Stellen Sie sich vor, Sie erhalten von Ihrem Arbeitgeber nachts um 3 Uhr ein Mail. Sie werden dazu aufgefordert, ihr Kennwort anzugeben. Würden Sie es tun? Zwischen 10 und 20 Prozent der Basler Kantonsangestellten haben es gemacht. Sie fielen einem Cyber-Angriff, einer sogenannten Phishing-Attacke zum Opfer. Dabei beherbergt der Kanton sensible Daten – von Steuererklärungen über Strafregister bis Informationen aus dem Sicherheitsbereich.

Verwaltung liegt gut im Schnitt

Zum Glück ist die Bedrohung nicht echt: Die Verwaltung wird derzeit einer Sicherheitsübung unterzogen. Deren erster Höhepunkt war vergangene Woche ein Mail, das an sämtliche Mitarbeiter aller Departemente versendet wurde. In der Aufmachung glich es den üblichen Mitteilungen aus der IT – doch in Wahrheit steckte eine externe Firma dahinter. «Diese hat die Aufgabe, Schwachstellen in der Verwaltung aufzudecken», sagt Pascal Reiniger, zuständig für Informationssicherheit im Kanton.

Um sich einen ersten Überblick zu verschaffen, wie es um das Bewusstsein dafür bei den Kantonsmitarbeitern bestellt ist, hat er die Aktion an den Anfang einer gross angelegten Übung gesetzt. Noch steht eine abschliessende Analyse aus. Doch die Dimensionen sind bekannt. «Ein gutes Ergebnis, wir waren vom Erfolg überrascht», sagt Reiniger. Es war die erste Übung in der Verwaltung, in der Privatwirtschaft sind solche inzwischen aber durchaus üblich. Erfahrungsgemäss tappten bei vergleichbaren Bedingungen bis weit über 50 Prozent der Angestellten in eine solche Falle – sofern die Phishing-Methode nicht zu durchsichtig ist. War sie in diesem Fall aber wohl nicht. Die Beamten wurden zur Teilnahme an einer Umfrage aufgefordert; am Ende mussten sie ihr Passwort «zur Überprüfung der Sicherheit» eingeben.

Es sei «fahrlässig», solch einem Link zu folgen und sensible Daten extern anzugeben «ohne Identifikation respektive Rücksprache mit dem Absender», sagt David Schneider. Er sitzt in der Geschäftsleitung von Primetrack, einer grossen Basler IT-Firma. Dennoch sagt auch er: «Die Basler Verwaltung hat sicher nicht schlecht abgeschnitten.» Auch der Zeitpunkt sei nicht abwegig: «Solche Massenmails werden oft abseits der Bürozeiten versendet.» Nur eine Handvoll Personen war eingeweiht.

Grosse Kampagne

Seit fünf Monaten ist Reiniger Beauftragter für Informationssicherheit beim Kanton Basel-Stadt. Er will die Verwaltung diesbezüglich auf Vordermann bringen: «Heutzutage reicht es einfach nicht, eine Firewall und einen Virenschutz aufzubauen», sagt er. «Gestartet haben wir mit einer Plakatekampagne.» In verschiedensten Gebäuden der Verwaltung werden Mitarbeiter seit Januar darauf sensibilisiert, die Datensicherheit beim Kanton zu erhöhen.
Reiniger will zudem vermehrt Schulungen für die Beamten anbieten. Davon könnten wohl auch jene profitieren, die ihm jetzt auf den Leim gegangen sind. Wer das ist, bleibt aber unbekannt, die Daten landeten verschlüsselt bei den Experten. Nicht mal Reiniger weiss es. Deshalb lässt sich auch nicht abschätzen, wie hoch die virtuelle Gefahr einzuschätzen war.

Sicher ist: Für Vieles reicht es nicht, einfach nur die Login-Daten von Kantonsangestellten zu besitzen. «Um ans Ziel zu kommen und Schaden anzurichten, benötigen die Angreifer noch die richtigen technischen Mittel und das Wissen, um sich von aussen mit dem Netzwerk zu verbinden und die weiteren internen Schutzmassnahmen zu überwinden», sagt Reiniger. Die Systeme mit kritischen Inhalten würden zudem besonders geschützt. Die betroffenen Mitarbeiter mussten ihre Passwörter ändern. Inzwischen sind aber die «gefischten» Daten gelöscht.