«Es ist nicht die Frage, ob, sondern nur, wann sie geschehen.» Mit diesem Satz wies Regierungsrat Dieter Egli (SP) zum Beginn der Aargauer Gemeindetagung im Sickinga-Saal in Untersiggenthal darauf hin, dass Cyberangriffe jede Gemeinde betreffen. Ein Datenverlust bedeute nicht nur Schaden für die Betroffenen, sondern führe zu Vertrauensverlust in der Bevölkerung.

Und im schlimmeren Fall zu erheblichen Sicherheitsrisiken über die Gemeinde hinaus. Darum sei es wichtig, dass Gemeinden und Kanton auf diese Herausforderung reagieren, «nicht überdramatisiert und nicht panisch, aber bestimmt und konsequent – und im Austausch miteinander», sagte Egli zu den 200 Personen im Saal gemäss Mitteilung seines Departements Volkswirtschaft und Inneres.

Der Schutz der Persönlichkeit sei ein Grundrecht, betonte Katrin Gisler, seit diesem Jahr neue Beauftragte für Öffentlichkeit und Datenschutz (ÖDB) des Kantons Aargau. Jede Datenbearbeitung sei eine Einschränkung dieses Grundrechts und werde deshalb rechtlich an bestimmte Anforderungen geknüpft. «Die öffentlichen Organe müssen bei ihren Datenbearbeitungen darum stets die anwendbaren Rechtsgrundlagen einhalten.»

Beim Datenschutz handle es sich aber nicht ausschliesslich um ein rechtliches Thema. «Im Zuge der Digitalisierung gewinnen die Datensicherheit und die damit verbundenen technischen und organisatorischen Massnahmen zunehmend an Bedeutung.» Die ÖDB-Beauftragte empfiehlt den Gemeinden, eine Ansprechperson für Datenschutz zu bestimmen, deren Fachwissen mit den Fragestellungen wachsen kann. «Die Stelle für Öffentlichkeit und Datenschutz steht jederzeit gern beratend zur Seite.»

David Schlaginhaufen, Chief Information Security Officer des Kantons, legte eindrücklich dar, dass Cybercrime in der Schweiz ein hoch attraktives Geschäft ist. Denn Aufwand und Risiken für eine Attacke seien sehr gering, der Ertrag einer erfolgreichen Attacke könnte jedoch enorm hoch ausfallen.

Man gehe davon aus, dass der weltweite Umsatz mit Cybercrime bei 1,5 bis 7 Billionen Franken liege und damit höher sei als beim weltweiten Drogenhandel. Von einem Ransomware-Vorfall beispielsweise seien etwa 30 Prozent aller Schweizer Unternehmen bereits getroffen worden, bei KMU sind es sogar 45 Prozent. Rund 40 Prozent von ihnen bezahlen Lösegeld.

«Die Herausforderungen im Bereich Cybersicherheit lassen sich nur gemeinsam bewältigen», sagte Schlaginhaufen. «Letztlich sitzen wir alle im selben Boot, bearbeiten dieselben Daten zum selben Zweck und können nur zusammen ein sicheres digitales Umfeld schaffen.»

Über das Risikomanagement beim kantonalen Einwohnerregister (ERS) berichtete Nicolina Novara, die stellvertretende Leiterin der Fachstelle Datenaustausch. Der Bedarf an Abfragen zu Personendaten, etwa zu aktuellen Adressen, nimmt laufend zu. Derzeit sind über 3000 Personen berechtigt, das ERS zu nutzen. Es gebe immer mehr auch Anforderungen aus der Wirtschaft. Der Antragsprozess unterliegt strengen Vorgaben. «Durch die zunehmende Vernetzung ist eine Komplexitätssteigerung zu verzeichnen, die in hohem Masse risikobehaftet ist. Durch das Risikomanagement sollen mögliche Probleme frühzeitig erkannt und verhindert werden», so Novara.

Eines der grössten Risiken ist nach wie vor der Mensch. Darum sei die Sensibilisierung Pflicht, beim Kanton als auch bei Gemeinden – dort für alle vom Gemeinderat bis zu jedem einzelnen Mitarbeitenden. Sie alle müssten den korrekten Umgang mit Personendaten kennen und entsprechend geschult werden. «Wir empfehlen den Gemeinden, sich bei Zugriffsanfragen auf Personendaten an unserem Prozess zu orientieren und sich mit dem Thema Risikomanagement auseinanderzusetzen.»

Andreas Schmid, Geschäftsleiter der Gemeindeammännervereinigung, berichtete über konkrete Möglichkeiten, Datenschutz und Datensicherheit in der Gemeinde umzusetzen. Ein wichtiger Meilenstein ist dabei der vom Bund festgelegte «IKT-Minimalstandard», der gemäss der Planung des Regierungsrats im Informationssicherheitsgesetz bis 2026 zwingend von allen zu erreichen ist.

Die Gemeindeammännervereinigung betont in der Stellungnahme zum Informationssicherheitsgesetz die Wichtigkeit, dass alle involvierten Stellen diesen Minimalstandard erreichen. Ansonsten würde das Gesamtsystem potenziell geschwächt. «Der einfachste Weg für die Gemeinden, um die geforderten Minimalstandards zu erreichen, ist, ein ICT-Erneuerungsprojekt durchzuführen, bei welchem die Minimalstandards als Anforderung verlangt werden.»(az)