RUAG-Malware hätte andernorts wohl keinen Schaden angerichtet

In Bundesnetzen wäre der Einsatz der in der RUAG gefundenen Malware erkannt worden. Dies hält der Bundesrat auf Anfrage der Grünen Fraktion zum Cyberangriff auf die RUAG fest.
13.06.2016 20:15

Beim Verteidigungsdepartement (VBS) wie auch beim Bundesamt für Informatik und Telekommunikation (BIT) fänden regelmässig Scans im Netz wie auch auf den Clients statt, heisst es in der am Montag publizierten Antwort den Bundesrates auf die Fragen der Grünen zum Cyberangriff auf den bundeseigenen Rüstungsbetrieb RUAG.

Technische Indikatoren zur erwähnten Malware-Familie würden im Rahmen des Public-Private-Partnerships der Melde- und Analysestelle Informationssicherung (MELANI) bereits seit Jahren mit Betreibern der kritischen Infrastrukturen - darunter befinde sich auch die RUAG - ausgetauscht. "Ob die Unternehmen diese Indikatoren in ihren betriebseigenen Sicherheitssystemen nutzen, liegt in ihrer eigenen Verantwortung", schreibt der Bundesrat weiter.

Er weist aber darauf hin, dass sich innerhalb einer bestimmten Malware-Familie über die Zeit neue Varianten bilden können, die nicht immer exakt den bekannten Erkennungsmustern entsprechen.

Die Grünen kritisieren, dass die RUAG sich als "Kompetenzzentrum für Cyber-Defense/-Security profilieren will". Viele unterlassene Massnahmen seien aber standardmässige Best-Practices. "Der Ruf der RUAG in diesem Bereich ist ruiniert", halten die Grünen fest.

Der Bundesrat will nun die Erkenntnisse aus dem Cyber-Angriff mit dem Verwaltungsrat der RUAG diskutieren und sich aufzeigen lassen, "welche Auswirkungen der Angriff auf die Konzernstrategie haben wird".

Der Nachrichtendienst des Bundes hatte im Januar 2016 die Bundesanwaltschaft über den Angriff auf die RUAG informiert. Gemäss nachrichtendienstlichen Erkenntnissen begann dieser aber bereits im Dezember 2014. Beim Cyber-Spionage-Angriff auf die RUAG wurden mehr als 20 Gigabyte Daten entwendet.

Gemäss MELANI deutet alles auf Wirtschaftsspionage hin. So sei konkret danach gesucht worden, welche Projekte die RUAG derzeit am laufen habe und was die RUAG genau tue. Nach wie vor unbekannt ist, wie die Angreifer ins System der RUAG gelangt sind. Gemäss MELANI könnte der Angriff mit gezielten E-Mails erfolgt sein.

Die Angreifer benutzten eine seit mehreren Jahren im Umlauf befindliche Schadsoftware der Turla-Familie. Die im Netzwerk der RUAG beobachtete Variante habe auf Tarnung gesetzt, um unerkannt zu bleiben. Die Angreifer hätten viel Geduld bei der Infiltration und dem weiteren Vordringen gezeigt, heisst es.

Sie hätten nur Opfer angegriffen, an denen sie Interesse gehabt hätten. Einmal im Netzwerk, seien sie seitwärts vorgedrungen, indem sie weitere Geräte infiziert und höhere Privilegien erlangt hätten. Gemäss MELANI gingen die Angreifer mit ihrer Schadsoftware "sehr leise" vor. Und die verwendete Software habe keine Programmierfehler aufgewiesen, weshalb sie lange unerkannt geblieben sei.

(SDA)