Basler Finanzkontrolle rügt IT-Sicherheit der Verwaltung

26. September 2023 um 13:23
  • security
  • Kanton
  • Verwaltung
  • Schweiz
image
Foto: Karim Imanuel Fox / Unsplash

Ein ordnungsgemässer IT-Betrieb kann in der kantonalen Verwaltung "nicht flächendeckend und systematisch nachgewiesen werden", heisst es im Tätigkeitsbericht der Behörde.

Um die IT-Sicherheit der Verwaltung in Basel-Stadt steht es nicht gut. Dies lässt sich dem Tätigkeitsbericht der kantonalen Finanzkontrolle für das Jahr 2022 entnehmen. Laut der Beurteilung der Kommission kann ein "ordnungsgemässer IT-Betrieb und damit die Ordnungsmässigkeit der IT-Systeme in der kantonalen Verwaltung nicht flächendeckend und systematisch nachgewiesen werden".
Das ist äusserst schönfärberisch ausgedrückt. Gerade vor dem Hintergrund, dass im Frühling sensible Personendaten des kantonalen Erziehungs­depar­tements im Darknet aufgetaucht sind. Die Bildungsbehörde wurde zuvor von der Cyberbande Bianlian gehackt. Insgesamt 1,2 Terabyte an Daten wurden veröffentlicht.
Das Erziehungsdepartement betreibt laut 'BZ' (Paywall) ein eigenes IT-System. Trotzdem lässt die Finanzkontrolle kein gutes Haar an der kantonalen Informatiksicherheit. Das Grundproblem besteht demnach in der Organisation.

Mit Security überfordert

In Basel ist IT BS als zentrale Einheit für die technische Grundversorgung der Verwaltung zuständig. Für die Umsetzung von Securitymassnahmen sind die einzelnen Dienststellen jedoch selbst verantwortlich. Dabei haben sie gemäss der Finanzkontrolle "zu wenig" oder gar "keine IT-Kompetenzen im Bereich IT-Sicherheit".
Das sind keine guten Voraussetzungen, um sensible Daten zu verwalten. Gemäss dem Tätigkeitsbericht fehlt auch eine "adäquate Risikobehandlung" in den einzelnen Verwaltungseinheiten.

Kräfte bündeln

Daniel Dubois, Leiter der Finanzkontrolle, sagte gegenüber 'BZ': "Unser Tätigkeitsbericht lässt den Schluss zu, dass bei der Verwaltung für komplexe Angelegenheiten wie die IT-Sicherheit die Kräfte gebündelt werden sollten. Eine Lösung wäre, dass IT BS als interner Informatikdienstleister mehr Kompetenzen erhalten würde." So könnten Synergien genutzt und Effizienzsteigerungen erreicht werden.
Die Finanzkontrolle kann einen solchen Schritt aber nicht anordnen. Sie kann als unabhängige Aufsichtsstelle lediglich Prüfungen durchführen und Empfehlungen aussprechen. Für die Organisation der Verwaltung ist schlussendlich der Regierungsrat zuständig.

Besserung gelobt

IT BS gesteht gegenüber 'BZ' ein, dass beim IT-Betrieb und bei der Zusammen­arbeit Verbesserungsbedarf besteht. Dienststellenleiter Stefan Magnanelli sagte der Zeitung, dass dies auch vom Regierungsrat festgestellt wurde. "Deshalb hat der Kanton ein Programm gestartet, um die gesamtkantonale IT-Strategie und die IT-Governance unter die Lupe zu nehmen", wird er zitiert.
Derzeit laufe ein mehrjähriges Programm, bei dem es um die Umsetzung von Vorgaben zur Informationssicherheit gehe. Auf technischer Ebene würden die Systeme laufend ausgebaut und verbessert. Zudem befindet sich das kantonale Security Operation Center im Aufbau.

Loading

Mehr erfahren

Mehr zum Thema

image

Datenschützer von Schwyz, Ob- und Nidwalden fordert mehr Personal

Der Pendenzenberg beim Innerschweizer Datenschützer wächst. Abhilfe sollen zusätzliche Stellen schaffen, die zuvor vom Kantonsrat noch abgelehnt wurden.

publiziert am 3.7.2024
image

Swiss Moonshot hat einen neuen CEO gefunden

Der bisherige CTO Ingo Steinkellner übernimmt beim Aiaibot-Anbieter die Geschäftsleitung.

publiziert am 3.7.2024
image

Swiss Marketplace Group kauft Moneyland

Der Online-Vergleichsdienst gehört neu zur Swiss Marketplace Group. Alle Mitarbeitenden werden übernommen und die Marke soll erhalten bleiben.

publiziert am 2.7.2024
image

Aargau spart bei der Informations­sicherheit

Der Aargauer Regierungsrat will die Cybersicherheit im Kanton für mehrere Millionen verbessern. Einer bürgerlichen Mehrheit im Parlament kostet das aber zu viel.

publiziert am 2.7.2024 2