Cyberangriffe auf die Verwaltungen von Schweizer Städten und Gemeinden sind heute eine allgegenwärtige Bedrohung. Allein die Stadt Bern wehrte letztes Jahr rund 23 Millionen Cyberangriffe ab. Die IT-Abteilungen von Städten und Gemeinden sind permanent im Verteidigungsmodus. Im Dezember 2023 traf es die Stadt Baden: Teile eines gestohlenen Datensatzes tauchten im Darknet auf. Gefordert waren die Informatikdienste auch in der internen und externen Kommunikation. Florian Nyffenegger, Leiter Digitale Transformation der Stadt Baden, beschreibt, wie er den Angriff erlebt hat. 

Die Meldung, die jeder Verantwortliche fürchtet: Am Morgen des 4. Dezembers 2023 erreichte uns die Nachricht, dass Daten aus unserem Netzwerk im Darknet aufgetaucht seien. Sofort schossen uns folgende Fragen durch den Kopf: Was war passiert? Welche Daten sind betroffen? Sind es tatsächlich Daten von uns? Und vor allem: Wie gross ist das Ausmass?

Die ersten Schritte in der Krise: Zusammenarbeit ist der Schlüssel 
Umgehend beriefen wir den Krisenstab ein. Er besteht aus IT-Leitung, Technikern, Vertreterinnen und Vertretern der Verwaltung, mir als Sicherheitsverantwortlichem sowie internen und externen Kommunikationsspezialisten. Ebenso holten wir unverzüglich externe Forensik-Spezialisten ins Boot. Eine gründliche Analyse unserer Systeme und Logs wurde eingeleitet, parallel dazu initiierten wir Recherchen im Darknet, um an den Original-Datensatz zu gelangen. In einem virtuellen Round Table konnte jeder seine Expertise direkt einbringen, Informationen wurden umgehend geteilt. Entscheidungen konnten schnell und direkt getroffen werden, denn in der Krise zählt jede Sekunde.

Kommunikation in unsicheren Zeiten 
Eine der grössten Herausforderungen bestand darin, so transparent wie möglich zu kommunizieren, ohne auf blosse Vermutungen zurückzugreifen. Dies war besonders schwierig, da die Öffentlichkeit detaillierte Informationen erwartete, die wir zu diesem Zeitpunkt jedoch noch nicht liefern konnten. Wir verfügten bis dahin lediglich über einen Screenshot aus dem Darknet als «Beweis». Ein Vergleich mit den Datenbankstrukturen unserer Kernsysteme brachte schliesslich den Durchbruch: Wir erkannten, dass es sich um Daten aus unserem ERP-System handeln musste. Nun stand die Frage im Raum, welche Arten von Daten betroffen waren, insbesondere welche Metadaten.

Die ersten gesicherten Erkenntnisse
Unsere Spezialisten konnten den Datensatz beschaffen, ohne dafür zu bezahlen, und begannen unverzüglich mit der Analyse: ein äusserst komplexer und zeitintensiver Prozess aufgrund strenger Sicherheitsvorkehrungen und isolierter Systeme. Nach einer Phase höchster Anspannung erhielten wir endlich die erste gesicherte Information: Es war lediglich ein Teildatensatz betroffen, etwa fünf Prozent unserer Produktivdatenbank. Das war zunächst eine Erleichterung.
Die Spezialisten suchten weiter und fanden eine Verbindung zu einem früheren Vorfall. Die IT hatte damals schnell reagiert und die Systeme sofort vom Netz genommen, was einen grösseren Schaden verhinderte. Die Security-Experten hatten damals in der Analyse zum Vorfall keinen Datenabfluss feststellen können. Nun wurde klar, weshalb: Die betroffene Datenmenge war zu gering, um von den Monitoring-Systemen bemerkt zu werden.

Die Öffentlichkeit informieren
Es folgten die umfassende Kommunikation nach innen und der Schritt an die Öffentlichkeit. Auch dafür holten wir uns externe Hilfe. Wir publizierten mehrere Medienmitteilungen, standen den Medien Rede und Antwort und informierten im städtischen Einwohnerrat.
Jeder potenziell Betroffene hatte das Recht zu erfahren, ob seine Daten im kompromittierten Datensatz enthalten waren. Um den Anfragen besorgter Bürgerinnen und Bürger gerecht zu werden, richteten wir ein Meldeformular und eine Telefon-Hotline ein. Auch das war eine komplexe Aufgabe, da der Prozess eine Verifizierung der Anfragenden mittels Identitätsprüfung umfasste. Schliesslich konnten aber alle Bürgeranfragen abgearbeitet werden, und der Fall wurde mit der letzten Medienmitteilung vom 4. März nach aussen abgeschlossen.

Mit der Krise rechnen: Vorbereitung ist das A und O
Bereits vor diesem Angriff hatten wir umfassende Sicherheitsmassnahmen ergriffen und die bestehenden Massnahmen laufend verschärft. Einiges war zum Zeitpunkt des Vorfalls bereits umgesetzt, andere Massnahmen erst in Planung. Grundsätzlich verbessern die städtische IT und die Verwaltung ihre Prozesse, Massnahmen und Technologien kontinuierlich.

Die Ereignisse haben uns gelehrt, wie bedeutsam eine gute Vorbereitung ist. Ein eingespielter Krisenstab, wirksames Monitoring und feste Vereinbarungen mit Spezialisten sind unerlässlich – im Krisenfall will man nicht erst ein Service Level Agreement verhandeln. Auch waren wir froh um jede bereits umgesetzte oder geplante Sicherheitsmassnahme. Schliesslich konnte diese Krise nur dank des aussergewöhnlichen Einsatzes aller Beteiligten – praktisch 24/7 – bewältigt werden.
Zurück bleibt ein Gefühl der Erleichterung, richtig gehandelt zu haben. Aber ebenso die Gewissheit, dass der nächste Angriff nur eine Frage der Zeit ist.