Wohl auch aufgeschreckt durch Fälle wie Xplain wurde im Juli 2023 im Grossen Gemeinderat der Stadt Zug eine Motion eingereicht. Die SP-Fraktion forderte darin einen "umfassenden IT-Sicherheitstest der Stadtverwaltung". Eine spezialisierte Sicherheitsfirma sollte den Auftrag erhalten, einen Penetrationstest durchzuführen. "Dieser Test soll sowohl die technischen Infrastrukturen – inklusive Netzwerke und Software – als auch das Sicherheitsbewusstsein und die Sicherheitspraktiken der Mitarbeitenden umfassen."

Der Stadtrat antwortete mit einem Bericht, der jetzt publiziert wurde. "Die IT-Infrastruktur der Stadt Zug ist täglich von Cyberattacken betroffen", heisst es zur Einleitung. Am häufigsten würden Mailserver, Webserver und Extranetserver attackiert. Die Cyberangriffe seien jeweils erfolgreich mit den technischen Abwehrmechanismen von Kanton und Stadt abgewehrt worden. Die Zugänge würden mit mehrstufig geschalteten Firewalls, dahinter geschalteten speziellen Gateways und wenn immer möglich mit einer Zwei-Faktor-Anmeldung abgesichert.

2023 sei erstmals ein Bug-Bounty-Programm für die städtische Infrastruktur durchgeführt worden. "Ab 2024 wird dies regelmässig geschehen und auch interne Penetrationtests werden durchgeführt werden", so der Bericht.

Weiter habe man 2022 beschlossen, einen gemeinsamen Fachbereich SOC für den Kanton Zug und die Zuger Gemeinden aufzubauen. Das Amt für Informatik und Organisation (AIO) habe auch einen Prozess für Cybervorfälle etabliert. Dieser definiere das Vorgehen, die Zuständigkeiten und Kompetenzen im Notfall- und Krisenmanagement.

Deshalb hält es der Stadtrat aufgrund der bereits erfolgten Massnahmen nicht für notwendig, eine externe IT-Sicherheitsfirma mit einem Penetrationstest zu beauftragen. Er sei sich aber bewusst, "dass die IT-Sicherheit eine sehr schnell ändernde und immer wichtiger werdende Aufgabe ist". Das zeige sich auch im Budget: 2023 wurden für den Sicherheitsbereich 75'000 Franken budgetiert, für das laufende Jahr ist eine Verdoppelung auf 165'000 Franken vorgesehen.

"Es zeigt sich aber, dass es mehr braucht", hält der Stadtrat fest. Deshalb werde für das Jahr 2025 in der Informatikabteilung eine Teilzeitstelle für einen CISO beantragt. Diese Stelle soll als Kontrollorgan der IT-Sicherheit die Fachgruppe SOC komplementieren.