Bewältigung des Cyber-Angriffs auf die RUAG: Bewertung der Stellungnahme des Bundesrates vom 28. September 2018 Bericht der Geschäftsprüfungskommission des Nationalrates vom 19. November 2019
2019-4077
2549
BBl 2020
Bericht 1
Einleitung
Im Frühling 2016 wurde öffentlich bekannt, dass das bundeseigene Rüstungsunternehmen RUAG1 von einem Cyberangriff betroffen war, welcher zu einer schwerwiegenden Beeinträchtigung der Informatiksicherheit geführt hatte. In der Folge beschloss die GPK des Nationalrates (GPK-N), zu prüfen, ob die Probleme, die durch den Angriff aufgedeckt wurden, durch die verantwortlichen Stellen hauptsächlich durch das Eidg. Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) und die RUAG angemessen und mit der nötigen Dringlichkeit angegangen wurden und ob die getroffenen Massnahmen Wirkung zeigten. Im Verlaufe dieser Arbeiten stellten sich für die GPK-N zudem grundsätzlich Fragen zur Wahrung der Eignerinteressen des Bundes und zur Rolle des VBS als Eignervertreter.
Die Kommission vertiefte in der Folge auch diese Fragen.
In ihrem Bericht vom 8. Mai 20182 präsentierte die GPK-N die Ergebnisse dieser Prüfung. Sie hielt fest, dass die verantwortlichen Bundesstellen und insbesondere das VBS grundsätzlich angemessen auf den Cyberangriff reagiert hatten. Mängel sah die Kommission hingegen in Bezug auf die Wahrung der Eignerinteressen. Sie kam zum Schluss, dass die notwendigen Instrumente für die Steuerung der RUAG und zur Durchsetzung der Eignerinteressen zwar vorhanden waren, vom VBS aber nicht zweckmässig genutzt wurden. Die GPK-N forderte das VBS daher auf, gegenüber der RUAG bestimmter aufzutreten und sich stärker für die Wahrung der Interessen des Bundes einzusetzen. Sie richtete zudem drei Empfehlungen an den Bundesrat, welche auf eine Verbesserung der strategischen Steuerung der verselbständigten Unternehmen und Einheiten zielten.
Der Bundesrat nahm am 28. September 2018 Stellung zum Bericht und zu den Empfehlungen der GPK-N3. Die GPK-N bzw. ihre zuständige Subkommission EDA/VBS analysierte diese Stellungnahme und führte daraufhin weitere Abklärungen durch. Dabei verlangte sie ergänzende schriftliche Auskünfte 4 und hörte auch erneut Vertreter des VBS, der RUAG und der Eidg. Finanzkontrolle (EFK) an.5
1
2 3 4 5
Die RUAG (RUAG Holding AG) wurde 1997 per Gesetz (Bundesgesetz über die Rüstungsunternehmen des Bundes) als verselbständigte Einheit geschaffen und ist zu 100 % im Besitz des Bundes. Sie ist heute an fast 80 Standorten tätig (davon befindet sich je rund die Hälfte in der Schweiz und im Ausland) und erzielte 2018 einen Nettoumsatz von 1998 Mio. Franken und einen Reingewinn von 74 Mio. Franken, wovon 30 Mio.
als Dividende an den Bund ausgeschüttet wurde.
Standortbestimmung: Bewältigung des Cyberangriffs auf die RUAG, Bericht der GPK-N vom 8.5.2019 (BBl 2018 4575).
Standortbestimmung: Bewältigung des Cyberangriffs auf die RUAG, Stellungnahme des Bundesrates vom 28.9.2018 zum Bericht der GPK-N vom 8.5.2018 (BBl 2018 6369).
Dazu gehören insbesondere die Protokolle der Eignergespräche und Strategie-Workshops.
Vgl. dazu Kap. 2.3.
Anhörungen vom 28.2.2019 (Vertreter der RUAG, Vertreter der EFK), 16.4.2019 (Vorsteherin und Generalsekretär des VBS, Vertreter der RUAG) und vom 1.7.2019 (Vorsteherin und Generalsekretär des VBS).
2550
BBl 2020
Auf der Basis dieser Arbeiten verabschiedete die GPK-N an ihrer Sitzung vom 19. November 2019 den vorliegenden Kurzbericht zuhanden des Bundesrates und entschied, diesen zu veröffentlichen.6 Der Berichtsentwurf wurde dem VBS im Rahmen einer Verwaltungskonsultation vorgelegt, um allfällige formelle und materielle Fehler zu korrigieren.
Der folgende Bericht fokussiert auf die Bewertung der Stellungnahme des Bundesrates zum ersten Bericht der GPK-N und der Massnahmen, welche der Bundesrat zur Umsetzung der Empfehlungen eingeleitet hat. In diesem Zusammenhang wird, soweit Schnittstellen zum Bericht der GPK-N bestehen, auch der Expertenbericht zur Corporate Governance des Bundes vom April 20197 berücksichtigt.8 Diesen hatte der Bundesrat letztes Jahr in Auftrag gegeben und am 26. Juni 2019 behandelt.9 Nicht Gegenstand des Berichts ist eine Bewertung der konkreten Massnahmen, welche der Bundesrat in der Folge des Cyberangriffs angeordnet hat, da diese durch die Eidg. Finanzkontrolle (EFK) geprüft werden.10 Auch die Entflechtung der Netze von Bund und RUAG sowie die Aufsplittung und künftige Konzernstruktur der RUAG werden nur soweit behandelt, als dies für die Bewertung der bundesrätlichen Stellungnahme und Massnahmen nötig ist.
2
Bewertung der Stellungnahme des Bundesrates und der eingeleiteten Massnahmen
In seiner Stellungnahme vom 28. September 2018 hielt der Bundesrat fest, dass er die Einschätzung und Meinung der GPK-N in vielen Punkten teilt. Er wies insbesondere darauf hin, dass er die Corporate Governance bei der RUAG weiterentwickelt hat. Dabei werde in Ergänzung zu den bisherigen Steuerungsinstrumenten seit 2017 bei Bedarf ein Strategieworkshop mit der RUAG durchgeführt (vgl. dazu Kap. 2.3).
Aufgrund des Wechsels an der Spitze des VBS per 1. Januar 2019 stellte sich für die GPK-N die Frage, ob sich dieser auf die strategische Steuerung der RUAG auswirkt und wie die Übergabe vonstattenging. Die Kommission stellte dabei fest, dass die neue Vorsteherin des VBS bei der strategischen Steuerung der RUAG im Grundsatz 6 7
8
9 10
Der Berichtsentwurf enthält alle Informationen, welche die GPK-N bis Mitte August 2019 erhalten hat.
Lienhard, Andreas; Rieder, Stefan; Sonderegger, Roger W.; Ladner, Andreas; Höchner, Claudia; Ritz, Manuel; Roose, Zilla (2019): Beurteilung der Corporate Governance des Bundes anhand der Analyse von vier Unternehmen. Schlussbericht zuhanden der Eidgenössischen Finanzverwaltung vom 26.4.2019 (im Folgenden «Expertenbericht Corporate Governance 2019» genannt), S. 57.
Die GPK der eidg. Räte befassen sich momentan auch im Rahmen anderer Inspektionen und Untersuchungen mit Fragen zur Corporate Governance (u.a. Inspektion Postauto, Ribar). Zudem werden sie sich im Herbst 2019 grundsätzlich mit der Thematik befassen und festlegen, wie sie diese weiterverfolgen werden.
Expertenbericht zur Corporate Governance: Bundesrat beschliesst Massnahmen.
Medienmitteilung des Bundesrates vom 26.6.2019.
Die Prüfung der Umsetzung der Massnahmen zur Bewältigung des Cyber-Angriffs wird durch andere Bundesstellen und insbesondere durch die EFK wahrgenommen.
2551
BBl 2020
gleich vorgehen will wie ihr Vorgänger, dafür aber mehr Ressourcen als nötig erachtet (vgl. dazu Kap. 2.1 und 2.3.5). Die Kommission nahm auch zu Kenntnis, dass sich die jetzige Vorsteherin des VBS mit der Übergabe des RUAG-Dossiers zufrieden zeigte. Sie habe ein umfangreiches und komplettes Dossier zur RUAG erhalten.
Nach Amtsantritt habe sie direkt an allen Sitzungen mit der RUAG und den Workshops im Zusammenhang mit der Entflechtung und Neustrukturierung teilgenommen.
Im Folgenden werden nun die Stellungnahmen und Massnahmen zu den einzelnen Empfehlungen genauer erläutert und bewertet.
2.1
Umsetzung der Empfehlung 1
Die GPK-N bezog sich in ihrem Bericht vom Mai 2018 auf die Feststellungen der EFK, welche bei der Prüfung der Umsetzung der Massnahmen zur Bewältigung des Cyberangriffs Probleme im Hinblick auf die angestrebte Entflechtung der Informatiksysteme von Bund und RUAG festgestellt hatte. Die Entscheide zur Aufsplittung bzw. neuen Struktur der RUAG waren damals noch nicht getroffen. Die GPK-N empfahl dem Bundesrat daher, den Erkenntnissen der EFK bei den damals noch anstehenden Entscheiden Rechnung zu tragen und formulierte folgende Empfehlung: Empfehlung 1
Aufnahme der wesentlichen Erkenntnisse im Rahmen der strategischen Steuerung
Die GPK-N fordert den Bundesrat auf, auf der Basis der Erkenntnisse der EFK11 zu prüfen, ob sich daraus eine Notwendigkeit ergibt, im Rahmen der strategischen Steuerung der RUAG gewisse Weichenstellungen vorzunehmen, insbesondere im Rahmen der anstehenden Entscheide zur künftigen Organisationsund Rechtsform der RUAG bzw. deren allfällige Teilprivatisierung.
2.1.1
Aufteilung und Neustrukturierung der RUAG
Der Bundesrat war mit dieser Empfehlung einverstanden. In seiner Stellungnahme vom 28. September 2018 hielt er fest, dass sich die Umsetzung der Entflechtung sowohl auf die Organisation als auch auf die rechtliche Struktur der RUAG Holding AG auswirkt. Er habe daher im Juni 2018 entschieden, die für das VBS und die Schweizer Armee relevanten Geschäftsfelder und jene, die sich im freien Markt befinden, in zwei rechtlich und finanziell unabhängige strategische Geschäftseinhei11
Nach dem Cyberangriff auf die RUAG ordnete der Bundesrat verschiedene Massnahmen an. Er beauftrage dann die Eidg. Finanzkontrolle (EFK), deren Umsetzung zu prüfen.
Die EFK kam bei ihren Abklärungen u.a. zum Schluss, dass die Massnahme bezüglich einer Entflechtung der Netze von Bund und RUAG komplexer und langwieriger ist als erwartet und dass diese auch von Relevanz für die Diskussionen über die Teilprivatisierung der RUAG ist.
2552
BBl 2020
ten zu gliedern. Unter dem Dach einer neuen Beteiligungsgesellschaft sollen jene Teile, die für die Armee als Materialkompetenzzentrum tätig sind (MRO12 Schweiz), von den übrigen, international ausgerichteten Geschäftsbereichen getrennt werden (RUAG International).
Der Bundesrat wird die Beteiligungsgesellschaft wie bisher über strategische Ziele steuern. Mit der neuen Struktur könne er die Erwartungen an die beiden Geschäftseinheiten MRO Schweiz und RUAG International künftig präziser adressieren und messen. Der Verwaltungsrat der übergeordneten Beteiligungsgesellschaft soll wie bisher vom Bundesrat gewählt werden, wobei ein Teil dieser Verwaltungsratsmitglieder zugleich dem Verwaltungsrat von RUAG International und der andere Teil zugleich dem Verwaltungsrat der MRO Schweiz angehören. In seiner Stellungnahme erwähnt der Bundesrat auch die Möglichkeit, ein Kadermitglied des VBS in den Verwaltungsrat der übergeordneten Holding zu wählen, welches dann zusätzlich auch im Verwaltungsrat der MRO Schweiz Einsitz nehmen würde (vgl. dazu Kap. 2.3).
Mit der Entflechtung und Neustrukturierung der RUAG verfolgt der Bundesrat insbesondere das Ziel, die Informatiksicherheit zu erhöhen. Die Informatiksysteme der MRO Schweiz sollen in den Sicherheitsparameter des VBS bzw. der Armee integriert werden. Die RUAG International soll hingegen keinen direkten Zugriff auf Informatiksysteme der Armee mehr haben, ebenso wenig wie auf diejenigen der MRO Schweiz. Die MRO Schweiz soll in beschränktem Ausmass aber auch weiterhin Aufträge für Dritte wahrnehmen können.
Die Vorsteherin des VBS wies gegenüber der zuständigen Subkommission EDA/ VBS darauf hin, dass die Integration der Informatik und der Daten der RUAG in den Sicherheitsbereich der Armee schwieriger sei als erwartet. Erstens gebe es mehr Daten als angenommen. Zweitens brauche es absolute Gewissheit, dass diese Daten «sauber» seien dies könne man bisher aber nicht mit Sicherheit sagen. Um Gewissheit zu erhalten, habe das VBS daher entschieden, diesbezüglich noch ein Gutachten von der ETH Zürich erstellen zu lassen.13 Dass die Informatiksicherheit bei der RUAG noch nicht befriedigend ist, zeigte sich auch im Rahmen von zwei Prüfungen der EFK in den Jahren 2018 und 2019.14 Die EFK untersuchte 2018, ob die Sicherheitsanforderungen des VBS auf den Informatiksystemen
der Bereiche von RUAG, welche Arbeiten für die Schweizer Armee ausführen, umgesetzt sind. Die EFK kam zum Schluss, dass die RUAG verschiedene Massnahmen eingeleitet hat, welche zu einer Verbesserung der Informatiksicherheit führten oder führen werden allerdings waren wichtige Punkte noch nicht umgesetzt. Der Bericht der EFK von 2019 fokussiert auf die Entflechtung und die Migration der Daten von der RUAG in die Systeme der Armee. Die EFK beurteilt das dafür vorgesehene Vorgehen als zielführend und geeignet. Sie stellt aber auch fest, dass die Migration durch bisher fehlende Datenklassifikationen, das fehlende bzw. unvollständige Gesamtinventar
12 13 14
MRO = Maintenance, Repair and Overhaul (Wartung, Reparatur und Überholung).
Vgl. Protokoll der Anhörung der Vorsteherin des VBS und des Generalsekretärs des VBS vom 1.7.2019 (nicht veröffentlicht).
Prüfung der Informatiksicherheit: RUAG Holding AG. Berichte der EFK vom 8.10.2018 und vom 22.10.2019 (nicht veröffentlicht).
2553
BBl 2020
sowie durch potentiell mit Schadsoftware infizierte Daten und Systeme erschwert wird und sehr aufwendig ist.
2.1.2
Privatisierung von RUAG International
Am 18. März 2019 teilte der Bundesrat mit 15, dass er das Vorgehen bei der Aufsplittung und Neustrukturierung der RUAG genehmigt habe. Gleichzeitig habe er entschieden, dass die RUAG International mittelfristig zu einer Aerospace-Gruppe weitentwickelt und vollständig privatisiert werden solle. Geschäftsbereiche wie die Munitionsherstellung oder Cyber-Sicherheit, welche nicht zur neuen Ausrichtung der Firma passen, werden zu Beginn noch unter der RUAG International weitergeführt, sollen aber später verkauft werden.
Der Bundesrat ist der Ansicht, dass mit diesem Vorgehen sowohl den Interessen der Armee als auch denen der RUAG Rechnung getragen wird. Zudem bestehe damit die Möglichkeit, hochspezialisierte technische Verfahren und entsprechende Arbeitsplätze in der Schweiz zu erhalten. Gleichzeitig könne der Bund mit den geplanten Devestitionen und der Privatisierung seine finanziellen Risiken reduzieren.
Im Rahmen der Anhörung der Vorsteherin des VBS und der Vertreter der RUAG vom April 2019 gaben diese an, dass durch die Privatisierung letztlich auch eine Wertschöpfung für die Bundeskasse generiert werden soll. Es wurde aber auch deutlich, dass die Privatisierung mit substantiellen Risiken verbunden ist. Da die RUAG International bisher zu «klein» sei, um international bestehen zu können, muss sie gemäss den Aussagen des RUAG-Verwaltungsratspräsidenten vor einer Privatisierung noch wachsen, insbesondere auch durch Akquisitionen.16 Die nötigen finanziellen Mittel dafür sollen u.a. durch die Erlöse aus dem vorgängigen Verkauf der Geschäftsbereiche, die in den neuen Strukturen keinen Platz mehr haben, kommen.
2.1.3
Beurteilung der GPK-N
Vorauszuschicken ist, dass die GPK-N nachfolgend die Entscheide des Bundesrates in diesem Kontext nicht detailliert prüft und bewertet, zumal ihr die Entscheidgrundlagen nur teilweise bekannt sind.
Die GPK-N begrüsst grundsätzlich, dass sich der Bundesrat im Nachgang zum Cyberangriff vertieft mit der Problematik der Verflechtung sowie mit der Struktur und Entwicklung der RUAG auseinandergesetzt und schliesslich einen strategischen Entscheid getroffen hat. Dies gehört zu den Aufgaben des Eigners. Gestützt auf die ihr vorliegenden Informationen, bewertet die GPK-N den Entscheid der Aufsplittung 15 16
Bundesrat entscheidet über die Zukunft des Technologiekonzerns RUAG.
Medienmitteilung des Bundesrates vom 18.3.2019.
Vgl. Protokoll der Anhörung der Vertreter der RUAG vom 16.4.2019 (nicht veröffentlicht); und ähnlich: «Es wird klingeln in der Bundeskasse», Interview/Artikel in der Neuen Zürcher Zeitung vom 29.3.2019.
2554
BBl 2020
der RUAG als nachvollziehbar und grundsätzlich sinnvoll, insbesondere aus Gründen der (Informatik-)Sicherheit.
Ungeachtet dessen gibt es aus Sicht der GPK-N noch verschiedene Themen und Aspekte, welche Fragen aufwerfen und noch vertieft werden sollten:
Die erste Frage, welche aus Sicht der GPK-N zu klären ist, betrifft die Integration der Informatik und der Daten der RUAG in den Sicherheitsparameter der Armee bzw. die «Sauberkeit» dieser Daten. Um sicherzustellen, dass sich in den zu integrierenden Daten keine Schadsoftware mehr verbirgt und damit die Integration der Daten erfolgreich abgeschlossen werden kann, hat das VBS eine zusätzliche Überprüfung eingeleitet. Die GPK-N begrüsst dies und erwartet, dass das VBS gestützt auf die Erkenntnisse der Überprüfung bei Bedarf weitere Massnahmen trifft.
Eine zweite Thematik betrifft die Drittaufträge, welche die MRO Schweiz weiterhin wahrnehmen soll. Gemäss Bundesrat sind diese nötig, um Wissen zu erhalten und konkurrenzfähig zu bleiben. Aus Gründen der Informatiksicherheit könnten solche Aufträge aber problematisch sein und zu neuen Verflechtungen führen. Die GPK-N ist daher der Ansicht, dass der Bundesrat diese Problematik mit besonderem Augenmerk verfolgen muss.
Die dritte Frage, die aus Sicht der GPK-N bisher ungenügend geklärt ist, betrifft die Bundesvertretung im Verwaltungsrat der RUAG bzw. der neuen Einheiten. Diese Thematik wird bei der Bewertung der Stellungnahme des Bundesrates zur Empfehlung 3 vertieft behandelt (vgl. Kap. 2.3.4).
Weitere offene Fragen ergeben sich im Zusammenhang mit der Privatisierung der RUAG bzw. den damit verbundenen Risiken für den Bund. Diesbezüglich stehen in der nächsten Zeit verschiedene Entscheide des Bundesrates an. Die GPK-N erwartet, dass der Bundesrat bzw. das VBS und die EFV sich dabei vertieft und kritisch mit den prognostizierten Kosten und Erlösen der Privatisierung auseinandersetzen. Denn sowohl die Erlöse, welche durch den Verkauf der nicht mehr benötigten Geschäftseinheiten sowie durch die spätere Privatisierung der RUAG erzielt werden sollen, als auch die Investitionen, die vor einer Privatisierung getätigt werden müssen, basieren zwangsläufig auf Schätzungen, welche sich aber mit einer Änderung der Rahmenbedingungen bzw. der Marktsituation rasch ändern können. Der Bundesrat muss daher darauf achten, dass in diesem Prozess die Interessen des Eigners und letztlich auch der Steuerzahlenden bestmöglich gewahrt werden. Dazu sind bei Bedarf auch die Entscheidgrundlagen zu hinterfragen und wenn nötig zu revidieren.
Die GPK-N ist dezidiert der Ansicht, dass die kommenden Entscheide und die Transformation besonders hohe Anforderungen an den Bund als Eigner der RUAG stellt. Sie erwartet daher, dass das VBS und die EFV diese eng und kritisch begleiten. Die Kommission begrüsst vor diesem Hintergrund, dass die Vorsteherin des VBS bereits beschlossen hat, die personellen Ressourcen, welche im Generalsekretariat VBS (GS VBS) für die Steuerung der RUAG und die Entflechtung zur Verfügung stehen, deutlich zu erhöhen. Dies entspricht auch einer Empfehlung im Exper-
2555
BBl 2020
tenbericht zur Corporate Governance des Bundes17, welche der Bundesrat im Grundsatz gutgeheissen hat18.
2.2
Umsetzung der Empfehlung 2
In ihrem Bericht vom Mai 2018 forderte die GPK-N den Bundesrat auf, der Verflechtungsproblematik künftig generell mehr Aufmerksamkeit zu schenken. Sie formulierte dazu die folgende Empfehlung: Empfehlung 2
Berücksichtigung der Verflechtungsproblematik bei zukünftigen Auslagerungen bzw. im Rahmen der Corporate-Governance-Grundsätze
Die GPK-N fordert den Bundesrat auf, zu gewährleisten, dass bei künftigen Auslagerungen der Problematik der Verflechtung angemessen Rechnung getragen wird. Dabei soll er insbesondere die Frage klären, ob diese im Rahmen der Eignungskriterien für eine Auslagerung bzw. in den relevanten CorporateGovernance-Vorgaben und Berichten aufgenommen werden sollte.
Der Bundesrat schreibt in seiner Stellungnahme vom 28. September 2018, dass er die Auffassung der GPK-N teilt und der Problematik der Verflechtungen bei künftigen Auslagerungen besondere Beachtung schenken wird. Dazu bedarf es seiner Meinung aber keine Ergänzung der Corporate-Governance-Leitsätze, denn es sei bereits jetzt möglich, in den strategischen Zielen Vorgaben zur Entflechtung bzw.
Verflechtung zu machen. Der Bundesrat verweist zudem darauf, dass im Rahmen der Massnahmen zur Bewältigung des Cyberangriffs die Verflechtungen der Informatiksysteme des Bundes mit denen von anderen ausgelagerten Einheiten geprüft werden wobei die enge Verflechtung zwischen Bund und RUAG ein Spezialfall sein dürfte. Zudem sollen die Regeln zum Informationsschutz bzw. zur Informationssicherheit mit dem neuen Informationssicherheitsgesetz (ISG) 19 verbessert werden. Der Bundesrat erachtet die Empfehlung damit als erfüllt.
Diese Antwort vermag die GPK-N nicht vollständig zu überzeugen. Zunächst einmal ist aus ihrer Sicht zu bedauern, dass im Rahmen der vom Bundesrat angeordneten Überprüfung der Corporate Governance durch Experten die Verflechtungs-Problematik keine Rolle gespielt hat. Weiter stellt sie fest, dass die eidgenössischen Räte bzw. der Nationalrat dem Entwurf des Informationssicherheitsgesetzes bisher
17 18
19
Expertenbericht Corporate Governance 2019: Empfehlung 11, S. 87 (vgl. Fussnote 7).
Beurteilung des Expertenberichts «Beurteilung der Corporate Governance des Bundes anhand der Analyse von vier Unternehmen». Bericht des Bundesrates in Beantwortung des Schreibens der Geschäftsprüfungskommissionen des National- und Ständerates vom 4.7.2019: S. 12, 14.
Botschaft zum ISG (BBl 2017 2953).
2556
BBl 2020
kritisch gegenüberstehen, so dass unklar ist, ob und wann ein solches Gesetz durch das Parlament verabschiedet und in Kraft treten wird.20 Die GPK-N stellt zudem fest, dass mit der Stellungnahme des Bundesrates eine wesentliche Frage unbeantwortet bleibt: Denn dieser hält zwar fest, dass es bereits jetzt möglich ist, in den strategischen Zielen Vorgaben zur Entflechtung der Informatik zu machen er lässt aber offen, ob er diesbezüglich Massnahmen ergreifen wird. Die Kommission fordert den Bundesrat daher auf, ihr gegenüber zu erläutern, ob und wie er die Verflechtungsproblematik in den konkreten Zielvorgaben für die ausgelagerten Einheiten aufgenommen hat oder aufnehmen will.
2.3
Umsetzung der Empfehlung 3
In ihrem Bericht vom 8. Mai 2018 kam die GPK-N zum Schluss, dass die notwendigen Instrumente zur Durchsetzung der Eignerinteressen des Bundes gegenüber der RUAG zwar vorhanden sind, aber nicht angemessen genutzt werden. Sie formulierte daher die folgende Empfehlung: Empfehlung 3
Zweckmässiger Einsatz der Steuerungsinstrumente zur Wahrung der Eignerinteressen
Die GPK-N fordert den Bundesrat auf, darzulegen, wie er für einen zweckmässigen Einsatz der Steuerungsinstrumente und damit für eine bessere Wahrung der Eignerinteressen sorgen will.
Dazu gehört insbesondere auch, dass die strategische Steuerung nicht im Rahmen informeller Kontakte erfolgt, sondern im Rahmen der Eignergespräche wahrgenommen wird. Ebenso erwartet sie, dass wichtige Diskussionen und Entscheide schriftlich festgehalten werden. Schliesslich erwartet sie vom Bundesrat auch eine vertiefte Prüfung der Frage, ob es angesichts der Herausforderungen sinnvoll wäre, (allenfalls vorübergehend) einen instruierbaren Vertreter in den Verwaltungsrat der RUAG zu entsenden.
In seiner Stellungnahme vom 28. September 2018 verweist der Bundesrat auf seine Grundsätze zur Corporate Governance, welche in den letzten Jahren immer wieder weiterentwickelt und an die veränderten wirtschaftlichen und politischen Herausforderungen der Unternehmen angepasst worden seien. Angesichts der jüngsten Entwicklungen und Probleme habe er aber eine grundsätzliche Überprüfung dieser Grundsätze angeordnet.
20
Nachdem der Nationalrat im März 2018 nicht auf das Gesetz eingetreten ist, der Ständerat aber im September 2018 am Eintreten festgehalten hat, entschied die SiK-N im Oktober 2018, auf die Vorlage einzutreten. Sie hat gleichzeitig aber die Beratungen sistiert und das VBS bis Mitte 2019 mit einer Überarbeitung der Vorlage beauftragt.
Die überarbeitete Vorlage wurde im Herbst 2019 in der Kommission beraten; der Nationalrat wird die Vorlage voraussichtlich in der Wintersession 2019 behandeln.
2557
BBl 2020
Der Bericht der Experten, die mit dieser Prüfung beauftragt wurden, liegt seit dem Frühling 2019 vor21. Der Bundesrat kommt gestützt darauf zum Schluss, dass sich sein Steuerungsmodell bewährt habe und das bestehende Instrumentarium für die Wahrnehmung der Eignerrolle ausreiche. Die Experten hätten nur punktuell Optimierungspotenzial identifiziert. Gestützt auf die entsprechenden Empfehlungen hat der Bundesrat verschiedene Massnahmen beschlossen, andere Empfehlungen erachtet er als bereits umgesetzt.22 Die Geschäftsprüfungskommissionen der Eidg. Räte (GPK) werden diesen Bericht sowie die vom Bundesrat eingeleiteten Massnahmen noch vertiefen. Im Folgenden wird daher auf den konkreten Einsatz der Steuerungsinstrumente sowie die Wahrung der Eignerinteressen bei der Steuerung der RUAG fokussiert. Die GPK-N bzw. die zuständige Subkommission informierte sich dazu sowohl über das neu eingeführte Instrument der Strategie-Workshops als auch über Änderungen in der strategischen Steuerung der RUAG im Allgemeinen. Sie prüfte dazu u.a. die Protokolle der Strategie-Workshops und der Eignergespräche23. Gestützt auf diese Unterlagen und ihre Anhörungen kam sie diesbezüglich zu folgenden Feststellungen.
2.3.1
Strategie-Workshops
In seiner Stellungnahme vom 28. September 2018 hielt der Bundesrat fest, dass das VBS seit 2017 zur verstärkten Wahrnehmung der Eignerinteressen einen jährlichen Strategie-Workshop mit RUAG durchführt, welche eine vertiefte Auseinandersetzung mit Strategiefragen ermöglichen sollen. 2018 wurden dabei beispielsweise die Auswirkungen des Cyberangriffs und die künftige Entwicklung der RUAG diskutiert, 2019 stand die Entflechtung und strategische Neuausrichtung der RUAG auf dem Programm.
Die Protokolle der drei bisherigen Strategie-Workshops zeigen aus Sicht der GPKN, dass diese effektiv genutzt werden, um strategische Fragen zu behandeln (während in den Eignergesprächen eher die Information über den aktuellen Geschäftsgang in den Vordergrund gestellt wird). Aus den Protokollen geht auch hervor, dass sich die RUAG verschiedentlich über einschränkende Rahmenbedingungen und politische Vorgaben beklagte. Die Vertreter des VBS wiesen diesbezüglich klar darauf hin, dass die Rahmenbedingungen nicht zur Diskussion stehen. Aus den erhaltenen Unterlagen ist aber nicht nachvollziehbar, inwiefern die Ergebnisse aus den Strategieworkshops weiter genutzt wurden, insbesondere als Grundlage für strategische Entscheide.
21 22 23
Expertenbericht Corporate Governance 2019, vgl. Fussnote 7.
Expertenbericht zur Corporate Governance: Bundesrat beschliesst Massnahmen.
Medienmitteilung des Bundesrates vom 26.6.2019.
Die zuständige Subkommission analysierte die Protokolle und die dazugehörigen Pendenzenlisten der Eignergespräche der Jahre 2016, 2017, 2018 sowie der ersten Hälfte 2019 (14 Gespräche bzw. Protokolle) sowie die Protokolle der drei Strategie-Workshops von 2017, 2018 und 2019.
2558
BBl 2020
Der Expertenbericht zur Corporate Governance des Bundes hält zu den StrategieWorkshops fest24, dass diese gemäss den befragten Personen eingeführt wurden, um Raum für prospektive Diskussionen zu schaffen. Denn diese Möglichkeit fehle in den stark retrospektiv ausgerichteten Eignergespräche. Die involvierten Personen erachten die Workshops denn auch als «gutes Instrument». Allerdings seien die Workshops nicht als dauerhaftes Steuerungsinstrument geschaffen worden, sondern im Hinblick auf die Entflechtung der Strukturen der RUAG. Nachdem diese erfolgt sei, würden sie daher voraussichtlich auch wieder abgeschafft. Aus Sicht der Experten ist zudem festzuhalten, dass solche Strategie-Workshops weder spezialgesetzlich noch statutarisch vorgesehen und in der vom Aktienrecht vorgesehenen Kompetenzverteilung systemfremd sind.25 Die GPK-N ist der Ansicht, dass diese Workshops in der aktuellen Situation und angesichts der anstehenden Herausforderungen sinnvoll sein können bzw. eine gute Ergänzung zu den «normalen» Eignergesprächen darstellen. Ihrer Ansicht nach sollten grundsätzlich aber auch die Eignergespräche besser genutzt werden, um strategische Fragen prospektiv zu diskutieren.
2.3.2
Eignergespräche und dazugehörige Pendenzenlisten
Für die GPK-N wird aus den Protokollen der Eignergespräche mit der RUAG deutlich, dass sich diese positiv entwickelt haben und heute anders genutzt werden als früher. Neben Informationen zum Geschäftsgang werden vermehrt aktuelle Themen oder Probleme angesprochen, wie z.B. Wechsel in der Konzernleitung der RUAG oder potentiell heikle Beteiligungen der RUAG im Ausland. Aus den Gesprächen resultierten zudem verschiedentlich Aufträge des VBS an die RUAG, genauere Informationen zu bestimmten Themen zu liefern.
Diese Aufträge sind auch in den Pendenzenlisten zu den Gesprächen abgebildet.
Diese stellen eine Basis für die Eignergespräche dar und werden seit 2017 besser geführt und genutzt (regelmässige Aktualisierung, Besprechung der Liste zu Beginn der Eignergespräche).
Die GPK-N begrüsst diese Entwicklung.
2.3.3
Persönliche Gespräche zwischen der Vorsteherin oder dem Vorsteher VBS und dem Verwaltungsratspräsidenten der RUAG
Hinsichtlich der persönlichen Gespräche zwischen dem früheren Vorsteher des VBS und dem Verwaltungsratspräsidenten der RUAG ist Folgendes festzuhalten: Im Jahr 2017 fand nach jedem Eignergespräch auch ein solches, bilaterales Gespräch statt, während in den Jahren 2016 und 2018 nach einigen Eignergesprächen darauf verzichtet wurde.
24 25
Expertenbericht Corporate Governance 2019: S. 57 (vgl. Fussnote 7).
Expertenbericht Corporate Governance 2019: S. 49 (vgl. Fussnote 7).
2559
BBl 2020
Trotz der Kritik der GPK-N an der fehlenden Protokollierung dieser Gespräche eine Praxis, die auch im Expertenbericht zur Corporate Governance als problematisch erkannt wurde26 führt die neue Vorsteherin des VBS diese Praxis weiter. Sie gab gegenüber der GPK-N zwar an, dass es bei ihr keine informellen Gespräche gebe bzw. jedes Gespräch protokolliert würde, weil sonst die Gefahr bestehe, dass Informationen untergehen oder im Nachhinein unterschiedlich interpretiert werden.27 Allerdings ist im Protokoll zum Eignergespräch vom März 2019 festgehalten, dass nach diesem Gespräch auch ein bilaterales Gespräch zwischen der Vorsteherin des VBS und dem Verwaltungsratspräsidenten der RUAG stattfand, welches nicht protokolliert wurde. Im Protokoll zum letzten Eignergespräch, welches der GPK-N vorliegt, vom Mai 2019 ist unter den Traktanden kein persönliches Gespräch erwähnt. Gemäss Auskunft der Vorsteherin VBS führte sie seit Anfang 2019 zwei bilaterale Gespräche, wobei diese dem persönlichen Kennenlernen dienten.28 Der Bundesrat schreibt in seiner Stellungnahme, dass persönliche Gespräche und informelle Kontakte eine Ergänzung zu den formellen Steuerungsinstrumenten seien. Damit werde die Transparenz verbessert und das Quartalsreporting könne so noch besser auf die Bedürfnisse des Bundes als Alleinaktionär ausgerichtet werden.
Aus Sicht der GPK-N ist die Stellungnahme des Bundesrates ungenügend. Insbesondere ist nicht nachvollziehbar, inwiefern die informellen Gespräche die Transparenz verbessern sollen. Zudem geht der Bundesrat nicht angemessen auf die Kritik der fehlenden Protokollierung und Nachvollziehbarkeit ein.
Da die Geschäftsprüfungskommission des Ständerates (GPK-S) im Rahmen ihrer Untersuchung zu den Buchungsunregelmässigkeiten bei der PostAuto Schweiz AG ebenfalls Probleme im Zusammenhang mit informellen, nicht-protokollierten Gesprächen festgestellt hat, fordert diese den Bundesrat in ihrem Bericht vom 12.
November 201929 auf, dafür zu sorgen, dass sämtliche Gespräche zwischen Vertretern des Bundes und den ausgelagerten Einheiten also auch die informellen Gespräche in angemessener Weise schriftlich festgehalten werden, so dass ihr Inhalt (später) nachvollzogen werden kann. Die GPK-N unterstützt diese Forderung und fordert den Bundesrat auf, die nötigen Massnahmen zu treffen.
2.3.4
Einsitz eines Bundesvertreters im Verwaltungsrat der RUAG
In ihrer Empfehlung hat die GPK-N die Frage aufgeworfen, ob es angesichts der Schwierigkeiten bei der Steuerung der RUAG und der anstehenden Herausforderungen allenfalls sinnvoll sein könnte, eine Bundesvertreterin oder einen Bundesvertreter in den Verwaltungsrat zu senden (zumindest für eine beschränkte Zeit). Damit könnte der Bund seine Interessen direkt einbringen und auch direkt Informationen 26 27 28 29
Expertenbericht Corporate Governance 2019: S. 62 (vgl. Fussnote 7).
Vgl. Protokoll der Anhörung der Vorsteherin des VBS und des Generalsekretärs des VBS vom 16.4.2019 (nicht veröffentlicht).
Schreiben der Vorsteherin VBS vom 9.10.2019 im Rahmen der Verwaltungskonsultation Buchungsunregelmässigkeiten bei der PostAuto Schweiz AG Erwägungen aus Sicht der parlamentarischen Oberaufsicht, Bericht der GPK-S vom 12. November 2019.
2560
BBl 2020
erhalten. Der Bundesrat hält dazu in seiner Stellungnahme vom 28. September 2018 fest, dass die Möglichkeit bestehe, ein Kadermitglied des VBS in den Verwaltungsrat der neuen RUAG-Holding zu wählen, welches dann auch im Verwaltungsrat der MRO Schweiz Einsitz nehmen würde. Weiter geht er aber nicht darauf ein.
Die GPK-N bedauert, dass der Bundesrat diesen Punkt in seiner Stellungnahme nicht vertieft und die Vor- und Nachteile einer solchen Lösung nicht darlegt. Dies wirft insbesondere Fragen auf, da der Bundesrat in seiner Medienmitteilung zur Entflechtung der RUAG vom 27. Juni 2018 also rund 3 Monate vorher noch geschrieben hat, dass er den Vorschlag der RUAG begrüsse, «dass im Verwaltungsrat der MRO Schweiz und MRO Holding auch ein Vertreter des VBS Einsitz nehmen soll». Offenbar hat der Bundesrat seine Haltung bezüglich einer Bundesvertreterin oder eines Bundesvertreters demnach kurz darauf wieder geändert, ohne dies in seiner Stellungnahme weiter zu begründen.
Die Vorsteherin des VBS hielt im April 2019 gegenüber der GPK-N fest, dass das VBS diese Lösung als nicht für notwendig erachtet, auch nicht im Hinblick auf die künftige Struktur. Sie führte dazu aus, dass die beiden neuen Geschäftsbereiche der RUAG unter dem Dach einer neuen Beteiligungsgesellschaft zusammengefasst werden, welche zu 100% dem Bund gehöre. Die fünf Verwaltungsräte dieser Beteiligungsgesellschaft würden vom Bundesrat bestimmt und wählten ihrerseits den etwa siebenköpfigen Verwaltungsrat der beiden Einheiten. Damit habe der Bundesrat letztlich «den vollen Durchgriff». Falls sich die Verwaltungsräte nicht so verhalten würden, wie der Bundesrat von ihnen erwartet, würden sie im Folgejahr nicht mehr gewählt.30 Die GPK-N nimmt diese Argumentation zu Kenntnis. Sie stellt aber gleichzeitig fest, dass die RUAG schon bisher zu 100% dem Bund gehörte und der Bundesrat die Verwaltungsräte bestimmte. Dennoch gab es aus Sicht der GPK-N verschiedentlich Probleme bei der Durchsetzung der Eignerinteressen, ohne dass dies ihres Wissens Konsequenzen für Mitglieder des Verwaltungsrates hatte.
Die GPK-N fordert den Bundesrat daher auf, ihr gegenüber darzulegen, weshalb er sich entgegen seiner Verlautbarung in der Medienmitteilung vom 27. Juni 2018 entschieden hat, auf die Entsendung eines direkten Bundesvertreters im Verwaltungsrat der
künftigen RUAG-Holding sowie der MRO Schweiz zu verzichten. Die Kommission bittet den Bundesrat zudem um die Beantwortung der Frage, wann er die Bedingungen und Voraussetzungen als gegeben erachtet, um einen direkten Bundesvertreter in den Verwaltungsrat der RUAG (oder einer anderen ausgelagerten Einheit) zu wählen.
2.3.5
Ressourcen für die Steuerung der RUAG im GS VBS
Wie bereits einleitend erwähnt, stellte die neue Vorsteherin des VBS nach Amtsantritt fest, dass die im GS VBS vorhandenen Ressourcen für die Steuerung der RUAG nicht ausreichen. In der Vergangenheit hätte sich im GS VBS eine Person und nicht 30
Vgl. Protokoll der Anhörung der Vorsteherin des VBS und des Generalsekretärs des VBS vom 16.4.2019 (nicht veröffentlicht).
2561
BBl 2020
einmal zu 100% mit dem Dossier RUAG beschäftigt. Dies sei zu wenig, nicht zuletzt angesichts der laufenden Entflechtung und Weiterentwicklung der RUAG.
Daher wurde bereits im Jahr 2018, also noch unter dem früheren Vorsteher des VBS, als Übergangslösung ein «Projektleiter Entflechtung» engagiert. Die neue Vorsteherin des VBS entschied sich nach ihrem Amtsantritt, durch interne Umstrukturierungen im GS VBS die Ressourcen für die Steuerung der RUAG und weitere Eignerthemen zu erhöhen und dafür ein kleines Team mit zwei Stellen aufzubauen, welches im Bereich Sicherheitspolitik angesiedelt ist.
Die GPK-N begrüsst diesen Entscheid. Sie erwartet, dass das VBS mit den zusätzlichen Ressourcen in der Lage ist, die anstehende Transformation und die damit verbundenen Herausforderungen eng und kritisch zu begleiten (vgl. dazu Kap. 2.1.3).
2.3.6
Zusammenfassung
Insgesamt zeigen die obigen Ausführungen aus Sicht der GPK-N, dass bei der strategischen Steuerung der RUAG Verbesserungen erzielt wurden. Im VBS wurde man sich nach dem Cyberangriff und im Rahmen der Arbeiten zur Entflechtung bewusst, dass die Ressourcen für die strategische Steuerung der RUAG nicht ausreichend sind. Die GPK-N begrüsst es daher, dass diese erhöht wurden. Sie bewertet es auch als positiv, dass mit dem Strategie-Workshop ein neues Steuerungs-Instrument eingeführt wurde und in diesem Rahmen tatsächlich auch strategische Fragen diskutiert werden. Allerdings ist nicht ersichtlich, inwiefern die Erkenntnisse aus diesen Workshops später auch als Entscheidgrundlagen dienten oder in die Eignergespräche einflossen. Ungeachtet davon ist aber als positiv festzuhalten, dass heute offensichtlich auch die Eignergespräche besser vorbereitet und genutzt werden, so dass diese nicht mehr nur einer Information der Eignervertreter über den Geschäftsgang dienen, sondern das VBS dort auch aktiver die Interessen des Bundes als Eigner vertritt.
Wie bereits unter Kap. 2.1 erwähnt, ist die GPK-N der Ansicht, dass die begonnene Transformation der RUAG besonders hohe Anforderungen an das VBS und die EFV stellt. Sie erwartet daher, dass diese die nötigen personellen Ressourcen bereitstellen, um die Entwicklung zu begleiten und dabei streng darauf achten, dass die Interessen des Eigners gewahrt werden. Dazu gehört aus Sicht der Kommission, dass das VBS bei einer Veränderung der Rahmenbedingungen den Bundesrat informiert, damit dieser die bisher getroffenen Entscheide und den (ehrgeizigen) Zeitplan für die Entflechtung und Neustrukturierung bei Bedarf überprüfen und anpassen könnte.
Dies wäre aus Sicht der GPK-N zum Beispiel notwendig, falls die zusätzliche Datenprüfung durch die ETH Zürich (vgl. Kap. 2.1.1) zeigt, dass die Daten der RUAG, welche in den Sicherheitsparameter der Armee übertragen werden, noch Schadsoftware enthalten. Oder auch, wenn sich zeigen würde, dass die Prognosen bezüglich der Erlöse, die mit dem Verkauf bzw. der Privatisierung von Teilen der RUAG erreicht werden sollten, zu optimistisch waren. Das VBS trägt diesbezüglich, zusammen mit der EFV, eine grosse Verantwortung und die GPK-N erwartet, dass es diese wahrnimmt.
2562
BBl 2020
3
Schlussfolgerung und weiteres Vorgehen
Angesichts der noch offenen Fragen hat die GPK-N an ihrer Sitzung vom 19. November 2019 beschlossen, diese Thematik weiterzuverfolgen. Sie bittet den Bundesrat daher, bis am 20. Februar 2020 Stellung zum vorliegenden Bericht zu nehmen und sie zum selben Zeitpunkt auch über die aktuellen Entwicklungen bzw. Entscheide in Sachen RUAG zu informieren.
19. November 2019
Im Namen der Geschäftsprüfungskommission des Nationalrates Die Präsidentin der GPK-N: Nationalrätin Doris Fiala Die Präsidentin der Subkommission EDA/VBS: Nationalrätin Ida Glanzmann-Hunkeler Die Sekretärin der GPK: Beatrice Meli Andres Die Sekretärin der Subkommission EDA/VBS: Céline Andereggen
2563
BBl 2020
Abkürzungsverzeichnis BBl
Bundesblatt
EDA
Eidg. Departement für auswärtige Angelegenheiten
EFK
Eidg. Finanzkontrolle
EFV
Eidg. Finanzverwaltung
ETH
Eidg. Technische Hochschule
GPK
Geschäftsprüfungskommissionen
GPK-N
Geschäftsprüfungskommission des Nationalrates
GPK-S
Geschäftsprüfungskommission des Ständerates
VBS
Eidg. Departement für Verteidigung, Bevölkerungsschutz und Sport
2564