KommentarDie Ruag hat als Bundesbetrieb eine Bande von Cyberkriminellen unterstützt. Das ist verheerend – in mehrfacher HinsichtDer Umgang mit einem Ransomware-Angriff zeigt, wie schlecht die Ruag auf eine solche Krise vorbereitet war. Und in der Kommunikation danach agiert das Unternehmen gleich nochmals unüberlegt.09.06.2026, 16.30 Uhr4 LeseminutenIllustration Ida Götz / NZZCyberkriminalität ist zu einer weltweiten Bedrohung geworden. Die Banden, die mit ihren Ransomware-Angriffen IT-Systeme verschlüsseln, legen Spitäler lahm oder bringen die Treibstoffversorgung zum Stillstand. Sie veröffentlichen vertrauliche Daten, gefährden Menschenleben oder schränken gar das Funktionieren eines ganzen Landes ein.Optimieren Sie Ihre BrowsereinstellungenNZZ.ch benötigt JavaScript für wichtige Funktionen. Ihr Browser oder Adblocker verhindert dies momentan.Bitte passen Sie die Einstellungen an.Akira gehört zu den aktivsten Gruppen weltweit und in der Schweiz. Zeitweise führten die Kriminellen hierzulande vier bis fünf Angriffe pro Woche durch, was ein Rekord ist. Bis im vergangenen Herbst wurden rund 200 Unternehmen in der Schweiz Opfer dieser Ransomware-Bande. Die Angriffe halten weiter an.Zu den Opfern von Akira gehört auch der bundeseigene Rüstungskonzern Ruag. Im vergangenen Herbst führte die Bande einen erfolgreichen Angriff auf eine kleine Tochtergesellschaft in den USA mit acht Mitarbeitern aus. Die Kriminellen entwendeten Daten und verschlüsselten mutmasslich die IT-Systeme. Zum Glück für die Ruag läuft das Computernetzwerk der amerikanischen Tochtergesellschaft unabhängig von anderen Konzernteilen. So blieb der Angriff isoliert.Der Ransomware-Angriff an sich ist keine Blamage. Auch grössere Unternehmen mit mehr finanziellen Mitteln können sich nicht in jedem Fall vor Cyberangriffen schützen. Erschreckend ist jedoch der Umgang mit dem Vorfall.Ermittler sind auf Meldungen der Opfer angewiesenDie Ruag war offensichtlich nicht auf eine solche Krise vorbereitet. Das ist peinlich. Denn das Thema Ransomware-Angriffe gehört ganz generell in jedem Verwaltungsrat und jeder Geschäftsleitung auf die Agenda. Und die Ruag trägt als Bundesbetrieb noch eine zusätzliche Verantwortung. Sie hat eine Vorbildfunktion.Bei der Kritik an der Ruag ist zwischen zwei Aspekten zu unterscheiden: der Bewältigung des Cyberangriffs im vergangenen Herbst einerseits und der Kommunikation der Lösegeldzahlung am Samstag und in den folgenden Tagen andererseits. Beides lässt zu wünschen übrig.Bei Ransomware handelt es sich faktisch um organisierte Kriminalität. Die Banden hinter den Angriffen arbeiten international vernetzt und arbeitsteilig. Sie machen Millionengewinne und geniessen zumindest teilweise wohl den Schutz von russischen Behörden. Das macht die Arbeit der Strafverfolgungsbehörden schwierig. Verhaftungen sind nicht unmöglich, aber selten.Wie bei Mafia-Kriminalität ist es wichtig, dass die Opfer den Teufelskreis des Schweigens durchbrechen. Bei Ransomware-Angriffen bedeutet das: kein Lösegeld bezahlen, denn dieses befeuert das Geschäftsmodell der Erpresser weiter. Und Strafanzeige einreichen, denn jeder zusätzliche Fall kann den Ermittlern wichtige Hinweise liefern.Ob die Ruag in den USA Strafanzeige eingereicht hat, ist unklar. Das Unternehmen beantwortet eine entsprechende Frage nicht. Zumindest die Schweizer Bundesanwaltschaft wurde nicht eingeschaltet.Lösegeldzahlung zeugt von grosser IgnoranzDass die Ruag Lösegeld bezahlt hat, ist seit Samstag bekannt. Verwaltungsratspräsident Jürg Rötheli erzählt diesen Umstand in der «Samstagsrundschau» von SRF ohne jegliche Selbstkritik. Er stellt es als normale Handlungsoption dar, als Firma auf eine erpresserische Forderung einzugehen – und rechtfertigt dies noch mit der verhältnismässig geringen Summe.Nun kann es für ein privates Unternehmen durchaus Gründe geben, selbst bei Ransomware-Angriffen ein Lösegeld zu bezahlen. Das ist insbesondere dann gerechtfertigt, wenn der Firma durch den Vorfall der Bankrott drohen würde. Auch Sicherheitsüberlegungen können ein möglicher Grund sein.Was bei der Ruag den Ausschlag gegeben hat, das Lösegeld zu bezahlen, ist nicht klar. Der Konzern erklärt sein Handeln nicht. Ein drohender Konkurs dürfte es nicht gewesen sein, war das Ausmass des Vorfalls doch beschränkt. Falls aber Interessen der nationalen Sicherheit im Spiel gewesen wären, erstaunt es umso mehr, dass die Ruag den Bund als Eigentümer nicht in den Entscheid einbezogen hat.Ganz generell zeugt es von grosser Ignoranz und mangelnder Sensibilität gegenüber dem Thema, dass die Führung der Ruag einer kriminellen Organisation Lösegeld bezahlt, ohne den Bund als Eigner in diesen Entscheid einzubeziehen. Das Unternehmen macht die klaren Empfehlungen der Behörden unglaubwürdig, möglichst kein Lösegeld zu bezahlen. Es wird seiner Vorbildfunktion nicht gerecht.Es mag für die Ruag entscheidende Gründe gegeben haben, ein Lösegeld zu bezahlen. Doch in diesem Fall müsste der Konzern seine Überlegungen kommunizieren. Dies könnte sogar positiv sein. Eine öffentliche Debatte über den Umgang mit Ransomware-Angriffen würde angestossen und die Wirtschaft für das Thema sensibilisiert.Doch das ist nicht geschehen. Im Gegenteil: Die Ruag schweigt eisern zum Kontext der Lösegeldzahlung. Das macht klar, dass sich Verwaltungsratspräsident Rötheli am Samstag unüberlegt und ohne vorherige Absprache mit der Geschäftsleitung geäussert haben muss.Damit hat die Ruag eine Chance verpasst. Sie hätte transparent über ihren Umgang mit dem Vorfall sprechen und damit einen Beitrag zur Prävention von Ransomware-Angriffen leisten können. Stattdessen bleibt es nun bei einem Lehrstück für schlechte Kommunikation.Passend zum Artikel