Zwischen Januar und Februar 2025 haben wir 13 Aargauer Gemeinden und Städte zu den Themen Security-Awareness und Cybersicherheit befragt. Mit fünf Gemeinden wurden persönliche Interviews geführt, weitere acht haben unseren Fragebogen beantwortet. Die wichtigsten Erkenntnisse behandeln wir in diesem Beitrag. Die Auswertung inkl. aller Details kann am Ende des Artikels heruntergeladen werden.
Die Bedrohungslage: Warum Security-Awareness wichtig ist.
Öffentliche Institutionen, unabhängig von ihrer Grösse, rücken zunehmend in den Fokus von Cyberkriminellen. Städte und Gemeinden verwalten grosse Mengen an sensiblen Daten und grundlegende Dienstleistungen hängen von einer funktionierenden IT ab. Gleichzeitig sind ihre IT-Sicherheitsbudgets oft begrenzt und die IT-Abteilung klein. Auch die Auslagerung der Infrastruktur bietet keinen vollständigen Schutz, da der Mensch und das Sicherheitsverhalten der eigenen Mitarbeitenden weiterhin eine zentrale Rolle für die Cybersicherheit spielen.
Ein erfolgreicher Angriff kann nicht nur erhebliche Kosten verursachen, sondern auch das Vertrauen der Bevölkerung beeinträchtigen und die Handlungsfähigkeit der Verwaltung gefährden.
Cybersecurity in Aargauer Städten und Gemeinden: Wo stehen wir?
100 % der befragten öffentlichen Institutionen halten Security-Awareness Trainings für wichtig oder sehr wichtig. 46 % kennen Personen, die bereits Opfern von Phishing geworden sind. Trotzdem konnten wir eine starke Diskrepanz zwischen wahrgenommener Wichtigkeit und gelebter Realität feststellen:
- Nur 53 % führen Security-Awareness-Schulungen durch.
- 86 % dieser Schulungen finden nur einmal jährlich oder seltener statt.
- Nur 13 % der Befragten haben als Sofortmassnahme bei einem Cybervorfall konkrete Massnahmen am eigenen Arbeitsplatz genannt.
Als kritisch erachten wir, dass einige Gemeinden trotz erfolgreichen Phishing-Angriffen keine Schulungsmassnahemn ergriffen haben.
Gründe für seltene oder fehlende Trainings
Folgende Gründe wurden am häufigsten genannt:
- Fehlende Zeit: Klassische Schulungen nehmen oft mehrere Stunden in Anspruch und sind schwer in den Arbeitsalltag zu integrieren.
- Fehlendes Budget / geringe Priorität: Oft wird das Thema erst nach einem Vorfall ernst genommen.
- Zu klein / nicht betroffen: Es wird fälschlicherweise angenommen, dass kleine Gemeinden unaktraktive Ziele und somit weniger gefährdet sind.
Zusätzlich zeigt unsere Erfahrung, dass Fehlvorstellungen über Security-Awareness-Lösungen eine Rolle spielen. Entscheidungsträger, die moderne Lösungen nicht kennen überschätzen oft Aufwand und Kosten, obwohl diese in Wirklichkeit schlank, kostengünstig und effizient sind. Ein Rechenbeispiel anhand von 20 Mitarbeiten:
| Jährliche Schulung vor Ort | Modernes Security-Awareness Training | |
| ⏳ Zeitaufwand | 20 * ca. 4h = 80h Weitere Zeitaufwände für Planung usw... | 20 * 15min * 12 = 60h Kein Mehraufwand da voll automatisiert. |
| 💲 Kosten | CHF 1200 - 3500 | Je nach gewähltem Abo zwischen CHF 850 - 1200 |
| 📖 Inhalte | Präsentation "ab der Stange" | Individueller Trainingsplan |
| 👱 Ein- und Austritte | Zwischenzeitlich eingetretene Mitarbeitende werden nicht geschult. | Sofortiges Onboarding und Trainingsbeginn für alle neuen Mitarbeitenden. |
| ✔️ Funktionen | Höchstens eine nachfolgende Phishing-Simulation | Wiederkehrende Phishing-Simulationen, die das Thema präsent halten, Phishing-Melde-Button, Dark Web Monitoring und weiteres |
Moderne „Human Risk Management“-Ansätze zeigen jedoch, dass Security-Awareness auch mit minimalem Aufwand effektiv vermittelt werden kann. Dazu gehören:
- Kurze, wiederkehrende Schulungseinheiten (max. 15 Minuten)
- Regelmässige Phishing-Simulationen, damit Phishing-Nachrichten besser erkannt werden können
- Integration eines Phishing-Meldebuttons für schnelle Reaktionsmöglichkeiten
- Weitere Funktionalitäten wie das Verwalten von IT-Richtlinien oder Dark Web Monitoring
Fazit
Die Studie macht deutlich: Aargauer Städte und Gemeinden sind sich der Risiken bewusst, aber viele setzen noch nicht ausreichend auf gezielte Schulungen. Dabei sind Massnahmen zur Security-Awareness eine der effektivsten Methoden, um menschliche Fehler – die Hauptursache für Cybervorfälle – zu minimieren.
Mit einem modernen Schulungskonzept, das sich nahtlos in den Arbeitsalltag integrieren lässt, können Gemeinden nicht nur ihre Cybersicherheit stärken, sondern auch langfristig Kosten und Reputationsschäden vermeiden. Es ist an der Zeit, Security-Awareness als festen Bestandteil jeder Cyberstrategie zu etablieren.
*1 2021 Verizon Data Breach Investigations Report
*2 Homeoffice und Cybersicherheit in Schweizer KMU – Studie 2023
*3 KMU-Portal des SECO
*2 Homeoffice und Cybersicherheit in Schweizer KMU – Studie 2023
*3 KMU-Portal des SECO
Ergebnisse anzeigen
Laden Sie unsere Auswertung der Umfrage herunter.