bedeckt17°
DE | FR
burger
Schweiz
Digital

Ruag bezahlte Online-Erpresser: Spur führt nach Russland

Bundesrat Martin Pfister (assistiert von Pilot Lucien Lassence) sitzt im Cockpit eines Flugsimulators, waehrend einem Rundgang auf dem Militaerflugplatz Payerne, am Donnerstag, 9. Oktober 2025. Bundes ...
Schwere Turbulenzen: Bundesrat Martin Pfister (hier im Flugsimulator) ist als VBS-Chef für den skandalgeplagten Schweizer Rüstungskonzern zuständig. archivBild: keystone
Analyse

Die Ruag bezahlte Online-Erpresser – darum ist der Fall viel explosiver als angenommen

Die dem Verteidigungsminister unterstellte Ruag will gestohlene Daten erfolgreich «zurückgekauft» haben. Von einer russischsprachigen Ransomware-Bande. Mit Verbindungen zum russischen Geheimdienst. Eine Analyse.
12.06.2026, 10:4312.06.2026, 11:38
Daniel Schurter
Daniel Schurter

Die jüngsten Vorgänge beim Schweizer Rüstungskonzern Ruag, der vollständig der Eidgenossenschaft gehört, also dem Bund, werfen Fragen auf.

Äusserungen der Ruag-Führung zu einem früheren Datendiebstahl bei einer US-Tochterfirma zeigen technisches Unverständnis. Und das betrifft ausgerechnet die Cybersicherheit.

Tatsächlich könnten vertrauliche Informationen nicht nur weiterhin in kriminellen Händen, sondern im schlechtesten Fall beim russischen Geheimdienst sein.

watson hat sich auf Spurensuche begeben.

Inhaltsverzeichnis
Was ist passiert?Wer ist das Opfer?Was wurde gestohlen?Warum hat das Opfer bezahlt?Wer sind die Täter?Flossen Ruag-Daten an den russischen Staat ab?Was sagt Ruag dazu?Warum ist das Bezahlen von Lösegeld nie eine gute Lösung?PS: Frühere Hackerangriffe auf die Ruag mit russischer BeteiligungQuellen

Was ist passiert?

Der Schweizer Rüstungskonzern Ruag ist seit letztem Samstag wegen eines schwerwiegenden Fehlverhaltens in einem früheren Erpressungsfall in den Schlagzeilen. Und in der Folge wächst der politische Druck. Der «Tages-Anzeiger» schrieb diese Woche von einem «Sturm im Bundeshaus». Am kommenden Montag müsse Verteidigungsminister Martin Pfister im Nationalrat dazu Rede und Antwort stehen.

Der Auslöser: Die Ruag-Verantwortlichen gingen 2025 auf eine Forderung von Online-Erpressern ein. Sie bezahlten für die bei einer US-Tochterfirma gestohlenen Daten «Lösegeld». Dies, nachdem die Ransomware-Bande Akira gedroht hatte, die erbeuteten Dateien im Darknet zu leaken.

Entgegen den Warnungen des Bundes: Ruag bezahlte Lösegeld an Hacker

Problem 1: Das Bundesamt für Cybersicherheit empfiehlt dringend, niemals auf Erpressungen einzugehen, da Zahlungen die kriminellen Strukturen direkt finanzieren.

Problem 2: Das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) als Eigentümervertreterin des Bundes war im Vorfeld der Zahlung nicht von den Ruag-Verantwortlichen konsultiert worden.

Das eigentliche Hauptproblem wurde allerdings weder in der bisherigen Berichterstattung noch in den Reaktionen einzelner Parlamentsmitglieder angesprochen:

Gehen die Verantwortlichen tatsächlich davon aus, dass die Cyberkriminellen die gestohlenen Daten nach Bezahlen eines Lösegeldes restlos gelöscht haben?

Hat die Ruag mit der Zahlung die angedrohte Veröffentlichung «vertraulicher Informationen» im Darknet UND die heimliche Weitergabe an Dritte verhindert?

Dies anzunehmen wäre im besten Fall naiv.

Auch wenn die Ruag Lösegeld bezahlt und Akira die Daten nicht auf ihrer Leak-Site publiziert hat, bedeutet dies lediglich, dass die Daten nicht der breiten Öffentlichkeit zugänglich gemacht wurden. Es verhindert nicht, dass die Täter Kopien haben und an andere Akteure weitergegeben.

Der Ruag-Verwaltungsratspräsident Jürg Rötheli hatte in der SRF-Radiosendung «Samstagsrundschau» auf Nachfrage des interviewenden Journalisten erklärt:

«Wir haben bezahlt und haben glücklicherweise alle Daten zurückerhalten.»

Der Entscheid sei richtig gewesen, versuchten sich die Ruag-Verantwortlichen gegenüber SRF zu verteidigen. Und weiter: Man habe «den finanziellen und sicherheitsspezifischen Schaden auf ein Minimum begrenzen können».

Woher will man das wissen?

Tatsächlich ist die Idee, gestohlene Daten «zurückkaufen» zu können, eine trügerische Illusion.

Durch das Bezahlen von Lösegeld hat sich die Ruag lediglich das temporäre Versprechen von Kriminellen gekauft, die Daten vorerst nicht zu veröffentlichen.

Der Begriff «Daten zurückkaufen» ist ein psychologisches Placebo, das von der Cybercrime-Industrie ganz gezielt aufrechterhalten wird, um den Opfern ein Gefühl von Verhandlungsmacht und Schadensbegrenzung zu vermitteln.

In der digitalen Welt gibt es aber keine Rückgabe, nur unendlich viele Kopien. Und an gewissen Kopien haben Geheimdienste verschiedener Länder grösstes Interesse.

Wer ist das Opfer?

Die im Herbst 2025 von Akira angegriffene Ruag LLC (ehemals Mecanex USA) ist eine US-Tochter des Schweizer Rüstungskonzerns Ruag. Die gestohlenen Daten stammen somit aus dem militärischen oder rüstungsnahen Umfeld.

Darknet-Leak-Site der Ransomware-Bande Akira. Screenshot: watson (Juni 2026).
So drohten die Cyberkriminellen im November 2025 auf ihrer Darknet-Website.Screenshot: watson

Was wurde gestohlen?

Das ist nicht öffentlich bekannt.

Die Cyberkriminellen behaupteten, sie hätten bei ihrem Hackerangriff auf den Server der Ruag LLC neben Personendaten unter anderem «vertrauliche militärische Informationen» erbeutet, sowie «eine Menge Verträge und Vereinbarungen», «einschliesslich militärischer». Laut Akira waren es 24 Gigabyte (GB), was eine relativ kleine Datenmenge ist, bei Textdateien aber Millionen von Seiten sein könnten.

Die Datenmenge an sich sagt nichts über den Wert oder die Brisanz der gestohlenen Informationen aus.

Hacker stehen bei der sogenannten «Exfiltration» von Daten unter enormem Zeitdruck, weil der Übertragungsprozess Alarm auslösen könnte. Professionelle Angreifer nutzen zunächst automatisierte Skripte, um das fremde Netzwerk gezielt nach Begriffen wie «Board Meeting» oder «Confidential» zu durchsuchen. Dann stehlen sie nur hochsensible Dateien. Die erbeutete Datenmenge ist darum relativ klein.

Warum hat das Opfer bezahlt?

Das ist unklar.

Die Ruag lässt verlauten, dank der Lösegeld-Zahlung habe man «den finanziellen und sicherheitsspezifischen Schaden auf ein Minimum reduzieren» können.

Drohte ein massiver Reputationsschaden, den die Verantwortlichen unbedingt vermeiden wollten? Etwa, weil brisante Details zur US-Tochter ans Licht gekommen wären?

Höchstwahrscheinlich liessen die Cyberkriminellen, nachdem sie unbemerkt ins fremde System eingedrungen waren, die aus ihrer Sicht interessanten Informationen «abfliessen».

Das kriminelle Geschäftsmodell von Akira sieht die Zusammenarbeit mit unabhängigen Partnern («Affiliates») vor. Diese Dritten übernehmen den eigentlichen Hackerangriff. Die häufigste Methode beim Datendiebstahl ist der automatisierte Upload in legitime, kommerzielle Cloud-Speicher.

Zerstörten die Angreifer nach ihrem Datendiebstahl die Server-Struktur und löschten die Backups, sodass Geschäftsdaten unwiderruflich verloren gewesen wären?

Dieses Szenario ist höchst unwahrscheinlich.

Gemäss den vorliegenden Fakten gab es keine Verschlüsselungs-Attacke, die die Server der Ruag LLC lahmlegte. Man musste also nicht bezahlen, weil der Betrieb unterbrochen war und nur so wiederhergestellt werden konnte.

Wer sind die Täter?

Spoiler: Die Spuren führen nach Russland. Und es gibt Verbindungen zu russischen Geheimdiensten.

Und damit sind wir bei der Organisationsform von Akira. Es handelt sich um eine cyberkriminelle Gruppierung, die auf Ransomware-as-a-Service (RaaS) spezialisiert ist.

Die Kernorganisation der Bande besteht aus Hintermännern, die ihre eigene Angriffssoftware mitsamt der nötigen Server-Infrastruktur an Dritte vermieten oder im Abo verkaufen. Dadurch können auch technisch weniger versierte Täter komplexe Erpressungsangriffe durchführen.

Analysen von IT-Sicherheitsfirmen belegten, dass Akira arbeitsteilig agiert. Selbst wenn das Kernteam einen Deal mit dem Opfer einhält, könnten die Affiliates (die eigentlichen Einbrecher) eigene Kopien der Daten erstellt haben.

Fakt ist auch: Die Kern-Infrastruktur von Akira wurde über Jahre von früheren Mitgliedern der russischsprachigen Ransomware-Gruppe Conti betrieben. Diese Erkenntnis gilt in der IT-Sicherheitsforschung als gesichert.

Die Conti-Gruppe hatte sich nach dem russischen Überfall 2022 auf die Ukraine öffentlich und unmissverständlich hinter den Aggressor gestellt. Man sei loyal zur russischen Regierung unter Wladimir Putin, wurde in einer im Darknet veröffentlichten Mitteilung verlautet. Und dem Westen wurde mit Attacken gegen «Kritische Infrastrukturen» gedroht.

Weil sich laut Insider-Berichten ukrainische Bandenmitglieder über die Pro-Russland-Positionierung nervten, schwächte Conti die Botschaft später auf der eigenen Leak-Seite im Darknet ab. Doch da war es bereits zu spät.

Ein ukrainischen Sicherheitsforscher, der sich offenbar Zugriff auf die Server der Conti-Bande verschaffen konnte, veröffentlichte ihre interne Kommunikation im Internet.

Analyse
Super-GAU für russische Hackerbande – Leak könnte unbekannte Schweizer Opfer betreffen

Aus den geleakten Conti-Chats ist belegt, dass direkte Verbindungen zwischen der Cybercrime-Gruppierung und russischen Geheimdienst-Leuten bestanden.

Mit dem Staat unter einer Decke
Die Forschungs- und Analyseabteilung der Cybersicherheitsfirma Trellix veröffentlichte 2022 umfassende Auswertungen der geleakten Chatnachrichten. In den Berichten zu den «Conti Leaks» wird nachgewiesen, dass Führungskräfte der Gruppe wahrscheinlich direkte Kontakte zu Offizieren des russischen Inlandsgeheimdienstes FSB unterhielten. Es wurde dokumentiert, dass Kriminelle teilweise Büroräume in Russland nutzten. Und sie stellten ihre Cyber-Fähigkeiten auch dem russischen Staat zur Verfügung – insbesondere im Kontext des Ukraine-Krieges.

Forscher der IT-Sicherheitsfirma Mandiant haben die Struktur der Conti-Bande ebenfalls anhand der Chat-Leaks untersucht. Ihre Berichte belegen die fliessenden Übergänge zwischen profitgetriebener Erpressung und staatlich tolerierter Spionage: Das kriminelle Netzwerk reichte Daten von strategischem Wert an staatliche Akteure weiter.
infobox image
Wladimir Putin ist selbst ein erfahrener Geheimdienstler.Bild: keystone

Flossen Ruag-Daten an den russischen Staat ab?

Dazu ist nichts öffentlich bekannt.

Tatsächlich ist das Risiko eines Datenabflusses an staatliche russische Stellen als real und hoch einzustufen. Dafür sprechen folgende strukturelle Gründe:

  • Die Kooperation: Ransomware-Gruppen wie Akira können von russischem Boden aus weitgehend unbehelligt operieren, solange sie keine Ziele in der Russischen Föderation oder sogenannten GUS-Staaten angreifen. Im Gegenzug für die staatliche Duldung wird von den Cyberkriminellen erwartet, dass sie bei Bedarf mit den russischen Geheimdiensten (FSB, GRU) kooperieren.
  • Militärische Relevanz: Wenn eine Hackergruppe Daten eines westlichen Rüstungskonzerns erbeutet, weckt dies automatisch das Interesse staatlicher Akteure. Es ist stark davon auszugehen, dass russische Geheimdienste Zugriff auf solche Datensätze einfordern – entweder durch direkte Anordnung an das Führungsteam von Akira oder indem sie die Daten den Kriminellen abkaufen.
Russische Erpresserbande terrorisierte auch Schweizer Firmen – und der Staat half mit

Ob die Ruag in den USA Strafanzeige eingereicht habe, sei unklar, hält die «Neue Zürcher Zeitung» (NZZ) fest. Die Bundesanwaltschaft sei nicht eingeschaltet worden.

Was sagt Ruag dazu?

Die Medienstelle des Schweizer Rüstungskonzerns wollte diese Woche keine Fragen beantworten. Konkret:

  • Hält die Ruag an der Darstellung fest, dass die Täter «alle Daten» zurückgegeben haben?
  • Geht die Ruag davon aus, dass die Täter alle Kopien gelöscht haben?
  • Wie beurteilt die Ruag das Risiko, dass die gestohlenen Daten an staatliche russische Akteure weitergegeben wurden?

Ruag-Sprecher Fabian Vogt antwortete watson:

«Der Sachverhalt wird derzeit gemeinsam mit dem VBS aufgearbeitet. Solange diese Arbeiten nicht abgeschlossen sind, können wir keine weiterführenden Auskünfte erteilen.»

Und er verwies auf die ursprüngliche Medienmitteilung vom November 2025 zum «Sicherheitsvorfall».

Warum ist das Bezahlen von Lösegeld nie eine gute Lösung?

Die Annahme, eine Lösegeldzahlung würde ein Datenleck sicher abwenden, beruht auf einem Trugschluss. Sobald Daten das Unternehmensnetzwerk verlassen haben, ist die Kontrolle darüber unwiederbringlich verloren, wie oben erklärt.

Dass Behörden und Sicherheitsexperten vom Bezahlen abraten, hat nicht nur ethische oder politische Gründe, sondern basiert auf der harten statistischen Tatsache, dass sich kriminelle Netzwerke nicht an Abmachungen halten.

Der NZZ-Techjournalist Lukas Mäder kommentierte:

«Es mag für die Ruag entscheidende Gründe gegeben haben, ein Lösegeld zu bezahlen. Doch in diesem Fall müsste der Konzern seine Überlegungen kommunizieren. Dies könnte sogar positiv sein. Eine öffentliche Debatte über den Umgang mit Ransomware-Angriffen würde angestossen und die Wirtschaft für das Thema sensibilisiert.»
quelle: nzz.ch

PS: Frühere Hackerangriffe auf die Ruag mit russischer Beteiligung

Der Schweizer Rüstungskonzern war in den letzten zehn Jahren mehrfach das Ziel von schwerwiegenden Cyberangriffen und von Datenlecks betroffen. Bei mehreren dieser Vorfälle gab es deutliche Hinweise auf russische Akteure.

2016 wurde entdeckt, dass die IT-Systeme mit einer hochkomplexen Spionagesoftware infiziert waren. Nachrichtendienstliche Analysen ergaben, dass der Angriff bereits im Dezember 2014 erfolgte und lang unbemerkt blieb. Die Aktion wird einer russischen Elite-Hackergruppe zugeschrieben, die in Fachkreisen als APT28 oder Fancy Bear bekannt ist.

2021 wurde im Zuge der politisch gewollten Aufspaltung des Rüstungskonzerns in einen nationalen Geschäftsteil und einen internationalen Teil ein weiterer Vorfall publik. Laut Medienrecherchen konnten Hacker ins Netzwerk von Ruag International eindringen. Eine daraufhin angeordnete externe Prüfung offenbarte gravierende Sicherheitsmängel.

2024 waren der Ruag-Konzern und das VBS durch ein Datenleck in der Lieferkette betroffen. Ein US-Zulieferer der Schweizer Luftwaffe wurde von Cyberkriminellen gehackt. Die Täter stahlen rund 30 Gigabyte an Daten. Im Darknet wurden Verträge, E-Mails und Zahlungsbelege veröffentlicht.

Insider-Informationen?
watson-Redaktor Daniel Schurter ist über die verschlüsselte Messenger-App Threema auch anonym zu erreichen. Seine «Threema ID» lautet: ACYMFHZX. Oder du schreibst an daniel.schurter [at] protonmail.com. Wer sich beim Schweizer Secure-Mail-Anbieter (kostenlos) registriert, kann verschlüsselte E-Mails verschicken.

Quellen

Schwerer Schlag gegen russische Ransomware-Bande LockBit – Schweiz beteiligt
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
Themen
Wie der russische Militärgeheimdienst GRU hackt und tötet
1 / 25
Wie der russische Militärgeheimdienst GRU hackt und tötet
Zum Repertoire des russischen Militärgeheimdienstes GRU gehören gezielte Tötungen, verdeckte Militäreinsätze, Hackerangriffe und die Manipulation von Wahlen. In dieser Bildstrecke lernst du seine Einheiten und Operationen kennen.
quelle: shutterstock
Auf Facebook teilenAuf X teilen
Reportage: Wie die Ukraine (verletzte) Veteranen wieder fit für den Arbeitsmarkt macht
Video: watson
Das könnte dich auch noch interessieren:
Du hast uns was zu sagen?
Hast du einen relevanten Input oder hast du einen Fehler entdeckt? Du kannst uns dein Anliegen gerne via Formular übermitteln.
54 Kommentare
Zum Login
user avatar
Dein Kommentar
YouTube Link
0 / 600
Hier gehts zu den Kommentarregeln.
Die beliebtesten Kommentare
avatar
Dr. Atomi
12.06.2026 10:51registriert Juli 2024
Wenn Schweizer Steuergeld an kriminelle Straftäter bezahlt wird...
So etwas hätte ich niemals für möglich gehalten.
360
Melden
Zum Kommentar
avatar
Honk
12.06.2026 11:03registriert Mai 2019
«Wir haben bezahlt und haben glücklicherweise alle Daten zurückerhalten.» Da hat jemand immer noch nicht kapiert, wie das mit digitalen Daten funktioniert.
340
Melden
Zum Kommentar
54
Bis zu 35 Grad: Der Sommer kehrt mit voller Wucht zurück
Wer die Wetterprognosen für die kommende Woche anschaut, kommt bereits beim Lesen der Zahlen ins Schwitzen. Gemäss Meteonews stehen die Chancen gut, dass im Verlauf der zweiten Wochenhälfte das Thermometer sogar auf bis zu 35 Grad steigt.
Zur Story