DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Die RUAG hat geheime Daten zu wenig gut geschützt.
Die RUAG hat geheime Daten zu wenig gut geschützt.Bild: KEYSTONE

Ausgerechnet der Rüstungsbetrieb Ruag ignorierte Hacker-Warnungen – und blamierte sich

Jahrelang lagen geheime Informationen teilweise ungesichert auf den löcherigen Servern des bundeseigenen Rüstungsbetriebs herum. Recherchen zeigen: Warnungen wurden in den Wind geschlagen. Drohen nun Klagen aus den USA?
02.02.2021, 05:2502.02.2021, 06:31
Henry Habegger / ch media

Es war katastrophal und peinlich zugleich. Im Januar 2016 flog auf, dass der bundeseigene Rüstungsbetrieb seit mehr als einem Jahr gehackt wurde. Spätestens im September 2014 hatten sich nie zweifelsfrei identifizierte Hacker mit Schadsoftware im Ruag-Netz festgesetzt. Sie gingen dort sehr gezielt vor und stahlen phasenweise grosse Mengen an Daten, über die bisher wenig bekannt ist. Im Dezember 2015 erhielt der Nachrichtendienst des Bundes (NDB) Hinweise auf das Leck; die Ruag selbst hatte nichts bemerkt.

Peinlich war das, weil sich die Ruag grossmundig als Experte für Cybersicherheit anpries. Was aber die Chefs des Pleite-Konzerns nicht biss: Der Lohn von CEO Urs Breitmeier stieg 2015 auf über eine Million, er erhielt etwa 130'000 Franken mehr als im Vorjahr. Grund: Seine «Leistungskomponente» stieg von 364'000 auf 499'800 Franken.

Urs Breitmeier war bis Januar 2020 Chef der Ruag.
Urs Breitmeier war bis Januar 2020 Chef der Ruag.Bild: KEYSTONE

Jetzt zeigen Recherchen von CH Media: Die Ruag-Spitze hatte in diesen Jahren dafür wichtige Investitionen in die Cybersicherheit unterlassen, um, wie Insider sagen, den Gewinn zu steigern. «Es ging immer um die Boni», sagt ein ehemaliger Kadermann.

2014, im Jahr des Hackerangriffs also, meldeten IT-Sicherheitsexperten ihren Vorgesetzten, dass eine Reihe von wichtigen internen Sicherheitsvorschriften nicht eingehalten wurde. Es gab grosse «Non-Konformitäten», wie es heisst. So gab es seit 2013 Vorschriften, wie interne Systeme validiert und abgenommen werden mussten, was aber nicht passierte.

Die Experten stellten auch fest, dass die Ruag ihre Unmengen an teilweise geheimen Daten zu Rüstungsgütern, die sie über die Jahre angehäuft hatte, nicht klassifiziert hatte. Der Konzern mit Ablegern in aller Welt wusste also auch nicht, wo in ihren Systemen heikle Daten aufbewahrt wurden und wem diese Daten gehörten.

Die Ruag, 1998 aus Regiebetrieben des Bundes hervorgegangen, arbeitet nicht nur für die Schweiz, sondern für zahlreiche andere Regierungen und Staaten, namentlich die USA. Das Unternehmen hantiert mit geheimen Daten zu Waffensystemen, zivilen und militärischen Flugzeugen wie dem Kampfjet F/A-18 und vielem mehr.

Sicherheitsprobleme auch Jahre später nicht behoben

Die Ruag-Chefs kassierten zwar in den Folgejahren weiter horrende Saläre, aber die Sicherheitsprobleme wurden nicht wirklich behoben. In einem geheimen Prüfbericht stellte die Eidgenössische Finanzkontrolle (EFK) 2018, also vier Jahre später fest: «Die Ruag verfügt weder auf Stufe Division noch konzernweit über ein Inventar seiner schützenswerten Informationsobjekte. Damit ist nicht festgehalten, wo sich die heiklen Daten befinden und wer die Data-Owner sind bzw. ob diese genügend geschützt sind.»

Die Warnungen der internen Sicherheitsspezialisten wurden offensichtlich nicht ernst genommen. Obwohl die Spezialisten laut Recherchen 2016 auch beim Konzernrechtsdienst auf die verschiedenen «Non-Konformitäten» hingewiesen hatten.

Die bis heute nicht genannten Hacker konnten sich, so sieht es heute aus, fast nach Lust und Laune bedienen. Vertrauliche Daten, das steht fest und ist durch den EFK-Bericht bestätigt, lagen ungesichert im Ruag-Netz herum. Die Rede ist etwa von Explosionszeichnungen von Panzern, auf die zufällig ein Informatiker stiess. Experten sagen, dass das weit verzweigte Ruag-Netz so löchrig war, dass mutmasslich Mitarbeiter aus aller Welt auf diese Daten zugreifen konnten. Noch im Jahr 2020 ergaben interne Analysen, dass vom Ruag-Netz 700 nicht verzeichnete Übergänge nach aussen führten. Zur Führungsunterstützungsbasis (FUB) der Armee etwa, zu Swisstopo, aber auch zur Universität München.

Laut Insidern weigerten sich die Ruag-Chefs in all den Jahren, das nötige Geld in die Hand zu nehmen, um die Probleme wirksam zu lösen.

Auch US-Daten wurden nicht sicher aufbewahrt

Jetzt wird die Ruag aufgeteilt in einen internationalen und einen nationalen Teil. Mitarbeiter, die für die Cybersicherheit verantwortlich waren und vergeblich warnten, sind besorgt: Sie sitzen auf einem Pulverfass und müssen befürchten, dass sie im Fall von Haftungsklagen alleine dastehen – weil es den ehemaligen Arbeitgeber nicht mehr gibt.

Gefahr droht etwa wegen allfälliger Patentverletzungen durch geklaute Daten. Was einigen besonders Angst macht: Ein Grossteil der Daten auf den Ruag-Servern stammte aus den USA und unterlag dem sogenannten ITAR-Regime, der «International Traffic in Arms Regulation». Die USA kontrollieren über dieses Gesetz die Exporte und Weiterverbreitung ihrer Rüstungsgüter und Technologie.

Die ITAR unterworfenen Firmen wie die Ruag müssen die Daten sicher aufbewahren. Was bei der Ruag allerdings nicht der Fall war. Im Geheimbericht von 2018 stellt die Finanzkontrolle fest: «Im Falle von internationalen Vorschriften wie zum Beispiel ITAR könnten Verletzungsklagen zu hohen Bussen führen oder Ruag könnte von der Beschaffung von wichtigen Systemen ausgeschlossen werden. Der Bund als Eigner trägt dadurch nicht nur ein finanzielles, sondern auch ein Reputationsrisiko.»

Millionenbussen, 20 Jahre Haft, Reputationschaden

Verstösse gegen ITAR können laut US-Gesetzen mit bis zu 20 Jahren Haft und Bussen von einer Million Dollar pro Verstoss geahndet werden. Ehemalige Ruag-Leute befürchten daher, verantwortlich gemacht zu werden für den haarsträubenden Pfusch und den Amerikanern irgendwann in den Hammer zu laufen.

Andere Insider glauben, die USA, die über die ITAR-Verstösse selbstredend im Bild sind, übten heimlich Druck aus auf die Schweiz. Ziel: Kauf eines US-Kampfjets durch die Schweiz.

Es gilt die Unschuldsvermutung. (aargauerzeitung.ch)

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

Die Exportschlager der Schweizer Rüstungsindustrie

1 / 17
Die Exportschlager der Schweizer Rüstungsindustrie
quelle: keystone / christian beutler
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Hacker finden Schwachstelle im E-Voting-System

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

66 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
LURCH
02.02.2021 06:42registriert November 2019
Tja, bei der Beschaffung der Kampjets von den Amis wäre wenigstens das Handling und die Datensicherheit durch eben diejenigen sichergestellt.
Für mich auf jeden Fall ein Argument diese zwei Modelle aus dem Wunschkatalog zu streichen.
Wann werden in diesem Staat Systemrelevante Positionen endlich einmal nach Kompetenzen und nicht nach Parteizugehörigkeit vergeben?

http://www.srf.ch/news/schweiz/neue-kampfjets-fuer-die-schweiz-us-jets-in-der-kritik-dort-fliegt-der-cia-immer-mit
5446
Melden
Zum Kommentar
avatar
trio
02.02.2021 05:39registriert Juli 2014
Es wird endlich mal Zeit, das solche Chefs und CEOs ihren Lohn zurückzahlen müssen!
5135
Melden
Zum Kommentar
avatar
Rethinking
02.02.2021 06:15registriert Oktober 2018
Die Leistungskomponente der CEOs und deren Management Kumpels ist leider selten an Leistung geknüpft. Schon gar nicht an nachhaltige Leistung...
3934
Melden
Zum Kommentar
66
Entgleister Zug unterbricht Strecke bei Liestal

Durch eine Entgleisung ist die SBB-Strecke zwischen Pratteln und Liestal BL am frühen Samstagabend beeinträchtigt gewesen. Betroffen war der Betrieb der S-Bahn S3. Die Störung war nach Angaben des Bahninformationsdiensts Railinfo um 22.45 Uhr behoben.

Zur Story