Fehlendes Sicherheitszertifikat des Thurgauer IT-Amtes sorgt für Diskussionen

20. August 2024 um 09:53
image
Illustration: Erstellt durch inside-it.ch mit Midjourney

Seit 2021 verzichtet das Amt auf eine Zertifizierung für Informationssicherheit. Kantonale Parlamentarier kritisieren den Entscheid und verlangen eine Rezertifizierung.

Im Juni 2023 wollte der Thurgauer Kantonsrat Patrick Siegenthaler (Mitte) in einer Interpellation wissen, wieso das kantonale Amt für Informatik (AFI) auf eine ISO27001-Zertifizierung im Bereich der Informationssicherheit verzichte. Ab 2009 verfügte das AFI über eine solche Zertifizierung, liess diese aber 2021 auslaufen.
In seiner Antwort schrieb der Regierungsrat, das Amt habe zwischen 2006 und 2019 die Strategie verfolgt, auch ausserhalb der kantonalen Verwaltung Thurgau öffentlich-rechtliche Kunden zu gewinnen. "In diesem Rahmen liess sich das AFI 2009 für die ISO-Normen 9001 und 27001 zertifizieren." Mit der neuen strategischen Ausrichtung ab 2020 und der damit verbundenen Konzentration auf die kantonale Verwaltung und die politischen Gemeinden sei eine Zertifizierung aus Sicht der Regierung nicht mehr notwendig.

"Enormer administrativer Aufwand"

"Die Zertifizierungen dienen zur Repräsentation auf dem Markt und hauptsächlich als Etikett gegen aussen", hiess es weiter. Dies stehe für das AFI nicht im Vordergrund. Man orientiere sich weiter an der Norm, aber eine erneute ISO-Zertifizierung würde sich "nicht signifikant auf die Nutzungsakzeptanz der künftigen Thurgauer Online-Services auswirken". Zudem seien die jährlichen Rezertifizierungen und die entsprechenden internen und externen Audits mit einem "enormen administrativen Aufwand" verbunden.
Kantonsrat Siegenthaler gab sich mit dieser Antwort nicht zufrieden und verlangte eine Diskussion im Grossen Rat. Diese fand jetzt statt, wie die 'Thurgauer Zeitung' (Paywall) berichtet. "Der kantonale Führungsstab hat Cyberangriffe als eines der Hauptrisiken für den Thurgau definiert", sagte Siegenthaler im Rat. Die Zertifizierung sei nicht bloss ein Marketinginstrument, sondern würde dafür sorgen, "dass alle relevanten Aspekte der Informationssicherheit systematisch unter die Lupe genommen würden". Er monierte: "Das Amt für Informatik wäre gut beraten, sich extern und unabhängig bestätigen zu lassen, dass es so gut ist, wie es annimmt."

Externe Prüfung sei wichtig

Unterstützung erhielt er von Parlamentarierinnen und Parlamentariern aus anderen Fraktionen. Simon Vogel (Grüne) betonte, das AFI leiste gute Arbeit. Aber die Regierung gehe "aus Sicherheitsgründen" nicht detailliert auf die Vorkehrungen des Amtes zur Informationssicherheit ein. "Das unterstreicht die Wichtigkeit einer externen Prüfung. Wir erwarten, dass die Regierung ernsthaft über eine Rezertifizierung nachdenkt."
Die GLP-Fraktion forderte ebenfalls eine solche Rezertifizierung. Kantonsrätin Linda Hess (SP) bemängelte, die Antwort der Regierung auf Siegenthalers Interpellation sei "ohne jegliche Selbstkritik". Es gehe auch um den Schutz der Daten der Bevölkerung. "Das AFI hat 300'000 Kundinnen und Kunden, die in Zukunft immer häufiger digitale Dienstleistungen nutzen werden."

Ostschweizer Kantone lagern SOC an Swisscom aus

Regierungspräsident Walter Schönholzer (FDP) hielt an der Haltung des Regierungsrates fest. Ein Zertifikat sei auch kein Garant für die Abwehr von Cyberangriffen. "Wir konnten bisher alle Angriffe abwehren und investieren sehr viel in die Sensibilisierung und Ausbildung der Mitarbeitenden."
Er verwies darauf, dass der Thurgau mit fünf anderen Ostschweizer Kantonen zusammenspanne und die Cybersicherheit für die kommenden fünf Jahre an die Swisscom auslagere. Der entsprechende Zuschlag für ein externes Security Operations Centers (SOC) wurde im vergangenen Februar gefällt. Appenzell Ausserrhoden, Appenzell Innerrhoden, Glarus, Schaffhausen, St. Gallen und Thurgau lassen sich das SOC rund 7 Millionen Franken kosten.

Loading

Mehr erfahren

Mehr zum Thema

image

Centerboard liefert neue Admin-Software für Berufsschulen

Die für die Softwareentwicklung für Berufsbildende Schulen zuständige Genossenschaft SEBBS hat eine Nachfolgelösung für ihre veraltete Lösung gesucht.

publiziert am 20.8.2024
image

Solarwinds behebt kritische Sicherheitslücke

Eine Schwachstelle in der Helpdesk-Lösung von Solarwinds erlaubt Cyberkriminellen die Ausführung von Remote Code. Das Unter­nehmen ruft zum Patchen auf.

publiziert am 20.8.2024
image

Maschinenbauer Schlatter ist nach Cyberangriff wieder im Normalbetrieb

Zehn Tage nach der Attacke laufen alle Systeme wieder. Das Unternehmen bestätigt erneut, dass es sich um einen Ransomware-Angriff handelte.

publiziert am 20.8.2024
image

Zürcher Piraten fordern mit Volksinitiative "digitale Integrität"

Die Piratenpartei hat für ihre Initiative "für ein Grundrecht auf digitale Integrität" 9000 Unterschriften gesammelt. Ein ähnlicher Vorstoss in Genf wurde sehr deutlich angenommen.

publiziert am 19.8.2024