Sandra Lüthi, Expertin für Sensibilisierung und Prävention, Nationales Zentrum für Cybersicherheit NCSC 

Die Mitarbeitenden von Stadtverwaltungen befinden sich aufgrund ihrer öffentlichen Tätigkeit in einer Schlüsselrolle innerhalb der IT-Sicherheitskette. Sie arbeiten mit Informatik-Infrastrukturen und Geräten, die ihnen den Zugang, die Erfassung und die Bearbeitung von schützenswerten Informationen ermöglichen. Zur Erfüllung des gesetzlichen Auftrags ist es unumgänglich, dass die Verwaltungsmitarbeitenden verschiedene Personendaten der Einwohnerinnen und Einwohner, des Personals sowie von Firmen speichern, bearbeiten und in bestimmten Fällen weitergeben. Zudem stehen sie täglich mit internen und externen Partnern via diverse Kommunikationskanäle in engem Kontakt. Bei ihrer Tätigkeit unterstehen die Mitarbeitenden dem Amtsgeheimnis und sind zur vertraulichen Behandlung von dienstlichen Angelegenheiten verpflichtet. Aufgrund der grossen Abhängigkeiten von der Informatik-Infrastruktur kann bei einem Cyberereignis die Handlungsfreiheit einer Stadtverwaltung rasch, nachhaltig und den Auftrag gefährdend beeinträchtigt werden.

Einige Stadtverwaltungen sind sich diesen Umständen bewusst und haben deshalb das Thema Cybersicherheit bereits gut integriert. Allerdings gibt es auch Verwaltungen, die Aufholbedarf haben. Lücken können vor allem bei fehlenden Sensibilisierungsmassnahmen und Schulungen, fehlenden Absprachen mit IT-Dienstleistern und fehlenden praxisnahen Erfahrungen im Umgang mit einem Cyberangriff festgestellt werden.

Krisenvorbereitung

Damit Sie auf einen allfälligen Cybersicherheitsvorfall möglichst gut vorbereitet sind, sollten Sie sich bereits heute überlegen, wie Sie im Ernstfall reagieren würden. Nur so erkennen Sie, ob Sie im Ernstfall vorbereitet sind. Setzen Sie zusammen mit Ihrem IKT-Verantwortlichen die minimalen organisatorischen, personellen und technischen Sicherheitsvorgaben im Bereich Informatiksicherheit verbindlich fest. Klären Sie mit ihm die Prozesse und Verantwortlichkeiten im Normalbetrieb sowie im Falle eines Cybersicherheitsvorfalles. Halten Sie diese in einem Business Continuity Management-Plan fest, damit die Geschäftskontinuität gewährleistet ist. Darin enthalten sollte auch ein Kommunikations- und Krisenkonzept sein. Definieren Sie zudem den Notfallkontakt bei einem Cybersicherheitsvorfall. Weitere Empfehlungen für die Zusammenarbeit mit IT-Dienstleistern finden Sie auf der Webseite des Nationalen Zentrums für Cybersicherheit (NCSC) unter dem Behörde-Button bei aktuellen Themen[1]. Ebenfalls von hoher Wichtigkeit sind das Sensibilisieren und Schulen der Mitarbeitenden. Aktuelle Sensibilisierungsinhalte finden Sie auf der Webseite der jährlichen Sensibilisierungskampagne S-U-P-E-R.ch.

Zudem haben Sie die Möglichkeit, Zugriff auf das neue eLearning des Sicherheitsverbundes Schweiz (SVS) zu beantragen. Bitte wenden Sie sich hierfür bei info@elearningcyber.ch.

Für kleine und mittlere Verwaltungen könnte ebenfalls der EBAS-Kurs für KMU interessant sein: www.ebas.ch/kmucourse.

Schadensbegrenzung im Falle eines Angriffs

Im Falle eines Cyberangriffs ist es wichtig, schnell zu handeln.

• Trennen Sie die mit Schadsoftware infizierten Systeme umgehend vom Netzwerk. Trennen Sie hierfür das Netzwerkkabel vom Computer und schalten allenfalls vorhandene WLAN-Adapter ab.
• Um eine Weiterverbreitung zu verhindern, unterbrechen Sie die Internetverbindungen (Web, E-Mail sowie Fernzugriff und VPN von Standort zu Standort).
• Überprüfen Sie die Backups und schützen Sie diese sofort.
• Backups sollten so schnell wie möglich physisch vom infizierten Netzwerk getrennt werden ("offline genommen werden").
• Ändern Sie im Falle eines Cyberangriffs sofort alle Passwörter. Überprüfen Sie E-Mail-Konten auf allfällige Weiterleitungsregeln.

Kontaktieren / Melden / Informieren

• Wenden Sie sich an Ihren IT-Notfallkontakt.
• Prüfen Sie die Kontaktaufnahme zur Polizei und die Erstattung einer Anzeige. Warten Sie mit dem Wiederaufsetzen der Systeme, bis die Polizei die Spuren gesichert hat.
• Mitarbeitende der Polizei beraten und unterstützen Sie im Vorgehen, sichern Spuren und ermitteln. Informieren Sie die Polizei via Polizeinotruf 117.   Melden Sie den Vorfall dem NCSC über das Online-Formular: www.report.ncsc.admin.ch.
• Wenn Daten gestohlen wurden (z. B. im Fall einer Ransomware), empfehlen wir, die Betroffenen proaktiv zu informieren. Klären Sie ab, ob es gesetzliche Meldepflichten gibt. Mit dem neuen Datenschutzgesetz müssen Verletzungen der Datensicherheit dem EDÖB gemeldet werden (Art.24 nDSG und Art.15 SDSG). Benutzen Sie hier für das Online-Formular: https://databreach.edoeb.admin.ch/report