Oberaufsicht empfiehlt Sicherheitsprüfung bei Ruag International

Das Wichtigste in Kürze
- Die Geschäftsprüfungskommission des Nationalrats (GPK-N) will Ruags Sicherheit überprüfen.
- So soll vor einem Verkauf kontrolliert werden, ob noch sensible Daten gespeichert sind.
- In der Vergangenheit wurden bei dem Konzern schwerwiegende Mängel festgestellt.
Vor einem Verkauf des Technologiekonzerns Ruag International soll geprüft werden, ob sich sensible Daten in Archiven und Backups befinden, die in fremde Hände gelangen könnten. Das empfiehlt die Geschäftsprüfungskommission des Nationalrats (GPK-N).
Anlass der Untersuchung der Informationstechnologie (IT) durch externe Experten war ein Fernseh-Bericht der SRF-«Rundschau» von Mitte Mai 2021, gemäss dem es einen erneuten Hackerangriff auf das Unternehmen gegeben hat.
«Schwerwiegende Mängel in Informationssicherheit»
Danach hatten sich zwar «keine erhärteten Belege» für einen «Hack» finden lassen. Allerdings wurden in der Folge «schwerwiegende Mängel in der Informationssicherheit» entdeckt, wie es im am Dienstag veröffentlichten GPK-N-Bericht heisst.
Die Oberaufsichtskommission zeigt sich überrascht, dass Ruag International ihre IT «nicht schon früher von einer spezialisierten Firma testen liess». Es sei «unverständlich», dass der Technologiekonzern die Mängel nicht früher erkannt habe.
«Angemessen reagiert» haben laut GPK-N die zuständigen Bundesstellen. Vor einem Verkauf von Ruag International sollten aber zusätzliche Massnahmen geprüft werden, da nicht ausgeschlossen werden könne, dass sich sensible Daten in Archiven und Backups befänden und bei einem Verkauf von Teilen von Ruag International in fremde Hände gelangen könnten.
Gezielte Datenprüfung möglich
Möglich wäre aus Sicht der GPK-N insbesondere eine zusätzliche und gezielte Datenprüfung vor jedem Verkauf. Die Kommission werde diese Frage mit den zuständigen Stellen im Finanzdepartement (EFD) und im Verteidigungsdepartement (VBS) klären. Ebenso werde sie weitere Auskünfte sowie eine Bestätigung der Löschung der Daten auf den Systemen des Konzerns verlangen.

Der Bundesrat hatte im Sommer 2018 die Ruag-Aufspaltung in einen internationalen und einen für die Schweizer Armee tätigen Teil beschlossen. Das international tätige Luft- und Raumfahrttechnologieunternehmen Ruag International soll schrittweise privatisiert werden.
Schon 2016 war ein grosser Cyberangriff auf die frühere Ruag bekannt geworden, der gravierende Mängel in der Informatik ans Licht brachte.