Sensibilisierungsmassnahmen sowie gezielte Schulungen des Gemeindepersonals helfen beim Schutz vor Cyberangriffen.

Gemeindemitarbeitende als Schlüsselfaktor für Cybersicherheit

13.11.2022
11 | 2022

Im vergangenen Jahr machten vereinzelte Cyberangriffe auf Gemeinden Schlagzeilen. Beim Schutz vor solchen Angriffen haben die Gemeindemitarbeitenden eine Schlüsselrolle inne. Durch ihr aufmerksames Verhalten steigt die Sicherheit.

Mehrere Vorfälle in der Vergangenheit haben gezeigt: Aufgrund der grossen Abhängigkeiten von der Informatik kann bei einem Cybervorfall die Handlungsfähigkeit einer Gemeindeverwaltung rasch und nachhaltig beeinträchtigt werden. Bei einem erfolgreichen Cyberangriff können nicht nur sensible Daten abfliessen, sondern auch hohe Kosten entstehen: Nebst Wiederherstellungskosten entsteht ein hoher Aufwand, um das Vertrauen der Bürgerinnen und Bürger wiederzuerlangen.

Ein Cyberangriff hat weitreichende Folgen

Eine im Mai 2022 veröffentlichte Studie der Hochschule Luzern, der Mobiliar und von Economiesuisse zeigte einmal mehr: Cyberrisiken werden oft als reines IT-Problem behandelt und somit häufig unterschätzt. Doch organisatorische Massnahmen sind genauso bedeutend. So spielt bei Cyberangriffen der Mensch häufig eine zentrale Rolle. Deshalb sind mitarbeiterbezogene (Sensibilisierungs-)Massnahmen von hoher Wichtigkeit. Das Ziel dieser Massnahmen ist die Bewusstseinsförderung gegenüber Cyberrisiken. Idealerweise kennen die Mitarbeitenden die verschiedenen Angriffsmethoden und Angriffsvektoren in ihrem Arbeitsumfeld und wissen, wie sie sich im Falle eines Angriffs verhalten müssen.

Grundsätzlich ist es wichtig, dass die Cybersicherheit regelmässig auf Geschäftsleitungsebene thematisiert wird und entsprechende Massnahmen festgelegt und umgesetzt werden. Neben der Mitarbeitersensibilisierung gibt es weitere technische und organisatorische Massnahmen, die es umzusetzen gilt.

Verschiedene Angriffsmethoden

Eine der häufigsten Angriffsmethoden ist das sogenannte Social Engineering. Dabei informieren sich Kriminelle im Vorfeld über die Verwaltungsstruktur. Dies geschieht durch öffentlich zugängliche Informationen, die zum Beispiel auf der Website der Gemeindeverwaltung auffindbar sind. Daraufhin wird eine Zielperson ausgesucht und mit einem auf sie zugeschnittenen Szenario konfrontiert.

Die Angriffe erfolgen meist per E-Mail oder Telefon. Kriminelle missbrauchen in ihren E-Mails oder Anrufen beispielsweise die Namen von Verwaltungseinheiten, zum Beispiel der Steuerverwaltung. Als Spezialform ist hier der sogenannte CEO-Betrug bekannt. Betrüger geben sich hier als Mitglied der Geschäftsleitung oder Mitarbeitende der Finanzabteilung aus und weisen die kontaktierte Person an, Zahlungen auf ein bestimmtes Konto auszuführen. Die Opfer werden verunsichert, indem Faktoren wie Dringlichkeit, Autorität, Engpässe oder finanzielle Nachteile geltend gemacht werden, sofern das Opfer nicht wie gewünscht agiert.

Andere häufig verwendete Angriffsmethoden für Gemeinden sind erpresserische Angriffe mittels Ransomware. (Wortmix aus «Ransom», also Lösegeld, und «ware» von Malware). Wird ein Computer oder ein Netzwerk mit Ransomware infiziert, werden meist die Daten verschlüsselt. Cyberkriminelle verlangen anschliessend von ihren Opfern Lösegeld, um die Daten wieder freizugeben. Dieser Betrag soll meist in einer Kryptowährung bezahlt werden.

Angreifer gehen aktuell vermehrt dazu über, Daten nicht nur zu verschlüsseln, sondern diese im Vorfeld zu kopieren und das Opfer danach zusätzlich mit deren Veröffentlichung zu erpressen. Diese sogenannte Double Extortion hat sich bei den aktuellen Angriffen etabliert. Aber auch Kunden, Partner oder Lieferanten der Opferfirma können von den Angreifern direkt mit der Veröffentlichung von Daten erpresst werden, insbesondere wenn sensible Kundendaten vorhanden sind.

Massnahmen für Gemeinden

  • Mehrfachauthentifizierung: Setzen Sie, wo immer möglich, Mehrfachauthentifizierung ein.
  • E-Mail-Verkehr: Schulen Sie Ihre Mitarbeitenden im Umgang mit E-Mails. Schränken Sie zudem den ein- und ausgehenden Traffic ein, und überwachen Sie diesen. Blockieren Sie sämtliche E-Mail-Anhänge, die Makros enthalten. Blockieren Sie den Empfang von gefährlichen E-Mail-Anhängen auf Ihrem E-Mail-Gateway. Eine ausführliche Liste von zu blockierenden Dokumenttypen finden Sie auf der Website des GovCERT unter: https://www.govcert.ch/downloads/blocked-filetypes.txt.
  • Regelmässige Backups: Bewahren Sie mindestens drei Generationen eines Back-ups auf, mindestens eine davon offline und off-site.
  • Antivirusprogramm: Achten Sie auf Alarme von Antivirensystemen, besonders auf internen Servern.
  • Software: Achten Sie darauf, dass Sie nur vom Hersteller mit Security Patches unterstützte Software einsetzen. Updaten und patchen Sie diese regelmässig.
  • Systeme, die vom Internet her erreichbar sind, müssen bei kritischen Patches innerhalb sehr kurzer Zeit aktualisiert werden.
Sandra Lüthi
Nationales Zentrum für Cybersicherheit (NCSC)