Der Staatsbetrieb Ruag MRO hat Geld an Erpresser eines Cyberangriffs gezahlt. Der Bund als Eigentümer wusste wieder nichts von der heiklen Sache.
Die Schweiz bekommt ihre Compliance-Probleme im Verteidigungsbereich nicht in den Griff.
Unlängst verkloppte ein Angestellter munter Ersatzteile von Panzern und die staatliche Ruag bekam davon aber gar nichts mit.
Neues Aufsichtsgremium
Zudem geriet die Ruag MRO mit dem Kriegsmaterialgesetz in Konflikt, als sie offiziell an die Deutschen ein paar alte Leopard1-Panzer vertickern wollte.
Der Bund als Eigentümer der gesamten Rüstungsaktivitäten spielt immer den Ahnungslosen, obwohl sich etwa die Ruag MRO vollständig in Besitz der Eidgenossenschaft befindet.
Der Bund hatte unlängst sogar die Verwaltungsräte nicht entlastet und Personal ausgewechselt.
Doch selbst unter dem neuen Verwaltungsratspräsidenten (VRP) Jürg Rötheli, den der Bundesrat ab Januar 2025 zum Chefaufseher ernannt hatte, traut man seinen Augen und Ohren über die Vorkommnisse kaum.
Eklatante Sicherheitslücke
Wie er dem Staatsfernsehen «SRF» am Samstag sagte, habe der Rüstungskonzern etwas Geld im Rahmen einer Erpressung an Cyberkriminelle gezahlt.
Damit sei die Ruag im Herbst 2025 auf eine Lösegeldforderung der Hackergruppe Akira eingegangen, hiess es weiter. Diese habe nach einer Cyberattacke auf die US-Tochter Ruag LLC im Bundesstaat Virginia mit der Veröffentlichung gestohlener Daten gedroht.
Glücklicherweise habe die Ruag die Daten zurückerhalten, klopfte sich Rötheli selbst auf die Schulter.
Pfister entgleiten die Dinge
Doch der Bund beziehungsweise das Verteidigungsdepartement VBS sei nicht über die Sache informiert worden, erklärte der Chefaufseher.
Gegenüber Medien wollte sich das von Bundesrat Gerhard Pfister geführte Ministerium nicht zu der pikanten Angelegenheit äussern.
Klar ist aber, dass der Bund wieder ein Compliance-Problem bei der Ruag hat.
Doppelt problematisch
Alle Experten und selbst der Bund empfehlen, bei Lösegeldforderungen nicht zu zahlen. Einerseits unterstützen die Gelder nämlich kriminelle Aktivitäten. Andererseits wissen die Gauner: Im Zweifel zahlt der Schweizer Staat.
Wer mit Kriminellen – noch dazu mit US-Bezug – zusammenarbeitet, kann in ernsthafte Schwierigkeiten kommen.
Dies musste unlängst der Zementkonzern Holcim erfahren, der sich in Syrien über eine Tochtergesellschaft mit Terroristen geeinigt hatte und dann fast eine Milliarde an Bussen zahlen musste.
Geschäft von grosser Tragweite
Ruag-VRP Rötheli erklärte zwar, man habe das Eintreten auf die Lösegeldforderung rechtlich abgeklärt.
Doch den Eigentümer hatte die Ruag MRO nicht gefragt – doch der trägt nun das Reputations- und das weitere Angriffsrisiko auf die IT-Systeme des Bundes.
Geschäfte von solch grosser Tragweite, selbst wenn sie geldmässig nicht so hoch sind, müssen mit dem Eigentümer abgestimmt werden.
Anhaltende Schwachstellen
Die Eidgenössische Finanzkontrolle EFK hatte unlängst gerügt, dass die Berichterstattung der Ruag an die Eignerstellen viel zu positiv gewesen sei.
Der Rüstungsbetrieb selbst hatte da Besserung gelobt. Daran darf aber mit dem neuen Compliance-Fall stark gezweifelt werden.
Es zeigt sich, dass die Massnahmen des Bundes bei der Ruag MRO nicht ausreichend sind.
Und eine Integration der externen Rüstungsgeschäfte in das VBS, wie sie derzeit ansteht, bedeutet keine Lösung, sondern nur eine Verlagerung der Missstände weg von Transparenz.
06.06.2026/kut.
