Standortbestimmung: Bewältigung des Cyber-Angriffs auf die RUAG Bericht der Geschäftsprüfungskommission des Nationalrates vom 8. Mai 2018 Stellungnahme des Bundesrates vom 28. September 2018

Sehr geehrte Frau Kommissionspräsidentin Sehr geehrte Damen und Herren Zum Bericht der Geschäftsprüfungskommission des Nationalrates vom 8. Mai 2018 1 über die «Standortbestimmung bei der Bewältigung des Cyber-Angriffs auf die RUAG» nehmen wir nach Artikel 158 des Parlamentsgesetzes nachfolgend Stellung.

Wir versichern Sie, sehr geehrte Frau Kommissionspräsidentin, sehr geehrte Damen und Herren, unserer vorzüglichen Hochachtung.

28. September 2018

Im Namen des Schweizerischen Bundesrates Der Bundespräsident: Alain Berset Der Bundeskanzler: Walter Thurnherr

1

BBl 2018 4575

2018-2949

6369

BBl 2018

Stellungnahme 1

Ausgangslage

Die Geschäftsprüfungskommission des Nationalrates hat am 8. Mai 2018 ihren Bericht «Standortbestimmung: Bewältigung des Cyber-Angriffs auf die RUAG» veröffentlicht. Darin stellt sie gestützt auf ihre Abklärungen und die bisherigen Prüfungen der Eidgenössischen Finanzkontrolle (EFK) fest, dass die Massnahmen des Bundesrates und des Eidgenössischen Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS) zur Bewältigung des Cyber-Angriffs angemessen waren und deren weitere Umsetzung auf Kurs ist. Gleichzeitig gab die GPK-N Empfehlungen zur strategischen Steuerung des Rüstungskonzerns im Besitz des Bundes ab.

2

Stellungnahme des Bundesrates

Das VBS führte zur verstärkten Wahrnehmung der Aktionärsinteressen des Bundes neu Strategie-Workshops mit der RUAG Holding AG ein, weshalb der Bundesrat nachfolgend einleitend zuerst diese Form von Eignergesprächen näher darstellt, bevor er zu den Empfehlungen im Bericht Stellung nimmt.

2.1

Einleitende Bemerkungen

Die Bundesversammlung entschied sich mit dem Bundesgesetz vom 10. Oktober 1997 über die Rüstungsunternehmen des Bundes (BGRB, SR 934.21), die ehemaligen Regiebetriebe in Aktiengesellschaften des privaten Rechts zu überführen. Die Gründung erfolgte auf den 1. Januar 1999. Die Beteiligung des Bundes an den Aktiengesellschaften wird durch eine Beteiligungsgesellschaft, ebenfalls in der Form einer Aktiengesellschaft des privaten Rechts, gehalten. Der Bundesrat definiert in strategischen Zielen seine Erwartungen an den Verwaltungsrat der RUAG Holding AG, wie dieser die im BGRB stipulierte Zweckbestimmung des Konzerns, d. h.

Unterstützung des Bundes bei der Sicherstellung der Ausrüstung der Armee, umzusetzen hat.

In Ergänzung zu den mit den Sicherheitspolitischen Kommissionen und den Finanzkommission beider Räte für die Jahre 2016­2019 abgesprochenen Zielen führte das VBS im Jahr 2017 erstmals zusammen mit der Eidgenössischen Finanzverwaltung (EFV) und dem Verwaltungsrat der RUAG Holding AG einen Strategie-Workshop durch. Es handelt sich hierbei um eine Form von Eignergesprächen, die aufgrund eines zeitlich grosszügiger bemessenen Rahmens eine vertieftere Auseinandersetzung mit Strategiefragen zulässt. Der Chef VBS setzte dabei bewusst auf eine Ergänzung zu den manchmal primär von den Aktualitäten und Einzelgeschäften geprägten Aussprachen. Der Einfluss des Bundesrats auf die mittel- und langfristige Entwicklung der RUAG kann mit den Eignergesprächen bzw. deren Intensivierung 6370

BBl 2018

gestärkt werden, ohne dabei die gesetzlich stipulierten Verantwortlichkeiten des Verwaltungsrates der RUAG Holding AG zu beschneiden. Dieser trägt die Verantwortung für die Umsetzung der in den strategischen Zielen des Bundesrates konkretisierten gesetzlichen Zweckbestimmung des bundesnahen Konzerns und führt die Konzernleitung der RUAG.

Der Strategie-Workshop hatte sich bewährt, weshalb am 18. Januar 2018 ein zweiter Strategie-Workshop stattfand, an dem die Auswirkungen der im Jahr 2016 entdeckten Cyber-Attacke in einem gesamtheitlichen strategischen Rahmen besprochen und die dabei gewonnenen Erkenntnisse in der Form von Erwartungen an die künftige Entwicklung der RUAG formuliert wurden. Die Aufarbeitung der Cyber-Attacke mit einer speziell für diesen Vorfall installierten Projektorganisation hat sich ­ wie von der GPK im Bericht festgehalten ­ bewährt. Das VBS setzte seine Erwartungen gegenüber der RUAG durch, selbst wenn dafür Interventionen durch den Chef VBS erforderlich waren. Die Aufarbeitung schreitet planmässig voran. Sie zeigte aber auch, dass die angestrebte Entflechtung über eine reine Trennung der IKT-Systeme hinausgeht und auch Themen der Organisationen und der rechtlichen Strukturen umfasst, weshalb ein bedeutender Teil des zweiten Strategie-Workshops dem Thema Cyber Security gewidmet wurde. Die dabei vom Chef VBS und dem Direktor der EFV formulierten Erwartungen fliessen bei der Entflechtung von VBS und RUAG ein.

Die Aktionärsvertreter nehmen also durchaus auf den bundesnahen Rüstungskonzern RUAG Einfluss, respektieren dabei aber die gesetzlich verankerten Zuständigkeiten und konzentrieren sich in Übereinstimmung mit dem BGRB auf die Themen des strategischen Managements.

2.2

Stellungnahme zu den Empfehlungen

Zu den Empfehlungen äussern wir uns wie folgt: Empfehlung 1

Aufnahme der wesentlichen Erkenntnisse im Rahmen der strategischen Steuerung

Die GPK-N fordert den Bundesrat auf, auf der Basis der Erkenntnisse der EFK zu prüfen, ob sich daraus eine Notwendigkeit ergibt, im Rahmen der strategischen Steuerung der RUAG gewisse Weichenstellungen vorzunehmen, insbesondere im Rahmen der anstehenden Entscheide zur künftigen Organisationsund Rechtsform der RUAG bzw. deren allfällige Teilprivatisierung.

Der Bundesrat teilt die Meinung der Geschäftsprüfungskommission des Nationalrats (GPK-N), dass sich die Umsetzung der Entflechtung sowohl auf die Organisation als auch auf die rechtliche Struktur der RUAG Holding AG auswirken wird.

Er will deshalb gemäss seinem Entscheid vom 21. März 2018 eine neue Struktur für jene Teile der RUAG-Gruppe, die als Materialkompetenzzentrum fast ausschliesslich für die Schweizer Armee tätig sind. Dabei geht es in erster Linie um die Betreuung und die Instandhaltung der Systeme der Schweizer Armee. Der Verwaltungsrat 6371

BBl 2018

der RUAG Holding AG schlug dem Bundesrat in seinem Konzept deshalb vor, die für das VBS und die Schweizer Armee relevanten Geschäftsfelder und jene, die für den Markt tätig sind, in zwei rechtlich und finanziell unabhängige strategische Geschäftseinheiten zu gliedern. Der Bundesrat hat dieses Konzept an seiner Sitzung vom 28. Juni 2018 gutgeheissen. Der Verwaltungsrat hat die weiteren Arbeiten in Absprache mit dem VBS und dem Eidgenössischen Finanzdepartement (EFD) an die Hand genommen, wobei auch die folgenden Eckwerte zu beachten sind: Das BGRB findet unverändert Anwendung. Der Bundesrat legt wie bisher jeweils für vier Jahre die strategischen Ziele der Beteiligungsgesellschaft fest. Künftig wird er seine Erwartungen an die beiden strategischen Geschäftseinheiten MRO CH und RUAG International aber präziser adressieren und messen können. Der Verwaltungsrat der Beteiligungsgesellschaft sorgt für die stufengerechte Umsetzung derselben im gesamten Konzern. Die Berichterstattung erfolgt bis auf die Stufe der Konzerngesellschaften (Arbeitstitel) MRO CH, RUAG Real Estate AG, Corporate Services, Space, Aerostructures, MRO International, Ammotec und Cyber Security.

Der Verwaltungsrat der Beteiligungsgesellschaft wird wie heute von der Generalversammlung, d. h. faktisch vom Bundesrat, gewählt. Ein Teil dieser Verwaltungsratsmitglieder soll zugleich dem Verwaltungsrat von RUAG International, der andere Teil dem Verwaltungsrat der MRO-Holding angehören. Beide Verwaltungsräte können durch weitere Mitglieder ergänzt werden. Namentlich besteht die Möglichkeit, ein Kadermitglied des VBS in den Verwaltungsrat der MRO-Holding zu wählen. Dieses Mitglied des Verwaltungsrats würde zusätzlich im Verwaltungsrat der MRO CH Einsitz nehmen.

Empfehlung 2

Berücksichtigung der Verflechtungsproblematik bei zukünftigen Auslagerungen bzw. im Rahmen der Corporate-Governance-Grundsätze

Die GPK-N fordert den Bundesrat auf, zu gewährleisten, dass bei künftigen Auslagerungen der Problematik der Verflechtung angemessen Rechnung getragen wird. Dabei soll er insbesondere die Frage klären, ob diese im Rahmen der Eignungskriterien für eine Auslagerung bzw. in den relevanten CorporateGovernance-Vorgaben und Berichten aufgenommen werden sollte.

Der Bundesrat teilt die Auffassung der GPK-N, wonach bei künftigen Auslagerungen allfällige Verflechtungen eine besondere Beachtung verdienen. Er ist jedoch der Meinung, dass es hierzu keiner Ergänzung der Corporate-Governance-Leitsätze bedarf.

Der Bundesrat hat bereits Massnahmen zur Bewältigung des Cyber-Angriffs angeordnet. Dabei werden auch die Verflechtungen des Bundes mit anderen ausgelagerten Einheiten einer Überprüfung unterzogen. Die RUAG dürfte aber insofern ein Spezialfall sein, als die Verflechtungen mit der Bundesverwaltung bzw. dem VBS hier besonders stark ausgeprägt und sehr umfangreich sind.

Der Bundesrat hat, soweit nötig, sowohl bei bestehenden als auch bei neuen Einheiten die Möglichkeit, in den strategischen Zielen spezifische Vorgaben zur Entflechtung bzw. Verflechtung zu machen. Solche Vorgaben dürfen jedoch, gleich wie bei 6372

BBl 2018

den anderen Zielen, nur die strategische Ebene betreffen und nicht ins operative Geschäft der Einheit eingreifen. Der Bundesrat kann im Rahmen der strategischen Ziele insbesondere auch Vorgaben zum Risikomanagement der Einheit machen (vgl.

z. B. Ziff. 2.7 der strategischen Ziele des Bundesrates 2016­2019 für die Skyguide, BBl 2015 8799). Ein zeitgemässes Risikomanagement muss sich auch mit den Gefahren vor Cyber-Angriffen auseinandersetzen.

Die bestehenden Regelungen zum Informationsschutz bzw. zur Informationssicherheit haben sich als lückenhaft erwiesen. Mit der Botschaft zu einem Informationssicherheitsgesetz, die zurzeit in den Räten behandelt wird (BBl 2017 2953), hat der Bundesrat eine zeitgemässe Neuregelung vorgeschlagen, die auch die Bundesverwaltung miteinbeziehen würde.

Der Bundesrat erachtet daher die Empfehlung als bereits erfüllt.

Empfehlung 3

Zweckmässiger Einsatz der Steuerungsinstrumente zur Wahrung der Eignerinteressen

Die GPK-N fordert den Bundesrat auf, darzulegen, wie er für einen zweckmässigen Einsatz der Steuerungsinstrumente und damit für eine bessere Wahrung der Eignerinteressen sorgen will.

Dazu gehört insbesondere auch, dass die strategische Steuerung nicht im Rahmen informeller Kontakte erfolgt, sondern im Rahmen der Eignergespräche wahrgenommen wird. Ebenso erwartet sie, dass wichtige Diskussionen und Entscheide schriftlich festgehalten werden. Schliesslich erwartet sie vom Bundesrat auch eine vertiefte Prüfung der Frage, ob es angesichts der Herausforderungen sinnvoll wäre, (allenfalls vorübergehend) einen instruierbaren Vertreter in den Verwaltungsrat der RUAG zu entsenden.

Der Bundesrat führt und steuert die Unternehmen im Rahmen der Grundsätze zur Corporate Governance gemäss den von ihm erlassenen Berichte (CorporateGovernance-Bericht des Bundesrates von 2006, BBl 2006 8233; Zusatzbericht des Bundesrates von 2009, BBl 2009 2659; Leitsätze für verselbständigte Einheiten in der Fassung von 2009) mit strategischen Zielen. Die Grundlagen wurden in den letzten Jahren immer wieder weiterentwickelt und an die veränderten wirtschaftlichen und politischen Herausforderungen der Unternehmen angepasst. Die persönlichen Gespräche und informellen Kontakte bilden dabei eine Ergänzung zum BGRB und zu den strategischen Zielen. Die Transparenz wird verbessert und das von der Konzernleitung der RUAG als Grundlage für die Aussprachen mit dem Chef VBS verfasste Quartalsreporting durch die Rückmeldungen und Vorgaben inhaltlich noch besser auf die Bedürfnisse des Bundes als Alleinaktionär der RUAG Holding AG ausgerichtet. So wird die 2016 von der RUAG akquirierte Cyber-Security Gesellschaft Clearswift neu als eigenes Segment rapportiert.

Die jüngsten Entwicklungen bei den Unternehmen wie auch die politischen Diskussionen und Vorstösse bildeten Anlass, die Corporate Governance des Bundes zu überprüfen. Diese beschränkt sich nicht alleine auf verwaltungsinterne Regelungen über die Zuständigkeiten und Abgrenzungen zwischen den Fachdepartementen und der EFV, sondern hat auch einen Bezug zu den vorhandenen rechtlichen und be6373

BBl 2018

triebswirtschaftlichen Rahmenbedingungen der bundesnahen Unternehmen. Diese Nahtstelle gilt es auch zu untersuchen, und es gilt, aus den dabei gewonnenen Erkenntnissen die Möglichkeiten der Weiterentwicklung der Corporate Governance abzuleiten.

Der Bundesrat hat darum das EFD beauftragt, in Zusammenarbeit mit dem Eidgenössischen Departement für Umwelt, Verkehr, Energie und Kommunikation (UVEK) und dem VBS eine entsprechende Prüfung zu veranlassen. Im zweiten Quartal 2019 soll der Bundesrat über die Erkenntnisse der Prüfung informiert werden. Zur (primär RUAG-spezifischen) Frage der Verflechtung bzw. Entflechtung der Informatik wird sich der Bericht allerdings nicht äussern, dies ist nicht Gegenstand des Auftrages.

6374