Entgegen den Warnungen des Bundes: Ruag bezahlte Lösegeld an Hacker
Der Bundeskonzern RUAG hat nach einem Hacker-Angriff im vergangenen Herbst Lösegeld bezahlt. Dies berichtete das SRF am Samstag. Besonders brisant: Der Bund rät dringend davon ab, Lösegeld zu zahlen.
Die Ransomware-Bande Akira hatte im Herbst 2025 die IT-Systeme der Ruag-Tochter LLC im US-Bundesstaat Virginia angegriffen. Dabei wurden Daten aus den Systemen der Tochtergesellschaft entwendet. Anschliessend drohten die Angreifer mit deren Veröffentlichung im Darknet und forderten Lösegeld.
Damals sprach die Ruag von einem «Sicherheitsvorfall». Weil die Tochterfirma in den USA autarke IT-Systeme aufweise, habe der Angriff keine Auswirkungen auf andere Systeme des Konzerns, teilte die Ruag MRO nach dem Angriff mit.
Entgegen den Empfehlungen des Bundes
Wie sich nun herausstellt, hat sich der Rüstungskonzern, der zu 100 Prozent dem Bund gehört, für das Lösegeld-Bezahlen entschieden. In der SRF-«Samstagsrundschau» bestätigte RUAG-Verwaltungsratspräsident Jürg Rötheli:
Dabei soll es sich um einen kleinen Betrag handeln, so Rötheli – näher wolle er nicht darauf eingehen. Das SRF schreibt dazu, dass dies Teil der neuen Strategie der Hackerbande sei: Man setze nicht mehr auf einzelne Megasummen, sondern auf hohe Fallzahlen. Die Rede sei üblicherweise von Summen im tiefen sechsstelligen Bereich.
Der Entscheid steht im Widerspruch zu den Empfehlungen des Bundesamts für Cybersicherheit (Bacs). Dieses rät grundsätzlich davon ab, Lösegeld an Cyberkriminelle zu bezahlen. «Die Behörden weisen darauf hin, dass man kein Lösegeld bezahlen soll, denn dieses dient der Finanzierung der kriminellen Aktivitäten», heisst es auf der Webseite des Bacs.
Und was sagt der Ruag-VRP dazu? Er wisse, dass sein Konzern gegen die Empfehlungen des Bundes gehandelt habe, so Rötheli. Man habe dieses Vorgehen jedoch entsprechend abgesprochen. Auf Nachfrage habe die Ruag präzisiert, dass diese Absprachen mit unternehmensinternen Gremien geführt worden seien. Auch habe man sich von US-Rechtsexperten beraten lassen.
Wer jedoch nicht in diese Absprachen miteinbezogen wurde, ist das VBS. Auf Anfrage von SRF heisst es, das VBS sei im Vorfeld der Zahlung nicht informiert worden.
Das VBS vertritt den Bund als Eigentümer gegenüber der RUAG. Zur Tatsache, dass ein Bundeskonzern Lösegeld bezahlt habe, wolle man sich im Moment nicht äussern.
Bekannte Cybercrime-Gruppe
Die Hackergruppe Akira zählt zu den international aktiven Ransomware-Gruppierungen. Sie tauchte erstmals im März 2023 auf und setzt auf sogenannte doppelte Erpressung. Dabei werden Daten zunächst gestohlen und anschliessend verschlüsselt. Die Täter verlangen danach Geld für die Entschlüsselung der Systeme und verzichten im Gegenzug auf die Veröffentlichung der erbeuteten Daten. Die Zahlung des Lösegelds erfolgt nach Angaben des Bacs in Kryptowährung, meistens in Bitcoin.
Die Hackergruppe operiert mittels spezieller und eigens entwickelter Software und verfügt über eine IT-Infrastruktur, die international über mehrere Länder verteilt ist.
Der Bund hatte bereits im Oktober 2025 vor einer Zunahme von Angriffen durch Akira gewarnt. Nach Angaben der Behörden wurden in der Schweiz rund 200 Unternehmen Opfer entsprechender Attacken.
Die vom Angriff betroffene Ruag LLC beschäftigt acht Mitarbeitende. Die Gesellschaft dient als Verbindungsbüro zu US-amerikanischen Institutionen, Lieferanten und Partnerfirmen. Sie liefert unter anderem Ersatzteile für Kampfflugzeuge und erbringt Reparatur- und Unterhaltsdienstleistungen.
(cpf/hkl/sda)
