Cyber-Spionage bei Ruag«Das ist fast schon galoppierende Dummheit»
Die Ruag habe sich zu einfach übertölpeln lassen, sagt IT-Sicherheitsexperte Guido Rudolphi. Hacker hatten Personendaten von Schweizer Elitesoldaten abgesaugt.
Herr Rudolphi, der Spionage-Angriff auf die Ruag zieht immer weitere Kreise. Die mutmasslich russischen Hacker sind laut der «NZZ am Sonntag» in den Besitz der Personalien der Elitetruppe AAD 10 gelangt. Das Worst-Case-Szenario?
Ich kann nur den Kopf schütteln. Wenn man weiss, dass man so brisante Daten hat, darf man sich nicht so einfach übertölpeln lassen. Der Angriff basiert auf einer Technologie, die man schon eine Weile kennt. Man hätte Zeit gehabt, geeignete Sicherheitsmassnahmen zu ergreifen. Dass man es nicht getan hat, ist fast schon galoppierende Dummheit. Der Schaden für die Ruag, das VBS, ja die ganze Rüstungsindustrie ist gigantisch.
Es dauerte über ein Jahr lang, bis der Angriff bemerkt wurde – dank eines Tipps eines befreundeten Geheimdienstes. Wie ist das möglich?
Das ist eine gute Frage, die nur die Verantwortlichen beantworten können. Offen ist auch, wie der ausländische Geheimdienst vom Angriff Wind bekam. War dieser vielleicht auch selbst im System und hat gemerkt, dass er nicht allein ist? VBS und Ruag müssten hier dringend Transparenz schaffen.
Die Spuren des Angriffs führen nach Russland. Wer hat Interesse an den Daten?
Interesse hat praktisch jeder ausländische Staat. Es ist möglich, dass es Russland war – allerdings ist das alles andere als sicher. Eine IP-Adresse, die nach Moskau führt, ist kein Beweis. Wenn ich einen Angriff durchführen würde, würde ich auch ein Büro in Russland oder noch besser China kapern.
Sind die System-Schnittstellen zwischen Ruag und VBS fahrlässig?
Ja, die Systeme müsste man komplett trennen. Dazu hat man jetzt die Gelegenheit: Wenn man ein so schwerwiegendes Leck hat, kann man das System in den Kübel schmeissen und neu aufbauen. Die Ruag muss sich nun eine Sicherheitsarchitektur überlegen. Welche Daten speichere ich wo? Das ist immer ein Abwägen zwischen der einfachen Verfügbarkeit der Daten und der Sicherheit. Zudem muss man sich überlegen, wie man menschliches Versagen ausschliesst. Der erste Angriffsvektor erfolgte offenbar über einen Bildschirmschoner, den Mitarbeiter herunterluden.
Die Ruag hat selbst Kurse zur Cyberabwehr angeboten.
Jetzt wissen sie immerhin, wovon sie reden! Im Ernst: Auch hier muss man abklären, ob etwa Daten von interessierten Firmen gestohlen wurden. Wenn sie Hilfe bei der Ruag suchen, haben sie womöglich Lücken im System und könnten ihrerseits zum Ziel werden.
Ist die Ruag ein Einzelfall oder ist die Schweiz generell schlecht vor Cyber-Spionage geschützt?
Der Bund verlocht Milliarden in IT-Projekten, die Sicherheitsinfrastruktur wird aber brutal vernachlässigt. Die Schweiz hat die Aufgabe, die Infrastrukturen besser zu schützen. Teilweise regiert ein Sicherheitsdenken aus der Zeit der Brieftauben. Zudem kocht jede Verwaltungseinheit ihr eigenes Süppchen. In der Schweiz gibt es etwa an der ETH hervorragende Spezialisten – solche Leute sollte Verteidigungsminister Guy Parmelin schleunigst in seine Taskforce holen, die er zur Aufklärung eingesetzt hat.