Angriff auf Bundesbetrieb
-
Hacker dringen ins Ruag-Netzwerk ein
Autor:
Nadine Woodtli und Nina Blaser
19.05.2021, 10:59
Anonyme Hacker unternehmen vor einem Monat eine «Tour» durch Ruag Space. Sie dokumentieren dies mit Bild- und Videomaterial, das sie der «Rundschau» zuspielen. Sie schauen sich in einem Posteingang um und zeigen ein Briefing an die Mitarbeitenden von André Wall, CEO der Ruag International.
Internationale Projekte exponiert
Im Video wurde vieles unscharf gemacht. Trotzdem erkennbar: Die Einbrecher scrollen in einer Excel-Datei. Mit den gestohlenen Administratoren-Rechten könnten sie solche Dateien manipulieren. Sichtbar wird ein Ordner-Verzeichnis mit internationalen Weltraumprojekten. Etwa «ExoMars_Rover». Ruag Space hat den Computer des Mars-Fahrzeugs entwickelt.
Ein anderer Ordner heisst «Astranis», wie der gleichnamige US-Internetanbieter, der Satelliten in den Orbit schiessen lässt. Hinter «Cislunar» könnten sich Informationen zur geplanten NASA-Raumstation verbergen. Die Ordner werden nicht geöffnet. Die Einbrecher wollen offenbar keine Geheimnisse verraten.
Ruag: «Keine Hinweise auf Hack»
Die Ruag International hat vom Angriff im April nach eigenen Angaben keine Kenntnis. «Unsere Systeme sind nach neusten Erkenntnissen geschützt», schreibt die Medienstelle auf Anfrage. Es gebe keinerlei Hinweise auf einen Hack. Weiter hält Ruag International fest: «Das uns vorliegende Bildmaterial ist kein schlüssiger Beweis. Das Unternehmen analysiere derzeit die Hinweise in einer Taskforce und behalte sich eine Strafanzeige vor.»
«Wir waren nicht betroffen», sagt Nicolas Perrin, Verwaltungsratspräsident der Ruag MRO Schweiz. Die Verbindungen zwischen Ruag International und Ruag Schweiz seien in der Mehrheit bereits gekappt.
Ungeschützte militärische Daten
2016 wurde ein grosser Cyberangriff auf militärische Geheimnisse der Ruag publik. Der Bundesrat erkannte, dass der Datenmoloch eine Gefahr für die nationale Sicherheit darstellt. Er splittete die Ruag 2020 in einen nationalen und einen internationalen Teil auf.
Das Netzwerk sei immer noch verwundbar, warnen jetzt Insider gegenüber der «Rundschau». Sie wollen Anonymität, aber nicht mehr schweigen: «Es gibt Hunderte von unbeaufsichtigten Servern», sagt einer der IT-Spezialisten. «Zudem führen aus dem Ruag-Netz Hunderte unbekannte Verbindungen in fremde Netzwerke.» Das sei gefährlich. Ruag fehle nach wie vor der Überblick über seine Daten.
Stellungnahme der Ruag
Box aufklappen
Box zuklappen
Der Schweizer Teil von Ruag, die Ruag MRO, sowie Ruag International antworten mit einer mehrseitigen Stellungnahme auf die Vorwürfe der «Rundschau». Hier eine Zusammenfassung der zentralen Antworten:
Zum Cyberangriff im April
«Wir haben keinerlei Anzeichen eines unbefugten Zugriffs.»
Ruag International habe ein umfassendes Schutzkonzept, um Angriffe proaktiv zu monitoren und abzuwehren.
Zur Sicherheit des Netzwerks
«Sowohl Ruag MRO als auch Ruag International verfügen über eine vollständige Übersicht aller Querverbindungen in andere Netzwerke».
Ruag MRO habe zudem einen vollständigen Überblick über das eigene Netzwerk und ihre Daten. Der Schutzgrad entspreche jenem der Armee.
Zu Ruag International heisst es:
Nach der Entflechtung sei «stark in die IT- und Informations-Sicherheit investiert» worden. Man habe Massnahmen getroffen, um die Auswirkungen eines Angriffs zu minimieren.
Zur Sicherheit sensibler Daten
«Sämtliche Daten von Ruag MRO auf der Umgebung von Ruag International wurden bereinigt, gelöscht oder dauerhaft anonymisiert.»
Zur Entflechtung
Das VBS schreibt der «Rundschau», es sei nie behauptet worden, die Entflechtung sei abgeschlossen. Wenn mit der Entflechtung das Gesamtprojekt gemeint sei, «gibt es noch lose Enden, die bereinigt werden müssen.»
Die Ruag betont: «Die Entflechtung ist unternehmerisch abgeschlossen. Dass es noch Abschlussarbeiten gibt, war immer transparent.»
Zur Wartung der IT von Ruag International durch Tech Mahindra
«Der Zugriff auf sensible Daten ist auf ein Minimum beschränkt und unterliegt höchsten Sicherheitsanforderungen, Mitarbeitende mit Fernwartungszugriff werden regelmässig überprüft.»
Ruag schreibt weiter, «das IT-Outsourcing hat das Sicherheitsniveau erhöht.»
Lesen Sie hier die vollständige Stellungnahme der Ruag.
Das bestätigt der vertrauliche Bericht der Eidgenössischen Finanzkontrolle vom Februar 2021, welcher der «Rundschau» vorliegt: «Die fehlende Übersicht allfälliger Backups und Archive stellt ein erhebliches Risiko dar», heisst es. Wenn diese Daten nicht gefunden und gelöscht würden, könne nicht ausgeschlossen werden, «dass militärische und vertrauliche Daten weiterhin für unberechtigte Personen verfügbar bleiben.»
Nicht abgeschlossene Entflechtung – ein Sicherheitsrisiko
Box aufklappen
Box zuklappen
Zwei unabhängige und sichere IT-Netzwerke. Eines für den nationalen Teil der Ruag und eines für die Ruag International. Das ist die Absicht der Aufspaltung des Konzerns. Doch wie die «Rundschau» weiss, sind sicherheitsrelevante Elemente der Aufspaltung noch nicht vollzogen:
1. Problem: Die Ruag Real Estate
Die Ruag Real Estate verwaltet für den Schweizer Teil der Ruag sämtliche elektronischen Systeme für Gebäudezutritte, Videoüberwachung und Alarmierung. Auch für einsatzrelevante Gebäude wie den FA/18-Hangar in Emmen. Doch das IT-Netzwerk der Ruag Real Estate befindet sich noch immer in der IT-Landschaft der Ruag International. Die Kontrolle über diese wichtigen elektronischen Systeme liegt demnach nicht beim militärischen Teil der Ruag. Laut Experten ist das ein erhebliches Sicherheitsrisiko, da zwischen den Einheiten immer noch IT-Verbindungen bestünden.
Weiteres Problem: Der indische Konzern Tech Mahindra wartet seit April die IT der Ruag International. Insider sagen, es könne nicht ausgeschlossen werden, dass der indische Provider damit Zugriff auf sensible Schweizer Daten und Systeme habe.
Die Ruag dementiert: «Die Real Estate-Systeme wie Kamera- und Zutrittsystem sind in separaten Netzwerksegmenten angesiedelt, auf die nur Mitarbeitende von Ruag Real Estate Zugriff haben.» Die Systeme würden Ende 2021 auf eine vollständig neue Infrastruktur migriert.
2. Problem: Die technisch-wissenschaftliche Infrastruktur (TWI)
Laut einem internen Bericht der Ruag aus dem Jahr 2020, welcher der «Rundschau» vorliegt, befinden sich an 12 Ruag-Standorten mindestens 40 sogenannt technisch-wissenschaftliche Infrastrukturen. Darunter befindet sich auch militärische IT-Infrastruktur. Die sogenannten TWIs sind eine über Jahre gewachsene und nicht dokumentierte IT-Umgebung (z.B. Messungen im Windkanal in Emmen oder Umweltsimulationen). Sie befinden sich nach wie vor in der IT-Landschaft der Ruag International und müssten migriert werden.
Der Schweizer Teil der Ruag hat auch heute noch keine Kontrolle über die Daten und Netzübergänge der TWIs. Zu diesem Schluss kommt die Eidgenössische Finanzkontrolle in ihrem Bericht vom Februar 2021. Demnach wurden die TWIs auch dazu verwendet, «von der Ruag nicht zugelassene Software zu betreiben oder eigene Netzwerkübergänge zu schaffen.» Das ist laut IT-Experten ein gravierendes Sicherheitsrisiko, da unkontrollierte Netzübergänge eine Gefahr für den Schweizer Teil der Ruag und damit für die nationale Sicherheit darstellten.
Die Ruag erwidert, sie habe einen vollständigen Überblick über die TWIs, diese werde bis Ende 2021 auf eine vollständig neue Infrastruktur migriert.
Entflechtung nicht abgeschlossen
Die vollständige technische Entflechtung des Ruag-Netzwerks hätte mehr Sicherheit bringen sollen. Fertig entflochten ist jedoch noch nicht, wie Recherchen zeigen. Trotzdem schreibt der Bundesrat im März 2021 in seinem strategischen Kurzbericht: «Die Entflechtung konnte weitestgehend abgeschlossen werden.» Auch Ruag hielt mehrfach fest: «Entflechtung erfolgreich abgeschlossen.»
Aufgrund der «Rundschau»-Recherche droht der grüne Nationalrat Balthasar Glättli nun mit einer PUK: «Wenn die schweren Vorwürfe nicht innert kurzer Zeit vollständig entkräftet werden, dann braucht es die brutalstmögliche Aufklärung, denn hier geht es ums Vertrauen gegenüber dem Bundesrat.»
Stellungnahme des VBS
Box aufklappen
Box zuklappen
Auch das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) nimmt ausführlich zu den Recherchen der «Rundschau» Stellung. Die zentralen Punkte im Antwortschreiben des VBS sind:
- «Die direkten Verbindungen zwischen Ruag MRO Schweiz und Ruag International sind gekappt.»
- «Dank der sorgfältigen Vorgehensweise wurde keine Schadsoftware ins VBS migriert.»
- «Es liegt nicht mehr in der Verantwortung des Bundes, sicherzustellen, dass Ruag International ausreichend gegen Cyber-Risiken geschützt ist.»
Lesen Sie hier die vollständige Stellungnahme des VBS.
SRF Rundschau, 19.05.2021, 20:05 Uhr