Verteidigung Hackerangriffe: Ausgerechnet der Rüstungsbetrieb Ruag ignorierte Warnungen –und blamierte sich Jahrelang lagen geheime Informationen teilweise ungesichert auf den löcherigen Servern des bundeseigenen Rüstungsbetriebs herum. Recherchen zeigen: Warnungen wurden in den Wind geschlagen. Drohen nun Klagen aus den USA?

Die RUAG hat geheime Daten zu wenig gut geschützt. Bild: Thomas Delley / KEYSTONE

Es war katastrophal und peinlich zugleich. Im Januar 2016 flog auf, dass der bundeseigene Rüstungsbetrieb seit mehr als einem Jahr gehackt wurde. Spätestens im September 2014 hatten sich nie zweifelsfrei identifizierte Hacker mit Schadsoftware im Ruag-Netz festgesetzt. Sie gingen dort sehr gezielt vor und stahlen phasenweise grosse Mengen an Daten, über die bisher wenig bekannt ist. Im Dezember 2015 erhielt der Nachrichtendienst des Bundes (NDB) Hinweise auf das Leck; die Ruag selbst hatte nichts bemerkt.

Urs Breitmeier war bis Januar 2020 Chef der Ruag. Bild: Urs Flüeler / KEYSTONE

Peinlich war das, weil sich die Ruag grossmundig als Experte für Cybersicherheit anpries. Was aber die Chefs des Pleite-Konzerns nicht biss: Der Lohn von CEO Urs Breitmeier stieg 2015 auf über eine Million, er erhielt etwa 130'000 Franken mehr als im Vorjahr. Grund: Seine «Leistungskomponente» stieg von 364'000 auf 499'800 Franken.

Jetzt zeigen Recherchen von CH Media: Die Ruag-Spitze hatte in diesen Jahren dafür wichtige Investitionen in die Cybersicherheit unterlassen, um, wie Insider sagen, den Gewinn zu steigern. «Es ging immer um die Boni», sagt ein ehemaliger Kadermann.

2014, im Jahr des Hackerangriffs also, meldeten IT-Sicherheitsexperten ihren Vorgesetzten, dass eine Reihe von wichtigen internen Sicherheitsvorschriften nicht eingehalten wurde. Es gab grosse «Non-Konformitäten», wie es heisst. So gab es seit 2013 Vorschriften, wie interne Systeme validiert und abgenommen werden mussten, was aber nicht passierte.

Die Experten stellten auch fest, dass die Ruag ihre Unmengen an teilweise geheimen Daten zu Rüstungsgütern, die sie über die Jahre angehäuft hatte, nicht klassifiziert hatte. Der Konzern mit Ablegern in aller Welt wusste also auch nicht, wo in ihren Systemen heikle Daten aufbewahrt wurden und wem diese Daten gehörten.

Die Ruag, 1998 aus Regiebetrieben des Bundes hervorgegangen, arbeitet nicht nur für die Schweiz, sondern für zahlreiche andere Regierungen und Staaten, namentlich die USA. Das Unternehmen hantiert mit geheimen Daten zu Waffensystemen, zivilen und militärischen Flugzeugen wie dem Kampfjet F/A-18 und vielem mehr.

Sicherheitsprobleme auch Jahre später nicht behoben

Die Ruag-Chefs kassierten zwar in den Folgejahren weiter horrende Saläre, aber die Sicherheitsprobleme wurden nicht wirklich behoben. In einem geheimen Prüfbericht stellte die Eidgenössische Finanzkontrolle (EFK) 2018, also vier Jahre später fest: «Die Ruag verfügt weder auf Stufe Division noch konzernweit über ein Inventar seiner schützenswerten Informationsobjekte. Damit ist nicht festgehalten, wo sich die heiklen Daten befinden und wer die Data-Owner sind bzw. ob diese genügend geschützt sind.»

Die Warnungen der internen Sicherheitsspezialisten wurden offensichtlich nicht ernst genommen. Obwohl die Spezialisten laut Recherchen 2016 auch beim Konzernrechtsdienst auf die verschiedenen «Non-Konformitäten» hingewiesen hatten.

Die bis heute nicht genannten Hacker konnten sich, so sieht es heute aus, fast nach Lust und Laune bedienen. Vertrauliche Daten, das steht fest und ist durch den EFK-Bericht bestätigt, lagen ungesichert im Ruag-Netz herum. Die Rede ist etwa von Explosionszeichnungen von Panzern, auf die zufällig ein Informatiker stiess. Experten sagen, dass das weit verzweigte Ruag-Netz so löchrig war, dass mutmasslich Mitarbeiter aus aller Welt auf diese Daten zugreifen konnten. Noch im Jahr 2020 ergaben interne Analysen, dass vom Ruag-Netz 700 nicht verzeichnete Übergänge nach aussen führten. Zur Führungsunterstützungsbasis (FUB) der Armee etwa, zu Swisstopo, aber auch zur Universität München.

Laut Insidern weigerten sich die Ruag-Chefs in all den Jahren, das nötige Geld in die Hand zu nehmen, um die Probleme wirksam zu lösen.

Auch US-Daten wurden nicht sicher aufbewahrt

Jetzt wird die Ruag aufgeteilt in einen internationalen und einen nationalen Teil. Mitarbeiter, die für die Cybersicherheit verantwortlich waren und vergeblich warnten, sind besorgt: Sie sitzen auf einem Pulverfass und müssen befürchten, dass sie im Fall von Haftungsklagen alleine dastehen – weil es den ehemaligen Arbeitgeber nicht mehr gibt.

Gefahr droht etwa wegen allfälliger Patentverletzungen durch geklaute Daten. Was einigen besonders Angst macht: Ein Grossteil der Daten auf den Ruag-Servern stammte aus den USA und unterlag dem sogenannten ITAR-Regime, der «International Traffic in Arms Regulation». Die USA kontrollieren über dieses Gesetz die Exporte und Weiterverbreitung ihrer Rüstungsgüter und Technologie.

Die ITAR unterworfenen Firmen wie die Ruag müssen die Daten sicher aufbewahren. Was bei der Ruag allerdings nicht der Fall war. Im Geheimbericht von 2018 stellt die Finanzkontrolle fest: «Im Falle von internationalen Vorschriften wie zum Beispiel ITAR könnten Verletzungsklagen zu hohen Bussen führen oder Ruag könnte von der Beschaffung von wichtigen Systemen ausgeschlossen werden. Der Bund als Eigner trägt dadurch nicht nur ein finanzielles, sondern auch ein Reputationsrisiko.»

Millionenbussen, 20 Jahre Haft, Reputationschaden

Verstösse gegen ITAR können laut US-Gesetzen mit bis zu 20 Jahren Haft und Bussen von einer Million Dollar pro Verstoss geahndet werden. Ehemalige Ruag-Leute befürchten daher, verantwortlich gemacht zu werden für den haarsträubenden Pfusch und den Amerikanern irgendwann in den Hammer zu laufen.

Andere Insider glauben, die USA, die über die ITAR-Verstösse selbstredend im Bild sind, übten heimlich Druck aus auf die Schweiz. Ziel: Kauf eines US-Kampfjets durch die Schweiz.

Es gilt die Unschuldsvermutung.