Anlass der Untersuchung der Informationstechnologie (IT) bei Ruag International durch externe Experten war ein Fernseh-Bericht der SRF-"Rundschau" von Mitte Mai 2021, gemäss dem es einen erneuten Hackerangriff auf das Unternehmen gegeben hat. Danach hatten sich zwar "keine erhärteten Belege" für einen "Hack" finden lassen.

Allerdings wurden in der Folge "schwerwiegende Mängel in der Informationssicherheit" entdeckt, wie es im am Dienstag veröffentlichten GPK-N-Bericht heisst.

Partner-Inhalte
 
 
 
 
 
 

Die Oberaufsichtskommission zeigt sich überrascht, dass Ruag International ihre IT "nicht schon früher von einer spezialisierten Firma testen liess". Es sei "unverständlich", dass der Technologiekonzern die Mängel nicht früher erkannt habe.

Gezielte Datenprüfung gefordert

"Angemessen reagiert" haben laut GPK-N die zuständigen Bundesstellen. Vor einem Verkauf von Ruag International sollten aber zusätzliche Massnahmen geprüft werden, da nicht ausgeschlossen werden könne, dass sich sensible Daten in Archiven und Backups befänden und bei einem Verkauf von Teilen von Ruag International in fremde Hände gelangen könnten.

Möglich wäre aus Sicht der GPK-N insbesondere eine zusätzliche und gezielte Datenprüfung vor jedem Verkauf. Die Kommission werde diese Frage mit den zuständigen Stellen im Finanzdepartement (EFD) und im Verteidigungsdepartement (VBS) klären. Ebenso werde sie weitere Auskünfte sowie eine Bestätigung der Löschung der Daten auf den Systemen von Ruag International verlangen.

Der Bundesrat hatte im Sommer 2018 die Aufspaltung der Ruag in einen internationalen und einen für die Schweizer Armee tätigen Teil beschlossen. Das international tätige Luft- und Raumfahrttechnologieunternehmen Ruag International soll schrittweise privatisiert werden.

Schon 2016 war ein grosser Cyberangriff auf die frühere Ruag bekannt geworden, der gravierende Mängel in der Informatik ans Licht brachte.