Schützen Sie Ihre Behörde

Beim Schutz vor Cyberangriffen ist das Gemeindekader in der Pflicht. Dazu gehört auch die Sensibilisierung von Mitarbeitenden. Gemeindeschreiber/-innen tragen innerhalb der Gemeindeverwaltung viel Verantwortung und müssen zunehmend auch Entscheide zu IKT-Fragen treffen.

Es empfiehlt sich, die Gemeindeschreiber/-innen auf diesem Gebiet speziell zu schulen und allgemein in Security Awareness Trainings für Mitarbeitende und Miliztätige zu investieren. Organisieren Sie dies zusammen mit anderen Gemeinden oder den kantonalen Gemeindeorganisationen. Das kann helfen, Aufwand und Kosten zu reduzieren.

Benennen Sie in Ihrer Verwaltung Verantwortliche für die Erfüllung der jeweiligen Aufgaben im Zusammenhang mit der Sicherheit von IKT-Systemen. Klären Sie auch die Rollen und die Verantwortlichkeiten bezüglich Notfall- und Krisenorganisation sowie die entsprechenden Kompetenzen.

Schnittstellen zu Partnern müssen im Vorfeld identifiziert und die Prozesse aufeinander abgestimmt werden. Klären Sie mit Ihrer/Ihrem IKT-Verantwortlichen, über welche Sicherheitsvorfälle Sie zwingend informiert werden müssen. Dies gilt für Vorfälle, welche Ihre eigene Infrastruktur betreffen, sowie diejenigen des IKT-Dienstleistungsunternehmens.

Eine gute Strategie gegen Cyberangriffe beginnt vor dem eigentlichen Vorfall: Eingespielte Prozesse und Eskalationspfade sind unabdingbar, um die Kontrolle zu behalten.

Definieren Sie, welche Logdateien (Ereignisprotokolldateien) gespeichert werden und wie lange. Am besten geschieht dies an einem zentralen Ort. Umfangreiche Logdaten helfen, den Ursprung eines Angriffs zu erkennen, Informationen über infizierte Systeme im eigenen Netzwerk zu erhalten und geeignete Gegenmassnahmen zu ergreifen. Aufgrund ihrer Wichtigkeit keineswegs zu vernachlässigen sind bei Logdateien auch die datenschutzrechtlichen Aspekte. Klären Sie Fragen zu Logdateien und zur Detektion von Angriffen mit Ihrer/Ihrem IKT-Verantwortlichen.

Führen Sie eine Daten- und Informationsinventur durch und definieren Sie besonders schützenswerte Elemente. Erstellen Sie ein Schutzkonzept für diese Elemente. Für kantonale und kommunale Datenschutzbestimmungen konsultieren Sie die Webauftritte Ihres Kantons und Ihres Gemeindeverbandes.

Überlegen Sie genau, welche Informationen Sie auf der eigenen Website oder in sozialen Medien offenlegen, denn diese werden von Kriminellen gesammelt. Insbesondere die für die Finanzgeschäfte zuständige Person in der Verwaltung, die Zugriff auf das E-Banking hat, sollte nicht auf der Website aufgeführt sein. Über unpersönliche Kanäle, zum Beispiel Telefon oder E-Mail, sollten grundsätzlich keine vertraulichen Informationen und Daten weitergegeben werden. Vertrauliche Informationen sollten konsequent verschlüsselt oder mit Briefpost an externe Stellen gesendet werden.

Seien Sie vorsichtig bei der Verwendung von Cloud-Diensten. Diese werden von vielen Programmen genutzt. Überlegen Sie sich, welche Daten lokal und welche in der Cloud gespeichert werden sollen. Legen Sie sensible Daten nie unverschlüsselt in einer Cloud ab. Lesen Sie vor der Nutzung eines Clouddienstes die Allgemeinen Geschäftsbedingungen (AGB) des anbietenden Unternehmens und achten Sie auf die Datenschutzbestimmungen. Daten dürfen nicht weitergegeben werden, zum Beispiel für wirtschaftliche Zwecke. Fragen Sie bei Ihrer Datenschutzaufsichtsstelle nach.

Hilfsmittel zum Datenschutz und eine Auflistung der jeweiligen Aufsichtsstellen finden Sie auf der Website der Konferenz der schweizerischen Datenschutzbeauftragten:  
www.privatim.ch

Definieren Sie verbindliche Passwortregeln und setzen Sie diese auch gegenüber Mitarbeitenden konsequent durch. Die Mindestlänge eines Passwortes sollte bei zwölf Zeichen liegen und das Passwort sowohl aus grossen und kleinen Buchstaben, Zahlen wie auch Sonderzeichen bestehen. Idealerweise ist es zufällig generiert und bezieht sich nicht auf persönliche Informationen, zum Beispiel Namen oder Geburtsdatum.

Zusätzlichen Schutz bietet eine Zwei-Faktor-Authentisierung.

Vermeiden Sie unbedingt die Mehrfachverwendung von gleichen Passwörtern! Wenn es schwierig ist, sich mehrere Passwörter zu merken, sollten Sie einen Passwortmanager benutzen.

Befolgen Sie diese Regeln, ist eine zyklische Passwortänderung nicht zwingend. Passwörter müssen aber spätestens dann gewechselt werden, wenn sie Dritten bekannt sein könnten oder wenn Mitarbeitende nicht mehr bei der Gemeinde tätig sind.

Häufig gelangt Schadsoftware durch E-Mail-Anhänge, getarnt als angebliche Rechnungen oder Bewerbungen, auf Ihren Computer. Blockieren Sie den Empfang von gefährlichen E-Mail-Anhängen. Eine ausführliche, aktualisierte Liste solch gefährlicher Anhänge finden Sie unter Informationen zum GovCERT. Stellen Sie sicher, dass keine Makros in Office-Dokumenten unsicherer Herkunft ausgeführt werden können. Besprechen Sie dies mit Ihrer/Ihrem IKT-Verantwortlichen.

Definieren Sie Kommunikationswege, wie Mitarbeitende verdächtige Vorkommnisse (E-Mail, Computer, Telefonanrufe usw.) melden können, und aktivieren Sie, falls möglich, eine Funktion für die Meldung von dubiosen E-Mails.

Kommunizieren Sie auch achtsam mit Bürgerinnen und Bürgern. Versenden Sie E-Mails nur im Textformat und gehen Sie mit Anhängen sparsam um. Vermeiden Sie Office-Dokumente mit Makros und benutzen Sie stattdessen PDF-Dokumente. Legen Sie Links offen und verlinken Sie nicht auf Websites, die Benutzername, Passwort oder andere Daten verlangen. Betrügerische E-Mails sind mehrheitlich unpersönlich angeschrieben; schreiben Sie Bürgerinnen und Bürger möglichst mit Vor- und Nachnamen an.

Verwenden Sie für Zahlungen einen separaten Computer, auf welchem Sie nicht im Internet surfen oder E-Mails empfangen. Sprechen Sie mit Ihrer/Ihrem IKT-Verantwortlichen über die Möglichkeit, Ihre Online-Zahlungen in einem von den restlichen Anwendungen abgegrenzten Bereich (Sandboxing) oder in einem dedizierten, besonders geschützten virtualisierten System zu tätigen.

Klären Sie sämtliche Prozesse, welche den Zahlungsverkehr betreffen. Diese müssen von den Mitarbeitenden in allen Fällen eingehalten werden, zum Beispiel mit dem Vier-Augen-Prinzip und/oder einer Kollektivunterschrift: Hier müssen Zahlungen vor der Auslösung zusätzlich von einem oder einer anderen E-Banking-Nutzer/-in visiert werden. Dies gilt insbesondere, wenn mehrere Mitarbeitende zahlungsberechtigt sind. Sprechen Sie mit Ihrer Bank über mögliche Sicherheitsmassnahmen.

Dokumentieren Sie Ihre IKT-Infrastruktur in einer möglichst detaillierten Inventarliste. Nur wenn Sie Ihre IKT-Infrastruktur, Ihre Services, Rechner, User usw. kennen, wissen Sie auch, was Sie schützen und überwachen müssen. Insbesondere sollten Sie wissen, welche Systeme am Internet angeschlossen und somit öffentlich sichtbar sind. Diese Systeme müssen besonders gut geschützt werden.

Definieren Sie einen Prozess, der die regelmässige Datensicherung (Back-up) regelt, und halten Sie diesen konsequent ein. Überlegen Sie sich, wie viele Tage Datenverlust Sie verkraften können, und lagern Sie eine zusätzliche Kopie Ihres Backups getrennt (offline) und ausser Haus (offsite) aus. Üben Sie und Ihre Stellvertretung von Zeit zu Zeit das Einspielen von Backups, sodass Sie im Ernstfall mit dem Prozess vertraut sind. Bewahren Sie Vorgängerversionen des Backups über einen mehrmonatigen Zeitraum auf.

Veraltete Software ist ein beliebtes Einfallstor für Schadsoftware. Stellen Sie sicher, dass Ihre Systeme auf dem aktuellsten Stand sind. Dies gilt auch für das Content Management System (CMS), also das Website-Verwaltungssystem Ihres Webauftritts. Die meisten CMS bieten eine einfach zu aktivierende, automatische Update-Funktion an.

Installieren Sie auf jedem Computer einen Virenschutz und aktivieren Sie den Echtzeitschutz.

Sorgen Sie dafür, dass dieser sich regelmässig aktualisiert und täglich einen vollständigen System-Scan durchführt.

Schützen Sie Fernzugriffe auf Ihr Netzwerk keinesfalls mit einer einfachen Authentisierung (Benutzername und Passwort). Nutzen Sie mindestens eine Zwei-Faktor-Authentisierung oder setzen Sie eine sichere Verbindung über ein virtuelles privates Netzwerk (VPN) ein. Dies gilt auch für den Zugriff von externen IKT-Verantwortlichen.