Web Services of the Swiss Parliament

• Home
• Affairs
  • Types
  • States
  • Keywords
  • Descriptors
• Affair summaries
• Committees
• Cantons
• Councillors
  • Basic Details
  • Historic
• Councils
• Departments
  • Historic
• Factions
  • Historic
• Legislative periods
• Parties
  • Historic
• Sessions
• Votes
  • Affairs
  • Councillors

Cyberattacke auf die Ruag und das VBS. Die notwendigen Konsequenzen ziehen!

ShortId

16.1021

Id

20161021

Updated

24.06.2025 22:25

Language

de

Title

Cyberattacke auf die Ruag und das VBS. Die notwendigen Konsequenzen ziehen!

AdditionalIndexing

09;04;34

1

PriorityCouncil1

Nationalrat

Texts

• <p>1. Der Bundesrat wird die Erkenntnisse aus dem Cyberangriff mit dem Verwaltungsrat der Ruag anlässlich der ordentlichen Aussprachen thematisieren und sich dabei aufzeigen lassen, welche Auswirkungen der Angriff auf die Konzernstrategie haben wird.</p><p>2. Die heutige Arbeitswelt ist geprägt durch eine grosse Vernetzung, auch in der IKT-Infrastruktur. Die vom Parlament geforderten und vom Bundesrat aktiv unterstützten Effizienzsteigerungen bedingen einen raschen und vollständigen Informationsaustausch. Sicherheitsauflagen ziehen in den meisten Fällen einen Zusatzaufwand nach sich, was auf Kosten der Effizienz gehen kann. Der vorliegende Fall zeigt aber auch, dass der Schutz der Netze des Eidgenössischen Departementes für Verteidigung, Bevölkerungsschutz und Sport (VBS) und der Bundesverwaltung funktioniert hat und der Angreifer nach heutigem Kenntnisstand keinen Zugriff auf Daten im VBS hatte.</p><p>3. Das Bundesamt für Informatik und Telekommunikation (BIT) hat keine Daten oder Anwendungen an das VBS ausgelagert. Das BIT betreibt Verzeichnis- und Personalsysteme, welche von den Verwaltungseinheiten der Bundesverwaltung genutzt werden. Die Frage, welchen Nutzergruppen welche Daten aus diesen Verzeichnissen zugänglich sein dürfen, soll im Zuge der Abklärungen zur Cyberattacke überprüft und neu geregelt werden.</p><p>4. Die Voraussetzungen für die im Nachrichtendienstgesetz vorgesehenen Beschaffungsmassnahmen und deren Einsatz sind klar geregelt. Im Rahmen der Revision des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs sollen in Artikel 269ter der Strafprozessordnung (SR 312.0) zudem klare Rahmenbedingungen für den Einsatz von besonderen Informatikprogrammen geschaffen werden. Der Bundesrat kann hier keinen Widerspruch erkennen. Die offene Informationspolitik über Angriffsvektoren hilft, weitere Angriffe zu verhindern oder zumindest frühzeitig zu erkennen. Erkannte Sicherheitslücken werden zudem umgehend und umfassend im Internet dokumentiert sowie (in der Regel) rasch vom Entwickler der betroffenen Applikation behoben. Die Hersteller von Govware versuchen zwar, Sicherheitslücken zu nutzen, doch können und wollen sie deren Behebung auch nicht verhindern.</p><p>5. In Bundesnetzen wäre der Einsatz der in der Ruag gefundenen Malware erkannt worden. Beim VBS, wie beim BIT, finden regelmässig Scans im Netz wie auch auf den Clients statt. Es ist indes darauf hinzuweisen, dass sich innerhalb einer bestimmten Malware-Familie über die Zeit neue Varianten bilden können, die nicht immer exakt den bekannten Erkennungsmustern entsprechen. Technische Indikatoren zur erwähnten Malware-Familie werden im Rahmen der Public Private Partnership der Melde- und Analysestelle Informationssicherung (Melani) bereits seit Jahren mit Betreibern der kritischen Infrastrukturen (darunter auch die Ruag) ausgetauscht. Ob die Unternehmen diese Indikatoren in ihren betriebseigenen Sicherheitssystemen nutzen, liegt in ihrer eigenen Verantwortung.</p><p>6. Nach dem Erkennen der Infektion und den eingeleiteten Sofortmassnahmen sind keine Daten mehr über die infizierten Ruag-Rechner abgeflossen. Es ist selbstverständlich, dass bei einem kontrollierten Weiterbetrieb infizierter Rechner dafür gesorgt wird, dass keine echten Daten abfliessen. Es muss aber davon ausgegangen werden, dass nicht alle abgeflossenen Daten identifiziert werden können.</p> Antwort des Bundesrates.
• <p>Wie aus den Medien bekannt- und offiziell bestätigt wurde, sind Ruag und VBS Opfer einer Cyberattacke geworden. Der Melani-Bericht "APT Case Ruag: Technical Report" gibt erste Infos und empfiehlt Gegenmassnahmen. Daraus ergeben sich dringende Fragen:</p><p>1. Die Ruag will sich als Kompetenzzentrum für Cyber Defence/Security profilieren. Viele laut Bericht unterlassene Massnahmen sind aber standardmässige Best Practices. Der Ruf der Ruag in diesem Bereich ist ruiniert. Wird der Bundesrat darauf hinwirken, die Geschäftsstrategie anzupassen?</p><p>2. Die Eignerstrategie des Bundes sieht eine unabhängige Stellung für die Ruag vor - dennoch blieben die Netzwerke von VBS und Ruag eng verbunden. Warum? Sind dadurch weitere Ämter betroffen?</p><p>3. Warum hat das BIT Daten ans VBS und diese an die Ruag ausgelagert?</p><p>4. Der Bericht erwähnt, dass eine offene Informationspolitik über Angriffsvektoren, verwendete Techniken usw. essenziell ist, um den Aufwand für künftige Angriffe zu erhöhen und potenziellen Zielen zu helfen, sich zu schützen. Diese sicherheitstechnisch korrekte Grundhaltung steht im direkten Widerspruch zu den Plänen von Bund und Kantonen, sich (im Rahmen des Nachrichtendienstgesetzes und des Büpf) am Kauf von Staatstrojanern zu beteiligen. Mit dem Kauf von Staatstrojanern wird der Markt von unbekannten Sicherheitslücken (Zero Day Exploits) unterstützt und damit die oft kriminellen Milieus, statt zu mehr Sicherheit für alle beizutragen. Wie sieht der Bundesrat diesen Widerspruch?</p><p>5. Die verwendete Malware Epic Turla/Tavdig ist längst bekannt. Sie wurde im August 2014 gegen viele u. a. staatliche Ziele verwendet, auch in der Schweiz. Dennoch wurde sie nicht entdeckt. Findet in den Netzen des Bundes und der Ruag kein regelmässiger Scan der Computer (Clients und Server) auf bekannte Malware statt? Finden keine Sicherheitsaudits z. B. der Active Directories statt?</p><p>6. Die Logs zeigen, dass 23 Gigabyte Daten exfiltriert wurden. Welche Infos abflossen, kann daraus nicht geschlossen werden. Allerdings wurde eine Beobachtungsphase eingeführt nach der Entdeckung des Lecks. Wurden die medial erwähnten Informationen zum AAD 10 in dieser Beobachtungsphase exfiltriert? Hätte man nicht sensible Informationen teilweise ändern können, um die Angreifer in Sicherheit zu wähnen, aber den Abfluss zu verhindern? Ist zutreffend, dass der grösste Teil der abgeflossenen Daten unbekannt bleiben wird?</p>
• Cyberattacke auf die Ruag und das VBS. Die notwendigen Konsequenzen ziehen!

State

Erledigt

Related Affairs

• 20163363

Drafts

• Index

  0

  Texts

  • <p>1. Der Bundesrat wird die Erkenntnisse aus dem Cyberangriff mit dem Verwaltungsrat der Ruag anlässlich der ordentlichen Aussprachen thematisieren und sich dabei aufzeigen lassen, welche Auswirkungen der Angriff auf die Konzernstrategie haben wird.</p><p>2. Die heutige Arbeitswelt ist geprägt durch eine grosse Vernetzung, auch in der IKT-Infrastruktur. Die vom Parlament geforderten und vom Bundesrat aktiv unterstützten Effizienzsteigerungen bedingen einen raschen und vollständigen Informationsaustausch. Sicherheitsauflagen ziehen in den meisten Fällen einen Zusatzaufwand nach sich, was auf Kosten der Effizienz gehen kann. Der vorliegende Fall zeigt aber auch, dass der Schutz der Netze des Eidgenössischen Departementes für Verteidigung, Bevölkerungsschutz und Sport (VBS) und der Bundesverwaltung funktioniert hat und der Angreifer nach heutigem Kenntnisstand keinen Zugriff auf Daten im VBS hatte.</p><p>3. Das Bundesamt für Informatik und Telekommunikation (BIT) hat keine Daten oder Anwendungen an das VBS ausgelagert. Das BIT betreibt Verzeichnis- und Personalsysteme, welche von den Verwaltungseinheiten der Bundesverwaltung genutzt werden. Die Frage, welchen Nutzergruppen welche Daten aus diesen Verzeichnissen zugänglich sein dürfen, soll im Zuge der Abklärungen zur Cyberattacke überprüft und neu geregelt werden.</p><p>4. Die Voraussetzungen für die im Nachrichtendienstgesetz vorgesehenen Beschaffungsmassnahmen und deren Einsatz sind klar geregelt. Im Rahmen der Revision des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs sollen in Artikel 269ter der Strafprozessordnung (SR 312.0) zudem klare Rahmenbedingungen für den Einsatz von besonderen Informatikprogrammen geschaffen werden. Der Bundesrat kann hier keinen Widerspruch erkennen. Die offene Informationspolitik über Angriffsvektoren hilft, weitere Angriffe zu verhindern oder zumindest frühzeitig zu erkennen. Erkannte Sicherheitslücken werden zudem umgehend und umfassend im Internet dokumentiert sowie (in der Regel) rasch vom Entwickler der betroffenen Applikation behoben. Die Hersteller von Govware versuchen zwar, Sicherheitslücken zu nutzen, doch können und wollen sie deren Behebung auch nicht verhindern.</p><p>5. In Bundesnetzen wäre der Einsatz der in der Ruag gefundenen Malware erkannt worden. Beim VBS, wie beim BIT, finden regelmässig Scans im Netz wie auch auf den Clients statt. Es ist indes darauf hinzuweisen, dass sich innerhalb einer bestimmten Malware-Familie über die Zeit neue Varianten bilden können, die nicht immer exakt den bekannten Erkennungsmustern entsprechen. Technische Indikatoren zur erwähnten Malware-Familie werden im Rahmen der Public Private Partnership der Melde- und Analysestelle Informationssicherung (Melani) bereits seit Jahren mit Betreibern der kritischen Infrastrukturen (darunter auch die Ruag) ausgetauscht. Ob die Unternehmen diese Indikatoren in ihren betriebseigenen Sicherheitssystemen nutzen, liegt in ihrer eigenen Verantwortung.</p><p>6. Nach dem Erkennen der Infektion und den eingeleiteten Sofortmassnahmen sind keine Daten mehr über die infizierten Ruag-Rechner abgeflossen. Es ist selbstverständlich, dass bei einem kontrollierten Weiterbetrieb infizierter Rechner dafür gesorgt wird, dass keine echten Daten abfliessen. Es muss aber davon ausgegangen werden, dass nicht alle abgeflossenen Daten identifiziert werden können.</p> Antwort des Bundesrates.
  • <p>Wie aus den Medien bekannt- und offiziell bestätigt wurde, sind Ruag und VBS Opfer einer Cyberattacke geworden. Der Melani-Bericht "APT Case Ruag: Technical Report" gibt erste Infos und empfiehlt Gegenmassnahmen. Daraus ergeben sich dringende Fragen:</p><p>1. Die Ruag will sich als Kompetenzzentrum für Cyber Defence/Security profilieren. Viele laut Bericht unterlassene Massnahmen sind aber standardmässige Best Practices. Der Ruf der Ruag in diesem Bereich ist ruiniert. Wird der Bundesrat darauf hinwirken, die Geschäftsstrategie anzupassen?</p><p>2. Die Eignerstrategie des Bundes sieht eine unabhängige Stellung für die Ruag vor - dennoch blieben die Netzwerke von VBS und Ruag eng verbunden. Warum? Sind dadurch weitere Ämter betroffen?</p><p>3. Warum hat das BIT Daten ans VBS und diese an die Ruag ausgelagert?</p><p>4. Der Bericht erwähnt, dass eine offene Informationspolitik über Angriffsvektoren, verwendete Techniken usw. essenziell ist, um den Aufwand für künftige Angriffe zu erhöhen und potenziellen Zielen zu helfen, sich zu schützen. Diese sicherheitstechnisch korrekte Grundhaltung steht im direkten Widerspruch zu den Plänen von Bund und Kantonen, sich (im Rahmen des Nachrichtendienstgesetzes und des Büpf) am Kauf von Staatstrojanern zu beteiligen. Mit dem Kauf von Staatstrojanern wird der Markt von unbekannten Sicherheitslücken (Zero Day Exploits) unterstützt und damit die oft kriminellen Milieus, statt zu mehr Sicherheit für alle beizutragen. Wie sieht der Bundesrat diesen Widerspruch?</p><p>5. Die verwendete Malware Epic Turla/Tavdig ist längst bekannt. Sie wurde im August 2014 gegen viele u. a. staatliche Ziele verwendet, auch in der Schweiz. Dennoch wurde sie nicht entdeckt. Findet in den Netzen des Bundes und der Ruag kein regelmässiger Scan der Computer (Clients und Server) auf bekannte Malware statt? Finden keine Sicherheitsaudits z. B. der Active Directories statt?</p><p>6. Die Logs zeigen, dass 23 Gigabyte Daten exfiltriert wurden. Welche Infos abflossen, kann daraus nicht geschlossen werden. Allerdings wurde eine Beobachtungsphase eingeführt nach der Entdeckung des Lecks. Wurden die medial erwähnten Informationen zum AAD 10 in dieser Beobachtungsphase exfiltriert? Hätte man nicht sensible Informationen teilweise ändern können, um die Angreifer in Sicherheit zu wähnen, aber den Abfluss zu verhindern? Ist zutreffend, dass der grösste Teil der abgeflossenen Daten unbekannt bleiben wird?</p>
  • Cyberattacke auf die Ruag und das VBS. Die notwendigen Konsequenzen ziehen!

Back to List