Weil die Tochterfirma in den USA autarke IT-Systeme aufweise, habe der Angriff keine Auswirkungen auf andere Systeme des Konzerns, schrieb die Ruag MRO Holding in einer Mitteilung vom Dienstag. Sie prüft laut einem Sprecher eine Strafanzeige. Schweizer Radio und Fernsehen SRF berichteten am Dienstagnachmittag zuerst über den Angriff.

Gemäss aktuellem Erkenntnisstand seien keine besonders schützenswerten Daten von Angestellten in der Schweiz vom Ransomware-Angriff betroffen, schrieb Ruag MRO. Ziel des Angriffs war laut der Mitteilung die Ruag LLC im Bundesstaat Virginia.

Dort arbeiten laut Mitteilung acht Angestellte, welche den Austausch zwischen dem Schweizer Unternehmen und US-amerikanischen Institutionen, Lieferanten und Partnerfirmen sicherstellen. Die Ruag bezeichnet die Tochterfirma auch als «Verbindungsbüro in den USA».

Auf der Ruag-Webseite heisst es, die Ruag LLC liefere Kunden Ersatzteile für Kampfflugzeuge und erbringe Reparatur- und Unterhaltsdienstleistungen. Auf Anfrage sagte ein Ruag-Mediensprecher, die Ruag LLC sei nicht für den Austausch zwischen der Ruag in der Schweiz und der US-Firma Lockheed Martin zuständig.

Diese Firma stellt die F-35-Kampfflugzeuge her, welche die Schweiz beschaffen will. «Sämtliche Geschäftsbeziehungen und -aktivitäten laufen direkt zwischen der Ruag MRO Holding AG und den jeweiligen Kunden- und Partnerfirmen», schrieb der Mediensprecher.

Angreifer ist «Akira»

Wie Ruag auf Anfrage bekanntgab, hat die Hackergruppe «Akira» den Angriff verübt. Der Bund warnte Mitte Oktober vor dieser Gruppe. Sie habe ihre Aktivitäten in der Schweiz intensiviert.

Rund 200 Unternehmen seien Opfer von Ransomware-Angriffen geworden. Der Schaden belaufe sich derzeit auf mehrere Millionen Franken und weltweit auf mehrere hundert Millionen Dollar. Seit April vergangenen Jahres führe die Bundesanwaltschaft ein Strafverfahren. Die Behörden warnen davor, Lösegeld zu zahlen.

Akira tauchte im März 2023 erstmals auf. Die Gruppe arbeitet mit spezieller und eigens entwickelter Software und verfügt über eine IT-Infrastruktur, die international über mehrere Länder verteilt ist. Dabei praktiziert sie die sogenannte doppelte Erpressung, bei der Daten des Opfers zuerst entwendet und dann verschlüsselt werden.

Bei Ransomware-Angriffen dringen Kriminelle mit einer Software in IT-Netzwerke ein, verschlüsseln und entwenden Daten und legen so meist ganze Systeme lahm. Für die Entschlüsselung und Rückgabe der Daten fordern sie dann ein Lösegeld.

mk/

(AWP)