Digitalisierung und Cybersecurity: Miteinander vorwärts
Technische Lösungen allein reichen nicht, um eine Verwaltung erfolgreich zu digitalisieren. Und in puncto Cybersecurity kann eine Behörde ohne Unterstützung wenig ausrichten. Die Referenten der diesjährigen Plenartagung Städte- und Gemeindeinformatik plädierten für mehr Miteinander.
Im Berner Rathaus ist die 13. Plenartagung Städte- und Gemeindeinformatik (SGI) über die Bühne gegangen. Der Schwerpunkt des Anlasses lag dieses Jahr auf dem Thema Informationssicherheit. "Ohne Cybersicherheit gibt es keine erfolgreiche Digitalisierung", leitete Moderator Rudolf Spiess, Vorsitzender des Fachbeirats der Schweizerischen Informatikkonferenz (SIK), die Veranstaltung ein.
Aktiv gegen Cyberangriffe
Dass sich Schweizer Städte und Gemeinden Gedanken zum Thema Cybersicherheit machen müssen, zeigt etwa das Beispiel der Waadtländer Gemeinde Rolle. Nach einem Cyberangriff tauchten sensible Personendaten ihrer Einwohnerinnen und Einwohner im Darknet auf, wie Sie hier lesen können.
Sandro Nafzger, CEO von Bug Bounty Switzerland. (Source: zVg)
Zu einem Paradigmenwechsel hin zu aktiver Suche nach Schwachstellen rief Sandro Nafzger, CEO von Bug Bounty Switzerland, auf. Nafzgers Vision: In ein paar Jahren soll sich jede Schweizer Organisation ein Bug-Bounty-Programm leisten können. Dazu arbeitet sein Unternehmen nicht nur daran, die Kosten eines solchen Programms zu senken. Im Rahmen eines Forschungsprojekts wolle man gezielt die Bedürfnisse kleiner Unternehmen und öffentlicher Verwaltungen kennenlernen. Warum die Digitalisierung ohne Bug-Bounty-Programme langfristig nicht möglich ist, erläutert Nafzger im Interview.
Wie das nationale zentrum für Cybersicherheit (NCSC) öffentliche Verwaltungen unterstützt, erläuterte Stephan Glaus, Leiter Nationale Anlaufstelle Cyber. Zu den neuen Angeboten für Behörden gehört etwa eine Partnerschaft mit dem Dienst "Have I Been Pwned?". Dank der Zusammenarbeit können Verwaltungen ihre Domänen prüfen und feststellen, ob E-Mailadressen in bekannten Datenabflüssen auftauchen. Zudem sei geplant, auf der Website bald schon spezifische Informationen für Behörden anzubieten.
Besonders am Herzen liege ihm das Meldeformular, sagte Glaus. Dieses sei unlängst überarbeitet worden und werde rege genutzt. Laut dem Bericht zum ersten Halbjahr 2021 gingen dort bis zum Sommer mehr als 10'200 Meldungen ein.
Neuerdings veröffentlicht das NCSC auch Wochenberichte, in denen es jeweils ein paar Beispielfälle genauer erläutert. Eine der wichtigsten Aufgaben der Fachstelle ist laut Glaus jedoch die Prävention: "Wir wollen nicht, dass wir Vorfälle haben, die wir behandeln und abwehren müssen", sagte er. Um Angriffe zu verhindern, tauscht sich das NCSC auch international mit Experten aus und unterhält eine "geschlossene Gruppe" für Betreiber kritischer Infrastrukturen.
Vom mühsamen Aufrappeln nach der Attacke
Stellt das NCSC einen drohenden Cyberangriff fest, geht es auf das gefährdete Unternehmen zu. So erging es Anfangs 2020 dem Schweizer Autohändler Amag. In seinem Vortrag berichtete CISO Roger Mattmann, wie es nach dem Anruf weiterging: Sein Unternehmen habe enormes Glück gehabt, denn zum Zeitpunkt der Warnung hatten die Hacker noch keine Daten verschlüsselt und stellten in der folge keine Forderungen. Dennoch entschied sich Amag wenig später, seine gesamte IT neu aufzusetzen, um weiteren Schaden abzuwenden.
Roger Mattmann, CISO, Amag. (Source: zVg)
Während zwei Wochen trennte das Unternehmen all seine Internetverbindungen. Damit stand auch der Autohandel faktisch still, wie Mattmann ausführte. Während dieser Zeit arbeitete ein Team von 15 Spezialisten im Schichtbetrieb. Doch auch danach ging das "Aufräumen" weiter und zwar während etwa sechs Monaten, parallel zum Tagesgeschäft. Die Bilanz: 20'000 Arbeitsstunden und Kosten von rund 4 Millionen Franken. "Niemand von uns möchte das gern ein zweites Mal erleben", fasste Mattmann zusammen. Es sei sinnvoll, präventive Massnahmen zu ergreifen. Dazu gehöre etwa, eine Schutzlösung auf den Geräten aller Mitarbeitenden zu installieren, Installationsprivilegien zu begrenzen und für mehr Awareness zu sorgen. "Die meisten Cyberangriffe starten per Mail", rief Mattmann in Erinnerung.
Erst vor kurzem wurde auch die Gemeinde Montreux Opfer eines Cyberangriffs. Salvatore Buccarello, Responsable des Applications in der dortigen Gemeindeverwaltung, wurde am Rande seines Referats auf den Angriff angesprochen. Er könne aufgrund eines laufenden Gerichtsverfahrens nicht viel sagen, erklärte er. Montreux habe rasch auf die Attacke reagiert und aktuell seien 85 bis 90 Prozent der Systeme wieder stabil. Gefragt, welchen Rat er anderen Verwaltungen für den Fall einer Attacke mitgebe, antwortete er: "Es ist wichtig, sich mit den richtigen Experten zu umgeben".
Informieren, austauschen und gemeinsam umsetzen
Der Ruf, bei aller Technik den Menschen und das Miteinander nicht zu vergessen, war aus den meisten Referaten dieser SGI-Tagung herauszuhören. So berichtete etwa Andrea Balmer, Projektleiterin und GEVER Verantwortliche der Stadt Thun, von der Umstellung der Stadtverwaltung auf eine IT-Lösung der Firma CMI. Dabei sei die IT selbst ein kleiner Teil gewesen: "Ich war eine Wanderpredigerin", fasste Balmer zusammen. Bis zur Flächendeckenden Einführung von CMI habe es an die zwei Jahre gedauert, in denen sie sehr viele Gespräche mit Angestellten geführt habe.
Andrea Balmer, Projektleiterin und GEVER Verantwortliche der Stadt Thun. (Source: zVg)
In Zahlen drückte es Michel Knecht, Leiter Finanzen und Stv. Geschäftsleiter der Gemeindeverwaltung Ehrendingen, aus: "30 Prozent sind Technik, 70 Prozent sind die Mindsets der Leute", kommentierte er die Einführung eines digitalen Kreditorenworkflows der Firma Dialog Verwaltungs-Data.
Von der digitalen Transformation als "Verbundaufgabe" sprach der neue Beauftragte Digitale Verwaltung Schweiz, Peppino Giarritta. Er stellte die neue Organisation vor, in der 2022 die jetzigen Organisationen E-Government Schweiz und Schweizerische Informatikkonferenz zusammengeführt werden. In der Vergangenheit habe es zwar erfolgreiche Digitalisierungsprojekte gegeben, räumte er ein. Doch gelinge es offensichtlich nicht, die Erwartungen der Wirtschaft zu erfüllen.
Peppino Giarritta, Beauftragter Digitale Verwaltung Schweiz. (Source: zVg)
"Es wird noch viel zu viel selber erfunden", sagte Giarritta. Spannend sei es, die interessanten Digitalisierungsprojekte der Gemeindeverwaltungen zu skalieren - wenn möglich auf die ganze Schweiz. Zudem leisteten Gemeinden einen wichtigen Beitrag bei der Schaffung von Bevölkerungsnähe und Vertrauen.
Die Digitale Verwaltung Schweiz sei mit der Politik gut verzahnt. Dies ermögliche es, Projekte zu lancieren und die dafür benötigten Mittel zu erhalten. Zu den Zielen der Organisation gehöre es, die föderale Datennutzung zu fördern, mehr Schnittstellen zu schaffen sowie Kompetenz und Wissen aufzubauen. Im Blick auf das Schwerpunktthema der Tagung befand Giarritta: "Wir werden Sicherheit nicht alleine lösen". Abschliessend verglich er den Weg der Digitalisierung mit einem Fahrradrennen und ermutigte die Anwesenden: "Bündeln wir unsere Kräfte, um schneller ans Ziel zu kommen."
Wie Peppino Giarritta die Schweiz in Sachen E-Government voranbringen will, verrät er im Interview.