Viele Gemeinden sind beim Thema IT-Sicherheit ungenügend aufgestellt. Ohne Inventar, Notfallplan und Schulung bleiben sie leichte Ziele für Angriffe.
Die Gemeindeumfrage 2025 von Myni Gmeind und dem Schweizerischen Gemeindeverband zeigt deutliche Schwächen in der Cybersicherheit vieler Schweizer Gemeinden. Über 600 Gemeinden haben teilgenommen – die Ergebnisse gelten damit als breit abgestützt. Ein zentrales Problem: Ein Drittel der Gemeinden in der Deutschschweiz und fast die Hälfte in der Romandie und im Tessin verfügen über kein vollständiges IT-Inventar. Ohne Übersicht über die eigene Infrastruktur ist kein wirksamer Schutz möglich. Rund 40 Prozent der Gemeinden arbeiten ohne definierte Sicherheitsvorgaben. Es fehlen klare Regeln, Verantwortlichkeiten und Standards. Die Folge: Sicherheitslücken bleiben oft unentdeckt oder werden nicht systematisch angegangen.
Erschreckend ist auch der Mangel an funktionierenden Notfallplänen. Nur etwa die Hälfte der Gemeinden hat Konzepte, wie im Falle eines Angriffs oder Systemausfalls reagiert werden soll. Wer hier unvorbereitet ist, riskiert im Ernstfall handlungsunfähig zu sein.
Hinzu kommt, dass Schulungen zur Cybersicherheit vielerorts vernachlässigt werden. Besonders im Tessin fehlt es an gezielter Weiterbildung für Mitarbeitende. Dabei sind sensibilisierte Mitarbeitende eine der effektivsten Schutzmassnahmen gegen Angriffe. Positiv zu werten ist, dass viele Gemeinden sich Unterstützung wünschen. 46 Prozent signalisierten in der Umfrage Bedarf an externer Hilfe, besonders bei Risikoanalysen, Sicherheitsrichtlinien, Notfallkonzepten und Schulungen. Gleichzeitig zeigt sich: Die Digitalisierung als Ganzes wird nicht infrage gestellt. Über 80 Prozent der Gemeinden sehen darin eine Chance für effizientere Abläufe und besseren Service für die Bevölkerung. Das digitale Mindset ist vorhanden – bei der Absicherung besteht hingegen Nachholbedarf. Fazit: Viele Gemeinden sind sich der Risiken bewusst, handeln aber zu langsam oder ohne Struktur. Es fehlt an Grundlagen wie Inventar, Richtlinien, Notfallplänen und Schulung. Wer Cybersicherheit ernst nimmt, muss hier ansetzen – pragmatisch, verbindlich und mit klaren Verantwortlichkeiten. Nur so wird aus guten Absichten echte Resilienz. (aso)