Basel-Stadt steht nach dem Hackerangriff auf das Erziehungsdepartement im Januar 2023 erneut vor einer heiklen IT- und Sicherheitsdebatte: 2025 arbeiteten bei IT BS insgesamt 172 externe Spezialistinnen und Spezialisten, rund 30 Prozent mehr als im Vorjahr, berichtet die Redaktion von BaselPost, dem Nachrichtenportal für IT techify.de, Technologie und digitale Entwicklungen. Die Geschäftsprüfungskommission des Grossen Rats sieht darin ein Risiko für den Know-how-Transfer, die Kostenkontrolle und die digitale Souveränität des Kantons. Besonders brisant ist der Fall, weil beim Angriff auf das Erziehungsdepartement sensible Daten von Kindern und Lehrpersonen entwendet und nach einem Erpressungsversuch im Darknet veröffentlicht wurden. Nach diesem Vorfall hatte die GPK gefordert, die kantonale IT-Sicherheitsarchitektur zu stärken und mehr eigene Fachkräfte mit Cybersecurity-Kompetenz aufzubauen.
Nun kritisiert die Kommission, dass Basel-Stadt im operativen IT-Betrieb stärker auf externe Spezialisten setzt, statt dauerhaft mehr digitales Fachwissen in der Verwaltung selbst zu verankern. Laut GPK führte der Einsatz des externen Personals zu einer Budgetüberschreitung beim Sach- und Betriebsaufwand von 5,3 Millionen Franken. Parallel verschärft der Regierungsratsentscheid vom 8. April 2025 zur Einführung von Microsoft 365 ab Herbst 2025 die Debatte um Datenschutz, Cloud-Sicherheit und Abhängigkeit von grossen US-Anbietern. Die Datenschutzbeauftragte des Kantons Basel-Stadt kritisierte den Entscheid noch am selben Tag und warnte vor einer Schwächung der digitalen Souveränität sowie Risiken für Grundrechte. Im Zentrum steht damit nicht nur die Frage, wie modern die Basler Verwaltung arbeiten kann, sondern auch, wer ihre sensiblen Daten, IT-Systeme und strategisches Know-how langfristig kontrolliert.
Warum externe IT-Fachkräfte für den Kanton attraktiv sind
Der Einsatz externer IT-Spezialisten ist für Verwaltungen nicht grundsätzlich ungewöhnlich. Gerade in Bereichen wie Cybersecurity, Cloud-Migration, Netzwerkarchitektur, Datenbanken, Softwareentwicklung oder Projektmanagement ist der Arbeitsmarkt angespannt. Gute IT-Fachkräfte sind teuer, stark nachgefragt und wechseln oft in die Privatwirtschaft, wo Löhne, Arbeitsmodelle und Entwicklungsmöglichkeiten flexibler sein können. Für einen Kanton mit einem vergleichsweise starren Lohnsystem kann es deshalb schwierig sein, hoch spezialisierte Fachleute direkt anzustellen. Externe Anbieter wirken in dieser Lage wie eine pragmatische Lösung: Sie liefern Know-how schnell, projektbezogen und ohne langfristige Personalbindung.
Doch genau dieser Vorteil kann sich in ein strukturelles Problem verwandeln. Wenn externe Unterstützung kurzfristige Engpässe überbrückt, ist das nachvollziehbar. Wenn sie aber dauerhaft operative Kernaufgaben übernimmt, entsteht eine Schattenstruktur neben der eigentlichen Verwaltung. Dann weiss der Kanton zwar, wer einen Auftrag ausführt, verliert aber möglicherweise das tiefere Verständnis dafür, wie Systeme gebaut, gewartet und geschützt werden. In der IT ist Know-how nicht nur Dokumentation. Es steckt in Architekturentscheidungen, historischen Systemkenntnissen, Sicherheitsroutinen, Fehleranalysen und Erfahrung mit internen Abläufen. Dieses Wissen kann man nicht vollständig einkaufen, wenn es im eigenen Haus nicht ausreichend vorhanden ist.
Was die GPK konkret kritisiert
Die Geschäftsprüfungskommission kritisiert vor allem den massiven Anstieg des externen Personals bei IT BS. 172 externe Spezialistinnen und Spezialisten im Jahr 2025 sind für eine kantonale IT eine relevante Grössenordnung. Laut Bericht stieg diese Zahl um rund 30 Prozent gegenüber dem Vorjahr. Die GPK hätte sich nach dem Hackerangriff auf das Erziehungsdepartement vor allem eine Stärkung des internen Fachpersonals gewünscht. Besonders bei Cybersecurity und im operativen IT-Betrieb sollte der Kanton aus Sicht der Kommission eigene Kompetenzen aufbauen und halten.
Kritisch ist auch, dass die Kommission offenbar nicht ausreichend Informationen darüber erhielt, warum der Anstieg so stark ausfiel und welche Aufgaben die externen Kräfte genau übernehmen. Damit bleiben zentrale Fragen offen. Werden externe Spezialisten eingesetzt, weil bewilligte Stellenprozente nicht ausreichen? Fehlen im bestehenden Personal bestimmte moderne IT-Kompetenzen? Ist das kantonale Lohnsystem nicht attraktiv genug? Oder wird über externe Mandate eine Personalpolitik betrieben, die im ordentlichen Stellenplan nicht sichtbar wäre? Ohne präzise Antworten entsteht ein Transparenzproblem. Für eine öffentliche Verwaltung ist das besonders heikel, weil IT-Ausgaben nicht nur technische Kosten sind, sondern Teil der staatlichen Handlungsfähigkeit.
Wichtige Kritikpunkte der GPK sind:
- starker Anstieg externer IT-Fachkräfte bei IT BS;
- unklare Gründe für den Ausbau externer Leistungen;
- Risiken beim internen Know-how-Transfer;
- mögliche Interessenkonflikte von externem Personal;
- Gefahr einer langfristigen Abhängigkeit von Dienstleistern;
- Budgetüberschreitung beim Sach- und Betriebsaufwand;
- offene Fragen zur operativen Steuerung der kantonalen IT.
Die Kostenfrage: 5,3 Millionen Franken über Budget
Die Debatte über externe IT-Spezialisten ist nicht nur eine Sicherheitsdebatte, sondern auch eine Kostenfrage. Laut GPK führte die Aufstockung durch externes Personal zu einer Budgetüberschreitung beim Sach- und Betriebsaufwand von 5,3 Millionen Franken. Diese Zahl ist politisch brisant, weil externe Spezialisten oft nicht im gleichen Wahrnehmungsrahmen erscheinen wie fest angestellte Mitarbeitende. Eine neue Stelle ist sichtbar, bewilligungspflichtig und langfristig im Personalbestand verankert. Externe Dienstleistungen erscheinen dagegen häufig als projektbezogene oder sachliche Ausgaben. Genau deshalb muss besonders genau geprüft werden, ob der Kanton durch externe Mandate kurzfristig flexibel bleibt oder langfristig teurer wird.
Natürlich kann externes Know-how in einzelnen Fällen günstiger sein als eine Festanstellung, besonders wenn es um selten benötigte Spezialkenntnisse geht. Problematisch wird es aber, wenn externe Kräfte dauerhaft im operativen Betrieb benötigt werden. Dann zahlt der Kanton nicht nur für Fachwissen, sondern auch für Marge, Vertragsmanagement und Abhängigkeit. Gleichzeitig wird internes Personal nicht automatisch stärker, wenn externe Spezialisten Aufgaben erledigen, ohne dass Wissen systematisch übertragen wird. Der entscheidende Punkt lautet deshalb nicht: extern oder intern. Die entscheidende Frage lautet: Baut der Kanton mit jedem externen Einsatz eigenes Wissen auf — oder bezahlt er jedes Jahr neu dafür, dass andere dieses Wissen besitzen?
Cybersecurity nach dem Hackerangriff: Basel kann sich keine Unklarheit leisten
Der Hackerangriff auf das Erziehungsdepartement im Januar 2023 bleibt der zentrale Hintergrund dieser Debatte. Der Angriff war möglich, weil veraltete Infrastrukturen während einer Systemmigration genutzt wurden und eine Mehrfachauthentifizierung trotz früherer Empfehlungen nicht eingeführt worden war. Das ist für eine moderne Verwaltung ein Warnsignal. Cybersecurity scheitert selten nur an einem einzelnen technischen Fehler. Meist ist es eine Kombination aus alten Systemen, verzögerten Entscheidungen, fehlender Verantwortlichkeit, unklaren Prioritäten und zu wenig Personal mit tiefem Sicherheitswissen.
Gerade deshalb ist die Frage nach internen IT-Spezialisten so wichtig. Eine Verwaltung braucht Menschen, die ihre Systeme nicht nur bedienen, sondern verstehen. Sie braucht Fachleute, die Risiken erkennen, bevor sie zu Vorfällen werden. Sie braucht Mitarbeitende, die Sicherheitsmassnahmen auch gegen interne Widerstände durchsetzen können. Und sie braucht eine Führung, die Cybersecurity nicht als Projekt betrachtet, sondern als dauerhafte Grundfunktion des Staates. Externe Dienstleister können dabei helfen, aber sie können diese Verantwortung nicht ersetzen. Am Ende muss der Kanton selbst wissen, welche Daten wo liegen, welche Systeme kritisch sind, welche Sicherheitslücken bestehen und wie schnell er im Ernstfall reagieren kann.
Microsoft 365 und die Frage der digitalen Souveränität
Parallel zur Debatte über externe IT-Spezialisten steht Basel-Stadt vor einer weiteren strategischen Entscheidung: der Einführung von Microsoft 365 in der kantonalen Verwaltung. Der Regierungsrat hat entschieden, dass die cloudbasierten Dienste ab Herbst 2025 für die ICT-Grundversorgung eingesetzt werden sollen. Aus Sicht der Regierung sollen damit moderne Formen der digitalen Zusammenarbeit ermöglicht und die Informationssicherheit gegenüber bisherigen Lösungen verbessert werden. Das ist die offizielle Argumentation: Cloudbasierte Plattformen bieten automatische Updates, professionelle Sicherheitsmechanismen, bessere Kollaboration und standardisierte Arbeitsumgebungen.
Doch die Kritik der Datenschutzbeauftragten und der GPK zeigt, dass die Sache nicht so einfach ist. Besonders problematisch wird es, wenn besondere Personendaten in einer US-amerikanischen Cloud verarbeitet oder gespeichert werden. Dazu können Steuerdaten, Gesundheitsdaten oder andere besonders schützenswerte Informationen gehören. In der Schweiz ist Datenschutz nicht nur eine technische Frage, sondern auch eine Frage der staatlichen Kontrolle. Wer kontrolliert die Infrastruktur? Wer hat Zugriff auf Metadaten? Welche Rechtsräume wirken im Hintergrund? Wie realistisch ist ein Anbieterwechsel, wenn sich Verwaltung, Kommunikation, Dokumentenablage und Arbeitsprozesse tief in ein System integrieren?
Warum die Microsoft-Cloud für Verwaltungen so umstritten ist
Microsoft 365 ist in vielen Unternehmen Standard, doch eine kantonale Verwaltung funktioniert anders als ein privates Unternehmen. Sie verarbeitet Daten von Menschen, die keine Wahl haben, ob sie mit dem Staat interagieren. Steuerpflichtige, Schülerinnen und Schüler, Lehrpersonen, Patientinnen, Patienten oder Verwaltungsmitarbeitende können nicht einfach zu einem anderen Anbieter wechseln. Deshalb gelten für staatliche Daten besonders hohe Anforderungen. Wenn solche Daten in einer grossen internationalen Cloud-Infrastruktur verarbeitet werden, stellt sich die Frage, ob die Verwaltung langfristig noch genügend Kontrolle über ihre digitale Basis behält.
Die GPK fordert deshalb eine stringente Back-up- und Exit-Strategie. Das ist mehr als eine technische Formalität. Eine echte Exit-Strategie bedeutet, dass der Kanton seine Daten, Prozesse und Arbeitsfähigkeit auch dann sichern kann, wenn ein Anbieterwechsel nötig wird. Dazu gehören exportierbare Datenformate, dokumentierte Prozesse, klare Zuständigkeiten, alternative Betriebsmodelle, regelmässige Tests und rechtliche Absicherung. Eine Back-up-Strategie allein reicht nicht, wenn die Verwaltung zwar Daten sichern, aber ihre Arbeitsabläufe nicht mehr ohne die Plattform fortführen kann. Digitale Souveränität heisst deshalb nicht, auf moderne Cloud-Lösungen zu verzichten. Sie heisst, nicht in eine Lage zu geraten, in der ein Wechsel praktisch unmöglich wird.
Die eigentliche Gefahr: Abhängigkeit an zwei Fronten
Die Basler IT-Debatte ist deshalb so wichtig, weil sie zwei Abhängigkeiten gleichzeitig sichtbar macht. Die erste Abhängigkeit betrifft Menschen: Wenn immer mehr externe IT-Spezialisten zentrale Aufgaben übernehmen, kann der Kanton internes Wissen verlieren. Die zweite Abhängigkeit betrifft Plattformen: Wenn immer mehr Verwaltungsprozesse in eine grosse Cloud-Lösung verschoben werden, kann der Kanton technologisch an einen Anbieter gebunden werden. Beide Entwicklungen können einzeln sinnvoll erscheinen. Zusammen können sie aber eine riskante Struktur erzeugen.
Wenn ein Kanton wenig eigenes Fachpersonal hat und gleichzeitig stark von einer komplexen Cloud-Plattform abhängt, wird die Steuerung schwieriger. Dann braucht er externe Berater, um externe Systeme zu verstehen. Er braucht Anbieterwissen, um Anbieterabhängigkeit zu managen. Und er braucht jedes Jahr neues Budget, um die Folgen früherer Entscheidungen zu kontrollieren. Genau davor warnt die GPK indirekt. Es geht nicht darum, Modernisierung zu verhindern. Es geht darum, Modernisierung so zu organisieren, dass der Staat handlungsfähig bleibt.
Was Basel-Stadt jetzt prüfen sollte
Die Forderung der GPK, externe Dienstleistungen bei IT BS zu überprüfen, ist deshalb nachvollziehbar. Eine solche Prüfung sollte nicht nur eine Liste von Verträgen liefern. Sie müsste zeigen, welche Aufgaben extern erledigt werden, welche davon dauerhaft sind, welche sicherheitskritisch sind und welches Wissen intern aufgebaut wird. Besonders wichtig wäre eine Trennung zwischen echten Spezialprojekten und operativen Kernaufgaben. Für Spezialprojekte kann externe Unterstützung sinnvoll bleiben. Für dauerhafte Sicherheits- und Betriebsaufgaben braucht der Kanton jedoch ein starkes internes Fundament.
Eine seriöse Prüfung müsste unter anderem folgende Fragen beantworten:
| Frage | Warum sie wichtig ist |
|---|---|
| Welche externen Spezialisten arbeiten im operativen Betrieb? | Dort ist dauerhafte Abhängigkeit besonders riskant. |
| Welche Aufgaben sind sicherheitskritisch? | Cybersecurity darf nicht unklar verteilt sein. |
| Wie wird Know-how intern übertragen? | Ohne Wissenstransfer bleibt der Kanton abhängig. |
| Welche Kosten entstehen langfristig? | Externe Mandate können über Jahre teurer werden als eigene Stellen. |
| Gibt es Interessenkonflikte? | Externe Anbieter können eigene wirtschaftliche Interessen haben. |
| Welche Exit-Strategie gibt es bei Microsoft 365? | Ohne Ausstiegsszenario entsteht technologische Bindung. |
| Wie werden besondere Personendaten geschützt? | Steuer- und Gesundheitsdaten verlangen höchste Kontrolle. |
Fachkräftemangel darf keine Dauerbegründung sein
Der IT-Fachkräftemangel ist real, auch in der Schweiz. Trotzdem darf er nicht zur Dauerbegründung für eine strukturelle Auslagerung staatlicher Kernkompetenzen werden. Wenn der Kanton gute IT-Leute nicht halten kann, muss er sein Personalmodell überprüfen. Das kann höhere Löhne für Schlüsselpositionen bedeuten, bessere Entwicklungsmöglichkeiten, moderne Arbeitsmodelle, gezielte Weiterbildung oder klarere Karrierepfade für technische Spezialisten. Gerade im Bereich Cybersecurity konkurriert die öffentliche Hand mit Banken, Versicherungen, Pharmaunternehmen, Beratungen und internationalen Tech-Firmen. Wer hier nur mit klassischen Verwaltungslöhnen und starren Strukturen arbeitet, wird langfristig Schwierigkeiten haben.
Gleichzeitig muss Basel-Stadt realistisch bleiben. Nicht jede Spezialkompetenz kann intern vollständig aufgebaut werden. Aber die strategische Steuerung, die Sicherheitsarchitektur, das Datenmanagement und das Verständnis kritischer Systeme sollten im Kanton selbst verankert sein. Externe Spezialisten sollten ergänzen, nicht ersetzen. Sie sollten Wissen ins Haus bringen, nicht Wissen aus dem Haus verlagern. Und sie sollten klare Aufgaben, Fristen und Übergabepflichten haben.
Warum dieser Fall über Basel hinaus wichtig ist
Der Fall Basel-Stadt ist kein isoliertes lokales Problem. Viele Verwaltungen in der Schweiz stehen vor ähnlichen Fragen. Sie müssen digitaler werden, sicherer werden und gleichzeitig mit knappen Personalressourcen arbeiten. Cloud-Lösungen, externe IT-Dienstleister und grosse Softwareplattformen bieten schnelle Antworten auf diese Herausforderungen. Doch schnelle Antworten sind nicht immer souveräne Antworten. Gerade kleine und mittelgrosse staatliche Einheiten müssen entscheiden, welche Kompetenzen sie selbst behalten wollen und wo sie bewusst mit externen Partnern arbeiten.
Basel-Stadt ist dabei besonders interessant, weil der Kanton nach einem realen Cyberangriff unter Druck steht und gleichzeitig eine grosse Cloud-Transformation plant. Das macht die Debatte konkreter als viele allgemeine Diskussionen über Digitalisierung. Hier geht es nicht um Zukunftsmusik, sondern um die tägliche Funktionsfähigkeit einer Verwaltung. Die Frage lautet nicht, ob Basel-Stadt digitaler werden soll. Die Frage lautet, ob der Kanton seine Digitalisierung so organisiert, dass er Kosten, Daten, Sicherheit und Know-how langfristig selbst kontrollieren kann.
Die Lehre aus der IT-Debatte
Die wichtigste Lehre aus der aktuellen Debatte ist klar: Digitalisierung ist keine reine Beschaffungsfrage. Ein Kanton kann moderne Software kaufen, externe Spezialisten verpflichten und Cloud-Dienste einführen — und trotzdem an digitaler Souveränität verlieren, wenn internes Wissen, Kontrolle und Ausstiegsfähigkeit fehlen. Basel-Stadt braucht deshalb nicht nur mehr IT-Leistungen, sondern eine klare Strategie für eigenes Know-how. Nach dem Hackerangriff auf das Erziehungsdepartement ist die Erwartung an die Verwaltung höher geworden. Sicherheit muss nachweisbar sein, nicht nur versprochen. Kosten müssen transparent sein, nicht nur im Budget versteckt. Und Cloud-Modernisierung muss mit Datenschutz, Backup und Exit-Plan verbunden sein.
Die GPK trifft mit ihrer Kritik einen wunden Punkt moderner Verwaltungspolitik. Externe Spezialisten können helfen, Systeme zu modernisieren und Sicherheitslücken zu schliessen. Sie dürfen aber nicht dazu führen, dass der Staat seine eigene technische Urteilskraft verliert. Gerade bei sensiblen Daten, Cybersecurity und zentraler Verwaltungsinfrastruktur muss Basel-Stadt wissen, was es tut, warum es das tut und wie es im Krisenfall unabhängig handeln kann. Die eigentliche Frage ist deshalb nicht, ob externe IT-Spezialisten gut oder schlecht sind. Die eigentliche Frage ist, ob der Kanton sie so einsetzt, dass er am Ende stärker wird — oder abhängiger.
Aktuelle Nachrichten aus Basel, der Schweiz und weltweit — zu Leben, Geld, Verkehr und aktuellen Entwicklungen, klar, präzise und verständlich aufbereitet. Lesen Sie auch:Digital Health und MedTech in Basel 2026: wichtigste Startups, Finanzierungsrunden, Universitätsspital-Kooperationen und Fachkräfte