Empfehlungen zur Informatiksicherheit der Ruag umgesetzt

In ihrem am 22. Februar dieses Jahres veröffentlichten Bericht ist die GPK-N zum Schluss gekommen, dass es entgegen der Darstellung in Medienberichten keine erhärteten Belege für einen mutmasslichen Hackerangriff auf Ruag International im Frühjahr 2021 gebe. Ruag International habe aber aufgrund umgehend ausgelöster Prüfungen schwerwiegende Sicherheitsmängel erkannt. Weil dagegen sofort Massnahmen ergriffen und diese auch externen Härtetests unterzogen worden seien, habe die Ruag International nach Ansicht der Kommission angemessen reagiert.

In seiner Stellungnahme hält der Bundesrat fest, dass die Löschung der militärischen sowie der weiteren sensitiven Daten bei der Ruag International abgeschlossen sei. Die Ruag MRO wiederum habe zusätzlich ein externes Audit in Auftrag gegeben, das zum Ziel habe, die Eigenständigkeit und Funktionalität der entflochtenen IT-Systeme zu überprüfen. Die Systeme der Ruag International seien in einem separaten Projekt manuell durchforstet und Restdaten individuell gelöscht worden. Zudem werde Ruag International vor jedem Verkauf von Unternehmensteilen durch externe Experten überprüfen lassen, ob angemessene Vorkehrungen getroffen wurden, um ungewollte Datenabflüsse zu verhindern. Hinzu komme, dass die Verkäufe von Unternehmensteilen der Ruag International aufgrund der damit verbundenen Komplexitätsreduktion der IT-Systeme das Risiko für die ungewollte Weitergabe von Daten Schritt für Schritt verkleinerten.

Die Eignerstellen im VBS und EFD würden die Informatiksicherheit der Ruag MRO und der Ruag International in jedem Fall weiterhin eng begleiten, heisst es in der Mitteilung dazu. Auch die Eidg. Finanzkontrolle (EFK) habe letztes Jahr eine Prüfung zur Informatiksicherheit durchgeführt und angekündigt, dieses Jahr eine weitere Prüfung durchzuführen.