Das es passiert, war eine Frage der (eher kurzen) Zeit. Wo und bei wem es passiert, war eher Zufall und hätte bei jedem der sieben Departemente des Kantons Basel-Stadt geschehen können. Ein Angriff auf die Daten des Kantons mit Erpressungsversuch und Veröffentlichungen der Daten von Einwohnerinnen und Einwohnern ist jetzt beim Erziehungsdepartements passiert und löst ein ungutes Gefühl aus. Ob jetzt bei den Finanzen, der Gesundheit, dem Sozialen oder sonst einem Department es wären immer sensible Daten gestohlen worden und hätte ein ungutes Gefühl hinterlassen.
Warnende Rufe hat es alleine in den eineinhalb Jahren, in denen ich jetzt im Grossen Rat das digitale Geschehen beobachte mehr als genug gegeben. Regelmässig warnen die diversen Aufsichtsorganisationen bei der Kantonalen IT über schleppende Einführung von Warnsignalen, schlecht überwachte Gesamtsysteme und kaum vorhandenem Training der Mitarbeitenden. Ich beobachte sogar, wie die Einführung von IT-Sicherheit aktiv, oft unter dem Vorwand, dass man schon wisse, was man mache und sehr oft auch mit dem Hinweis auf Personalmangel, verschleppt und behindert wird. Gross angelegte Simulationen im echten Modus, wo zum Beispiel falsche Mails verschickt werden, um die Aufmerksamkeit der Mitarbeitenden zu schärfen (bug bounty) sind meines Wissens noch nicht gemacht worden, wenn dann nur im kleinen. Was vor allem fehlt, ist eine gesamtregierungsrätliche, kantonale Strategie. Nicht nur dass jedes Department seine eigenen IT-Verantwortlichen hat, das geht teilweise sogar bis tief in die Abteilungen hinein. Wenn dann die linke Hand nicht weiss, was die rechte macht oder sie sich sogar noch gegenseitig bekämpfen, dann haben es Angreifer wirklich einfach. Der Kanton muss endlich begreifen, dass Datensicherheit eine übergreifende Disziplin ist und die Legislative muss das unterstützen und fordern. Genau das habe ich in der ursprünglichen Motion, die dann, aus formal-politischen Gründen, in einen Anzug umgewandelt wurde gefordert: „Anzug Philip Karger und Konsorten betreffend Stärkung der Cybersicherheit für Staatliche Verwaltungen, Firmen und Privaten in Basel-Stadt“. Der Anzug wurde am 29.8.2022 überwiesen, seither ist es ruhig geblieben. Die Regierung hat ja zwei Jahre Zeit, um eine Antwort zu schreiben. Genau das „Zeit“ haben wir eben nicht! Auch wenn kein Lösegeld für das nicht veröffentlichen von Daten bezahlt wurde, der Kanton Basel-Stadt ist jetzt im Fokus der Cyberkriminellen und früher oder später wird er mit Daten erpresst, die wirklich nicht veröffentlicht werden dürfen und dann fliesst Geld.
Es geht mir in keiner Weise um Departementbashing. Es geht mir um die Sicherheit der persönlichen Daten der Menschen, die in Basel-Stadt in irgendeiner Weise registriert sind. Keiner von uns möchte seine Steuererklärung offen im Internet sehen, seine Gesundheitsdaten einfach jedem zeigen oder seinen Leumund bekannt geben. Die Ausreden aus der Politik, die jetzt herumgereicht werden, sind eben nichts anderes als Ausreden, ein Zeichen von Unwissen, Hilflosigkeit und nachreden. Ich bin auch nicht der Spezialist, aber ich hinterfrage und höre den Spezialisten zu. Das Schlimmste, was ich immer höre, ist das Märchen, dass die Daten ja im Darknet auftauchen und dort schwierig zu finden sind. Das ist eine Schutzbehauptung und eine unbeholfene Ablenkung des eigenen Unwissens oder der eigenen Unfähigkeit. Wer solche Behauptungen aufstellt tut das entweder um sich nicht näher mit dem Problem beschäftigen zu müssen oder er beweist, dass er sich nicht qualifiziert oder sich nicht mit der Materie von Cyberkriminalität beschäftigt. Das Darknet ist einfach eine Tür mit einem Schloss (Thor-Browser) weiter wie das Internet, der Schlüssel zu dieser extra Tür steckt im Schloss und muss nur gedreht werden. Auch die Menge der Daten stelle ein Hindernis dar und helfe damit zu verhindern, dass Informationen über einzelne Personen öffentlich werden, wird erzählt. Vielleicht können sich die Menschen, die das Behaupten nicht vorstellen, dass ein Computer mehr als schreiben und Filme zeigen kann. Schon nur alleine die Microsoft Programme sind so enorm mächtig, dass sie riesige Tabellen verarbeiten und auswerten können. Kein Problem Daten herunterzuladen (die Verbindungen sind schnell genug), sie nach Namen zu sortieren, einzelne auszuwählen und dann anstellen damit, was immer man will.
Ich hoffe, dass dieser Angriff (es ist ja nur ein behördliches Beispiel für sehr viele Angriffe auf die Privatwirtschaft) ein Umdenken bewirkt! Jetzt müssen die Behörden und die PolitikerInnen handeln. Es ist Zeit für ein unabhängiges Aufsichtsgremium (analog der Finanzaufsicht), in dem auch externe Spezialisten sitzen. Dieses Gremium muss verfügende Gewalt haben, in Rekordzeit eine Cyberabwehr Strategie erarbeiten und die Umsetzung überwachen. Das wird viel Geld und Arbeitszeit kosten. Es wird aber auch ein Standortvorteil sein, denn nur dort wo Menschen sicher leben, fühlen Sie sich wohl.
Dass ich als liberaler Politiker hier eine reine staatliche Stelle fordere ist nur logisch. Sicherheit (wir müssen endlich begreifen, dass hier die Cybersicherheit ganz normal dazugehört) ist eine staatliche Aufgabe!
Lieber Philip, als alter IT-Fuchs wusstest Du schon seit langem, wie wichtig ein Sicherheitsdispositiv für die kantonale Informatik ist. Deine Intervention überzeugt mich!