wirtschaftlichen und politischen Herausforderungen der Ruag angepasst worden, fügt der Bundesrat an. Das VBS führe in diesem Zusammenhang seit 2017 jährlich mit der Eidgenössischen Finanzverwaltung und der Ruag einen Strategie-Workshop durch. Ausserdem soll es durch die Entflechtung der beiden Sparten "Schweizer Armee" und "Ruag International" möglich werden, spezifischere Vorgaben für über die strategischen Ziele der beiden Gesellschaften zu formulieren.
Die Stellungnahme des Bundesrats steht auf der Website des Bundes zum Download als PDF bereit.
Ursprüngliche Meldung vom 17. August 2018: Die Bundesanwaltschaft hat die Ermittlungen zur Cyber-Attacke gegen die Ruag im Jahr 2016 eingestellt, wie Informationschef André Marty gegenüber SRF.ch mitteilt. "Der Grund dafür ist, dass die Täterschaft – respektive deren Aufenthaltsort – unbekannt geblieben ist."
Experten äusserten schon 2016 den Verdacht, dass die Spuren des Angriffs nach Russland führen. Für solch ein Vorgehen kämen nur staatliche Akteure in Frage, erklärte Marty gegenüber SRF.ch. "Das kostet zu viel Geld, das Know-How ist nicht vorhanden – das ist in der Regel staatliches Hacking."
Kein Rechtshilfegesuch bei Spionageverdacht
Doch bei politischen Delikten wie Spionage bittet die Schweiz mögliche Täter-Staaten gar nicht erst um Rechtshilfe, wie es im Bericht weiter heisst. Ob die Schweiz in diesem Fall Russland oder andere Staaten um Hilfe bat, liess Marty offen. Um Rechtshilfe zu bitten sei nur dann sinnvoll, wenn eine Behörde im Ausland Interesse zeige, Fragen zu beantworten. "Sonst macht das relativ wenig Sinn", liess sich Marty zitieren.
Die Täter bleiben also im Dunklen. Nur wenn neue Beweise auftauchen, kann die Bundesanwaltschaft das Verfahren wieder aufnehmen, wie SRF.ch weiter berichtet.
Die Ruag habe die neue Entwicklung nicht kommentiert. Der Rüstungskonzern teilte lediglich mit, Man habe den Hacker-Angriff aufgearbeitet und mache verschiedene Anpassungen bei der Informatik.
VBS versagte bei der Kontrolle der Ruag
Die Geschäftsprüfungskommission des Nationalrats (GPK-N) rollte den Fall auf und legte im vergangenen Mai einen Bericht vor (PDF). Die GPK-N kam zum Schluss, dass das Verteidigungsministerium seine Kontrollpflicht vernachlässigt hatte. So habe das VBS etwa die Zielvorgaben des staatlichen Rüstungskonzerns zu wenig kontrolliert. Konkret geht es unter anderem um die Entflechtung der Netze von Bund und der Ruag.
Ferner kritisierte die GPK-N, dass wichtige Diskussionen zwischen der RUAG und dem VBS nirgends schriftlich festgehalten wurden. Die Kommission forderte, dass das VBS gegenüber der Ruag bestimmter auftreten und sich stärker für die Interessen des Bundes einsetzen solle.