Im Juni 2023 wollte der Thurgauer Kantonsrat Patrick Siegenthaler (Mitte) in einer Interpellation wissen, wieso das kantonale Amt für Informatik (AFI) auf eine ISO27001-Zertifizierung im Bereich der Informationssicherheit verzichte. Ab 2009 verfügte das AFI über eine solche Zertifizierung, liess diese aber 2021 auslaufen.
In seiner Antwort schrieb der Regierungsrat, das Amt habe zwischen 2006 und 2019 die Strategie verfolgt, auch ausserhalb der kantonalen Verwaltung Thurgau öffentlich-rechtliche Kunden zu gewinnen. "In diesem Rahmen liess sich das AFI 2009 für die ISO-Normen 9001 und 27001 zertifizieren." Mit der neuen strategischen Ausrichtung ab 2020 und der damit verbundenen
Konzentration auf die kantonale Verwaltung und die politischen Gemeinden sei eine Zertifizierung aus Sicht der Regierung nicht mehr notwendig.
"Enormer administrativer Aufwand"
"Die Zertifizierungen dienen zur Repräsentation auf dem Markt und hauptsächlich als Etikett gegen aussen", hiess es weiter. Dies stehe für das AFI nicht im Vordergrund. Man orientiere sich weiter an der Norm, aber eine erneute ISO-Zertifizierung würde sich "nicht signifikant auf die Nutzungsakzeptanz der künftigen Thurgauer Online-Services auswirken". Zudem seien die jährlichen Rezertifizierungen und die entsprechenden internen und externen Audits mit einem "enormen administrativen Aufwand" verbunden.
Kantonsrat Siegenthaler gab sich mit dieser Antwort nicht zufrieden und verlangte eine Diskussion im Grossen Rat. Diese fand jetzt statt, wie die
'Thurgauer Zeitung' (Paywall) berichtet. "Der kantonale Führungsstab hat Cyberangriffe als eines der Hauptrisiken für den Thurgau definiert", sagte Siegenthaler im Rat. Die Zertifizierung sei nicht bloss ein Marketinginstrument, sondern würde dafür sorgen, "dass alle relevanten Aspekte der Informationssicherheit systematisch unter die Lupe genommen würden". Er monierte: "Das Amt für Informatik wäre gut beraten, sich extern und unabhängig bestätigen zu lassen, dass es so gut ist, wie es annimmt."
Externe Prüfung sei wichtig
Unterstützung erhielt er von Parlamentarierinnen und Parlamentariern aus anderen Fraktionen. Simon Vogel (Grüne) betonte, das AFI leiste gute Arbeit. Aber die Regierung gehe "aus Sicherheitsgründen" nicht detailliert auf die Vorkehrungen des Amtes zur Informationssicherheit ein. "Das unterstreicht die Wichtigkeit einer externen Prüfung. Wir erwarten, dass die Regierung ernsthaft über eine Rezertifizierung nachdenkt."
Die GLP-Fraktion forderte ebenfalls eine solche Rezertifizierung. Kantonsrätin Linda Hess (SP) bemängelte, die Antwort der Regierung auf Siegenthalers Interpellation sei "ohne jegliche Selbstkritik". Es gehe auch um den Schutz der Daten der Bevölkerung. "Das AFI hat 300'000 Kundinnen und Kunden, die in Zukunft immer häufiger digitale Dienstleistungen nutzen werden."
Ostschweizer Kantone lagern SOC an Swisscom aus
Regierungspräsident Walter Schönholzer (FDP) hielt an der Haltung des Regierungsrates fest. Ein Zertifikat sei auch kein Garant für die Abwehr von Cyberangriffen. "Wir konnten bisher alle Angriffe abwehren und investieren sehr viel in die Sensibilisierung und Ausbildung der Mitarbeitenden."
Er verwies darauf, dass der Thurgau mit fünf anderen Ostschweizer Kantonen zusammenspanne und die Cybersicherheit für die kommenden fünf Jahre an die Swisscom auslagere.
Der entsprechende Zuschlag für ein externes Security Operations Centers (SOC) wurde im vergangenen Februar gefällt. Appenzell Ausserrhoden, Appenzell Innerrhoden, Glarus, Schaffhausen, St. Gallen und Thurgau lassen sich das SOC rund 7 Millionen Franken kosten.