Mit Sicherheit ein Problem

Die Bundes­räte Ueli Maurer und Viola Amherd erhielten in der Nacht auf den 23. Februar um 1.56 Uhr eine ungewöhnliche E-Mail. Der Absender: André Wall. Im Betreff: die Einladung, eine Datei herunter­zuladen mit dem externen Filesharing-Dienst der Ruag «SDE Secure File Transfer».

Wall ist seit 2020 Geschäfts­führer der Ruag International. Der Inhalt der E-Mail lässt aber schnell darauf schliessen, dass es nicht Wall war, der die Nachricht verschickt hat. Denn der Verfasser oder die Verfasserin nimmt Bezug auf die Cyber­sicherheit der Ruag und schreibt, dass weder die Ruag International noch das Nationale Zentrum für Cyber­sicherheit NCSC über ausreichende Expertise verfügen würden, um die IT-Heraus­forderungen bei der Ruag International zu meistern. Aufgrund dieser «fehlenden Fach­kompetenz» sei es 2021 wie auch 2016 nicht gelungen, die erfolgten Cyber­angriffe kompetent zu analysieren und die Auswirkungen zu deuten.

Der Schreiber fordert «im Namen aller Bürgerinnen und Bürger» die Politik auf, die Probleme ernst zu nehmen und die Cyber­sicherheit professionell zu organisieren. Die Nachricht wurde nicht nur an die Bundes­räte verschickt, sondern auch an verschiedene Parlaments­mitglieder.

Die Republik erhielt ein Dokument, das zeigt, wie der anonyme Absender im Namen von André Wall E-Mails verschicken konnte, und rekonstruierte die Anleitung. Dazu war nicht einmal ein Hack nötig. Bis vor einigen Tagen konnten alle Personen mit einem Internet­anschluss über die URL eines externen Filesharing-Dienstes E-Mails im Namen von Ruag-Mitarbeiterinnen verschicken – wohin sie wünschten.

Gefährliche E-Mails

Dies lief über einen Dienst namens Dasdex Mail, welcher der Firma Codebase AG in Luzern gehört. Gemäss der Website der Firma nutzt Ruag Dasdex Mail seit 2013. Der Dienst sei bei der Ruag International für den Transfer von grossen, nicht klassifizierten Daten­mengen im Einsatz, schreibt der Konzern. Die Ruag bestätigt auf Anfrage, dass die fragliche Nachricht an die Bundesräte über Dasdex Mail verschickt wurde.

Viele kennen ein ähnliches Angebot vom bekannteren Dienst We Transfer. Dabei lädt man grosse Daten auf eine Website und gibt eine Absender- und eine Empfänger­adresse an. Mit wenigen Klicks ist das File dann als Link in einer E-Mail beim anvisierten Empfänger.

Doch was ist nun beim Codebase-Dienst schief­gelaufen? Wieso konnten damit Nachrichten im Namen von André Wall verschickt werden? Und wie gravierend war der neuerliche Vorfall?

Für Security-Expertinnen ist klar, dass die externe Ruag-Webanwendung nicht dem Stand der Technik und dem Schutz­bedarf eines Waffen­konzerns entspricht. Dass ein solcher Dienst öffentlich über das Internet erreichbar ist, gehört zum Normal­fall. Doch unklar ist, weshalb die entsprechende Adresse – die nun deaktiviert worden ist – in der Eingabe­maske des Benutzer­kontos eine bereits vorausgefüllte E-Mail-Adresse «anonymous_user@ruag.com» samt Passwort enthielt, den sich die anonyme Person zunutze machen konnte. «Das scheint für mich ein klassischer Design­fehler zu sein», sagt Informations­sicherheits­berater Sven Fassbender.

Die Voreinstellungen ermöglichten es, dass man den Dienst ungehindert benutzen konnte, auch wenn man nicht der Ruag angehörte. So gelang es der unbekannten Absenderin, die E-Mail an die Bundes­räte zu verschicken.

Über Zertifikats­such­verzeichnisse wie Crt.sh lässt sich ableiten, mit welchen Dritt­anbietern die Ruag zusammen­arbeitet. Entsprechend wichtig wäre es, dass jede Ruag-Mitarbeiterin bei allen genutzten Webdiensten ein eigenes Benutzer­konto hat. Beim Dienst der Firma Codebase war das nicht der Fall.

Ferner mangelte es dem Dienst an weiteren Sicherheits­grundlagen wie etwa einem Verifikations­mechanismus. «Es braucht für einen solchen Dienst unbedingt eine 2-Faktor-Authentifizierung», sagt Experte Fassbender. «Ausserdem sollte ein Versand nur durch Benutzer möglich sein, welche von einem Ruag-Administrator freigegeben wurden.» 2-Faktor-Authentifizierung bedeutet, dass ein Sicherheits­element allein nicht ausreicht – sondern dass zum Beispiel zusätzlich zum Passwort noch ein SMS-Code eingegeben werden muss, der an die persönliche Telefon­nummer verschickt wird.

In den technischen Daten der fraglichen E-Mail an die Bundes­rätinnen wird klar, dass für den Versand Dasdex-Mail-Server genutzt werden. Somit mag wohl der eine oder andere Empfänger erraten haben, dass es sich um Spam handelt – und nicht die offizielle E-Mail-Adresse des Ruag-Chefs hinter der Nachricht steckt.

Dennoch: Für Ruag-Mitarbeiterinnen, die seit 2013 womöglich mit dem Ruag Secure Data Exchange arbeiten und täglich sensible Daten verschicken müssen, könnten solche E-Mails gefährlich werden. Denn natürlich vertraut man den Kollegen und ist schneller geneigt, einen mitgelieferten Link anzuklicken. Bemerkt eine Mitarbeiterin nicht, dass es sich um Spam handelt, schnappt die Falle zu. «Das sind ernsthafte Bedrohungen, die schwer­wiegende Folgen haben können», sagt Sven Fassbender.

Allgemein ist der fehlende Nachweis der Absender­adresse – also die Authentisierung – ein Problem vieler Firmen und nicht nur der Ruag. Kurz: Jeder kann ein Tool wie Dasdex nachbauen und E-Mails in fremdem Namen verschicken. Die fehlende E-Mail-Authentisierung sei das grössere und entscheidende Problem in diesem Fall, sagt Informatiker Kaspar Etter, der ein Grundlagen­werk über die technischen Standards von E-Mail schrieb. «Obwohl es technische Standards zur Verhinderung gefälschter Absender­adressen gibt, setzen viele Firmen diese leider noch nicht um.»

Die Firma Codebase aus Luzern, die den externen Ruag-Dienst Dasdex Mail anbietet, reagierte nicht auf die Anfragen der Republik.

Gravierende Mängel bei der Informatik­sicherheit

Die E-Mail-Panne ist peinlich für die Ruag International und kommt zu einem denkbar schlechten Moment. Der Bundesrat entschied im Jahr 2018, die bundes­eigene Waffen­schmiede, die zu einem inter­nationalen Rüstungs- und Technologie­konzern mit 9000 Mitarbeitenden angewachsen war, aufzuteilen: in die Ruag MRO, die weiterhin Dienst­leistungen für die Armee erbringt, und in den Luft- und Raumfahrt­konzern Ruag International, der verkauft werden soll.

Der Verwaltungsrat sucht jetzt Interessentinnen für den Kauf. Demnächst soll etwa die Munitions­sparte, Ruag Ammotec, ins Ausland veräussert werden. Falls es aber weiterhin Cyber­sicherheits­probleme gibt, ist die Ruag International wenig attraktiv für einen potenziellen Käufer.

Seit Jahren schon kämpft die Ruag mit gravierenden Lücken in der Informatik­sicherheit. Zwischen 2014 und 2016 drangen Hackerinnen, mutmasslich russischer Herkunft, in die Ruag-Systeme ein. Sie erhielten so auch Zugriff auf sensible Informationen. Das ist vor allem auch deswegen problematisch, weil die Ruag über geheime Daten zu Waffen­systemen wie etwa dem US-Kampfjet F/A-18 verfügt. Sie ist über internationale Abkommen verpflichtet, diese zu schützen. Welche Daten die Hacker gestohlen haben, ist bis heute nicht bekannt.

Der Hacker­angriff zwang die Ruag dazu, ihre Systeme zu überarbeiten. Laut eigenen Angaben hat die Ruag aber seither ihre Cyber­sicherheit verbessert und sollte nun gegen Angriffe gewappnet sein.

Doch hat sie die gravierenden Sicherheits­mängel behoben?

Recherchen der «Rundschau» von 2021 lassen Zweifel aufkommen, ob die Ruag ihre Cyber­sicherheit im Griff hat. Die SRF-Sendung dokumentierte mit Videos, wie Hacker in die firmen­eigenen E-Mail-Postfächer eindrangen. Sie konnten unter anderem Nachrichten von Ruag-CEO André Wall lesen, die er an seine Mitarbeitenden verschickt hatte. SP-Sicherheits­politikerin Priska Seiler Graf zeigte sich daraufhin bestürzt. Die Ruag habe versichert, sie habe alle Sicherheits­defizite behoben und sei auf Kurs, sagte sie damals gegenüber dem Schweizer Fernsehen. «Man hat uns schlicht und einfach angelogen.»

Die Ruag leitete schliesslich eine Unter­suchung ein, dementierte den Hacker­angriff, fand aber andere ernst zu nehmende Sicherheits­mängel vor. Sie habe deshalb zusätzliche Sicherheits­massnahmen ergriffen, versicherte André Wall später.

Bereits im Februar 2021 stellte auch die Eidgenössische Finanz­kontrolle erhebliche Sicherheits­mängel bei der Ruag International fest. In ihrem Prüfbericht fordert sie eine «umfangreiche» Nach­bearbeitung. Die Geschäfts­prüfungs­kommission des National­rats untersuchte später auch den Vorfall, der von SRF dokumentiert wurde. Sie kam zum Schluss, dass es keine erhärteten Belege für den von der «Rundschau» dokumentierten «mutmasslichen Hacker­angriff» auf Ruag International im Mai 2021 gebe.

Entwarnung gibt die Kommission aber nicht. Sie hält fest, dass im Laufe der Untersuchungen schwer­wiegende Mängel an der Informatik­sicherheit der Ruag International aufgetreten seien. Es sei unverständlich, dass diese nicht vorher entdeckt worden seien. Sie verweist auf eine Einschätzung der Eidgenössischen Finanz­kontrolle, gemäss der die Ruag noch nicht wisse, wo überall sich die sensitiven Daten befänden. Damit bestehe ein «schwer einschätzbares Risiko, dass bei einem Verkauf von Unternehmens­teilen unerkannte sensitive Daten in falsche Hände gelangen». Die Geschäfts­prüfungs­kommission fordert den Bundes­rat deshalb auf, zusätzliche Massnahmen zu treffen, um sicher­zustellen, dass auf den Systemen keine solchen Daten verbleiben.

Die anonyme Absenderin, die sich an den Bundesrat gewandt hat, will mit ihrer E-Mail aufzeigen, dass weiterhin gravierende Lücken im Sicherheits­dispositiv der Ruag existieren. Denn solche – unter falschem Namen – verschickten Nachrichten würden «Tür und Tor öffnen für ​​Social Engineering und Phishing-Attacken» – also bekannte Methoden, mit denen Hacker versuchen, in IT-Systeme einzudringen, um Daten und Informationen zu stehlen.

«Ohne die Ruag wäre die Schweizer Armee nicht einsatz­fähig», sagte Verteidigungs­ministerin Viola Amherd 2019 an einer Medien­konferenz. Umso verheerender ist es für die militärische Sicherheit, wenn die Ruag noch immer nicht alle ihre Systeme einwandfrei gesichert hat.