GSoA-Zeitung


Edition Nr.181

Erstaunlich dilettantisch

Im Frühling 2016 wurde bekannt, dass die RUAG von einem Cyberangriff betroffen war. Der Angriff führte zu schwerwiegenden Beeinträchtigungen der Informatiksicherheit. Auch das VBS musste nach diesem Vorfall Kritik einstecken. Wer nun glaubt, die RUAG und das VBS hätten ihre IT-Systeme nun im Griff, sieht sich getäuscht.

Die nach dem Cyberangriff prüfende Gesch.ftsprüfungskommission des Nationalrates (GPK-N) untersuchte neben dem eigentlichen Cyberangriff die grundsätzlichen Zusammenarbeitsprozesse des VBS und der RUAG. Betreffend dem Verhalten beim Cyberangriff kam die GPK-N zum Schluss, dass das VBS «grundsätzlich» angemessen auf den Vorfall regiert hatte. In Bezug auf die Zusammenarbeit von VBS und RUAG sind aber auch fast vier Jahre nach dem Vorfall Baustellen offen, die doch sehr erstaunlich sind. Ein Beispiel: Im Juni 2018 hatte der Bundesrat entschieden, jenen Teil der RUAG, welcher für die Sicherstellung der Ausrüstung der Armee zuständig ist, von den anderen RUAG-Teilen (RUAG International) zu trennen. In diesem Zusammenhang wurde auch entschieden, die Daten, die zu dieser Einheit gehören, in den sogenannten Sicherheitsparameter des VBS zu integrieren. Es zeigt sich nun, dass die Integration dieser Daten das VBS vor schwerwiegende Probleme stellt. Mangelhaft bzw. unvollständig klassifizierte Daten, die zudem nach wie vor infiziert sein könnten, sind der Grund dafür. Viola Amherd musste eingestehen, dass die Integration der Daten in den Sicherheitsparameter des VBS schwieriger sei als erwartet. Zudem handle es sich um mehr Daten, als ursprünglich angenommen. Man kommt vom Eindruck nicht los, dass das VBS die Situation nicht unter Kontrolle hat. Erstaunlich ist dieser Umstand vor allem auch deshalb, weil das VBS über eine Cyber-Defence-Einheit verfügt, die für sich den Anspruch definiert, ihre eigenen Informations- und Kommunikationssysteme und -Infrastrukturen jederzeit vor Cyber-Angriffen schützen zu können. Wie das VBS diesem Anspruch gerecht werden will, wenn bereits die Integration von Daten von einem System in ein anderes System zu solchen Problemen führt, bleibt schleierhaft.

Undurchsichtig

Ein weiterer Sachverhalt, den die GPK-N bemängelte, wirkt zudem sehr irritierend. Die GPK-N stellte fest, dass zu Zeiten von Guy Parmelin Gespräche zwischen ihm und dem Verwaltungsratspräsidenten der RUAG stattgefunden hatten, die nicht protokolliert wurden. Viola Amherd gelobte Besserung und liess verlauten, dass es bei ihr keine informellen Gespräche gebe bzw. jedes Gespräch protokolliert würde. Dies ist allerdings nachweislich nicht der Fall. Im März 2019 fand ein bilaterales Gespräch zwischen ihr und dem Verwaltungsratspräsidenten der RUAG statt, welches nicht protokolliert wurde. Alles nachzulesen im Bericht der GPK-N. Fazit: Man kommt vom Eindruck nicht los, dass das VBS überfordert ist, wenn es darum geht, reale Probleme zu lösen. Fehlende Protokolle verleihen dem Ganzen zusätzlich einen faden Beigeschmack.