7 Juni 2021

Eidg. Finanzkontrolle sieht noch Lücken bei Ruag-Datensicherheit

Die Eidgenössische Finanzkontrolle (EFK) sieht noch Sicherheitslücken bei der Überführung von Daten des Rüstungskonzerns Ruag unter die Verantwortung des Verteidigungsdepartements VBS. So fordert die EFK in ihrem Prüfungsbericht „umfangreiche Nacharbeiten“.

Die Prüfung der Informatiksicherheit habe gezeigt, dass die Überführung der Systeme und Daten, trotz offener Nachfolgeprojekte, „weitestgehend erfolgreich“ abgelaufen sei, schreibt das oberste Finanzaufsichtsorgan des Bundes, die EFK, in ihrem am Montag veröffentlichten Bericht.

Die Informations- und Kommunikationstechnik (IKT-Governance) und Sicherheitsorganisation seien zwar zweckmässig aufgestellt, müssten aber noch umfangreiche Nacharbeiten leisten. Die Zusammenarbeit mit der FUB (Führungsunterstützungsbasis der Armee) funktioniere, sei aber noch nicht eingeschliffen.

Bei der Einbindung der Systeme in die neue Umgebung seien keine flächendeckenden Sicherheitskonformitätsprüfungen durchgeführt worden. Dadurch bestehe vor allem bei Anwendungen mit Zugang zum Internet „ein erhebliches Risiko“, schreibt die EFK und fordert, dass die Armee (FUB) und deren Securitiy Operations Center Sicherheitskonformitätsprüfungen konsequent durchführt.

Der Aufbau eines Informationssicherheitsmanagements zusammen mit Audit-Tätigkeiten trügen zu einer nachhaltigen Informationssicherheit bei, heisst es im EFK-Prüfungsbericht. Das Risikomanagement und das betriebliche Kontinuitätsmanagement seien im Aufbau, allerdings solle das Kontinuitätsmanagement erst 2023 operativ werden. Hier fordert die EFK von der Ruag AG eine raschere Lösung.

Im März 2018 hatte der Bundesrat beschlossen, die fast ausschliesslich für die Schweizer Armee tätigen Geschäftseinheiten der damaligen Ruag in einer neuen Konzerngesellschaft Ruag MRO Holding AG (MRO CH) beziehungsweise deren Tochtergesellschaft Ruag AG, zusammenzuführen. Diese Teile sollten von der übrigen Ruag (Ruag International), die international zivile und militärische Geschäfte tätigt, entflochten werden.

Die Entflechtung betraf auch die Informations- und Kommunikationstechnik (IKT) der Ruag. Es wurde entschieden, diese in die Verantwortung des VBS zu geben. Die komplette IKT-Infrastruktur und die -Systeme wurden im Sicherheitsperimeter der Führungsunterstützungsbasis der Armee (FUB) neu aufgebaut, und die Daten wurden übernommen. Entsprechend müssen die Sicherheitsvorgaben des Bundes erfüllt werden.

Das Entflechtungsprojekt verursacht nach einer Schätzung vom September 2020 voraussichtlich Kosten in der Höhe von 81 bis 86 Millionen Franken. Von den bis Ende September aufgelaufenen Gesamtkosten von 57 Millionen sind 34 Millionen Franken der IKT-Entflechtung zuzuordnen Das Projekt betraf rund 2500 Mitarbeitende der MRO CH an über 20 Standorten der Schweiz.

(text&bild:sda)