Viele Gemeindeverwaltungen haben ein IT-Sicherheitsproblem. Da sind sich die Fachleute der Wirtschaft, Behörden und Verbände einig. Und je kleiner die Gemeinde, desto grösser ist dieses Problem. IT-Sicherheit sei oft gar nicht Thema, findet auch Christophe Hauert, Generalsekretär des Labels Cyber-Safe. «Oft unterschätzen Gemeinden die Wichtigkeit und den Wert der Daten, die sie haben.»
Leider müssen Katastrophen wie in Rolle entstehen, um das Thema wieder auf den Tisch zu bringen.
Hauert leitet das Gütesiegel Cyber-Safe. Der gemeinnützige Verein erstellt Standards für IT-Sicherheit und berät Gemeindeverwaltungen und KMUs in deren Umsetzung. «Leider müssen Katastrophen wie in Rolle entstehen, um das Thema wieder auf den Tisch zu bringen.»
2021 haben die Cyberangriffe in der Schweiz drastisch zugenommen, wie das Nationale Zentrum für Cybersicherheit des Bundes (NCSC) jüngst meldete. Das Zentrum bestätigt, dass seit Einführung des Monitorings vor eineinhalb Jahren bereits drei Gemeindeverwaltungen Opfer solcher Ransomware-Attacken wurden.
Ganz grundsätzlich: Die Schweiz hinkt in Sachen IT-Sicherheit hinter anderen Ländern her. Die Internationale Fernmeldeunion ITU, eine UN-Organisation in Genf, erstellt jährlich den sogenannten Global Cybersecurity Index. Die Schweiz belegt da gerade mal Platz 42, gleich hinter Aserbaidschan und Zypern.
Gemeinden würden das Problem noch nicht richtig wahrnehmen, findet Claudine Wyssa, Stadtpräsidentin von Bussigny und Präsidentin des Waadtländer Gemeindeverbandes: «Wenn man vorbeugen will, kostet es nicht so viel.»
Pilotprogramm erkennt kritische Lücken
Gemeinsam mit dem Bund und dem Verein Cyber-Safe startete der Gemeindeverband ein Pilotprogramm: Wo steht die Cybersicherheit auf Gemeindeebene wirklich? Christophe Hauert von Cyber-Safe: «Wir stellen fest, dass wir in den meisten Gemeinden Lücken im Bereich IT-Infrastruktur, Mitarbeiterkompetenzen oder organisatorische Massnahmen finden.»
In zwei Drittel der kontrollierten Gemeinden sogar kritische Lücken. «Während langer Zeit wurde die Informatik nur als ein Werkzeug betrachtet. Wenn es funktioniert, macht man nichts mehr.» Das reiche schon lange nicht mehr. Hauert spricht von operativem Risiko. Das heisst: Kein Update der Systeme, zu wenig Schulung der Mitarbeitenden oder es sei nicht klar, wer verantwortlich sei, wenn doch mal jemand auf einen verdächtigen Link klickt.
Während langer Zeit wurde die Informatik nur als ein Werkzeug betrachtet. Wenn es funktioniert, macht man nichts mehr.
Gerade bei kleinen Gemeinden gehe es grundsätzlich vor allem darum, wer für die IT-Sicherheit überhaupt zuständig ist. «Es braucht keinen IT-Spezialisten. Aber jemand muss dafür zuständig sein, die notwendige Kompetenz von draussen zu holen. Ohne diese Verantwortung wird gar nichts passieren.»
Jemand müsse schlussendlich entscheiden, wie und in welcher Form die IT-Infrastruktur getestet und verbessert sowie die Mitarbeitenden geschult werden müssen. Der Tenor aller Fachleute: Langsam steige das Interesse vonseiten Gemeinden, doch immer noch oft zu spät.
