Entgegen der üblichen Empfehlung von IT-Sicherheitsexperten und auch des Schweizer Bundesamts für Cybersicherheit hat der Bundeskonzern RUAG offenbar ein Lösegeld gezahlt, nachdem die Cybergang Akira bei dessen Tochterunternehmen Mecanex USA sensible Dokumente bei einem IT-Vorfall entwendet hat. Der Datendiebstahl erfolgte Anfang November 2025, der SRF ordnet den Einbruch der US-Tochter RUAG LLC zu.
Die Cybergang Akira hat Anfang November 2025 den Datendiebstahl bei der RUAG-Tochter Mecanex USA auf ihrer Darknet-Seite mitgeteilt.
(Bild: heise medien)
Die Täter von Akira haben im Darknet angegeben, etwa 24 GByte an Daten kopiert zu haben. Die sollen Sozialversicherungsnummern, Ausweise, Führerscheine, Telefonnummern, Adressen und weitere Informationen von Angestellten enthalten. Zudem sollen geheime militärische Informationen sowie Verträge und Anleitungen zum Umgang mit Sprengstoffen darunter sein.
RUAG räumt Lösegeldzahlung ein
Der SRF berichtet, dass RUAG-Verwaltungsratspräsident Jürg Rötheli in der SRF-Samstagsrundschau die Lösegeldzahlung eingeräumt habe: „Wir haben bezahlt, einen kleinen Betrag, glücklicherweise, und haben alle Daten zurückerhalten“, sagte er in der Radiosendung. Lösegeldforderungen belaufen sich demnach auf niedrigere sechsstellige Beträge.
In der Schweiz empfehlen die Behörden ebenso wie in Deutschland nachdrücklich, in derartigen Fällen keine Lösegeldzahlungen zu leisten. Im Jahr 2022 haben auch IT-Sicherheitsexperten aus Bildung und Wirtschaft in einem offenen Brief sogar Maßnahmen gegen Lösegeldzahlungen von Opfern veröffentlicht, der viel Aufmerksamkeit erhielt.
Auch Rötheli war diese Empfehlung bewusst, er erklärte jedoch, die Lösegeldzahlung sei abgesprochen gewesen – mit unternehmensinternen Gremien. Eine Beratung mit US-Rechtsexperten sei erfolgt. Das Schweizer Verteidigungsministerium VBS (Eidgenössisches Departement für Verteidigung, Bevölkerungsschutz und Sport) wollte das nicht kommentieren, sei im Vorfeld aber nicht informiert worden. Gegenüber dem SRF hat der SVP-Nationalrat und IT-Unternehmer Mauro Tuena eingeordnet, dass die Gruppe Akira nun wisse, dass der Schweizer Bund bereit sei, Lösegeld zu zahlen, was ein verheerendes Signal sei. Die RUAG entgegnete dem, dass die Entscheidung richtig gewesen sei, da sie alle Daten zurückerhalten habe und Schäden habe minimieren können.
Die kriminelle Vereinigung Akira nutzt eine eigene Ransomware und verschlüsselt offenbar nach wie vor die Daten ihrer Opfer – und beschränkt sich nicht wie viele andere Gruppen darauf, diese nur zu stehlen und für die Nicht-Veröffentlichung Lösegeld zu erpressen. Zuletzt fiel sie etwa Ende 2025 auf, als Angreifer die Akira-Ransomware auf SonicWall-Firewalls geschoben haben – trotz aktivierter Mehr-Faktor-Authentifizierung. Seitdem scheint die Bande es eher auf kleinere Unternehmen abgesehen zu haben und fällt nicht mehr so stark auf.
(dmk)
