Kantonale Verbände

Angst vor Cybercrime: wie können sich die Gemeinden schützen?

Angst vor Cybercrime: wie können sich die Gemeinden schützen?
Die Referierenden in Untersiggenthal (von links): Nicolina Novara, Andreas Schmid, David Schlaginhaufen, Katrin Gisler, Regierungsrat Dieter Egli. Foto: zVg, Kanton Aargau

Rund 200 Personen informierten sich laut einer Mitteilung des Kantons im Sickinga-Saal in Untersiggental über Risiken und Hilfestellungen zu Datensicherheit und Datenschutz für die Aargauer Gemeinden. Die Aargauer Gemeindetagung wird alljährlich von der Gemeindeabteilung des Departements Volkswirtschaft und Inneres veranstaltet.

Cyberangriffe betreffen jede Gemeinde

Regierungsrat Dieter Egli wies in seiner Begrüssung darauf hin, dass Cyberangriffe jede Gemeinde betreffen: "Es ist nicht die Frage, ob, sondern nur, wann sie geschehen." Ein Datenverlust bedeute nicht nur Schaden für die Betroffenen, sondern führe zu Vertrauensverlust der Bürgerinnen und Bürger und im schlimmeren Fall zu erheblichen Sicherheitsrisiken auch über die einzelne Gemeinde hinaus. Darum sei es wichtig, dass Gemeinden und Kanton auf diese Herausforderung reagieren, "nicht überdramatisiert und nicht panisch, aber bestimmt und konsequent – und im Austausch miteinander."

Empfehlung: Ansprechperson für Datenschutz bestimmen

Katrin Gisler, die seit diesem Jahr neue Beauftragte für Öffentlichkeit und Datenschutz (ÖDB) des Kantons Aargau ist, betonte in ihrem Referat, dass der Schutz der Persönlichkeit ein Grundrecht sei. Jede Datenbearbeitung sei eine Einschränkung dieses Grundrechts und werde deshalb rechtlich an bestimmte Anforderungen geknüpft. "Die öffentlichen Organe müssen bei ihren Datenbearbeitungen darum stets die anwendbaren Rechtsgrundlagen einhalten."

Beim Datenschutz handle es sich aber nicht ausschliesslich um ein rechtliches Thema. "Im Zuge der Digitalisierung gewinnen die Datensicherheit und die damit verbundenen technischen und organisatorischen Massnahmen zunehmend an Bedeutung." Die ÖDB-Beauftragte empfiehlt den Gemeinden laut Mitteilung, eine Ansprechperson für Datenschutz zu bestimmen, deren Fachwissen mit den Fragestellungen wachsen kann. "Die Stelle für Öffentlichkeit und Datenschutz steht jederzeit gern beratend zur Seite."

Wenig Risiken und enormer Ertrag bei Cybercrime

David Schlaginhaufen, Chief Information Security Officer (CISO) des Kantons Aargau, legte eindrücklich dar, dass Cybercrime in der Schweiz ein hoch attraktives "Geschäft" ist, da Aufwand und Risiken für eine Attacke sehr gering sind, der Ertrag einer erfolgreichen Attacke jedoch enorm hoch ausfallen kann. Man gehe davon aus, dass der weltweite Umsatz mit Cybercrime bei 1,5 bis 7 Billionen Franken liege und damit höher sei als beim weltweiten Drogenhandel. Von einem Ransomware-Vorfall beispielsweise seien etwa 30 Prozent aller Schweizer Unternehmen bereits getroffen worden, bei KMU sind es sogar 45 Prozent, und rund 40 Prozent von ihnen bezahlen Lösegeld.

Dies zeige deutlich, dass wir – ob Kanton oder Gemeinde – alle von digitalen Bedrohungen betroffen sind. "Die Herausforderungen im Bereich Cybersicherheit lassen sich nur gemeinsam bewältigen, durch gegenseitige Unterstützung und abgestimmtes Handeln. Letztlich sitzen wir alle im selben Boot, bearbeiten dieselben Daten zum selben Zweck und können nur zusammen ein sicheres digitales Umfeld schaffen."

Schulung im Umgang mit Personendaten ist Pflicht

Über das Risikomanagement beim kantonalen Einwohnerregister (ERS) berichtete Nicolina Novara, die stellvertretende Leiterin der Fachstelle Datenaustausch. Das ERS spielt eine bedeutende Rolle und ist als kantonales Register nicht mehr wegzudenken. Der Bedarf an Abfragen zu Personendaten (z. B. Abfragen zu aktuellen Adressen) nimmt laufend zu, derzeit sind über 3'000 Personen berechtigt, das ERS zu nutzen, es gibt immer mehr auch Anforderungen aus der Wirtschaft.

Der Antragsprozess unterliegt strengen Vorgaben. "Durch die zunehmende Vernetzung ist eine Komplexitätssteigerung zu verzeichnen, die in hohem Masse risikobehaftet ist. Durch das Risikomanagement sollen mögliche Probleme frühzeitig erkannt und verhindert werden," so Novara. Eines der grössten Risiken ist nach wie vor der Mensch. Darum sind Sensibilisierungsmassnahmen Pflicht, und zwar sowohl beim Kanton als auch für alle Personen in der Gemeinde – vom Gemeinderat bis zu jedem Mitarbeitenden.

Sie alle müssen den korrekten Umgang mit Personendaten kennen und entsprechend geschult werden. Novara: "Wir empfehlen den Gemeinden, sich bei Zugriffsanfragen auf Personendaten an unserem Prozess zu orientieren und sich mit dem Thema "Risikomanagement" auseinanderzusetzen. Für Fragen stehen wir zur Verfügung."

"Wirklich alle involvierten Stellen müssen Minimalstandard erreichen"

Zum Abschluss berichtete Andreas Schmid, Geschäftsleiter der Gemeindeammännervereinigung, über konkrete Möglichkeiten, Datenschutz und Datensicherheit in der Gemeinde umzusetzen. Ein wichtiger Meilenstein ist dabei der vom Bund festgelegte "IKT-Minimalstandard", der gemäss der Planung des Aargauer Regierungsrats im Informationssicherheitsgesetz (InfoSiG) bis 2026 zwingend von allen zu erreichen ist.

Die Gemeindeammännervereinigung betont in der Stellungnahme zum InfoSiG die Wichtigkeit, dass wirklich alle involvierten Stellen diesen Minimalstandard erreichen, da sonst das Gesamtsystem potenziell geschwächt würde. "Der einfachste Weg für die Gemeinden, um die geforderten Minimalstandards zu erreichen, ist ein ICT-Erneuerungsprojekt durchzuführen, bei welchem die Minimalstandards als Anforderung verlangt werden."



Als nächstes Lesen