Dringende Fragen zu Cyber-Attacke auf RUAG und VBS

Offenbar haben RUAG und VBS sogar einfachste Massnahmen vernachlässigt. Der Bund muss dringend seine Hausaufgaben machen, wenn er in Sachen Informatik-Sicherheit nicht jegliche Glaubwürdigkeit verlieren will.

Die Grünen fordern mit einer dringlichen Interpellation eine aktuelle Debatte zur Cyber-Attacke auf RUAG und VBS. Gemäss einem offiziellen Bericht wurden auch einfache Sicherheitsmassnahmen unterlassen. Das stellt die Strategie der RUAG in Frage, sich als Kompetenzzentrum für Cyber-Sicherheit und -Verteidigung zu etablieren. Die Grünen kritisieren auch den im Nachrichtendienstgesetz und BÜPF geplanten Einsatz von Staatstrojanern.

Gemäss dem Bericht «APT Case RUAG: Technical Report» der Melde- und Analysestelle Informationssicherung MELANI wurden für den Anfang Mai publik gewordenen Angriff bekannte Trojaner eingesetzt. Der Bericht listet eine Reihe einfacher Sicherheitsmassnahmen auf, die von der RUAG und dem VBS nicht befolgt wurden. Dazu gehört, dass die Netze der RUAG und des VBS offenbar weiterhin eng verbunden sind. Die Grünen fordern vom Bundesrat, dass er der Informatik-Sicherheit die notwendige Priorität zumisst. Sie hinterfragen nach den aktuellen Ereignissen auch, ob die Strategie der RUAG, sich als Kompetenzzentrum für Cyber-Sicherheit und Cyber-Defense zu profilieren, glaubwürdig weiterverfolgt werden kann. 

Schliesslich kritisieren die Grünen auch die Pläne, den Einsatz von Staatstrojanern zu erlauben. Diese sind im neuen Nachrichtendienstgesetz, über das im Herbst abgestimmt wird, und im Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) vorgesehen. Staatstrojaner nutzen nicht öffentlich bekannte Sicherheitslücken, um Computer und Netzwerke infiltrieren zu können. Damit unterstützt der Bund die oft kriminellen Milieus im Markt solcher Sicherheitslücken direkt oder indirekt, statt zu mehr Sicherheit für alle beizutragen. Der Bund sollte sich vielmehr dafür einsetzen, dass einfacher bedienbare sicherheitsrelevante Technologien verfügbar werden, mit denen sich KMU und Privatpersonen besser vor Cyber-Kriminalität und Spionage schützen können.