Seit 5 Jahren werden im Amt für Informatik (AFI) die IT-Dienstleistungen für den Kanton Zürich zentralisiert. 2018 wurde die dezentrale Strategie als gescheitert erklärt, seither wächst und wächst das AFI heran. Noch befindet es sich aber mitten in der Transformation und kämpft zugleich mit grossen Herausforderungen: IT-Sicherheit, Cloud-Services und mittlerweile auch der Einsatz von Künstlicher Intelligenz und Machine Learning.

Hansruedi Born ist seit September 2018 Amtschef des AFI und zugleich CIO des Kantons Zürich. Der Informatiker war zuvor Group IT-Chef bei der Gastro-Gruppe SV und CIO bei der Ruag Division Aviation und Space. Born empfängt inside-it.ch im Zürcher Kreis 6 am Sitz seines Amtes, wo alle Beschäftigten unterkommen. Überlastet sind die Büros aber nicht, man pflegt hier einen hybriden Arbeitsstil: Die halbe Zeit dürfen Mitarbeitende Homeoffice machen, im AFI stehen Shared Desks, Bereiche für Kollaboration und ein Briefkastensystem. 200 Beschäftigte wurden in dem Amt mittlerweile eingestellt.

Wir sind allein letztes Jahr um 70 Personen gewachsen. Es ist aber schwierig, zu sagen, wie gross wir im Endausbau sein werden. Offiziell rechnen wir in der IKT-Strategie mit rund 250 Beschäftigten. Ich denke aber angesichts der grossen technologischen Dynamik und der Bedürfnisse in den Direktionen werden es langfristig eher 300 Personen sein.

Nur bedingt, die meisten Stellen können wir am Markt besetzen. Und wir konnten auch schon mehrfach Lernende nach dem Abschluss anstellen und zu Leistungsträgerinnen und Leistungsträgern machen. Aber in den Themen "Cloud" und "Informationssicherheit" spüren wir den Fachkräftemangel schon. Dennoch können wir uns mit unserer Unternehmenskultur, unserer Attraktivität als Arbeitgeber und unserem Bildungsangebot gut behaupten.

Das CCSC wird etappenweise aufgebaut, für die operativen Themen in der Cyberdefense konnten wir alle bislang benötigten Stellen besetzten. Im Bereich Risk und Compliance haben wir aber noch nicht alle notwendigen Kandidatinnen und Kandidaten gefunden.

Ja, das Thema Cybersicherheit treibt die kantonale Verwaltung an. Wir haben im Zuge der DDoS-Kampagne auch mehr Angriffe in Zürich registriert, konnten sie aber gemeinsam mit unseren Providern abwehren. Dennoch waren wir indirekt betroffen. Als der Bund offline war, haben natürlich auch unsere Schnittstelle dahin nicht mehr funktioniert.

Im Juli und August wird der Pilotbetrieb in den ersten beiden Schulen aufgenommen. Wir werden erst später beurteilen können, ob die Stellenanzahl passt.

Wir haben den Bedarf in einem Modell berechnet und werden nach dem Pilotbetrieb eruieren, ob unsere Berechnung stimmt. Von aussen sieht es nach wenig Ressourcen aus, aber der Regierungsrat will mehr Synergien und Skaleneffekte erzielen. Darum setzen wir wo immer möglich auf eine Basis im Digitalen Arbeitsplatz (DAP).

Ja, wir haben etwas Verzögerung. Es wurden bislang 4'500 der 10'000 Digitalen Arbeitsplätze ausgerollt. Im Zuge der Corona-Pandemie mussten wir umpriorisieren. Ausserdem bringt die Umstellung auf einen Standardarbeitsplatz mehr Veränderungen in den Abläufen und Prozessen der Direktionen mit sich, als vorerst gedacht. Wir übernehmen dabei zum Beispiel auch gleich die Informatikerinnen und Informatiker aus jenen Direktionen, die noch eigene IT-Abteilungen unterhalten. Und schliesslich hat sich auch das Bedürfnis nach Mobilität und eigener Hardware verstärkt, mittlerweile haben wir nur noch Notebooks und Tablets zu integrieren, kaum mehr Desktops.

Der Regierungsrat hat uns mit dem Beschluss beauftragt, diese Nutzungsrichtlinien auszuarbeiten. Es handelt sich aber um ein "lebendiges" Dokument, das sich mit den technischen und rechtlichen Entwicklungen verändern wird. Zugleich muss man betonen: Wir hatten nie die Ambition, alles in die Cloud zu bringen, darum fahren wir eine hybride Strategie.

Unsere Nutzungsrichtlinien, klare Vorgaben und interne Schulungen sollen den Mitarbeitenden in den Direktionen helfen, die Daten richtig zu klassifizieren und zu entscheiden, was verschlüsselt werden muss. Aber es gibt auch technische Möglichkeiten, etwa indem man Templates vorklassifiziert, zum Beispiel Anträge der Direktionen an den Regierungsrat.

Ja, wir spielen tatsächlich aktiv mit der Idee, On-Premises eine Machine-Learning-Anwendung zu lancieren, die Empfehlungen für die Anwender erstellt. Wir bauen für die KI-Thematik derzeit auch ein Innovationslabor auf. Aber es ist klar, sowohl bei den Templates als auch bei statistischen Verfahren wird die Entscheidung beim Endanwender bleiben.

Wir arbeiten an Schutzmassnahmen, um die Cloud auch für sensitivere Inhalte zu erschliessen. Die Sicherheit der Daten ist bei uns aber immer oberstes Ziel. Die Verantwortung liegt bei den Direktionen, in letzter Instanz entscheidet der Regierungsrat.

Derzeit wird sie vor allem für die Büroautomation mit Microsoft 365 genutzt, wie sie beim digitalen Standardarbeitsplatz vorgesehen ist. Wenn wir andere Plattformen einsetzen, müssen wir Vertragsinhalt, rechtliche Vorgaben, Lieferanten und Technik jeweils spezifisch prüfen. Die Beurteilung, was in die Cloud kann, muss ganzheitlich erfolgen.

Einzelne Datenschützer vertreten die Meinung, dass die statistische Betrachtung nichts bringe, weil der Schutz ihrer Meinung nach 100% betragen muss. Das gibt es aber nirgends. Rosenthal zeigt einen guten Weg auf, wie man die Wirksamkeit von Schutzmassnahmen quantifizieren kann. Sein Ansatz wird nicht nur in anderen Kantonen und in der Bundeskanzlei anerkannt, sondern auch in der Rechtslehre unterstützt.

Was wäre denn eine alternative Methode zum statistischen Ansatz? Das sollten sich die Kritiker fragen. Man hat sich bei der Eintrittswahrscheinlichkeit übrigens am Recht orientiert, nämlich an der Schwelle zur Fahrlässigkeit. Wenn die Wahrscheinlichkeit eines Lawful Access durch eine ausländische Behörde innert 100 Jahren unter 90% liegt, ist dies laut Regierungsratsbeschluss ein zulässiges Schutzniveau.

Ja, wir stellen die Werkzeuge und Schutzmassnahmen für die sichere Datenhaltung zur Verfügung. Wenn Restrisiken wie beim Cloud Act der USA bestehen, versuchen wir diese zu berechnen und zu minimieren. Bei der Ausarbeitung des Vertrags mit Microsoft haben wir übrigens eng mit der Zürcher Datenschutzbeauftragten zusammengearbeitet.

Cloudservices führen in den allerwenigsten Fällen zu Einsparungen. Was viel mehr überzeugt, ist die Flexibilität, aber auch die Informationssicherheit. Ausserdem darf man nicht vergessen, dass die Cloud-Technologien hochmodern sind und man sich damit als Arbeitgeber positionieren kann. Dank unseres modernen Umfelds konnten wir bereits begehrte Fachleute gewinnen.