Die Republik ist nur so stark wie ihre Community. Werden Sie ein Teil davon und lassen Sie uns miteinander reden. Kommen Sie jetzt an Bord!
Wer will eine starke Landesverteidigung? Wer will sich gegen aussen abschotten? Aber dann sagt uns die Ruag-Geschichte: die Rechte werkelt seit Jahren daran, die Verteidigung so löchrig wie möglich zu machen. Gut, das Internet sieht man nicht, den F35 schon. Was genau soll nun verteidigt werden? Daten und Geheimnisse egal, wenn eindrückliche Tarnkappenbomber zur Verfügung stehen, die man zwar auch nicht sehen soll. Überaus teure Spiele von Sandkastenbuben zum Wohle der Schweiz.
Um inkompetent zu sein, braucht es keine spezielle politische Ausrichtung.
Das Ignorieren von Bedenken von Spezialisten des jeweiligen Fachgebietes schaffen Politiker jeder Ausrichtung jederzeit und regelmässig.
Da staunt der Laie und Fachleute wundern sich (nicht mehr). ⚠️ Ist das der sog. ICT Swiss Finish⁉️
„Mit anderen Worten: Bis zu diesem Zeitpunkt existierte kein Berechtigungskonzept für den Zugang zu Daten über militärisch geschützte Waffensysteme.
Die Ruag streitet das auf Anfrage ab: «Zugriffsberechtigungen auf Daten oder Informationen sind seit vielen Jahren streng geregelt – auch lange vor 2015.»
Dokumente, die der Republik vorliegen, widersprechen dieser Darstellung: Sie belegen, dass die Ruag versäumte, Zugriffs- und Administratorenrechte festzulegen und Betriebsgeheimnisse zu kennzeichnen. Infolgedessen hatten alle Mitarbeitenden Zugriff auf die zentrale Datenverarbeitungsplattform der Ruag Defence.“
Ich danke Hrn. B.G. für seine Integrität…
und stelle ernüchtert fest, dass der alternative Nobelpreisträger Edward Snowden uns ALLEN die Augen 👀 öffnen wollte, jedoch sein US Pass 🪪 gesperrt wurde und heutzutage in Russland mit seiner Frau und seinen beiden Kindern auf Asyl wartet.
MdG Toni Nik B.
Unglaublich!
Da war ja meine kleine KMU um Faktor 1000 besser abgesichert als die RUAG!?!?
Ich fasse es nicht, dass da nicht die Köpfe der Verantwortlichen rollen. Und das bei einem CEO mit Millionensalär...
Wenn die strikte und professionelle Durchsetzung der Datensicherheit und -Vertraulichkeit bei einem Unternehmen (eigentlich bei jedem..) zu einer der Hauptkompetenzen gehört, dann doch sicherlich in einem Rüstungsbetrieb!?!?
Wir sollten uns langsam von den meist krass überbezahlten CxO's verabschieden und wieder bewährte Leute mit XMV einstellen - und endlich mit den, solche Fehlentwicklungen begünstigenden, Boni-Exzessen aufhören. Wir haben da eine Kaste von gierigen Abzockern heran gezüchtet, die völlig abgehoben sind und niemals auch nur für das Kleinste irgend eine Verantwortung übernehmen. Also ich könnte solche 'Chefs' keine Minute lang ernst nehmen...
Dem IT-Admin B.G. wünsche ich einen befriedigenderen nächsten Job als der bei der RUAG und danke ihm ausdrücklich für seinen Mut und seine Zivilcourage! Guet g'macht!
Ach, ich kenne auch privatwirtschaftliche Unternehmen aus der Schweiz, deren Geschäft die (physische) Sicherheit ist. Aber wenn man deren Softwareprodukte anschaut, dann wird es gruselig. Da müssen wichtige Sicherheitsmassnahmen der Infrastruktur (beispielsweise der Zwang zu TLS 1.2) abgeschaltet werden, damit die Installation gelingt :-(
Da könnten Sie sicher manch schauriges Liedlein singen - habe selber so Manches gesehen, wo man sich wünscht, dass es mehr Hirn vom Himmel regnen möge...
Mit meiner obigen Kritik meinte ich übrigens in keiner Weise, dass das ein Problem von Bundesbetreiben alleine sei - es gibt mittlerweile fast kein grösseres Unternehmen mehr, dessen Strategien nicht von rein pekuniären Interessen prioritär bestimmt sind.
Bei sicherheits-relevanten Unternehmen finde ich dies einfach besonders stossend...
Scheint fast so als ob die RUAG die Geheimhaltung ihrer Patzer stärker gewichtet als die Geheimhaltung der geheimen Dokumente.
Wenn ich mir das so durchlese, nimmt "Security by Obscurity" gleich eine ganz neue Dimension an.
Spannende Recherche. Dem Überbringer schlechter Nachrichten wird der Kopf abgeschlagen. Im Umgang mit Informationstechnologien werden oft Entscheidungen von Leuten gefällt, die nicht über nötige Kompetenzen verfügen. Als wäre die Haltung verbreitet, dass mit dem ausschalten des Bildschirms, jegliche Sicht auf die Daten verunmöglicht wird. Wie ein kleines Kind, dass sich beim Versteckspiel die Augen zuhält um nicht gesehen zu werden. So kann ein vertuschen eines internen IT-Skandals wichtiger werden, als ein Schutz der Daten.
Danke für den Kommentar. Wir finden auch, dass diese Geschichte exemplarisch ist für das was vielerorts geschieht. Aber selten erhält man solch detaillierten Einblick. Deshalb haben wir sie aufgearbeitet.
Habe das im eigenen Berufsalltag bei privaten Unternehmen auch schon so erlebt inkl. Mail als Chef versenden, veralteter Serverversionen (ich sage nur Windows Server 2003) und unüberschaubaren Datenablage der Marke Temp-Ordner wo jede/r alles ablegt.
Die Alteingesessenen mauern und wollen nichts ändern. Weder Weiterbildungen werden gemacht noch ist Verständnis für die Materie vorhanden und man will ja auch nicht. Das wäre nur mit Arbeit und Kosten verbunden.
Gibt sicher auch noch mehr Nachholbedarf bei bundesnahen Betrieben wie z.B. SBB, Post und evt. Swisscom sowie im Gesundheitsbereich.
Wenn die Ruag und weitere es nicht können sollen sie es doch Outsourcen bzw. das Wissen einkaufen.
Ich habe in den letzten Jahren diverse Infrastrukturen von Dienstleistern überprüfen dürfen, bei denen dermassen viele offensichtliche Fehlkonfigurationen vorlagen, dass ich mir nur noch an den Kopf fassen konnte und es eigentlich ein Wunder ist, dass diese nicht schon längst Opfer einer Ransomware-Attacke waren. Outsourcen ist sicher nicht schlecht, aber auch bei den Firmen, die hier unterwegs sind ist aus Kosten- und/oder Bequemlichkeitsgründen nicht immer alles gut.
Wenn ein hochadministrativer Zugang mit einem Passwort, dass über 7 Jahre nicht geändert wurde öffentlich zugänglich ist und zudem keine Mehrfaktor-Authentifizierung existiert (dann hätte man ja für jeden Mitarbeiter einen eigenen Zugang anlegen müssen - viel zu kompliziert...), so dass alle ehemaligen Mitarbeiter dieses Dienstleisters immer noch Zugriff hätten und ein Hacker genügend Zeit hat (7 Jahre unbeobachtet), dass muss so eine Umgebung eigentlich als latent kompromitiert betrachtet werden und somit auch sämtliche Daten darin.
Das Dramatische bei dieser Geschicht ist ja:
Die alte IT ging immer davon aus, dass der Feind nur mit einer tollen Firewall abgehalten werden muss, von aussen in das innere Netzwerk einzudringen. Das ist sicherlich korrekt, reicht aber heute schon lange nicht mehr: Der "Feind" sitzt innen, meist unfreiwillig (kompromittierte Laptops werden zum Brückenkopf von externen Angreifern). Es braucht gar keine korrupten Mitarbeiter.
Und deshalb ist eine vielstufige Absicherung der Zugriffsrechte auf alle Daten und Systeme und eine saubere Klassifizierung der Daten so unglaublich wichtig.
Alle modernen Ransomware (Verschlüsselungserpressungen) Angriffe wurden nicht von einer Firewall blockiert, sondern wurden über infizierte falsche E-Mails (mit durchaus validem Kontext, der vorher bei einem Geschäftspartner erbeutet wurde) eingeschleust. Wenn dann die Mitarbeiter nicht sauber geschult sind, wie man solche Emails erkennt und vielleicht zusätzlich noch unbekannte oder noch nicht geschlossene Sicherheitslücken in der Software zum Tragen kommen, ist das Drama nur noch nur eine vielstufige Absicherung der Zugriffsrechte und eine saubere Überwachung, die solche Angriffe frühzeitig erkennt, aufzuhalten.
Man geht heute eigentlich davon aus, dass sich ein erfolgreicher Angriff nicht verhindern lässt. Das Ziel ist, diesen schnell zu erkennen und die Angriffsmethoden so zu verlangsamen, dass Gegenmassnahmen ergriffen werden können. Wenn diese natürlich über Jahre und nicht Minuten nicht erkannt werden und zudem keine Absicherung der Zugriffsrechte entstehen ist das für Hacker ein Festschmaus.
«in this corner, we have firewalls, encryption, antivirus software, etc. and in this corner we have dave!!» https://pbs.twimg.com/media/DC6pWEHXkAAWJX_.jpg
Vielen Dank für Ihre Ausführungen. Das Thema Cybersicherheit wird uns alle noch lange beschäftigen, soviel ist sicher.
Das Muster ist doch, dass „von unten“ Menschen mit Knowhow, kritischem Blick und zukunftsträchtigen Ideen heranwachsen, deren Anregungen „von oben“ aber als Angriff auf die eigene Position gedeutet werden, wogegen sich die alten Oberen mit allen Mitteln inklusive Blindschaltung und Zementschuhen verteidigen.
Das Problem ist die Kultur, in der die Chefs grossgeworden sind, die verlangt, dass Führungskräfte alles im Griff haben müssen, nie fragen und immer recht haben und Gehorsam einfordern dürfen.
Das wird wohl noch viele Firmen und Institutionen zum Straucheln bringen.
Mir fehlen die Worte, wenn ich so etwas lese. Danke für diesen Beitrag und ich hoffe, er bewirkt etwas. An Herrn B.G. meine Hochachtung, dass er so lange so konsequent unbequem war.
Gern geschehen - es ist für uns als Journalistinnen jeweils sehr wertvoll wenn wir Einblick erhalten in das interne Funktionieren einer Organisation, die für die Öffentlichkeit Aufgaben erfüllt.
Dazu passt, dass im öffentlich zugänglichen Shop https://www.ruag.ch/de/polycom-shop mindestens ein Dokument frei zugänglich ist mit folgndem prominenten Vermerk auf jeder Seite: "Dieses Dokument und sein Inhalt sind das Eigentum von Airbus DS SLC und dürfen ohne dessen Genehmigung weder kopiert noch weitergegeben werden.
Jegliche Nutzung außerhalb des ausdrücklich vorgesehenen Zwecks ist untersagt. (..)"
Auch in dieser verstörenden Geschichte, die viele Facetten hat, zeigen sich ein paar üble Grundelemente unserer Politik und unserer Wirtschaft. Vorausschauendes und präventives Denken und Handeln (dazu gehören auch Investitionen in die Cybersicherheit) ist Mangelware. Verantwortungen werden abgeschoben. Kurzfristige Gewinne werden langfristigen Investitionen vorgezogen. Probleme werden ausgesessen. Gehandelt wird erst auf massiven Druck.
Sehr deutlich zeigt sich diese Problematik in den Zwitterstrukturen von Firmen, die gesellschaftliche Aufgaben mit privatwirtschaftlicher Mitteln übernehmen sollen und von denen erwartet wird, dass sie ihre Aufgaben zumindest selbsttragend bis Gewinn bringend erledigen sollen.
Das Drama um Meineimpfungen.ch passt von da gesehen irgendwie auch in dieses Bild.
Sehr guter und wichtiger Beitrag. Was nochmals auffällt: Proaktive Mitarbeiter:innen, die ihr Beruf ernst nehmen, unternehmerisch und langfristig (nachhaltig) denken, werden in vielen Firmen aussortiert. Die Firmen sagen vordergründig, dass sie keine Ja-Sager wollen, sondern Leute die mitdenken. In der Realität trifft das aber nicht zu. Fragen stellen ja, aber nur solange die Entscheidungen von bestimmten Personen nicht hinterfragt werden. Von den Mitarbeiter:innen Ehrlichkeit verlangen, wenn Sie dann aber ehrlich sind, werden sie bestraft.
Persönlich habe ich meine Lehren gezogen, es ist aber sehr schade, wieviele Chancen viele Firmen mit dieser Denkweise verpassen.
Stories wie diese sind ja kein Einzelfall. Ich glaube, das Grundproblem liegt darin, dass mit dem Bereinigen von Altlasten keine Lorbeeren zu holen sind. Lieber treiben die IT-Verantwortlichen gut klingende Superprojekte mit Hype-Technologien voran, das bringt mehr für die Karriere. Irgendwas mit Blockchain oder so ;-) Das geht selten glatt über die Bühne, aber bis die Probleme so richtig eskalieren, ist der CIO oder CTO bereits in einem anderen Unternehmen. Die wechseln ja meist nach wenigen Jahren, das scheint auch bei der RUAG so zu sein. Der Nachfolger hat dann keine Lust, die Baustellen seines Vorgängers aufzuräumen, sondern inszeniert sich selbst auch lieber als visioinärer Macher ...
Da haben Sie wahrscheinlich recht. Aber bei einem Unternehmen wie der RUAG, die aus verschiedenen Gründen hochsensible Daten hat, dürfte man davon ausgehen können, dass im Job-Profil des (neuen) CTO/CIO die Verantwortung für die Datensicherheit (welche diesen Namen auch verdient) grundsätzlich ist, wie z.B. für eine Lehrerin das Unterrichten der Schülerschaft grundsätzlich ist.
Der Beitrag wirft die Frage auf: Wie müsste eine sinnvolle Governance aussehen, damit die Führung der RUAG (und vieler anderer öffentlicher und halböffentlicher Betriebe) einen Anreiz haben, mit Sicherheitsfragen verantwortungsvoll(er) umzugehen?
Aus einer ganz speziellen, in grossen Organisationen aber leider nicht seltenen Perspektive ist das im Beitrag beschriebene Verhalten nämlich schon rational: Gute Sicherheit kostet viel Geld und ist sehr mühsam. Schon nur das saubere Implementieren einer Berechtigungsverwaltung in einer heterogenen ICT-Umgebung ist nicht trivial und erschwert das tägliche Arbeiten der Benutzer. Nötig ist es trotzdem, aber wenn man sich diese Mühe nicht machen will, kann man als RUAG-Führungsperson auch einfach denken: Wer uns angreift, ist nicht der typische Ransomware-Script-Kiddie, sondern ein Nachrichtendienst. Und der wird seine erfolgreichen Angriffe nicht an die grosse Glocke hängen.
Also alles unter den Teppich kehren und gut ist. Wo man nicht hinschaut, gibt es keine Probleme. Und man muss sich nicht mit wütenden Anrufen aus der Teppichetage herumschlagen, weil sich der Big Boss wegen Sicherheitsmassnahmen nicht mehr mit einem Klick vom Poolrand aus in die geschützte Dokumentenablage einloggen kann. Als Verhinderer macht man schliesslich keine Karriere.
Um die Leute aus dieser vermeintlichen Komfortzone zu holen, gibt es nur eines: Regelmässige, externe, unabhängige Sicherheitsaudits, die eine zwingende Berichterstattung auf höchster Führungsebene zur Folge haben. In der Behörde, in der ich arbeite, werden unsere wichtigen Systeme regelmässig von der Datenschutzaufsichtsstelle und der Finanzkontrolle auditiert, und die Umsetzung der Massnahmen daraus wird überprüft. Und wir haben deutlich weniger sensitive Daten als die RUAG. Das ist nicht angenehm, aber nur so wird man besser und durchbricht interne Widerstände gegen Verbesserungen.
Also würde mich für einen Folgeartikel interessieren: Wer ist konkret die Bundesbehörde, die Auftraggeberin der RUAG ist? Und wieso hat es diese Bundesbehörde offenbar versäumt, geeignete Massnahmen zur regelmässigen externen Überprüfung der Sicherheit der wichtigen Bundesdaten, die der RUAG anvertraut werden, vorzunehmen?
Also, wenn es im sehr sensiblen Bereich der Rüstungstechnik externe Sicherheitsaudits braucht (finde ich an sich eine gute Idee!), nur weil das Management eine professionelle Sicherheitskultur als zu unbequem scheut und einfach nichts macht, dann stinkt dort der Fisch wirklich vom Kopf her.
Sind diese, mit Millionensalären ausgestattete CEO's nicht in der Lage, über den eigenen Boni-Tellerrand hinaus zu schauen? Stattdessen wird der Überbringer der unbequemen Nachrichten auch noch geschasst, anstatt dass sie diesem gedankt hätten. Wenn dort einer einen Bonus verdient hätte, dann der geschasste IT Admin.
Eine einfache Antwort auf die Frage könnte sein:
Die Bundeskanzlei definiert den IT Grundschutz, der meines Wissens nach einmal jährlich aktualisiert wird (*). Dieser dürfte auch für die RUAG als Staatsbetrieb bindend sein. Und deren Umsetzung überprüfbar und vermutlich auch durchsetzbar.
(*) ich habe an einer der letzten Versionen mitgearbeitet
Vielleicht ergänzend: es wurde ja entschieden, das IOS (Informations- und Objektschutz GS-VBS) nicht zu informieren...also der Bund soll nicht informiert werden, bewusst. Insofern wäre das IOS auf Aufsichtsbehörde zuständig gewesen, am Schluss hat die Eidgenössische Finanzkontrolle aber alles unter die Lupe genommen (viel zu spät) im August 2018.
die Frage ist doch eher die, wie ein wirkungsvolles Enforcement aussehen könnte.
Vorschlag:
Der Bund unterhält eine Stelle, die anonym(!) Meldungen über Sicherheitsvorfälle entgegennimmt, ermittelt und wenn nötig Strafverfahren einleitet. Zum Beispiel bei der Bundesanwaltschaft.
Das ISG (https://www.fedlex.admin.ch/eli/cc/…#art_1__5_) wird um Strafvorschriften ergänzt und vollständig in Kraft gesetzt
Das Beispiel im Artikel ist besonders dramatisch, es gibt aber durchaus andere Bundesbehörden, die ihren kreativen Umgang mit der Informationssicherheit durch panisches Paddeln im Einzelfall kaschieren.
Die RUAG ist eine privatrechtlichen Aktiengessellschaft. Es gibt keine gesetzliche Aufsichtsbehörde die für die Tätigkeiten der RUAG zuständig ist und auch keinen übergeordneten Auftraggeber beim Bund. Die AG ist mit dem Bund nur darin verbunden, dass die Eidgenossenschaft 100% der Aktien besitzt und der grösste, aber bei weitem nicht einzige, Kunde ist.
Der Bund hat somit zwei Möglichkeiten auf die RUAG Einfluss zu nehmen. Zum einen als Aktionär via Verwaltungsrat und zum anderen als Kunde im Rahmen von Verträgen. Der Bund hat aber keine direkte Weisungsbefugnis irgendwelcher Art gegenüber dem Management oder den Mitarbeitenden. So gelten z. B. auch die bundeninternen Regelungen wie der IT Grundschutz Bund nicht für die RUAG.
In Bezug auf die Informationssicherheit der klassifizierten Daten des Bundes kommt das Geheimschutzverfahren zum Tragen. In diesem regelt die IOS (Informations- und Objektsicherheit) des VBS, wie mit klassifizierten Informationen bei Dritten umzugehen ist. Dieses Verfahren kommt bei duzenden wenn nicht hunderten von Firmen in der Schweiz zum Einsatz. Die RUAG ist hier kein Spezialfall. Über dieses Verfahren wird vertraglich festgelegt, welche Vorgaben die Firma einzuhalten und welches Audit-Recht das VBS hat.
Es stellt sich also hier die Frage, ob der Umgang mit den Informationen angemessen in den Verträgen geregelt wurde und ob das VBS seine Audit-Möglichkeiten ausreichend wahrgenommen hat.
P.S. evtl. hat sich die von mir hier beschriebene Situation seit der Aufteilung in den RUAG MRO Schweiz und RUAG International geändert. Sie entspricht aber der Situation zur Zeit der Ereignisse in diesem Artikel.
Frau Fichter und Frau Imboden vielen Dank für diese wichtige Recherche, die sie mit soviel Aufwand und Sorgfalt durchgeführt haben. Ohne eure Arbeit würde ich vieles nicht wissen, was von grosser Bedeutung ist.
- Mitglied werden
- Angebote
- Gutschein einlösen
- Anmelden
Republik AG
Sihlhallenstrasse 1
8004 Zürich
Schweiz