Schweizer Gemeinden und Behörden stehen im Fadenkreuz von Cyberkriminellen
Am 23. Januar 2023 wurde die Stadt Rolle am Genfersee Opfer eines Ransomware-Angriffs. Die Verwaltungssysteme wurden verschlüsselt, Bürgerdienste fielen aus, und die Wiederherstellung dauerte Wochen. Im selben Jahr traf es Gemeinden im Kanton Graubünden, und kurz darauf geriet das Solothurner Staatssekretariat in die Schlagzeilen. Das sind keine Einzelfälle – sie sind Symptome einer systemischen Bedrohungslage, der Schweizer Gemeinden und Behörden unzureichend vorbereitet gegenüberstehen.
Öffentliche Verwaltungen verarbeiten einige der sensibelsten Daten überhaupt: Einwohnerregister, Steuerunterlagen, Sozialhilfedaten, Gesundheitsinfrastrukturen, Grundbucheinträge. Gleichzeitig sind sie in der Regel personell und finanziell schlechter aufgestellt als vergleichbare private Unternehmen – und damit ein attraktives Ziel.
Laut dem Lagebericht des Nationalen Zentrums für Cybersicherheit (NCSC) 2024 haben Angriffe auf staatliche Stellen in der Schweiz im Vergleich zum Vorjahr um 38% zugenommen. Die Dunkelziffer dürfte erheblich höher liegen, da viele Vorfälle in kleinen Gemeinden nicht gemeldet werden.
Die spezifische Verwundbarkeit öffentlicher Verwaltungen
Heterogene IT-Landschaft mit jahrzehntealten Systemen
Schweizer Gemeinden nutzen im Durchschnitt zwischen 20 und 80 verschiedene Softwaresysteme – von der Einwohnerkontrolle über das Bauverwaltungssystem bis zur Buchhaltung. Diese Systeme stammen von unterschiedlichen Anbietern, wurden zu unterschiedlichen Zeiten eingeführt und sind oft schlecht miteinander integriert. Das Ergebnis ist eine fragmentierte IT-Landschaft, in der:
- Patches und Updates nur verzögert oder gar nicht eingespielt werden
- Zugriffsrechte über Jahrzehnte gewachsen und kaum dokumentiert sind
- Schnittstellen zwischen Systemen ungesichert und undokumentiert existieren
- Lokale Administratoren mit zu weitreichenden Rechten agieren
Diese technische Schuld ist nicht das Ergebnis von Fahrlässigkeit – sie ist das Ergebnis jahrzehntelanger Sparmassnahmen und unzureichender IT-Ressourcen.
Mangel an IT-Sicherheitsfachkräften
Kleine und mittelgrosse Gemeinden können sich keine dedizierten IT-Sicherheitsspezialisten leisten. Oft ist eine einzige Person gleichzeitig für den gesamten IT-Betrieb, den Helpdesk und – de facto – die IT-Sicherheit zuständig. Diese Person hat weder die Zeit noch die spezifische Ausbildung, um eine professionelle Sicherheitsarchitektur aufzubauen und zu betreiben.
Laut einer Umfrage des Schweizer Gemeindeverbands verfügen über 60% der Schweizer Gemeinden mit weniger als 5’000 Einwohnern über keinen dedizierten IT-Mitarbeitenden. Sicherheit wird dort oft über externe Dienstleister gemanagt – was neue Fragen zur Supply-Chain-Sicherheit aufwirft.
E-Government: Neue Dienste, neue Angriffsflächen
Der Ausbau von E-Government-Diensten – Online-Steuererklärung, digitale Baubewilligungsverfahren, elektronische Einwohnermeldungen – schafft neue Möglichkeiten für Bürgerinnen und Bürger. Gleichzeitig entsteht damit eine erheblich vergrösserte Angriffsfläche: Webportale, APIs, Authentifizierungssysteme und Zahlungsschnittstellen sind potenzielle Einfallstore.
“E-Government ist der richtige Weg für die Schweiz. Aber wir machen einen gefährlichen Fehler, wenn wir digitale Bürgerdienste einführen, ohne die dazugehörige Sicherheitsarchitektur konsequent mitzudenken. Vertrauen in den Staat beginnt mit dem Schutz von Bürgerdaten.” – Prof. Dr. Reinhard Riedl, Berner Fachhochschule, Zentrum für E-Government
Bekannte Angriffe auf Schweizer Behörden
Die Liste der öffentlich bekannten Angriffe auf Schweizer Behörden ist lang – und sie ist nur die Spitze des Eisbergs:
Gemeinde Rolle (2023): Ransomware-Angriff legte die gesamte Verwaltung lahm. Bürgerdienste wurden auf Papier umgestellt, die Wiederherstellung dauerte mehrere Wochen.
Xplain-Datenleck (2023): Der Angriff auf den Schweizer IT-Dienstleister Xplain betraf zahlreiche Bundesbehörden, darunter das Bundesamt für Polizei (fedpol), die Bundesanwaltschaft und kantonale Polizeibehörden. Hunderttausende sensible Dokumente wurden im Darknet veröffentlicht. Dieser Fall illustriert das Drittparteienrisiko besonders eindrücklich.
Parlamentsdienste (2021): Ein Angriff auf die IT-Infrastruktur der eidgenössischen Parlamentsdienste wurde erst nach Wochen öffentlich bekannt.
Angriffe auf Kantonsverwaltungen: Mehrere Kantone – darunter St. Gallen und Luzern – haben in den vergangenen Jahren Cyberangriffe auf ihre Infrastrukturen gemeldet, teils mit erheblichen operationellen Folgen.
Der Xplain-Fall hat eine besondere Lehre: Die Sicherheitskette ist nur so stark wie ihr schwächstes Glied. Für Gemeinden bedeutet dies: Jeder IT-Dienstleister, dem man Zugang zu sensiblen Systemen gewährt, wird zum Teil der eigenen Angriffsfläche.
Neue Meldepflichten: Was Gemeinden wissen müssen
Mit dem Inkrafttreten des revidierten Schweizer Datenschutzgesetzes (DSG) am 1. September 2023 und dem Bundesgesetz über die Informationssicherheit beim Bund (ISG) gelten neue Anforderungen. Für Gemeinden relevant:
Meldepflicht bei Datenpannen: Verletzungen der Datensicherheit, die voraussichtlich zu einem Risiko für die betroffenen Personen führen, müssen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet werden. Die Meldung hat so rasch als möglich zu erfolgen.
Bundesgesetz über die Informationssicherheit beim Bund (ISG): Das ISG gilt direkt für Bundesbehörden, schafft aber auch den regulatorischen Rahmen, auf den sich kantonale Sicherheitsrichtlinien beziehen.
NCSC-Meldepflicht für kritische Infrastrukturen: Seit 2024 gilt für Betreiber kritischer Infrastrukturen eine Meldepflicht für Cyberangriffe. Gemeinden, die kritische Infrastrukturen betreiben oder mit solchen eng verknüpft sind, können darunter fallen.
Unsere nDSG-Checkliste für KMU gibt einen systematischen Überblick über die Anforderungen des revidierten Datenschutzgesetzes, der auch für öffentliche Verwaltungen weitgehend relevant ist.
Bürgerdaten: Was auf dem Spiel steht
Schweizer Gemeinden sind die Hüterinnen sensibler Bürgerdaten. Ein durchschnittliches Einwohnerregister enthält für jede gemeldete Person:
- Vollständigen Namen, Geburtsdatum, Geburtsort
- Aktuelle und frühere Adressen
- Nationalität und Aufenthaltsstatus
- Familienstand und Familienverbindungen
- Angaben zu religiöser Zugehörigkeit (in manchen Kantonen)
- Verknüpfung mit Steuer- und Sozialhilfedaten
Ein Datenleck aus einem kommunalen System ist damit potentiell für alle betroffenen Bürgerinnen und Bürger existenziell bedrohlich: Identitätsdiebstahl, Betrug, Erpressung. Für Personen im Zeugenschutzprogramm oder in schwierigen persönlichen Situationen kann die Offenlegung ihrer Adresse eine unmittelbare Gefahr bedeuten.
Gleichzeitig sind auch Finanzdaten gefährdet: Kommunale Buchhaltungssysteme, Steuerdaten und Sozialhilfezahlungen stellen für Angreifer attraktive Ziele dar.
NCSC-Leitlinien und kantonale Sicherheitsrichtlinien
Das Nationale Zentrum für Cybersicherheit (NCSC) hat spezifische Leitlinien für Kantone und Gemeinden veröffentlicht. Deren Kernempfehlungen:
Minimalstandard: Das NCSC empfiehlt, sich am «IKT-Minimalstandard» zu orientieren – einem Rahmenwerk, das auf dem NIST Cybersecurity Framework basiert und für die Anforderungen öffentlicher Verwaltungen in der Schweiz adaptiert ist.
Awareness und Schulung: Phishing-Simulationen und Security-Awareness-Trainings für alle Mitarbeitenden werden ausdrücklich empfohlen. Phishing ist der häufigste Erstangriff auch auf Behörden.
Incident Response: Gemeinden und Kantone sollen dokumentierte Incident-Response-Pläne vorhalten und diese regelmässig üben.
Zusammenarbeit: Das NCSC empfiehlt ausdrücklich die Zusammenarbeit zwischen Gemeinden und die gemeinsame Nutzung von Ressourcen – etwa durch Gemeindeverbünde oder kantonale IT-Dienstleister.
Kritische Infrastruktur: Gemeinden, die kritische Infrastrukturen betreiben (Wasserversorgung, Energieversorgung, Notfallkommunikation), unterliegen erhöhten Anforderungen.
“Die Gemeinden sind die vorderste Linie der staatlichen Verwaltung – und gleichzeitig die am wenigsten geschützte. Wir brauchen eine nationale Strategie für kommunale Cybersicherheit, die auch kleine Gemeinden mit einschliesst und ihnen praktische Unterstützung bietet.” – Cyberexperte, Eidgenössisches Departement für Verteidigung (VBS)
Kritische Infrastrukturen in kommunaler Hand
Viele Schweizer Gemeinden betreiben oder sind an kritischen Infrastrukturen beteiligt, die über die Verwaltungsaufgaben hinausgehen:
Wasserversorgung: Kommunale Wasserwerke nutzen zunehmend digitale Steuerungssysteme (SCADA/ICS). Ein Angriff auf solche Systeme kann direkte Auswirkungen auf die öffentliche Gesundheit haben – von Wasserverschmutzung bis zum Ausfall der Versorgung.
Energieversorgung: Kommunale Elektrizitätswerke sind in vielen Gemeinden noch in öffentlicher Hand und damit Bestandteil kritischer Energieinfrastruktur.
Spitäler und Pflegeeinrichtungen: Auch wenn viele Spitäler heute in Stiftungen oder AGs organisiert sind, bestehen enge Verbindungen zur kommunalen und kantonalen Verwaltung.
Schulen und Bildungsinfrastrukturen: Schulverwaltungssysteme, Lernplattformen und die IT-Infrastruktur öffentlicher Schulen sind zunehmend vernetzt und enthalten Daten von Minderjährigen – eine besonders schützenswerte Kategorie.
Der Schutz dieser Infrastrukturen erfordert spezialisiertes Wissen zu OT-Sicherheit und industriellen Steuerungssystemen, das in den meisten kommunalen IT-Abteilungen nicht vorhanden ist.
Ransomware gegen Behörden: Die doppelte Erpressung
Ransomware ist die akuteste operative Bedrohung für Schweizer Gemeinden. Die Besonderheit im öffentlichen Sektor: Angreifer setzen auf die «doppelte Erpressung». Sie verschlüsseln die Daten und drohen gleichzeitig mit der Veröffentlichung gestohlener Bürgerdaten – ein Szenario, das für Gemeinden aufgrund der Sensibilität der Daten und der politischen Konsequenzen besonders bedrohlich ist.
Viele Gemeinderäte stehen dann vor einer unmöglichen Wahl: Lösegeld zahlen – und damit die Täter finanzieren und keine Garantie auf Datenrückgabe erhalten – oder die Daten werden veröffentlicht und betroffene Bürgerinnen und Bürger müssen mit den Konsequenzen leben.
Die Prävention durch regelmässige, getestete Offline-Backups und Netzwerksegmentierung ist die einzig wirksame Massnahme, um diese Erpressung wirkungslos zu machen.
Empfehlungen für Schweizer Gemeinden
Angesichts beschränkter Budgets und Ressourcen empfehlen wir einen priorisierten Ansatz:
Sofortmassnahmen:
- Multi-Faktor-Authentifizierung für alle Remote-Zugänge und privilegierten Accounts
- Regelmässige, getestete Offsite-Backups aller kritischen Daten
- Inventarisierung aller IT-Dienstleister mit Systemzugang und Überprüfung der Verträge auf Sicherheitsanforderungen
Kurzfristig (3-6 Monate):
- Security-Awareness-Training für alle Mitarbeitenden
- Netzwerksegmentierung zwischen Verwaltungs-IT und kritischen Systemen
- Dokumentierter Incident-Response-Plan mit klaren Zuständigkeiten
Mittelfristig (6-18 Monate):
- Externe Sicherheitsüberprüfung durch unabhängige Experten
- Kooperation mit Nachbargemeinden für gemeinsame Ressourcen und geteiltes Know-how
- Ausrichtung an NCSC-Minimalstandard und regelmässige Selbstüberprüfung
Unsere Cybersecurity-Checkliste für KMU bietet einen strukturierten Einstieg, der auf die Anforderungen von Gemeinden angepasst werden kann.
Red Teaming für öffentliche Verwaltungen
Ein Red Teaming-Einsatz für eine Gemeinde oder Behörde unterscheidet sich von einem kommerziellen Einsatz in einigen wichtigen Aspekten:
- Besondere Sensibilität beim Umgang mit Bürgerdaten während des Tests
- Einbezug von physischer Sicherheit (Zugang zu Büroräumen, Serverräumen)
- Test der Reaktionsfähigkeit des Gemeinderats und nicht nur des IT-Teams
- Berücksichtigung der besonderen Anforderungen an öffentliche Transparenz und Berichterstattung
Für Gemeinden, die noch keine gründliche Sicherheitsüberprüfung hatten, empfiehlt sich als erster Schritt ein strukturierter Penetrationstest. Der Vergleich Red Teaming vs. Penetrationstest erklärt den Unterschied. Informationen zu Kosten und Umfang finden sich in unserem Leitfaden zu Red Teaming-Kosten in der Schweiz.
Fazit
Schweizer Gemeinden und Behörden sind nicht zu gross, um angegriffen zu werden – und nicht zu klein, um ernstgenommen zu werden. Der Xplain-Angriff hat gezeigt, dass selbst Bundesbehörden durch schlecht gesicherte Drittanbieter kompromittiert werden können. Die Angriffe auf Gemeinden wie Rolle zeigen, dass lokale Verwaltungen mit ausreichend sensiblen Daten und unzureichenden Ressourcen leichte Beute sind.
Der Schutz von Bürgerdaten ist keine technische Aufgabe – er ist eine politische Verpflichtung. Gemeinderäte und Regierungsräte tragen die Verantwortung dafür, dass die Daten ihrer Einwohnerinnen und Einwohner sicher sind.
Bereit für eine realistische Sicherheitsüberprüfung?
Mit einem Red Teaming-Einsatz von CybersecuritySwitzerland erfahren Sie, wie gut Ihre Verwaltungsinfrastruktur einem echten Angriff standhält – bevor es ein Angreifer herausfindet. Wir arbeiten diskret, mit Blick auf die besonderen Anforderungen des öffentlichen Sektors.
Red Teaming für Gemeinden und Behörden ab CHF 11’900 – inklusive Abschlussbericht mit konkreten Massnahmen und einer Präsentation für den Gemeinderat.