Um die IT-Sicherheit der Verwaltung in Basel-Stadt steht es nicht gut. Dies lässt sich dem Tätigkeitsbericht der kantonalen Finanzkontrolle für das Jahr 2022 entnehmen. Laut der Beurteilung der Kommission kann ein "ordnungsgemässer IT-Betrieb und damit die Ordnungsmässigkeit der IT-Systeme in der kantonalen Verwaltung nicht flächendeckend und systematisch nachgewiesen werden".

Das ist äusserst schönfärberisch ausgedrückt. Gerade vor dem Hintergrund, dass im Frühling sensible Personendaten des kantonalen Erziehungs­depar­tements im Darknet aufgetaucht sind. Die Bildungsbehörde wurde zuvor von der Cyberbande Bianlian gehackt. Insgesamt 1,2 Terabyte an Daten wurden veröffentlicht.

Das Erziehungsdepartement betreibt laut 'BZ' (Paywall) ein eigenes IT-System. Trotzdem lässt die Finanzkontrolle kein gutes Haar an der kantonalen Informatiksicherheit. Das Grundproblem besteht demnach in der Organisation.

In Basel ist IT BS als zentrale Einheit für die technische Grundversorgung der Verwaltung zuständig. Für die Umsetzung von Securitymassnahmen sind die einzelnen Dienststellen jedoch selbst verantwortlich. Dabei haben sie gemäss der Finanzkontrolle "zu wenig" oder gar "keine IT-Kompetenzen im Bereich IT-Sicherheit".

Das sind keine guten Voraussetzungen, um sensible Daten zu verwalten. Gemäss dem Tätigkeitsbericht fehlt auch eine "adäquate Risikobehandlung" in den einzelnen Verwaltungseinheiten.

Daniel Dubois, Leiter der Finanzkontrolle, sagte gegenüber 'BZ': "Unser Tätigkeitsbericht lässt den Schluss zu, dass bei der Verwaltung für komplexe Angelegenheiten wie die IT-Sicherheit die Kräfte gebündelt werden sollten. Eine Lösung wäre, dass IT BS als interner Informatikdienstleister mehr Kompetenzen erhalten würde." So könnten Synergien genutzt und Effizienzsteigerungen erreicht werden.

Die Finanzkontrolle kann einen solchen Schritt aber nicht anordnen. Sie kann als unabhängige Aufsichtsstelle lediglich Prüfungen durchführen und Empfehlungen aussprechen. Für die Organisation der Verwaltung ist schlussendlich der Regierungsrat zuständig.

IT BS gesteht gegenüber 'BZ' ein, dass beim IT-Betrieb und bei der Zusammen­arbeit Verbesserungsbedarf besteht. Dienststellenleiter Stefan Magnanelli sagte der Zeitung, dass dies auch vom Regierungsrat festgestellt wurde. "Deshalb hat der Kanton ein Programm gestartet, um die gesamtkantonale IT-Strategie und die IT-Governance unter die Lupe zu nehmen", wird er zitiert.

Derzeit laufe ein mehrjähriges Programm, bei dem es um die Umsetzung von Vorgaben zur Informationssicherheit gehe. Auf technischer Ebene würden die Systeme laufend ausgebaut und verbessert. Zudem befindet sich das kantonale Security Operation Center im Aufbau.