Zwei Gemeinden am schönen Ufer des Genfersees wurden dieses Jahr schon Opfer von Cyberangriffen. Ende Mai traf es Rolle im Kanton Waadt mit rund 5000 Einwohner:innen. Sensible Daten wie AHV-Nummern, Adressen, Schulnoten oder E-Mails wurden aus dem Netzwerk der Verwaltung gestohlen und im Darknet veröffentlicht. Auch Dokumente, in denen die Zugangsdaten zu anderen Datenbanken aufgelistet waren, landeten im Netz. Am 10. Oktober erwischte es Montreux, wo 80 000 Menschen betroffen gewesen sein könnten. Das Ausmass des Angriffs und welche Daten gestohlen wurden, ist noch nicht bekannt.

Die Meldungen überraschen kaum, nimmt die Zahl der Angriffe auf IT-Infrastrukturen doch seit Jahren zu. In den vergangenen zwölf Monaten gab es allein in der Schweiz fast 3000 Angriffe auf Unternehmen (siehe WOZ Nr. 42/2021 ). Dass auch Gemeinden betroffen sind, erstaunt nicht. In ihren Netzwerken befinden sich hoch sensible Daten der Einwohner:innen und Mitarbeitenden. Kriminelle können sie verschlüsseln und erst gegen Lösegeld wieder freigeben. Oder sie verkaufen oder veröffentlichen die erbeuteten Daten. Die Folgen können verheerend sein. So wurde 2019 die US-Stadt Baltimore mit gut einer halben Million Einwohner:innen wochenlang lahmgelegt. Auch in Montreux war die Verwaltung während Tagen vom Internet abgeschottet.

Offene Einfallstore

Sicherheitsexperte Marc Ruef ist nicht erstaunt über die jüngsten Angriffe auf Schweizer Gemeinden. Mit seiner Sicherheitsfirma Scip AG beobachtet er eine «anhaltende Kommerzialisierung von Cyberkriminalität». «Angreifer haben es grundsätzlich auf alle Daten abgesehen, die sich zu Geld machen lassen», erklärt er gegenüber der WOZ. «In erster Linie sind das solche, die dringend und wichtig sind.» Dieser Gefahr seien natürlich auch Verwaltungen ausgesetzt.

Trotzdem sind laut Ruef viele Firmen und Gemeinden den Herausforderungen des digitalen Zeitalters nicht gewachsen. «Die Schwächen sind eigentlich überall die gleichen», sagt er, «veraltete Software, fehlende Upgrades, zu viele Benutzerrechte oder überwindbare Antivirenlösungen.» Das alles seien Einfallstore für Angriffe, die seit Jahrzehnten bekannt seien und gegen die es Massnahmen gebe. «Aber oft will oder kann man sich nicht richtig mit diesen auseinandersetzen», bemängelt Ruef.

Dass die Gemeinden um die Gefahren wissen könnten, zeigt auch ein Blick in das Magazin «Schweizer Gemeinde» des Schweizerischen Gemeindeverbands (SGV). Für einen Artikel der Ausgabe vom Mai 2020 spielte die Kantonspolizei Bern einen Cyberangriff auf eine Gemeinde durch und zeigte, wie sich die Betroffenen davor schützen können. Die Liste der Empfehlungen bietet wenig Überraschendes: sichere Passwörter und Zwei-Faktor-Authentifizierung, die Systeme auf dem neusten Stand halten, beim Öffnen von Anhängen und Links in Mails Vorsicht walten lassen.

Gemeinden in der Verantwortung

Gegen die Angriffe am Genfersee hätte es also genügend Abwehrmöglichkeiten gegeben. Nur gibt es keine Vorschriften, wie die Netzwerke der Verwaltungen geschützt werden müssen. Die Gemeinden können in Eigenregie darüber entscheiden, was sie tun und was sie unterlassen. Auch der SGV hat hier gemäss Geschäftsführer Christoph Niederberger «keine besonderen Befugnisse». Der Verband investiere aber in die Sensibilisierung, die Prävention und die Aufklärung bezüglich Cybersicherheit. «Es ist wichtig, dass das kommunale Verwaltungspersonal weiss, wie man mit den Cybergefahren umgeht.»

Der Verband unterstützt deshalb das Label «cyber-safe.ch», eine private Initiative «von KMU und Gemeinden für KMU und Gemeinden». «Mit dem Label kann man gegenüber der Öffentlichkeit ausweisen, dass man im Bereich Sensibilisierung und Ausbildung vieles unternommen hat, um auf die potenziellen Gefahren zu reagieren», erklärt Niederberger. «Trotz aller Anstrengungen gibt es die völlige Sicherheit aber nicht. Die Bestrebungen können Cyberattacken nicht gänzlich verhindern.» Mit Jonen im Aargau und Bussigny in der Waadt tragen bisher nur zwei Gemeinden mit zusammen gerade einmal 10 000 Einwohner:innen das Label – weitere nehmen an einem Pilotprojekt des SGV teil, um ihre Sicherheit zu erhöhen. Ein magerer Anfang bei über 2000 Gemeinden in der Schweiz.

Besonders wichtig ist für die Gemeinden die Zusammenarbeit mit dem seit Juli 2019 existierenden Nationalen Zentrum für Cybersicherheit (NCSC; siehe WOZ Nr. 27/2020 ). Dieses gibt Empfehlungen ab, analysiert die Gefahrenlage und kann punktuell Unterstützung bieten. Doch auch dort betont man, dass der Bund wenig Einflussmöglichkeiten auf die Sicherheit der IT-Infrastrukturen bei Unternehmen und Verwaltungen habe. Zwar hat das NCSC für verschiedene Branchen Mindeststandards entwickelt. Dazu gehören aber vor allem kritische Infrastrukturen wie Wasser- und Stromversorgung oder der öffentliche Verkehr. «Die Umsetzung dieser Standards ist nicht zwingend, es handelt sich lediglich um Empfehlungen», sagt Pascal Lamia, Leiter Operative Cybersicherheit beim NCSC. Auch für unterschiedliche Sektoren wie «Abfälle», «Postverkehr» oder «Medien» existieren Faktenblätter zum Umgang mit Cyberrisiken. Speziell auf Gemeinden zugeschnittene Empfehlungen gibt es keine.

Wichtige Updates fehlen

Wie gut steht es um die Eigenverantwortung der Gemeinden? Viele sehen bei sich offenbar keine besondere Gefahr. Laut einer Recherche der «Solothurner Zeitung» reichen die Voten der Gemeinden von «Wir haben das Problem schon vor langer Zeit gelöst» bis zu «Ich würde sagen, wir sind auf dem aktuellsten Stand». Dabei zeigt sich oft erst im Nachhinein, wie gut die Verwaltung vorbereitet ist. Es mangelt an Transparenz und Kommunikationsbereitschaft. Die Tragweite des Datendiebstahls in Rolle wurde erst durch Recherchen von «Le Temps» aufgedeckt – die Gemeinde selbst schwieg sich aus. Dabei wurde die Verwaltung bereits zwei Tage vor dem Angriff per Mail gewarnt. Weil aber die adressierte Person nicht am Arbeiten war, ging die Warnung unter. In den geleakten Daten fand «Le Temps» darüber hinaus einen kurz vor dem Angriff verfassten Bericht über Mängel in der IT-Sicherheit der Gemeinde. Dieser identifizierte vor allem ein Risiko, «im Falle eines Cyberangriffs nicht zu wissen, was vor sich geht». Auch wichtige Sicherheitsupdates fehlten seit Monaten.

Um solche Mängel zu beheben, müssten die Gemeinden Geld in die Hand nehmen. Doch meist werden sie erst zu spät aktiv. Das kritisiert auch Ruef: «Die technischen Massnahmen, die sich im Bereich der Cybersicherheit bewähren, sind bekannt. Sie müssen einfach umgesetzt werden.» Ruef bemängelt auch, dass die Gefahr, die aus dem Diebstahl und dem Missbrauch persönlicher Daten hervorgeht, oft unterschätzt oder kleingeredet werde. «Daten können, auch wenn sie unscheinbar wirken, für weitere Angriffe beigezogen werden.» Dann zählt er die Gefahren auf: Werbeanrufe, Spam, Phishing, Social Engineering, Passwortattacken, Identitätsdiebstahl, Erpressung, Vandalismus, Einbruch und so weiter. Betroffen sind also nicht bloss die Gemeinden, sondern vor allem die Menschen, deren Daten entwendet werden. Ruef wünscht sich deshalb bessere rechtliche Mittel, mit denen sich Betroffene gegen die «oftmals vorherrschende Gleichgültigkeit» wehren können.