Cyberattacken auf Gemeindeverwaltungen nehmen zu

Personalbeurteilungen, AHV-Nummern, Schulnoten – solche vertraulichen Daten aus der Waadtländer Gemeinde Rolle haben Hacker im vergangenen Jahr im Darknet veröffentlicht. Sie drangen ins System der Verwaltung ein und forderten Lösegeld von der Gemeinde, was diese jedoch nicht zahlte. Das Nationale Zentrum für Cybersicherheit (NCSC) in der Schweiz nennt weitere Beispiele, wie Cyberkriminelle ihr Unwesen treiben: Zum Beispiel könne die Website offline gehen, aber auch das gesamte Netzwerk betroffen sein. Nebst finanziellen Schäden gelängen in manchen Fällen vertrauliche Informationen in falsche Hände – dies mit gravierenden Folgen: Verlust von Daten, Ausfall von Systemen, haftpflichtrechtliche Ansprüche aufgrund einer Datenschutzverletzung oder Reputationsschaden. Um in die IT-Systeme einzudringen, ziele die Täterschaft darauf ab, so das NCSC, Mitarbeitende der betreffenden Behörde zu verleiten, gegen deren eigentlichen Willen beispielsweise einen E-Mail-Anhang zu öffnen, einen Link anzuklicken, persönliche Daten wie Passwörter anzugeben oder eine Zahlung vorzunehmen.

Vorfälle häufen sich

Die Anzahl der beim NCSC gemeldeten Fälle lässt jedoch aufhorchen. In der ersten Januarwoche wurde aus der Bevölkerung und von Unternehmen insgesamt 751 Fälle gemeldet. Dabei sind 451 Betrugsfälle und 148 Phishing-Fälle die am meisten gemeldeten Vorkommnisse.

Die geschilderten Vorfälle in den Gemeinden verunsichern auch besorgte Bürgerinnen und Bürger. So hat der Bassersdorfer Othmar Baumann von der IG Basi an der Gemeindeversammlung anfangs Dezember 2021 eine Anfrage nach Paragraf 17 des Gemeindegesetzes zum Thema Cybersicherheit gestellt.

Auch die dorfblitz-Gemeinden sind sich eines möglichen Hackerangriffes durchaus bewusst. «Gefahren lauern leider überall und mit Cyberkriminalität muss gerechnet werden», äussert sich Bassersdorfs Verwaltungsdirektor Christian Pleisch. Und Nürensdorfs Gemeindeschreiber Andreas Ledermann doppelt nach: «Gezielte Angriffe nehmen zu und da die Gemeinde durchaus viele schützenswerte Daten hat, welche keineswegs in falsche Hände gelangen sollten, ist die Gefahr real und sollte auch als solche angesehen werden. Zu einem konkreten Fall sei es jedoch bis jetzt nicht gekommen. Auch Claudia Oswald, Gemeindeschreiberin von Brütten, weiss: «Auch unsere Systeme sind ständigen Angriffen ausgesetzt. Unsere Überwachungen und Analysen zeigen jedoch, dass diese Angriffe bis jetzt allesamt erfolgreich abgewehrt werden konnten.»

Konkreter Angriff in Bassersdorf

Christian Pleisch berichtet, dass – wie unzählige andere Unternehmen weltweit – auch die IT-Infrastruktur der Gemeinde Bassersdorf im März 2021 durch die sogenannte ´Hafnium-Attackeª angegriffen worden sei. Diese Attacke hätte eine Schwachstelle im Collaboration-Bereich ausgenuzt, welche durch den Hersteller nicht gedeckt gewesen sei. Sofort nach Bekanntwerden dieser Lücke und des Ausmasses der Angriffe, seien diese Systeme vom Netz genommen worden. Da nicht endgültig festgestellt werden konnte, ob Teile dieses Angriffes erfolgreich waren, sei ein externer forensischer Dienst eingeschaltet worden, welche diese Systeme genauestens analysiert hätte. Die Analyse ergab jedoch, dass die Schutzmassnahmen gewirkt hätten. Der Angriff sei erfolglos verlaufen. «Es ist weder ein Schaden noch ein Datenverlust oder -abzug festgestellt worden», so Pleisch.

Mit welchen Massnahmen schützen Gemeinden ihre sensiblen Daten?

Es seien vor allem technische Massnahmen, sagt Oswald, also Firewalls, Spamfilter, Antivirus-Programme oder die Datenanalyse. Doch sie fügt gleich an, dass diese technischen Massnahmen immer nur so gut seien, wie die organisatorischen Massnahmen, die zur Sicherstellung der Sicherheit greifen müssten. Das Sicherheitskonzept der Gemeinde Bassersdorf basiere auf drei Eckpfeilern, so Pleisch: Prävention, Intervention und Schadensbegrenzung. Es bestehe beispielsweise für jedes technische Gerät ein Plan, welcher den Update-Zyklus festhalte. Zugänge von aussen (zum Beispiel Home-Office) würden zusätzlich mit einer Zwei-Faktor-Authentifizierung geschützt. Auch die Vorgaben des Datenschützers von Kanton und Bund würden genauestens eingehalten. Die IT-Systeme der Gemeinde würden softwaretechnisch erwacht. Bei Unregelmässigkeiten, beispielsweise anormalem Netzwerkverkehr, würden Alarme ausgelöst. Im Zweifelsfalle würden Systeme abgeschaltet oder isoliert.

Risikofaktor Mensch

Doch neben allen technischen Hilfsmitteln, sind sich alle einig, spielt der Faktor Mensch eine entscheidende Rolle. «Die Mitarbeitenden sind sicherlich das wichtigste Gut, um die Sicherheit gewährleisten zu können», sagt Claudia Oswald. «Wir sind aktuell daran, die sogenannte IT-Governance aufzubauen, also das gesamte Regelwerk, um die IT-Sicherheit gewährleisten zu können und dabei spielt die Sensibilisierung der Mitarbeitenden eine zentrale Rolle.»

Phishing-Mails seien in diesem Zusammenhang die alltäglichste Gefahr, erklärt Andreas Ledermann. «In diesem Jahr werden die Mitarbeitenden im Bereich Datenschutz und -Sicherheit geschult und danach diesbeügzlich auch regelmässig auf dem aktuellsten Stand gehalten. Gerade auch im Bereich Home-Office.»

Auch in Bassersdorf würden laut Christian Pleisch die Mitarbeitenden regelmässig über die Cybercrime-Gefahren sensibilisiert und geschult. «Zudem unterstehen die Mitarbeitenden dem Datenschutz und müssen bei Stellenantritt die IT-Richtlinien unterzeichnen.» Was das Home-Office betreffe, sei es sehr wichtig, dass die Sicherheitsstandards auch zu Hause jederzeit eingehalten würden. «Die Home-Office-Regelungen wurden zum Beispiel erarbeitet und verschärft.» Abschliessend meint die Brüttener Gemeindeschreiberin: «Die Attacken nehmen sicherlich – auch bedingt durch die Pandemie – zu. Wir fühlen uns aber gut betreut und sind überzeugt, die richtigen Massnahmen ergriffen zu haben. Sicherlich wichtig ist aber das Bewusstsein, dass es einen 100-prozentigen Schutz nie geben wird.»

Diesen Artikel können Sie liken!