Die Geschäftsprüfungskommission (GPK) des Nationalrats wählt deutliche Worte: Ein «gravierender Vorfall» sei die Cyberattacke auf den bundeseigenen Rüstungskonzern Ruag gewesen, heisst es in einem gestern Abend veröffentlichten Bericht zum Vorfall. Die Öffentlichkeit erfuhr Mitte 2016 vom Hackerangriff, begonnen hatte dieser aber bereits im Dezember 2014. Die mutmasslich russischen Urheber ergatterten dabei über 20 Gigabyte Daten.

Der Vorfall war für den Bund heikel: Die Ruag ist heute zwar ein eigenständiges Unternehmen, über verschiedene Informatikschnittstellen ist sie aber eng mit der Bundesverwaltung verbunden, insbesondere mit dem Verteidigungsdepartement (VBS). Diese Verbindungen sollen aus Sicherheitsgründen nun gekappt werden. Schon kurz nachdem die Landesregierung von der Cyberattacke erfuhr, leitete sie die Entflechtung der Informatiksysteme ein.

Doch der Bericht der GPK zeigt nun: Der Bundesrat hat die Komplexität dieser Aufgabe massiv unterschätzt. Eigentlich sollte die Entflechtung innerhalb von «kurzer Zeit» durchgeführt werden. Nun dauert die Umsetzung der Massnahme aber sicher bis ins Jahr 2023.

Der Rüstungskonzern und das VBS arbeiten etwa bei der Luftraumüberwachung und der Wartung der Kampfjets sowie der Programmierung der Armeekommunikation und der Zeughauslogistik zusammen. Die GPK zitiert einen Bericht des Verteidigungsdepartements, wonach die Armee heute viele Leistungen nur mit Unterstützung der Ruag erbringen könne.

Bundesrat will Ruag aufspalten

Die Kommission zeigt in ihrem Bericht zwar Verständnis für die Verzögerung, fordert den Bundesrat und insbesondere das Verteidigungsdepartement aber auf, die nötigen Mittel bereitzustellen, damit die Frist diesmal wirklich eingehalten werden kann. Die Umsetzung der Massnahme müsse mit «grösster Dringlichkeit» vorangetrieben werden.

Einen ersten Schritt hat der Bundesrat vor kurzem gemacht: Er kündigte an, dass er die Ruag aufspalten will. Die fast ausschliesslich für die Schweizer Armee tätigen Geschäftsbereiche sollen in einer neuen Gesellschaft zusammengeführt und von der übrigen Ruag getrennt werden, die auf der ganzen Welt zivile und militärische Leistungen erbringt. Das erlaube eine Trennung der Informatiksysteme, so der Bundesrat.

VBS musste mehrfach intervenieren

Grundsätzlich kommt die GPK zum Schluss, dass die Landesregierung und das VBS «rasch und angemessen» auf den Hackerangriff reagiert haben. Die Leitung der Ruag hingegen habe mehr Zeit benötigt, bis sie das Ausmass des Angriffs und die damit verbundenen Risiken anerkannte.

Überhaupt kein Verständnis zeigt die GPK dafür, dass sich das bundeseigene Unternehmen zunächst wenig kooperativ zeigte und dem Verteidigungsdepartement nicht alle geforderten Informationen zur Verfügung stellen wollte. Dieses musste laut dem Bericht mehrmals bei der Firma intervenieren.

Kritik übt die Kommission am späteren Umgang des Bundes mit der Cyberattacke. Der Angriff und dessen Folgen seien bei der strategischen Steuerung der Ruag zu wenig thematisiert worden, schreibt sie. Das VBS verfüge zwar über die nötigen Instrumente, um die Eignerinteressen des Bundes durchzusetzen, nutze diese aber nicht genügend.

Dies zeige sich beispielsweise bei den regelmässigen Eignergesprächen zwischen Bund und Ruag. Diese dienten heute vor allem der Information über den Geschäftsgang. Sie sollten gemäss der Kommission aber auch genutzt werden, um Forderungen zu stellen und Aufträge zu erteilen.