Cybersicherheit: viele Schweizer Gemeinden akut gefährdet

621 Gemeinden – knapp 30 Prozent aller Schweizer Kommunen – haben an der Gemeindeumfrage 2025 vom Verein «Myni Gmeind» und vom Schweizerischen Gemeindeverband (SGV) teilgenommen. Das entspricht einer erfreulichen Zunahme von 3,3 Prozentpunkten gegenüber 2024. Im Zentrum der diesjährigen Erhebung standen die aktuelle Sicherheitslage und der Bedarf nach externer Unterstützung im Bereich Daten- und Cybersicherheit. Die hohe Beteiligung liefert ein aussagekräftiges Bild der tatsächlichen Situation. Und dieses Bild ist in vielen Bereichen alarmierend.

Schon die Übersicht über die eigenen IT-Systeme – das sogenannte Inventar – fehlt in vielen Gemeinden. Ohne Inventar ist aber nicht klar, welche Systeme existieren, wo sie liegen, wie sie genutzt werden – und wie sie geschützt werden sollten (siehe Abb. 1).

Auch bei den Sicherheitsvorgaben zeigt sich ein durchzogenes Bild: Rund 40 Prozent der Gemeinden verfügen über keine oder nur unklare Vorgaben zur Cybersicherheit. Und wo es Vorgaben gibt, ist unklar, inwieweit sie auch strategisch auf die effektiven Bedürfnisse der Gemeinde ausgerichtet sind oder bloss allgemeine Minimalstandards abdecken (siehe Abb. 2). Insgesamt dürften die Vorgaben zur Cybersicherheit keine genügende Basis darstellen.

Noch kritischer ist die Lage bei den Notfallplänen. Zwar verfügen etwas mehr als die Hälfte der Gemeinden über standardisierte oder optimierte Lösungen (siehe Abb. 3). Doch gerade für systemrelevante Infrastrukturen – wie die Versorgung mit Wasser, Strom oder Verwaltungsleistungen – braucht es belastbare und getestete Pläne, die auch im Krisenfall funktionieren. Viele Gemeinden wären vermutlich nur bedingt in der Lage, auf schwerwiegende technische Probleme und Cyberangriffe adäquat zu reagieren.

Beim Risikomanagement ist die Lage ähnlich: Nur knapp die Hälfte der Gemeinden arbeitet mit standardisierten oder optimierten Verfahren (siehe Abb. 4). Doch wer Risiken nicht systematisch analysiert, kann auch keine präventiven Massnahmen treffen. Diese Fähigkeit dürfte bei den vorhandenen Lösungen nicht immer gegeben sein.

Ein weiterer Schwachpunkt: die Schulungen. In der Deutsch- und Westschweiz verfügen rund 50 Prozent der Gemeinden über ein entsprechendes Schulungsangebot, im Tessin sind es gerade mal 21 Prozent – bei allerdings kleiner Fallzahl. Damit fehlt vielen Mitarbeitenden das nötige Wissen und Verständnis, um sicherheitsbewusst zu handeln (siehe Abb. 5). Neben der Inventarfrage muss insbesondere die Situation in Bezug auf die Schulungen als ungenügend beurteilt werden. 

Entsprechend hoch ist der ungedeckte externe Unterstützungsbedarf: 46 Prozent der befragten Gemeinden wünschen sich «eher grosse» oder «grosse» Unterstützung durch externe Fachpersonen. Am meisten Bedarf wird bei den Themen Risikomanagement (59,5%), Cybersicherheitsvorgaben (59,0%), Schulung (58,8%) und Notfallpläne (58,1%) gesehen. Damit stehen die gleichen Themen im Fokus wie bei der Beurteilung der Ist-Situation.

Es ist positiv zu bewerten, dass der Unterstützungsbedarf durch externe Sicherheitsexpertinnen anerkannt wird. Weil Gemeinden nicht immer über eigene Spezialisten im Bereich Daten- und Cybersicherheit verfügen, stellt sich jedoch auch bei den bestehenden Zusammenarbeitsvereinbarungen die Frage, inwieweit diese sicherheitsadäquat ausgestaltet sind.

Im besten Fall sind die Gemeinden dennoch einigermassen gut geschützt: Die Systeme wurden weitgehend verschont, grössere Angriffe blieben offensichtlich aus. Im schlechteren Fall war bisher einfach etwas Glück im Spiel, und wir sitzen auf einem digitalen Pulverfass. Die Verantwortlichen sind sich dessen aber möglicherweise nicht immer bewusst, weil sie entweder nicht über die nötigen Informationen oder über genügend Kompetenzen verfügen. Sonst wäre kaum zu erklären, weshalb viele Gemeinden wichtige Aspekte der Cybersicherheit nicht (ganz) im Griff haben oder Schwachstellen bisher nicht schliessen konnten.

Angesichts der gesellschaftlichen Relevanz des Themas und der spezifischen Rahmenbedingung im Milizsystem stellt sich die Frage, inwieweit technische und gesetzlich vorgeschriebene Standards helfen könnten, flächendeckend mehr Sicherheit zu gewährleisten.