Ruag hat nach Hackerangriff Lösegeld an Erpresser bezahlt
Bern – Der bundeseigene Rüstungskonzern Ruag hat nach einem Cyberangriff Lösegeld an Hacker bezahlt. Damit ging das Unternehmen auf eine Forderung der Hackergruppe Akira ein, die nach einem Angriff auf die US-Tochter Ruag LLC mit der Veröffentlichung gestohlener Daten gedroht hatte.
«Wir haben bezahlt, einen kleinen Betrag, und haben glücklicherweise alle Daten zurückerhalten», sagte Ruag-Verwaltungsratspräsident Jürg Rötheli am Samstag zu Radio SRF. Eine genaue Summe nannte er nicht. Sie sei aber «gering» gewesen.
Die Hackergruppe Akira hatte im Herbst 2025 die IT-Systeme der Ruag-Tochter LLC im US-Bundesstaat Virginia angegriffen. Dabei wurden Daten aus den Systemen der Tochtergesellschaft entwendet. Anschliessend drohten die Angreifer mit deren Veröffentlichung im Darknet und forderten Lösegeld. Damals sprach die Ruag von einem «Sicherheitsvorfall». Weil die Tochterfirma aber in den USA autarke IT-Systeme aufweise, habe der Angriff keine Auswirkungen auf andere Systeme des Konzerns, teilte die Ruag MRO nach dem Angriff mit.
Entgegen den Empfehlungen des Bundes
Die Ruag bestätigte nun gegenüber SRF, dass sie auf die Forderung eingegangen ist. Der Entscheid sei nach internen Abklärungen und unter Beizug von US-Rechtsexperten getroffen worden. Die Zahlung sei im Rahmen der unternehmerischen Eigenständigkeit erfolgt, teilte das Unternehmen laut SRF mit.
Der Entscheid steht im Widerspruch zu den Empfehlungen des Bundesamts für Cybersicherheit (Bacs). Dieses rät grundsätzlich davon ab, Lösegeld an Cyberkriminelle zu bezahlen. «Die Behörden weisen darauf hin, dass man kein Lösegeld bezahlen soll, denn dieses dient der Finanzierung der kriminellen Aktivitäten», heisst es auf der Webseite des Bacs.
Das Verteidigungsdepartement (VBS) vertritt den Bund als Eigentümer gegenüber der Ruag. Es schreibt auf Anfrage: Das VBS sei im Vorfeld der Zahlung nicht informiert worden. Zur Tatsache, dass ein Bundeskonzern Lösegeld bezahlt habe, wolle man im Moment keinen Kommentar abgeben.
Das VBS, das den Bund als Eigentümer gegenüber der Ruag vertritt, war vor der Zahlung laut SRF nicht informiert. Zur Tatsache, dass ein Bundeskonzern Lösegeld bezahlt habe, wollte sich das VBS in der Stellungnahme, die auch der Nachrichtenagentur Keystone-SDA vorliegt, nicht äussern.
Hackergruppe ist bekannt
Die Hackergruppe Akira zählt zu den international aktiven Ransomware-Gruppierungen. Sie tauchte erstmals im März 2023 auf und setzt auf sogenannte doppelte Erpressung. Dabei werden Daten zunächst gestohlen und anschliessend verschlüsselt. Die Täter verlangen danach Geld für die Entschlüsselung der Systeme und verzichten im Gegenzug auf die Veröffentlichung der erbeuteten Daten. Die Zahlung des Lösegelds erfolgt nach Angaben des Bacs in Kryptowährung, meistens in Bitcoin.
Die Hackergruppe operiert mittels spezieller und eigens entwickelter Software und verfügt über eine IT-Infrastruktur, die international über mehrere Länder verteilt ist.
Der Bund hatte bereits im Oktober 2025 vor einer Zunahme von Angriffen durch Akira gewarnt. Nach Angaben der Behörden wurden in der Schweiz rund 200 Unternehmen Opfer entsprechender Attacken.
Die vom Angriff betroffene Ruag LLC beschäftigt acht Mitarbeitende. Die Gesellschaft dient als Verbindungsbüro zu US-amerikanischen Institutionen, Lieferanten und Partnerfirmen. Sie liefert unter anderem Ersatzteile für Kampfflugzeuge und erbringt Reparatur- und Unterhaltsdienstleistungen. (awp/mc/ps)
