7 Juni 2021

Eidg. Finanzkontrolle sieht noch L├╝cken bei Ruag-Datensicherheit

Die Eidgen├Âssische Finanzkontrolle (EFK) sieht noch Sicherheitsl├╝cken bei der ├ťberf├╝hrung von Daten des R├╝stungskonzerns Ruag unter die Verantwortung des Verteidigungsdepartements VBS. So fordert die EFK in ihrem Pr├╝fungsbericht „umfangreiche Nacharbeiten“.

Die Pr├╝fung der Informatiksicherheit habe gezeigt, dass die ├ťberf├╝hrung der Systeme und Daten, trotz offener Nachfolgeprojekte, „weitestgehend erfolgreich“ abgelaufen sei, schreibt das oberste Finanzaufsichtsorgan des Bundes, die EFK, in ihrem am Montag ver├Âffentlichten Bericht.

Die Informations- und Kommunikationstechnik (IKT-Governance) und Sicherheitsorganisation seien zwar zweckm├Ąssig aufgestellt, m├╝ssten aber noch umfangreiche Nacharbeiten leisten. Die Zusammenarbeit mit der FUB (F├╝hrungsunterst├╝tzungsbasis der Armee) funktioniere, sei aber noch nicht eingeschliffen.

Bei der Einbindung der Systeme in die neue Umgebung seien keine fl├Ąchendeckenden Sicherheitskonformit├Ątspr├╝fungen durchgef├╝hrt worden. Dadurch bestehe vor allem bei Anwendungen mit Zugang zum Internet „ein erhebliches Risiko“, schreibt die EFK und fordert, dass die Armee (FUB) und deren Securitiy Operations Center Sicherheitskonformit├Ątspr├╝fungen konsequent durchf├╝hrt.

Der Aufbau eines Informationssicherheitsmanagements zusammen mit Audit-T├Ątigkeiten tr├╝gen zu einer nachhaltigen Informationssicherheit bei, heisst es im EFK-Pr├╝fungsbericht. Das Risikomanagement und das betriebliche Kontinuit├Ątsmanagement seien im Aufbau, allerdings solle das Kontinuit├Ątsmanagement erst 2023 operativ werden. Hier fordert die EFK von der Ruag AG eine raschere L├Âsung.

Im M├Ąrz 2018 hatte der Bundesrat beschlossen, die fast ausschliesslich f├╝r die Schweizer Armee t├Ątigen Gesch├Ąftseinheiten der damaligen Ruag in einer neuen Konzerngesellschaft Ruag MRO Holding AG (MRO CH) beziehungsweise deren Tochtergesellschaft Ruag AG, zusammenzuf├╝hren. Diese Teile sollten von der ├╝brigen Ruag (Ruag International), die international zivile und milit├Ąrische Gesch├Ąfte t├Ątigt, entflochten werden.

Die Entflechtung betraf auch die Informations- und Kommunikationstechnik (IKT) der Ruag. Es wurde entschieden, diese in die Verantwortung des VBS zu geben. Die komplette IKT-Infrastruktur und die -Systeme wurden im Sicherheitsperimeter der F├╝hrungsunterst├╝tzungsbasis der Armee (FUB) neu aufgebaut, und die Daten wurden ├╝bernommen. Entsprechend m├╝ssen die Sicherheitsvorgaben des Bundes erf├╝llt werden.

Das Entflechtungsprojekt verursacht nach einer Sch├Ątzung vom September 2020 voraussichtlich Kosten in der H├Âhe von 81 bis 86 Millionen Franken. Von den bis Ende September aufgelaufenen Gesamtkosten von 57 Millionen sind 34 Millionen Franken der IKT-Entflechtung zuzuordnen Das Projekt betraf rund 2500 Mitarbeitende der MRO CH an ├╝ber 20 Standorten der Schweiz.

(text&bild:sda)