RUAG: Der Schweizer Rüstungskonzern erwirtschaftet 80% mit der Schweizer Armee

RUAG in der Kritik. Was tun bei Cyber-Attacken?

Krisenkommunikation
June 09, 20269 min read

Am Wochenende wurde bekannt, dass die RUAG in einer Tocherfirma in den USA einen Ransomware-Angriff erlitt. Der Rüstungskonzern, der im Eigentum des Bundes steht, hatte Lösegeld bezahlt, um die von den Angreifern verschlüsselten Daten wieder zurückzubekommen. Das löste vielerorten Kritik aus. comexperts-Mitgründer Patrick Senn ordnet die Kritik ein.

Viele kritisieren jetzt die RUAG, sie hätte kein Lösegeld bezahlen dürfen. Das verlange ja schliesslich auch der Bund. Zahlen oder nicht?

Dieser Frage sollte eine detaillierte Lagebeurteilung voraus gehen, und zwar meist über mehrere Teilprobleme hinweg, Hier einige Beispiele, wie ein solcher Fall in Teilprobleme gegliedert werden könnte:

Teilproblem 1: Recht:

Je nach Jurisdiktion und Sachverhalt kann eine Lösegeldzahlung problematisch sein - eine Organisation kann sich der Finanzierung von organisierter Kriminalität schuldig machen. Auch ein potentieller Vorwurf der Geldwäsche muss betrachtet werden. Diese Fragen sollten deshalb dringend juristisch abgeklärt werden vor einem Entscheid. - Die RUAG hatte das gemäss ihren Aussagen aber offenbar gemacht.

Teilproblem Operations:

Zunächst stellt sich die Frage, ob Daten lediglich verschlüsselt wurden oder allenfalls auch abgeflossen sind in die Hände der Täter. Oftmals übrigens ist diese Frage gar nicht so einfach zu klären. Sind Daten abgeflossen, stellt sich selbstredend die Frage, welche Relevanz diese für den Betrieb haben. Sind besonders schützenswerte Personendaten (im Sinne des Datenschutzgesetzes) abgeflossen, die aber weiterhin vorhanden sind, hat das für die Reputation einer Organisation möglicherweise grosse Konsequenzen, allenfalls auch solche finanzieller Art - wenn z.B. Kunden von Vermögensverwaltern aufgrund des Vertrauensverlustes ihre Kundenbeziehung aufkündigen. Produkt-Unterlagen sind möglicherweise durch Patente geschützt; sicherheitsrelevante Produktunterlagen bei einem Betrieb wie einer RUAG können u.U. aber dazu führen, dass ein Produkt seinen Nutzen verliert. Bei Ransomware-Attacken steht natürlich regelmässig die Frage im Raum, welche Kosten ein Betriebsausfall verursacht - und in welchem Verhältnis der zu dem geforderten Lösegeld steht. Solche Überlegungen müssen in jedem Fall individuell durchgespielt werden.

Teilproblem Kommunikation:

Wiederum ist die Frage zu stellen, ob Daten ausschliesslich verschlüsselt oder gestohlen wurden. Je nach Fall besteht ein gesetzlicher Anspruch der Betroffenen auf Information über den Datendiebstahl. In allen DACH-Ländern ist ein Unternehmen zudem verpflichtet, nach der geltenden Datenschutzgesetzgebung Datendiebstähle zu melden. Je nachdem gelten weitere spezialgesetzliche Meldepflichten an sektorielle Regulierungsbehörden, z.B. an die Finanzaufsichtsbehörde, die Spielbankenaufsicht, etc. Hinzu kommen gegebenenfalls Nachfragen von Medien - wobei hier zu vermerken ist, dass die Anzahl von Cyberangriffen unterdessen eine so hohe Zahl erreicht hat, dass ein Fall heute bereits ein ausserordentliches Ausmass erreichen muss, um in den Medien noch Beachtung zu finden. Oder es muss sich um einen besonders exponierten Betrieb handeln.

Der Bund empfiehlt ja, aus Prinzip kein Lösegeld zu bezahlen. Sollte man sich nicht einfach daran halten?

Diese Empfehlung ist aus einer Makro-Sicht nachvollziehbar. Würde niemand mehr bezahlen, würde das «Geschäft» mit Cyberangriffen über die Zeit tatsächlich irgendwann unattraktiv. Nur wird das nie passieren. Studien zeigen, dass 50% oder mehr der Betroffenen bezahlen. Und weder die Bundesstellen, welche diese Empfehlung abgeben, noch die Medienschaffenden, die das fordern, stehen für den konkreten Schaden nicht ein, der einer Firma entsteht, wenn sie einen Monat nicht mehr geschäftsfähig ist aufgrund einer Cyber-Attacke.

Aus einer Mikro-Sicht, also derjenigen des betroffenen Betriebs, ist deshalb eine differenziertere Sichtweise nötig, die alle oben genannten Aspekte miteinbezieht. Nehmen Sie nur das Beispiel eines Spitals, dessen lebenswichtigen Gerätschaften aufgrund einer solchen Attacke nicht mehr funktionieren. Da möchte ich dann angesichts möglicher Todesopfer gerne die Theoriker vor den laufenden TV-Kameras sehen, wenn sie den Angehörigen der Toten erklären müssen, dass es wichtiger war, aus Prinzip nicht zu bezahlen, als ihre Liebsten zu retten.

Ist das jetzt nicht etwas sehr viel Hollywood-Kino?

Natürlich ist das ein extremes Beispiel. Aber Spitäler setzen sich mit solchen Fragen auseinander. Uns geht es darum, mehr einem pragmatischen Ansatz das Wort zu reden als einem dogmatischen. Aus der Praxis kann ich auch sagen, dass niemand gerne Lösegelder zahlt. Jeder Krisenstab unternimmt alles, um das nach Möglichkeit nicht tun zu müssen.

Viele Kommentare im Netz finden: Wer Backups macht und eine Anti-Cyber.Strategie etabliert hat, dem kann eigentlich gar nichts passieren!?

Ja, manchmal erscheint es tatsächlich erstaunlich, wie einfach Angreifer immer noch zum Ziel kommen. Wir erleben aber in der Praxis heute meist komplexere Angriffe, mit man mit einer einfachen Backup-Strategie nicht verhindert hätte. Zudem ist es mit den Backups ja auch so eine Sache: Manchmal schlummerte die Ransomware ja schon längere Zeit in einem System - spielt man ein Backup zurück, spielt man auch den Wurm zurück. Aber jetzt gleiten wir in einen Bereich ab, der nicht unsere Expertise ist - dafür gibt es die Cyber-Spezialisten.

Ist denn sicher, dass sich die Angreifer an einen «Deal» halten und die Daten tatsächlich wieder freigeben - oder gestohlene Daten löschen?

Wir haben in der Beratungspraxis noch nie einen Fall erlebt, bei dem die Hacker sich nicht an den Deal gehalten hätten - aber natürlich kann man das nicht ausschliessen. Vergessen wir nicht, wir haben es mit Verbrechern zu tun. Andererseits sind sie meist schlau genug, dass sie wissen, dass sie in einem gewissen Masse auch einen Ruf zu verlieren haben. Wenn man von einem Hacker weiss, dass er sich trotz Zahlung nicht an eine Abmachung hält - dann wird natürlich sehr schnell niemand mehr bezahlen. Noch heikler ist es, wenn Daten gestohlen und mit der Publikation im Darknet gedroht wird. Ob die Angreifer dann die Daten wirklich löschen, das wird man nie wirklich überprüfen können.

Die «NZZ» kritisiert in dem Zusammenhang die RUAG: Erstens müsse eine Firma immer Strafanzeige einreichen - die vielen Anzeigen zusammen würden dann vielleicht doch einmal zu einem Fahndungserfolg führen.

Die Zeitung macht es sich zu einfach: Auf der einen Seite behauptet sie, bei den Cyber-Attacken handle es sich um organisierte Kriminalität, die von Russland aktiv geduldet würde. Und findet dann gleichzeitig, dass eine Vielzahl von Strafanzeigen zu einem Fahnungserfolg führen könnten. Die Erfahrung aus unseren eigenen Fällen zeigt jedoch: Noch nie hat eine Schweizer Strafverfolgungsbehörde nach einer Strafanzeige einen Fahndungserfolg erzielen können - und wenn die Ausgangsthese der NZZ stimmt, und die Hacker sitzen in Russland, dann ist der Glaube, dass die Schweizer Strafverfolger den Tätern dort habhaft werden könnten, reichlich naiv.

Heisst das, keine Strafanzeige?

Das heisst es nicht. Nur erscheint uns das Solidaritätsmotiv einigermassen ungeeignet. Und jeder Fall sollte vom Krisenstab im Einzelfall beurteilt werden. Ein Beispiel: Wir hatten einen Fall, bei dem sich ein «White Hat Hacker» bei einem Kunden gemeldet hatte. Es gab Hinweise, dass der Hacker tatsächlich grosse Datenmengen abgezogen haben könnte, was im Krisenstab einige zur Überzeugung brachte, das «White Hacking» wäre lediglich vorgeschoben - und deshalb eine Strafanzeige angebracht. Das Unternehmen nahm mit dem Hacker - unterstützt von einem spezialisierten Dienstleister - aber das Gespräch auf. Am Ende stellte sich heraus, die Person war zwar tatsächlich im Graubereich tätig, hatte aber keine Absichten, das Unternehmen zu erpressen oder Daten im Darknet anzubieten. Die Situation konnte mit einem spontan ausgearbeiteten Bug Bounty-Programm gelöst werden. Eine Strafanzeige wäre hier womöglich kontraproduktiv gewesen.

Eine weitere Kritik der «NZZ» richtet sich gegen das angeblich fehlende Krisenmanagement bei der RUAG. Jeder Betrieb müsse auf Stufe Verwaltungsrat und Geschäftsleitung Antworten auf Cyber-Kriminalität bereithalten.

Einverstanden! Cyber-Attacken müssen im Rahmen des Risikomanagements adressiert werden. Und das Risikomanagement verortet der Gesetzgeber auf der höchsten Stufe des Unternehmens. Notabene überall im DACH-Raum. Wir sind aber auch der Meinung, dass jedes Unternehmen sich die Frage stellen muss, wie es seine IT und seine Daten vor solchen Angriffen schützen kann. Und dass es Strukturen bereithält, um einen allfälligen Angriff professionell zu beantworten.

Natürlich spielt da bei uns auch etwas Eigennutz mit, weil wir mit Krisenmanagment und -kommunikation unser Geld verdienen. Gleichzeitig machen wir häufig die Erfahrung, dass Unternehmen, die sich vorbereiten, indem sie ein Krisenmanagement vorhalten, im Ereignisfall wesentlich günstiger kommen, weil sie nicht alles erst neu aufbauen müssen und sehr viele Beratungsstunden benötigen, um adhoc eine handlungsfähige Krisenorganisation aufzustellen. Letzteres kann unter Umständen dann sehr teuer werden. Kommt hinzu, dass ein Krisenmanagement System auch bei vielen anderen Problemstellung hilfreich sein kann: Vom Elementarschaden-Ereignis über den Produktrückruf, Compliance-Verstösse bis hin zum Shitstorm im Internet.

Eine weitere Kritik an der RUAG war die Kommunikation: Verwaltungsratspräsident Jürg Rötheli hatte in der «Samstagsrundschau» von SRF Radio freimütig von der Lösegeldzahlung erzählt - ohne Not.

Die Kommunikation bei Lösegeldforderungen ist eine der heikelsten Fragen. Wir sind mit der NZZ einig, dass das vorliegende Bekenntnis hier tatsächlich nicht sehr durchdacht erschien. Grundsätzlich gilt als «Best Practice», dass man nicht in der Öffentlichkeit über solche Vorgänge spricht. Und zwar im allerbesten Falle so, dass das Thema gar nicht erst aufkommt.

Wenn die Frage schon im Raume ist, wird es schwierig. Immer noch gilt eine weitere «Best Practice»-Regel, nämlich die, nie die Unwahrheit zu sagen. Die Notlüge, man habe kein Lösegeld bezahlt, wenn man es doch getan hat, empfehlen wir nicht. Lügen haben bekanntlich die Angewohnheit, kurze Beine zu haben. Und wer einmal lügt, dem glaubt man nicht, sagt schon die nächste Redewendung. Kurzum: Eine Lüge zerstört die Glaubwürdigkeit unwiderruflich und ist deshalb kein gangbarer Weg.

Wie macht man es dann?

Bei Entführungen z.B. ist eine Möglichkeit, dass nicht die eigene Organisation zahlt. Die Ministerin kann dann ehrlich sagen: Der Bund bezahlt kein Lösegeld. Den zweiten Teil der Wahrheit, dass es jemand anders getan hat, muss sie ja nicht sagen. Manchmal wird auch nicht Lösegeld bezahlt, sondern Entwicklungshilfe für ein bestimmtes Projekt, das den Entführern zugute kommt. Auch da geht man im zweiten Teil nicht in die Details, sondern bleibt bei der Aussage: Wir haben kein Lösegeld bezahlt und werden das auch in Zukunft nicht tun. Je komplexer man das Gebilde bauen kann, um so sicherer ist man kommunikativ.

Ist so etwas denn ethisch vertretbar?

Das ist abzuwägen. Wir zeigen nur Wege auf, am Ende müssen die Verantwortlichen entscheiden. In solchen Situationen geht es ja in aller Regel um Menschenleben, und die gewichten die meisten sehr hoch. Und es geht darum, Nachahmer zu verhindern. Beide Zeile halte ich für legitim.

Verantwortliche eines Zuschnitts von Helmut Schmidt sind die Ausnahme, der in mehreren Erpressungsfällen durch die RAF und andere Terroristen nicht nachgab und nicht auf die Erpressungen einging, Aufgrund von Schmidts Weigerung wurde ja damals von der RAF der damalige Arbeitgeberpräsident und Vorstandsvorsitze von Daimler, Hanns Martin Schleyer, getötet. Bei einer entführten Lufthansa-Maschine gelang der Zugriff der GSG9 und die Passagiere überlebten. Aber was wäre gewesen, wenn die 91 Personen an Bord dabei getötet worden wären? Schmidt hatte später bekannt: Er wäre zurückgetreten, wenn die Operation nicht geglückt wäre.

Gibt es weitere «Tricks» für solche Situationen?

Wichtig ist auch, dass eine gute Krisenorganisation in solchen Situationen diejenigen Verantwortlichen, die in der Öffentlichkeit auftreten, gar nicht so genau informiert. Die Ministerin kann dann wieder ohne zu lügen sagen: «Davon ist mir nichts bekannt. Und ich bin überzeugt, wenn es so gewesen wäre, wäre ich informiert worden.» - Aus einer solchen Aussage kann ihr kein Strick gedreht werden - solange sie der Wahrheit entspricht.

Man sieht aber aus alledem: wir sprechen hier von Fällen der hohen Schule von Krisenmanagment und -kommunikation, die Fettnäpfe sind gross und die Wege drumherum schmal.

RUAGCyber-AttackeRansomwareJürg Rötheli

Patrick Senn

Patrick Senn ist Director bei der comexperts Ltd, seine Themenschwerpunkte sind Krisenkommunikation und Auftrittskompetenz.

LinkedIn logo icon
Instagram logo icon
Back to Blog

© Copyright 2026. All rights reserved.

Office:
Andrea Kelpi 37, Aradippou Larnaca 7104

Call
+41 79 795 70 75 (Schweiz)

+357 97 730 195 (Zypern)

Email:

info(at)comexperts.ltd