«Die spezifischen Lösungen der Gemeinden sind ein Vorteil»
Bruno Tüscher ist Gemeindeammann im aargauischen Münchwilen, einer Gemeinde mit rund 1000 Einwohnerinnen und Einwohnern. Er erzählt, warum die IT der Gemeinde nicht im Keller steht und warum Münchwilen als Pilotgemeinde das Label cyber-safe.ch erwirbt. Auch eine Versicherung gegen Cyberattacken ist Thema im Gemeinderat.
«Die IT hatte vor Jahren problemlos Platz im Keller und hätte es auch heute noch. Nur ist es technisch gesehen einfacher, die Sicherheit der Infrastruktur zu gewährleisten, wenn die Server in einem Rechenzentrum stehen. Wenn ich da nur ans Back-up denke, das noch lange auf Band gespielt wurde. Zusätzlich zum Hauptsystem laufen diverse Fachapplikationen in verschiedenen Cloudlösungen.
Als wir vom Schweizerischen Gemeindeverband (SGV) angefragt worden sind, ob Münchwilen seine IT als Pilotgemeinde in der Deutschschweiz auf deren Sicherheit hin testen lassen würde, war ich zuerst einmal überrascht, dass es für Gemeinden eine solche Initiative gibt. Das Label cyber-safe.ch kannte ich damals noch nicht. Als leidenschaftlicher Softwareentwickler und gelernter Informatiker ist bei mir für dieses Thema aber natürlich eine gewisse Sensibilität vorhanden. Da ich die IT unserer Gemeinde in den nächsten Jahren harmonisieren möchte, war diese Zertifizierung eine gute Gelegenheit, um dies anzupacken. Bedenken hatte ich dabei nie, so ein Pilot ist immer auch ein Lernprozess für alle Beteiligten.
«Die Cybersicherheit ist die Polizei und die Feuerwehr im virtuellen Raum.»
«Es kann jeden treffen»
Diese Sensibilität braucht es grundsätzlich in allen Gemeinden, grossen wie kleinen. Denn die Grösse einer Gemeinde spielt beim Thema Cybersicherheit eine untergeordnete Rolle. Treffen kann es jede, und daher sollte man sich auch damit beschäftigen. Die Cybersicherheit ist die Polizei und die Feuerwehr im virtuellen Raum! Direkt profitieren kann ein Hacker von den Daten einer Gemeinde eher nicht, indirekt schon. Die Daten können fürs Social Engineering weiterverwendet werden, und so kann ein gutes Bild über einzelne Bürger erstellt werden. Mit den Daten könnte beispielsweise ein einfach wirkender, aber vermögender Bürger erpresst werden, mit den Steuerdaten einer Unternehmung die Konkurrenz ausgeschaltet werden, um nur zwei Beispiele zu nennen.
Der Mensch als grösste Schwachstelle
Münchwilen hat nun also den Labelling-Prozess durchlaufen, und er hat genau das aufgezeigt, was ich erwartet habe: Der Mensch ist die grösste Schwachstelle in diesem System. Heutige Firewalls und Monitoringsysteme können die grosse Mehrheit der Angriffe erkennen, abfangen und abwehren. Wenn nun aber ein Mensch, der bereits hinter diesen Systemen sitzt, unbewusst etwas ins System einschleust, dann haben die Angreifer eine einfache Aufgabe. Daher ist es sehr wichtig, das Bewusstsein innerhalb der Belegschaft für dieses Thema zu schärfen. Dies wurde einerseits mit einer Phishingkampagne bewerkstelligt, und andererseits wird an den zweijährlich stattfindenden Sicherheitskursen der Gemeinde darauf hingewiesen werden.
Wie aufwendig solche Sicherheitsmassnahmen für die Gemeinde Münchwilen sind, kann nicht direkt in Franken ausgedrückt werden. Wir kaufen die IT bei einem Dienstleister ein. Teil davon ist auch die technische Sicherheit der Systeme.
Verteilte Systeme sind besser
Im Zusammenhang mit den Hackerangriffen auf zwei Westschweizer Gemeinden wurde zum Teil gefordert, dass die Kantone die IT-Sicherheit für die Gemeinden gewährleisten sollten. Aber: Jede Gemeinde arbeitet mit anderen IT-Dienstleistern zusammen und betreibt unabhängig vom Kanton die unterschiedlichsten IT-Lösungen. Daher ist es für den Kanton praktisch unmöglich, diese Aufgabe für die Gemeinden zu übernehmen. Ich bin auch nicht der Meinung, dass die Schweiz mit einer Swiss Cloud besser geschützt wäre. Je mehr Daten an einem Ort sind, desto interessanter wird es, diesen Ort anzugreifen, und desto höher ist auch die Datendichte. Daher sehe ich die spezifischen Lösungen der einzelnen Gemeinden eher als Vorteil – verteilte Systeme, die niemals alles beinhalten.
Kosten, Lösegeld, Versicherung
Es ist davon auszugehen, dass die Kosten in Zukunft ansteigen werden. Es nützt jedoch nichts, möglichst viel Geld dafür auszugeben. Die Hacker werden immer einen Schritt voraus sein. Man kann dies ein bisschen mit Einbrechern vergleichen: Wenn vor jeder Haustüre, jedem Fenster und weiteren Zugängen ein Polizist stehen würde, dann könnte dies verhindert werden – zahlbar wäre es jedoch nicht.
Wie sich die Gemeinde Münchwilen im Fall einer Lösegeldforderung, vielleicht sogar in einer Kryptowährung, verhalten würde? Das haben wir intern noch nicht diskutiert. Ich habe jedoch die Erstellung eines Notfallplans zu diesem Thema auf meiner Pendenzenliste. Darin enthalten sein wird die interne und externe Kommunikation und somit auch das Verhalten im Falle einer Lösegeldforderung. Ich kann mir jedoch kaum vorstellen, dass wir einer solchen Forderung nachkommen könnten. Die Möglichkeit einer Versicherung gegen Cyberattacken war bei uns im Gemeinderat bereits schon einmal ein Thema. Da aber nicht abschliessend geklärt werden konnte, wer sich versichern muss (Gemeinde, IT-Dienstleister, Betreiber Rechenzentrum, …) und in welchem Fall dann auch eine Zahlung erfolgen würde, haben wir uns damals dagegen entschieden. In der Zwischenzeit hat sich an der Versicherungsfront einiges getan, und wir werden uns bei einer nächsten Gelegenheit erneut damit befassen.»
Der SGV sensibilisiert Gemeinden für Cybersicherheit
In der Westschweiz sind in den letzten Wochen zwei Waadtländer Gemeinden Ziel eines Cyberangriffs geworden. Im August traf es die Gemeinde Rolle: Hacker stahlen vertrauliche Daten und veröffentlichten sie im Darknet. Beim Angriff auf die Gemeinde Montreux, der Anfang Oktober entdeckt wurde, konnte das Ausmass des Schadens bei Redaktionsschluss noch nicht abgeschätzt werden. Die Ermittlungen waren am Laufen, mit der Unterstützung von Fachleuten des Kantons Waadt und des Bundes sowie eines spezialisierten externen Partners. Es wurde ein Krisenstab eingerichtet. Ziel ist es namentlich, herauszufinden, ob sensible Daten von den Hackern missbraucht werden könnten.
Der Schweizerische Gemeindeverband setzt sich mit einer Sensibilisierungskampagne dafür ein, einen Sicherheitsstandard in den Gemeinden zu etablieren. Im Rahmen der Umsetzung der «Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken 2018–2022» prüft der Bund die Einführung von Minimalstandards und Labels für die Cybersicherheit in verschiedenen Bereichen.
Das Label cyber-safe.ch soll insbesondere kleinere und mittlere Gemeinden darin unterstützen, ihre eigene Situation in Bezug auf die Cybersicherheit einzuschätzen. Im Rahmen eines Pilotprojekts mit 15 ausgewählten Gemeinden, das der SGV zusammen mit dem Nationalen Zentrum für Cybersicherheit (NCSC) durchführt, wird dabei die Anwendbarkeit des Labels cyber-safe.ch geprüft. Das Pilotprojekt startete im Herbst 2020. Aktuell sind sechs Gemeinden zertifiziert, rund 50 durchlaufen den Zertifizierungsprozess, weitere 30 haben ihr Interesse am Label angemeldet. Die Hauptrolle des SGV besteht in der Auswahl der Pilotgemeinden, in der Unterstützung bei der Kontaktaufnahme und Zusammenarbeit mit den Pilotgemeinden sowie in der Kommunikation der Resultate.
Nationales Zentrum für Cybersicherheit
Das Nationale Zentrum für Cybersicherheit (National Cyber Security Centre – NCSC) ist das Kompetenzzentrum des Bundes für Cybersicherheit und damit erste Anlaufstelle für die Wirtschaft, die Verwaltung, die Bildungseinrichtungen und die Bevölkerung bei Cyberfragen. Es ist verantwortlich für die koordinierte Umsetzung der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) 2018–2022.
Die Cybersicherheit hat in den vergangenen Jahren auf allen Ebenen stark an Bedeutung gewonnen. Sie spielt eine zentrale Rolle in der nationalen und internationalen Aussen- und Sicherheitspolitik und wird immer stärker zu einem wichtigen Faktor für den Wirtschaftsstandort und die Bevölkerung der Schweiz. Der Bundesrat will mit der Schaffung des NCSC unter der Leitung des Delegierten des Bundes für Cybersicherheit die Bevölkerung, die Wirtschaft, die Bildungseinrichtungen und die Verwaltung beim Schutz vor Cyberrisiken unterstützen und die Sicherheit der eigenen Systeme verbessern.
Die vom Bundesrat verabschiedete Verordnung über den Schutz vor Cyberrisiken in der Bundesverwaltung (CyRV) ist seit dem 1. Juli 2020 in Kraft. Sie bildet die rechtliche Grundlage für den Auf- und Ausbau des NCSC und regelt Struktur und Aufgaben sowie Kompetenzen der beteiligten Behörden.
Die Kantonspolizei Bern hat zusammen mit dem Nationalen Zentrum für Cybersicherheit (NCSC) und dem Sicherheitsverbund Schweiz (SVS) für das Netzwerk Ermittlungsunterstützung digitale Kriminalitätsbekämpfung (NEDIK) eine Wegleitung für Gemeinden zur Vermeidung von Cyberdelikten erarbeitet. Mitwirkende sind zudem das Amt für Informatik und Organisation des Kantons Bern (KAIO), der Verband Bernischer Gemeinden (VBG) und der Schweizerische Gemeindeverband (SGV).
Kontakt: Kantonspolizei Zürich, NEDIK, cyc_nedik@kapo.zh.ch
Ein Verein für das Label «cyber-safe.ch»
Es gibt viele Hindernisse für den Eintritt von KMU und anderen kleinen Strukturen in die Welt der digitalen Sicherheit. Das Label cyber-safe.ch zielt darauf ab, diese Barrieren abzubauen, indem es einen starken Anreiz und die notwendigen Instrumente für Unternehmen bietet, um die Cybersicherheit verantwortungsvoll zu verwalten. Und das alles zu einem erschwinglichen Preis.
Trotz zunehmender Mediatisierung der digitalen Risiken (Datendiebstahl, Betriebsverlust usw.) und zunehmender Einsicht ist es für kleine und mittlere Unternehmen oft schwierig, Massnahmen zu ergreifen. Neben den hohen Kosten für IT-Sicherheitsberatung und -auditierung stehen diese Unternehmen vor Fragen, die sie ohne die Hilfe von Spezialisten nur schwer beantworten können. Wie hoch ist das aktuelle Niveau der Cybersicherheit in meinem Unternehmen, in meiner Verwaltung? Ist es zufriedenstellend? Welche Massnahmen müssen ergriffen werden, um sie zu verbessern, zu welchen Kosten und mit welchen Auswirkungen? Ohne Fachkompetenz ist eine Bestandsaufnahme oder das Wissen, welche Massnahmen umgesetzt werden sollen, schwierig oder gar unmöglich.
Obwohl es viele IT-Risikomanagementstandards (wie ISO) gibt, sind sie aufgrund ihrer Komplexität, des verwendeten Fachjargons und des von ihnen vorgeschlagenen sektoralen Ansatzes für Cyberrisiken oft nicht an die Bedürfnisse kleiner Organisationen angepasst (z.B. wird sich ein Rahmen ausschliesslich auf die organisatorische Dimension, ein anderer auf die Soft- und/oder Hardware-Sicherheit und ein anderer auf die menschlichen Fähigkeiten konzentrieren). Die Einhaltung mehrerer (potenziell widersprüchlicher) Rahmen ist für Unternehmen jedoch nicht einfach, ganz zu schweigen von den damit verbundenen Kosten.
Der Schweizer Verband für das Cybersecurity-Label ist ein gemeinnütziger Verein (Art. 60 ff. ZGB).
Der Verein hat zum Ziel, das verantwortungsvolle Management der Cybersicherheit in Organisationen in der Schweiz zu unterstützen und zu fördern, insbesondere durch die Entwicklung und Bereitstellung eines Labels. Damit will der Verband einen wichtigen Beitrag zur Schweizer Gesellschaft und zur Schweizer Wirtschaft leisten, die von einem höheren Mass an Cybersicherheit insgesamt profitieren wird.
Der Schweizerische Gemeindeverband ist Partner des Labels.
www.cyber-safe.ch
«Das häufigste Szenario ist die Erpressung»
Beat Stettler, Professor an der Ostschweizer Fachhochschule OST, Spezialist für Computernetze und Internettechnologien, spricht über Youtube-Erklärvideos, Cyberattacken, die im Internet für 50 Dollar gekauft werden können, und evaluiert die Risiken für Gemeinden.
Herr Stettler, gemäss einer internationalen Untersuchung von Allianz Risk von 2019 waren bei rund 2500 untersuchten Firmen etwa bei der Hälfte wichtige Assets ungeschützt. Wie ist Ihre Erfahrung: Lässt sich diese Zahl auch auf die Schweiz übertragen?
Beat Stettler: In der Schweiz gibt es sehr viele Unternehmen, die sehr viel in ihre Sicherheit investieren, beispielsweise Banken und Versicherungen. Andere Unternehmen, etwa aus dem Industriebereich oder KMU, haben gar nicht die nötigen Mittel und das Personal dazu und auch nicht unbedingt den gleichen Fokus auf die Sicherheit gerichtet. Darum sind viele von ihnen in breitem Masse ungeschützt.
Sie haben die KMU angesprochen. Gehören Gemeinden ebenfalls zu dieser Risikogruppe?
Stettler: Bei den Gemeinden muss man unterscheiden. Es gibt Gemeinden, die ihre IT an einen grossen IT-Anbieter ausgelagert haben. Diese grossen Anbieter haben Securityspezialisten und die nötigen Mittel, um die IT zu schützen. Und es gibt kleinere Gemeinden, die vielleicht mit einem knappen Dutzend lokalen Computern arbeiten und bei denen jemand verwaltungsintern für die IT zuständig ist. Sind keine Schutzmechanismen implementiert worden, ist das Risiko gross, dass diese Gemeinden genauso ungeschützt sind wie Private.
Sind Gemeinden für Hacker denn grundsätzlich eine interessante Zielscheibe?
Stettler: Ja, insofern Informationen über die Bürgerinnen und Bürger für weitere, gezielte Angriffe genutzt werden könnten. Wer Namen, Vornamen, Geburtsdatum und AHV-Nummer einer Person kennt und vielleicht auch weiss, was diese Person verdient, ob sie arbeitslos ist oder Sozialleistungen bezieht, hat zusätzliche Angriffspunkte. Je mehr Hacker über mögliche Opfer wissen, desto mehr Möglichkeiten für illegale Aktivitäten eröffnen sich ihnen.
Sind auch Gemeindeinfrastrukturen mögliche Angriffsziele?
Stettler: Ja, Elektrizitätswerke von Gemeinden oder die Wasserversorgung könnten solche Ziele sein. Grössere Gemeinden haben die nötigen Schutzvorkehrungen ergriffen, kleinere nicht unbedingt die nötigen Ressourcen dafür. Denn ihr Aufwand, um das gleiche Mass an Schutz zu erzielen, ist ja nicht kleiner als bei den grösseren.
Wie könnte ein Angriffsszenario aussehen?
Stettler: Mit einem Angriff auf ein Elektrizitätswerk ist nicht unbedingt Geld zu verdienen, aber Hacker könnten natürlich drohen, das Werk abzustellen. Würde man dies auf die Ebene eines Landes ausweiten, wäre sicher eines der ersten denkbaren Szenarien eines Cyberkriegs, dass sämtliche Kraftwerke abgestellt werden. Denn wenn kein Strom mehr zur Verfügung steht, ist ein Land rasch gelähmt. Damit will ich nicht sagen, dass dies ein Szenario ist, das der Schweiz droht. Aber in Kriegsgebieten ist das ein wichtiger Angriffsvektor, der genutzt wird. Im Grunde geht es um lebenswichtige Bereiche, auch eine Trinkwasserversorgung gehört dazu.
Ein viel häufigeres Szenario ist allerdings die Erpressung, indem Daten zuerst verschlüsselt und dann nur noch gegen die Zahlung einer hohen «Lösegeldsumme» entschlüsselt werden können. Zahlt der Kunde nicht, drohen die Erpresser häufig damit, die sensiblen Personendaten im Internet zu veröffentlichen.
«Cyberkriminalität ist heute eine Industrie, mit der Geld verdient werden kann.»
Es geht neben Erpressung und Geldforderung bei Cyberangriffen aber auch um Reputationsrisiken.
Stettler: Ja, es gibt auch Hacker, die sich gerne in Szene setzen, indem sie eine IT angreifen und damit an die Öffentlichkeit gehen. Das führt dann nicht unbedingt zu einem finanziellen Schaden, sondern zu einem Reputationsschaden, der durchaus auch sehr unangenehm sein kann.
Ein konkretes Beispiel?
Stettler: Vor einiger Zeit geriet die Stadt Lugano in die Schlagzeilen, weil sie Touristen einen kostenloses WLAN-Zugang zur Verfügung stellte, damit vor allem die ausländischen Gäste keine Roaminggebühren bezahlen müssen. Es wurde kein Contentfilter eingerichtet, und dummerweise wurde die Website von Schülern aus Lugano dafür missbraucht, um auf unanständigen Seiten zu surfen. Das hat die Presse aufgegriffen und daraus eine Story gemacht.
Auch andere Städte bieten Dienstleistungen wie ein öffentliches WLAN an.
Stettler: Ja, und diese müssen genau aus diesem Grund ebenfalls geschützt sein. Dafür gibt es spezialisierte Anbieter, die diesen Schutz auch für kleine Gemeinden übernehmen.
Offenbar ist es heutzutage recht einfach, einen digitalen Angriff zu verüben?
Stettler: Das ist tatsächlich einfach. Es gibt Youtube-Erklärvideos, oder man kann sich im Internet für 50 Dollar eine Attacke kaufen, um damit dem ungeliebten Nachbarn zu schaden. Cyberkriminalität ist heute eine Industrie, mit der Geld verdient werden kann.
Welchen Schaden kann man mit 50 Dollar anrichten?
Stettler: Die Möglichkeiten sind natürlich beschränkt. Man kann, um beim Beispiel zu bleiben, den Webserver des ungeliebten Nachbarn stören, sodass er nicht mehr erreichbar ist. Aber wenn man an echte Kreditkartendaten herankommen will, braucht es dafür schon etwas mehr. Die Schutzmassnahmen müssen also im Verhältnis zum möglichen Schaden stehen. Übertragen auf die Gemeinden heisst dies, dass sie sich überlegen müssen, welche Assets sie schützen wollen beziehungsweise müssen, unter anderem Personendaten und ihre Systeme. Dann gilt es, die dafür nötigen Mittel bereitzustellen, um diesen Schutz zu gewährleisten. Anbieter, die Gemeinden dabei unterstützen, gibt es viele. Aber es gibt wohl kein allgemeingültiges Rezept für alle Gemeinden.
Sinken die Kosten für den Schutz dank der zunehmenden Digitalisierung?
Stettler: Nein, es ist gerade umgekehrt. Mit der steigenden Digitalisierung steigt auch die Zahl der möglichen Angriffsvektoren. Bürgerinnen und Bürger verlangen heute von den Behörden, dass sie gewisse Dienstleistungen digital anbieten. Doch das Beispiel E-Voting hat gezeigt, wie schwierig es sein kann, solche Dienstleistungen zu schützen. Auch wer umzieht oder mit der Gemeinde im E-Mail-Verkehr steht, hat heute Angriffsflächen, die es früher nicht gab. Da ging man auf die Gemeindeverwaltung und musste seinen Ausweis zeigen.
Gleichzeitig wollen smarte Städte und Gemeinden ja den Bürgerinnen und Bürgern dank digitalen und vernetzten Angeboten das Leben erleichtern. Kommt die Sicherheit dabei zu kurz?
Stettler: Bei Smart-City-Angeboten ist es nicht selten so, dass man einmal etwas ausprobiert und sich erst nachher Gedanken zur Sicherheit macht. Ein Anbieter von intelligenten Strassenlampen ist schliesslich auf Lampen und nicht auf IT-Sicherheit spezialisiert. Vielleicht sollte man sich die Frage nach der Sicherheit bereits etwas früher stellen. Aber das gilt nicht speziell für die Schweiz, sondern ganz generell.