Die Ruag hat einer kriminellen Hackergruppe Lösegeld bezahlt. Das wirft Fragen auf – und löst Kritik ausDer Bund rät von Lösegeldzahlungen an Hacker klar ab. Die Ruag tat es dennoch. Politiker von links bis rechts sind irritiert und kritisieren das Vorgehen.08.06.2026, 17.58 Uhr5 LeseminutenDer bundeseigene Betrieb Ruag zahlte nach einem Cyberangriff Lösegeld an die Erpresser und sprach dann auch noch öffentlich darüber.Urs Flueeler / Keystone«Zahlen Sie kein Lösegeld – melden Sie den Angriff an die Behörden.» So unmissverständlich warnte das Bundesamt für Cybersicherheit (Bacs) im vergangenen Oktober vor der Hackergruppe Akira. Denn wer Geld an die Cyberkriminellen überweist, finanziert damit ihre Aktivitäten.Optimieren Sie Ihre BrowsereinstellungenNZZ.ch benötigt JavaScript für wichtige Funktionen. Ihr Browser oder Adblocker verhindert dies momentan.Bitte passen Sie die Einstellungen an.Knapp drei Wochen später machte SRF bekannt: Genau diese Hackergruppe nahm auch eine Ruag-Tochtergesellschaft in den USA ins Visier. Sie drang in die IT-Systeme ein und entwendete Daten, darunter angeblich vertrauliche militärische Informationen und Verträge. Dann verschlüsselten die Hacker die Systeme und erpressten den bundeseigenen Rüstungsbetrieb Ruag: Ohne Lösegeld keine Wiederherstellung der Daten, und die Daten würden publiziert.Das ist das übliche Vorgehen der weltweit aktiven Ransomware-Gruppen, von denen Akira eine der aktivsten ist. Die Ruag erklärte damals, es habe sich nicht um «besonders schützenswerte Daten von Mitarbeitenden in der Schweiz» gehandelt. Man werde den Vorfall aufarbeiten und habe Massnahmen eingeleitet.Zu welchen Mitteln die Ruag bei diesem Cyberangriff gegriffen hat, ist seit letztem Samstag bekannt: Der Rüstungskonzern bezahlte den Angreifern das geforderte Lösegeld, obwohl das den Empfehlungen des Bundes widerspricht. Das sagte der Ruag-Verwaltungsratspräsident Jürg Rötheli in der «Samstagsrundschau» von SRF. Eine Absprache mit dem Bund als Eigner der Ruag gab es nicht. Die Ruag teilt auf Anfrage mit, man habe diesen Entscheid im Rahmen der «unternehmerischen Kompetenz und Eigenständigkeit» getroffen.Hatte die Ruag kein Back-up der Daten?Das Vorgehen wirft viele Unklarheiten auf. Die Ransomware-Gruppen setzen ihre Opfer unter Druck, damit diese Lösegeld bezahlen. Was beim Angriff auf die amerikanische Ruag-Tochtergesellschaft den Ausschlag gab, ist nicht klar. Das Unternehmen selbst macht dazu keine klaren Angaben. Die Ruag schreibt in einer Stellungnahme einzig, dass der Entscheid zu zahlen richtig gewesen sei. Das Unternehmen habe so «sämtliche Daten zurückerhalten» und den «Schaden – sowohl finanziell als auch sicherheitsspezifisch – auf ein Minimum» begrenzen können.Diese Aussage wirft die Frage auf, ob die Ruag möglicherweise gar keine Sicherheitskopie ihrer Daten in den USA hatte. Mit dem Cyberangriff wären in diesem Fall Geschäftsdaten verloren gewesen, was die Ruag von den Erpressern abhängig gemacht hätte. Laut Angaben der Ruag waren die IT-Systeme der Ruag-Tochterfirma, die Ende 2019 durch einen Zukauf entstand, isoliert und nicht mit den Servern in der Schweiz verbunden. Das würde erklären, warum die Daten in den USA nicht in den Back-up-Prozess des Konzerns eingebunden waren.Interessant ist der zeitliche Ablauf der Erpressung. Am 3. November 2025 drohte die Ransomware-Gruppe Akira im Darknet, einem anonymisierten Teil des Internets, mit der Publikation von 24 Gigabyte an vertraulichen Daten. Solche Drohungen sprechen Kriminelle üblicherweise erst öffentlich aus, wenn die Verhandlungen über eine Lösegeldzahlung mit den Opfern nicht vorankommen. Sie sollen den Druck erhöhen.Im Fall der Ruag-Tochter könnte das ein Hinweis sein, dass das Unternehmen mit der Geldzahlung eine Publikation verhindern wollte. Wenn vertrauliche Verträge oder technische Informationen von Kunden an die Öffentlichkeit gelangen, kann das juristische Verfahren oder gar Strafzahlungen nach sich ziehen. Mit der Zahlung eines Lösegelds im tiefen sechsstelligen Bereich hätte die Ruag diese negativen Folgen abwenden können.Allerdings lässt sich ein «sicherheitsspezifischer Schaden», von dem die Ruag schreibt, nur begrenzt abwenden. Denn eine Lösegeldzahlung verhindert nicht, dass die Kriminellen die brisanten Daten weiterverkaufen. Gerade bei militärischen Informationen muss davon ausgegangen werden, dass Kriminelle diese Angaben an interessierte Organisationen weitergeben, zum Beispiel an Geheimdienste.Deshalb schützt eine Lösegeldzahlung möglicherweise vor einem grösseren Reputationsschaden und juristischen Verfahren. Aber sie gewährleistet die Vertraulichkeit der Daten nicht. Indem der Verwaltungsratspräsident die Zahlung öffentlich macht, schadet er dem Ruf der Firma nachträglich.Das Verteidigungsdepartement (VBS) will sich auf Anfrage nicht zum Fall äussern. Der Sachverhalt werde nun «zusammen mit der Ruag aufgearbeitet». Die Bundesanwaltschaft wurde nach eigenen Angaben nicht eingeschaltet. Sie führt aber ein Verfahren gegen Akira aufgrund von anderen Angriffen auf Schweizer Unternehmen.Das Parlament will sich mit dem Fall beschäftigenDer Vorfall wird ein politisches Nachspiel haben. Der FDP-Ständerat Josef Dittli kündigt an, das Thema in der Geschäftsprüfungskommission (GPK), der parlamentarischen Oberaufsicht, thematisieren zu wollen. Er ist Präsident der Subkommission EDA/VBS. Dittli sieht viele offene Fragen. Dass die Ruag öffentlich einräumt, Lösegeld an Hackergruppen gezahlt zu haben, ist für ihn ein fatales Signal. Es könnte anderen Hackern zeigen, «dass sich Bundesbetriebe erpressen lassen». Das sei «extrem problematisch».Gleich sieht es der SVP-Nationalrat Mauro Tuena. Für den IT-Unternehmer steht fest: «Solche Dinge erzählt man auf keinen Fall der ganzen Welt im Radio!» Die Ruag arbeite als Rüstungskonzern in einem heiklen sicherheitspolitischen Umfeld. Da sei äusserste Diskretion gefragt: «Sonst werden Nachahmungstäter auf den Plan gerufen.»Franziska Roth (SP) ist ebenfalls Mitglied der entsprechenden GPK-Subkommission. Auch sie hat Fragen, etwa, ob die Ruag das VBS vor der Lösegeldzahlung wirklich nicht konsultiert hat. Der Fall sei «wirklich unschön», dürfe aber nicht in ein erneutes «Ruag-Bashing» ausarten. Dafür sei der Konzern für die Armee zu wichtig: Als zentraler Partner für Technik und Wartung generiert die Ruag 80 Prozent ihres Auftragsvolumens mit der heimischen Armee. Doch nach etlichen Skandalen ist das Vertrauen tief erschüttert. Jürg Rötheli, seit Anfang 2025 im Amt, will das ändern. Bereits vergangenen Sommer erklärte er, der Konzern versuche, seine Altlasten «ein für alle Mal loszuwerden».Doch noch immer fehlen die Ergebnisse zum wohl grössten Skandal der Ruag-Geschichte: Ein ehemaliger Kadermitarbeiter soll ein mutmasslich betrügerisches System betrieben haben. Er soll über Jahre hinweg selbständig Material eingekauft, neu bewertet und weiterverkauft haben. Den Gewinn aus diesen Geschäften soll er selbst eingesteckt haben. Laut der Eidgenössischen Finanzkontrolle liegt der Schaden der bekannten Fälle im «hohen zweistelligen Millionenbereich». Der Betrug entfachte eine Debatte über die Rechtsform des Konzerns. Für mehr staatliche Kontrolle will der Bundesrat die Ruag zu einer spezialgesetzlichen Aktiengesellschaft machen, nach dem Vorbild von Swisscom und SBB. Die Vernehmlassung endete im April, bis Ende Jahr soll die Vorlage im Parlament behandelt werden.Teilmontage könnte reduziert werdenDarüber hinaus drohen beim Prestigeprojekt «Rigi» Abstriche. Die Teilmontage von vier F-35-Jets könnte laut SRF-Recherchen reduziert werden. Aus Kostengründen soll die Ruag wohl nur drei Maschinen montieren dürfen. Denn der Hersteller Lockheed Martin gibt sein Wissen zur Montage nicht gratis weiter. Rund 800 Millionen Franken sind gemäss Armasuisse im Kaufpreis dafür eingerechnet. Wird die Arbeit in der Schweiz zu teuer, kürzen die Amerikaner das Projekt. Für die Ruag würde das weniger wertvolles Know-how bedeuten. Ein Rückschlag für den Konzern, der zu einem europäischen Wartungszentrum aufsteigen will.Die Ruag will die Reduktion von vier auf drei Kampfjets nicht bestätigen. Rötheli begründet bei SRF, man stecke in den Schlussverhandlungen mit Lockheed Martin. Ein Flugzeug mehr oder weniger sei zudem «nicht massgebend», wie eigene Experten bestätigten.Die Ruag wäre kein Einzelfall. Auch das Werk im japanischen Nagoya kämpfte mit den Kosten, wie das Onlineportal «The War Zone» 2020 berichtete. Die Regierung in Tokio entschied deshalb, die Montage der eigenen F-35 zurück in die USA zu verlegen. Mittlerweile hat Japan die Kehrtwende geschafft, die eigene Produktion ist günstiger geworden.Passend zum Artikel