Vielen Dank für Ihre Registrierung. Sie haben jetzt den Aktivierungslink für Ihr Konto per E-Mail erhalten.

Ihr Konto ist aktiviert. Wir wünschen Ihnen viel Lesevergnügen.

Vielen Dank für Ihre Bestellung. Wir wünschen Ihnen viel Lesevergnügen.

CYBERATTACKE: Nach Hacker-Angriff: Politiker wollen Ruag zurückbinden

Die Ruag wurde Opfer einer Spionagesoftware namens «Snake». Politiker wollen nun wissen, wie stark der Bund von seinem Rüstungsbetrieb abhängig ist.
Fabian Fellmann
Mitarbeiter der Ruag arbeiten an Raketenverschalungen anlässlich eines Medientages. (Bild: Keystone/Alessandro Della Bella)

Mitarbeiter der Ruag arbeiten an Raketenverschalungen anlässlich eines Medientages. (Bild: Keystone/Alessandro Della Bella)

Fabian Fellmann

Der Feind hat viele Namen und kommt aus einer grossen Familie: «Uroburos», «Snake» und «Turla», vermutlich verwandt mit «Agent.BTZ» und «Red October». Gemein ist allen eines: Es sind Spionageprogramme, die sich in zivilen und militärischen Netzwerken vieler Staaten eingenistet haben. Und ihre Spuren führen nach Russland.

Das jüngste Opfer ist der Schweizer Rüstungsbetrieb Ruag. Die Hacker brachen in dessen Netzwerk ein, wie der «Tages-Anzeiger» am Mittwoch berichtete und der Bundesrat gleichentags mitteilte. Die Schäden sind bisher nicht benennt, Verteidigungsminister Guy Parmelin hat eine Task-Force eingesetzt.

Laut diversen Quellen benutzten die Angreifer das Spionageprogramm «Uroburos», einen Baukasten, der aus mehreren Modulen in verschiedenen Varianten besteht und ständig weiterentwickelt wird. Er ermöglicht es Kriminellen, in ein geschütztes Computernetz einzudringen und sich dort zu verbreiten – auch auf Geräte, die nicht am Internet hängen. Die Eindringlinge senden gezielt E-Mails mit verseuchten Anhängen an ausgewählte Personen oder locken sie auf manipulierte Webseiten. «Uroburos» ist darauf ausgelegt, unerkannt zu bleiben. Einmal installiert, kann es sich ruhig verhalten und Daten erst dann übertragen, wenn ein Benutzer eine Internetseite öffnet. So vermeidet die Software auffälligen Datenverkehr. Einige Varianten nutzen zur Verschleierung Satellitenverbindungen via Afrika.

Aus Sicht der Spionageabwehr klar

Dennoch gibt es einige Hinweise, dass die Kontrolleure von «Uroburos» in Russland sitzen. «Wir besitzen keine gerichtsfesten Beweise. Aber aus Sicht der Spionageabwehr ist der Fall sehr klar», sagt David J. Smith, Sicherheitsberater und einst Chefdiplomat für Rüstungsgespräche mit der Sowjetunion. In «Uroburos» finden sich etwa Spuren russischer Sprache, die Bearbeitungszeiten der Software entsprechen russischen Bürozeiten.

Entscheidende Hinweise liefern Vorgehensweise, Ausdauer und Ressourcen der Hacker. Mit «Uroburos» und Verwandten wurden seit 2007 nebst dem Schweizer Aussendepartement, dem Seco sowie der Ruag auch das US-Verteidigungsministerium sowie Ziele in der Ukraine, dem Baltikum, Georgien und weiteren europäischen Staaten wie jüngst Finnland ausspioniert. «Die Kriminellen sammeln Informationen, die nicht direkt zu Geld zu machen sind, etwa über Entscheidungsprozesse im Verteidigungsbündnis Nato», sagt Smith. «Diese Information ist nur nützlich für eine Regierung, die sich als Weltmacht sieht.» Am Werk sind laut Smith oft nicht offizielle Staatsangestellte: «Russland besitzt eine einzigartige Verknüpfung von Regierung, Kriminellen und Wirtschaft, welche direkt aus den innersten Kreisen des Kremls befehligt wird.»

Für Ruag ist der Befall peinlich. Der Konzern, 1998 aus Armeebetrieben entstanden und Eigentum des Bundes, preist sich als Experte für Cybersicherheit an. Im März referierte der CEO des Bereichs Verteidigung, Markus Zoller, an der Fachmesse Cebit zum Thema «Ist Ihr Chef fit für Cyber?». Das Wichtigste bei der Gefahrenerkennung sei das Bauchgefühl. Dieses spielte ihm wohl einen Streich: Mindestens seit Dezember 2014 sass «Uroburos» im Ruag-Netz, erst nach einem Tipp des Geheimdienstes im Januar 2016 flog es auf.

Ruag eng mit Bund verflochten

Dem Bund stellt sich damit die laut Zoller wichtigste Frage: «Ist es immer noch sicher, mit dieser Firma zusammenzuarbeiten, oder muss ich die Geschäftsbeziehung komplett abschneiden?» Ruag erzielte allein mit dem Verteidigungsdepartement (VBS) im vergangenen Jahr 560 Millionen Franken Umsatz. Von der Wartung der Luftraumüberwachung und der Kampfjets über die Programmierung der Armeekommunikation bis zur Zeughauslogistik arbeitet der Bund mit Ruag zusammen. Abgeschnitten hat er den Konzern darum nicht, obwohl er laut dem VBS «zahlreiche Informatikschnittstellen» mit ihm teilt. Zwar hat der Bundesrat am 23. März Sicherungsmassnahmen beschlossen, und Schäden am Bundessystem wurden bisher keine gefunden.

Die Schnittstellen zur Ruag sind aber so zahlreich, dass viele Fragen ungeklärt sind. Ein Beispiel: Das Sicherheitsfunknetz Polycom von Grenzwacht, Bevölkerungsschutz und Blaulichtorganisationen sei nicht verbunden mit Ruag und damit durch den Vorfall nicht gefährdet, wie Benno Bühlmann, Chef des Bundesamts für Bevölkerungsschutz, sagt. Doch betreibt die Ruag für Bund und Kantone SAP-Datenbanken, die für den Unterhalt wichtig sind. Laut Bühlmann ist bei Ruag eine Anfrage hängig, ob die Datenbank für den Bund kontaminiert wurde.

Auch in der Geschäftsprüfungsdelegation bleiben Fragen offen, obwohl sie seit Januar informiert ist. «Es sind Abklärungen dazu im Gang, welche Schnittstellen zwischen Ruag und VBS bestanden, sowohl durch die Geschäftsprüfungsdelegation als auch durch das VBS», sagt Präsident Alex Kuprecht. «Ich kann heute noch nicht beurteilen, ob das VBS gut genug vorbereitet war auf diesen Vorfall.»

Fragen hat auch die Sicherheitspolitische Kommission des Ständerats, in der Parmelin Mitte Mai informieren wird, wie Präsident Isidor Baumann sagt. Vizepräsident Josef Dittli findet, die Cyberrisiken würden unterschätzt: «Das ist Krieg – mit allem, was dazugehört: Spionage, Angriffen und Verteidigung.» Mit seiner Cyberstrategie sei der Bund «nicht schlecht» aufgestellt, sagt Dittli. «Die Frage ist, ob es reicht, ob man die Strategie schnell genug umsetzt und ob der Bund bereit ist, die nötigen Mittel zur Verfügung zu stellen.»

«Man muss sich fragen, wie dies die anderen gemerkt haben»

Experte Guido Rudolphi (54) ist Internet-Sicherheitsexperte und IT-Forensiker. Der gebürtige Zuger gilt international als «Sherlock Holmes des Internets». Dass der russische Geheimdienst für den Angriff auf die Ruag verantwortlich gemacht wird, macht ihn skeptisch.

Hacker haben das Schweizer Sicherheitssystem angegriffen. Ein Angriff wie viele andere auch – oder was ist das Besondere daran?
Guido Rudolphi:
Das Besondere ist erstens, dass sich jemand in das System der Ruag eingehackt hat, dass es zweitens jemand anders gemerkt hat – und drittens die Naivität der Politik.

Dass der russische Geheimdienst dafür verantwortlich gemacht wird, ist für Sie nichts Besonderes?
Rudolphi:
Das meine ich ja mit der Naivität der Politik. Zuerst merken die zuständigen Stellen nicht, dass die Ruag gehackt wurde, obwohl dazu ein Trojaner verwendet wurde, der eine Abwandlung eines bekannten Trojaners ist. Und dann schliesst man aufgrund des verwendeten Mittels den Urheber. Die Verantwortlichen merken nicht, dass jemand bei ihnen eingebrochen ist und Daten abgesogen hat. Sie sind aber schlau genug, um sofort zu wissen, wer es war – und die Politiker plaudern ihnen das munter nach. Das kann ich nicht ernst nehmen. Es ist schlicht dumm.

Der Tipp über den Angriff und dessen Urheber kam offensichtlich von einem anderen Geheimdienst.
Rudolphi:
Genau, und damit bekommt die Sache eine aussenpolitische Komponente. Das ist, wie wenn ich irgendwo vorbeilaufe, eine eingeschlagene Scheibe sehe und ohne jeglichen Beweis einfach mal behaupte: Das war im Fall der Hansli Müller. Jetzt kommt ein ausländischer Geheimdienst, der stellt eine Behauptung auf, und die Politikerinnen und Politiker verbreiten sie weiter. Das ist eine skandalöse Vorverurteilung – ohne auch nur das geringste Beweismittel, und das in einem Rechtsstaat. Ich weiss, dass die Russen solches tun – aber die Amerikaner, Engländer, die Deutschen und die Franzosen ebenso.

Die Russen könnten also hinter dem Angriff stecken?
Rudolphi:
Selbstverständlich könnten sie das. Dazu braucht es im gegenwärtigen politischen Klima aber schon ein paar Daten, um auch zu beweisen, dass es wirklich die Russen waren. Eine russische IP-Adresse ist kein Beweis. Wäre ich beispielsweise ein Franzose, der an militärischen Daten der Schweiz interessiert ist, würde ich mich in einen Regierungsrechner in Russland hacken und den Angriff darüber führen.

Sie haben selber recherchiert, woher der Angriff kam. Zu welchem Ergebnis sind Sie gekommen?
Rudolphi:
Die Urheberschaft ist völlig offen. Man muss sich fragen, wie ein ausländischer Geheimdienst überhaupt gemerkt hat, dass da etwas passiert. Dazu gibt es zwei Möglichkeiten: Entweder sind die so gut, dass sie sich bei den Russen ins System gehackt haben und dort gesehen haben, dass diese über Schweizer Daten verfügen. Wenn es so wäre, würden sie es niemals bekannt geben, sonst wissen die Russen, dass sie unliebsame Besucher haben und ihr System aufräumen müssen. Also kann man diese Möglichkeit ausschliessen.

Und die andere Möglichkeit?
Rudolphi:
Ein ausländischer Geheimdienst, der sich ebenfalls im Ruag-System tummelt, könnte gemerkt haben, dass ein Konkurrenzdienst Daten abzieht. Es kann auch sein, dass er dann einfach mal eine Vermutung geäussert hat, was ich für die wahrscheinlichste Möglichkeit halte. Aber unabhängig davon, wie es sich abgespielt hat: Die verantwortlichen Stellen handeln unverantwortlich. Erst recht, wenn man sieht, dass der Bund IT-Aufträge in Milliardenhöhe einfach so freihändig vergeben hat, wie diese Woche bekannt geworden ist. Das heisst, dass Millionen von Steuergeldern für irgendwelche Software-Deals missbraucht werden.

Wo ist da der Zusammenhang mit dem Cyberangriff auf die Ruag?
Rudolphi:
Man muss schauen, welche Firmen den Zuschlag bekommen haben. Das sind zum Teil solche, die ihrerseits direkt mit Firmen zusammenarbeiten, die eng mit dem US-Geheimdienst NSA verbandelt sind. Das heisst, man riskiert mit offenen Augen, Steuergelder zu verpulvern und Firmen zukommen zu lassen, die nachweislich mit ausländischen Geheimdiensten eng verbandelt sind. Weil es sich dabei um befreundete Dienste handelt, lautet meine Vermutung: Wenn solche Deals laufen, ist die Wahrscheinlichkeit, dass ausländische Dienste auch in der Ruag oder im VBS aktiv sind, zumindest nicht von der Hand zu weisen. Das scheint den Politikern aber nicht weiter problematisch. Sie beklagen sich lieber über die bösen Russen.

Zu Unrecht?
Rudolphi:
Die Russen gelten als böse, seit sie Edward Snowden aufgenommen haben, und der Kalte Krieg lebt wieder auf. Ich finde die Russen zwar auch nicht toll, bin aber der Meinung, es wäre die klare Aufgabe der Politiker, sich auf die Hinterbeine zu stellen und unmissverständlich zu verlangen, dass jetzt die Fakten auf den Tisch kommen.

Heisst das, die Geschäftsprüfungsdelegation des Parlaments mache ihre Aufgabe nicht?
Rudolphi:
Ja, ich muss leider sagen: Die hinterlassen den Eindruck von lahmen Milizwürstli.

Interview Eva Novak

Merkliste

Hier speichern Sie interessante Artikel, um sie später zu lesen.

  • Legen Sie Ihr persönliches Archiv an.
  • Finden Sie gespeicherte Artikel schnell und einfach.
  • Lesen Sie Ihre Artikel auf allen Geräten.