Zum Inhalt springen

IT-Sicherheit Von Name bis AHV-Nummer: Sind die Daten auf der Gemeinde sicher?

Im Mai wurde die Gemeinde Rolle gehackt und Daten online veröffentlicht. Ein Einzelfall oder haben viele Verwaltungen IT-Sicherheitsmängel?

Viele Gemeindeverwaltungen haben ein IT-Sicherheitsproblem. Da sind sich die Fachleute der Wirtschaft, Behörden und Verbände einig. Und je kleiner die Gemeinde, desto grösser ist dieses Problem. IT-Sicherheit sei oft gar nicht Thema, findet auch Christophe Hauert, Generalsekretär des Labels Cyber-Safe. «Oft unterschätzen Gemeinden die Wichtigkeit und den Wert der Daten, die sie haben.»

Leider müssen Katastrophen wie in Rolle entstehen, um das Thema wieder auf den Tisch zu bringen.
Autor: Christophe Hauert Generalsekretär, Cyber-Safe

Hauert leitet das Gütesiegel Cyber-Safe. Der gemeinnützige Verein erstellt Standards für IT-Sicherheit und berät Gemeindeverwaltungen und KMUs in deren Umsetzung. «Leider müssen Katastrophen wie in Rolle entstehen, um das Thema wieder auf den Tisch zu bringen.» 

Der Fall Rolle

Box aufklappen Box zuklappen

Ende Mai 2021 wurde die Gemeindeverwaltung Rolle gehackt, diverse Daten geklaut und die Gemeinde erpresst – Geld oder die Daten kommen ins Internet. Das nennt sich Ransomware-Attacke. Verschiedene Westschweizer Zeitungen berichten nun, die Daten seien im Internet gelandet und der Datenklau sei gross. Wie die NZZ berichtete, seien fast alle Bewohnerinnen und Bewohner betroffen.

2021 haben die Cyberangriffe in der Schweiz drastisch zugenommen, wie das Nationale Zentrum für Cybersicherheit des Bundes (NCSC) jüngst meldete. Das Zentrum bestätigt, dass seit Einführung des Monitorings vor eineinhalb Jahren bereits drei Gemeindeverwaltungen Opfer solcher Ransomware-Attacken wurden.

Ganz grundsätzlich: Die Schweiz hinkt in Sachen IT-Sicherheit hinter anderen Ländern her. Die Internationale Fernmeldeunion ITU, eine UN-Organisation in Genf, erstellt jährlich den sogenannten Global Cybersecurity Index. Die Schweiz belegt da gerade mal Platz 42, gleich hinter Aserbaidschan und Zypern.

Gemeinden würden das Problem noch nicht richtig wahrnehmen, findet Claudine Wyssa, Stadtpräsidentin von Bussigny und Präsidentin des Waadtländer Gemeindeverbandes: «Wenn man vorbeugen will, kostet es nicht so viel.»

Pilotprogramm erkennt kritische Lücken

Gemeinsam mit dem Bund und dem Verein Cyber-Safe startete der Gemeindeverband ein Pilotprogramm: Wo steht die Cybersicherheit auf Gemeindeebene wirklich? Christophe Hauert von Cyber-Safe: «Wir stellen fest, dass wir in den meisten Gemeinden Lücken im Bereich IT-Infrastruktur, Mitarbeiterkompetenzen oder organisatorische Massnahmen finden.» 

In zwei Drittel der kontrollierten Gemeinden sogar kritische Lücken. «Während langer Zeit wurde die Informatik nur als ein Werkzeug betrachtet. Wenn es funktioniert, macht man nichts mehr.» Das reiche schon lange nicht mehr. Hauert spricht von operativem Risiko. Das heisst: Kein Update der Systeme, zu wenig Schulung der Mitarbeitenden oder es sei nicht klar, wer verantwortlich sei, wenn doch mal jemand auf einen verdächtigen Link klickt. 

Während langer Zeit wurde die Informatik nur als ein Werkzeug betrachtet. Wenn es funktioniert, macht man nichts mehr.
Autor: Christophe Hauert Generalsekretär, Cyber-Safe

Gerade bei kleinen Gemeinden gehe es grundsätzlich vor allem darum, wer für die IT-Sicherheit überhaupt zuständig ist. «Es braucht keinen IT-Spezialisten. Aber jemand muss dafür zuständig sein, die notwendige Kompetenz von draussen zu holen. Ohne diese Verantwortung wird gar nichts passieren.»

Jemand müsse schlussendlich entscheiden, wie und in welcher Form die IT-Infrastruktur getestet und verbessert sowie die Mitarbeitenden geschult werden müssen. Der Tenor aller Fachleute: Langsam steige das Interesse vonseiten Gemeinden, doch immer noch oft zu spät.

Rendez-vous, 27.08.2021, 12:30 Uhr

Meistgelesene Artikel