IT-Chef Kanton Zürich: "Unsere Cloud-Richtlinien sind ein 'lebendiges' Dokument"

18. Juli 2023 um 09:29
image
Hansruedi Born ist seit September 2018 CIO des Kantons Zürich. Foto: AFI

Im Amt für Informatik werden die IT-Dienste für Zürich zentralisiert. Kantons-CIO Hansruedi Born im Interview zu Umwälzungen, Hemmnissen und natürlich: Public Cloud bei Behörden.

Seit 5 Jahren werden im Amt für Informatik (AFI) die IT-Dienstleistungen für den Kanton Zürich zentralisiert. 2018 wurde die dezentrale Strategie als gescheitert erklärt, seither wächst und wächst das AFI heran. Noch befindet es sich aber mitten in der Transformation und kämpft zugleich mit grossen Herausforderungen: IT-Sicherheit, Cloud-Services und mittlerweile auch der Einsatz von Künstlicher Intelligenz und Machine Learning.
Hansruedi Born ist seit September 2018 Amtschef des AFI und zugleich CIO des Kantons Zürich. Der Informatiker war zuvor Group IT-Chef bei der Gastro-Gruppe SV und CIO bei der Ruag Division Aviation und Space. Born empfängt inside-it.ch im Zürcher Kreis 6 am Sitz seines Amtes, wo alle Beschäftigten unterkommen. Überlastet sind die Büros aber nicht, man pflegt hier einen hybriden Arbeitsstil: Die halbe Zeit dürfen Mitarbeitende Homeoffice machen, im AFI stehen Shared Desks, Bereiche für Kollaboration und ein Briefkastensystem. 200 Beschäftigte wurden in dem Amt mittlerweile eingestellt.
Herr Born, seit 5 Jahren wird das AFI aufgebaut. Wie gross wird ihr Amt schlussendlich sein?
Wir sind allein letztes Jahr um 70 Personen gewachsen. Es ist aber schwierig, zu sagen, wie gross wir im Endausbau sein werden. Offiziell rechnen wir in der IKT-Strategie mit rund 250 Beschäftigten. Ich denke aber angesichts der grossen technologischen Dynamik und der Bedürfnisse in den Direktionen werden es langfristig eher 300 Personen sein.
Behindert der akute Fachkräftemangel den Aufbau?
Nur bedingt, die meisten Stellen können wir am Markt besetzen. Und wir konnten auch schon mehrfach Lernende nach dem Abschluss anstellen und zu Leistungsträgerinnen und Leistungsträgern machen. Aber in den Themen "Cloud" und "Informationssicherheit" spüren wir den Fachkräftemangel schon. Dennoch können wir uns mit unserer Unternehmenskultur, unserer Attraktivität als Arbeitgeber und unserem Bildungsangebot gut behaupten.
Vor rund einem Jahr hat der Kanton angekündigt, ein Cantonal Cyber Security Centre (CCSC) aufzubauen. Konnten Sie die dafür vorgesehenen 18 Stellen in der IT-Sicherheit besetzen?
Das CCSC wird etappenweise aufgebaut, für die operativen Themen in der Cyberdefense konnten wir alle bislang benötigten Stellen besetzten. Im Bereich Risk und Compliance haben wir aber noch nicht alle notwendigen Kandidatinnen und Kandidaten gefunden.
Der Security-Ausbau ist dringlich. Erst kürzlich geriet die Schweiz in Aufregung: Noch während der Databreach des IT-Dienstleister Xplain weite Kreise zog, wurden erfolgreiche DDoS-Attacken gegen Behörden gefahren.
Ja, das Thema Cybersicherheit treibt die kantonale Verwaltung an. Wir haben im Zuge der DDoS-Kampagne auch mehr Angriffe in Zürich registriert, konnten sie aber gemeinsam mit unseren Providern abwehren. Dennoch waren wir indirekt betroffen. Als der Bund offline war, haben natürlich auch unsere Schnittstelle dahin nicht mehr funktioniert.
Sie wurden kürzlich beauftragt, die IT-Infrastruktur für die Zürcher Mittel- und Berufsfachschulen zu stellen und haben dafür 39 neue Stellen beansprucht. Sind die Positionen schon besetzt?
Im Juli und August wird der Pilotbetrieb in den ersten beiden Schulen aufgenommen. Wir werden erst später beurteilen können, ob die Stellenanzahl passt.
Es geht um rund 60'000 Schülerinnen und Schüler mit eigenen Geräten und zusätzlich 10'000 vom AFI verwaltete Arbeitsplätze. Das ist eine Verdoppelung der bislang betreuten Workplaces. Sind die zusätzlichen Fachleute nicht sehr knapp berechnet?
Wir haben den Bedarf in einem Modell berechnet und werden nach dem Pilotbetrieb eruieren, ob unsere Berechnung stimmt. Von aussen sieht es nach wenig Ressourcen aus, aber der Regierungsrat will mehr Synergien und Skaleneffekte erzielen. Darum setzen wir wo immer möglich auf eine Basis im Digitalen Arbeitsplatz (DAP).
Bei dem Grossprojekt sind Sie aber bereits in Rückstand geraten.
Ja, wir haben etwas Verzögerung. Es wurden bislang 4'500 der 10'000 Digitalen Arbeitsplätze ausgerollt. Im Zuge der Corona-Pandemie mussten wir umpriorisieren. Ausserdem bringt die Umstellung auf einen Standardarbeitsplatz mehr Veränderungen in den Abläufen und Prozessen der Direktionen mit sich, als vorerst gedacht. Wir übernehmen dabei zum Beispiel auch gleich die Informatikerinnen und Informatiker aus jenen Direktionen, die noch eigene IT-Abteilungen unterhalten. Und schliesslich hat sich auch das Bedürfnis nach Mobilität und eigener Hardware verstärkt, mittlerweile haben wir nur noch Notebooks und Tablets zu integrieren, kaum mehr Desktops.
Das klingt nach viel Cloud für virtuelle Arbeitsplätze. Die internen Nutzungsrichtlinien für den Public-Cloud-Einsatz wirken aber so streng, dass der Beschluss der Regierung vom letzten Jahr stark relativiert wird. Oder täuscht der Eindruck?
Der Regierungsrat hat uns mit dem Beschluss beauftragt, diese Nutzungsrichtlinien auszuarbeiten. Es handelt sich aber um ein "lebendiges" Dokument, das sich mit den technischen und rechtlichen Entwicklungen verändern wird. Zugleich muss man betonen: Wir hatten nie die Ambition, alles in die Cloud zu bringen, darum fahren wir eine hybride Strategie.
Wer entscheidet, welche Dokumente wohin gehören?
Unsere Nutzungsrichtlinien, klare Vorgaben und interne Schulungen sollen den Mitarbeitenden in den Direktionen helfen, die Daten richtig zu klassifizieren und zu entscheiden, was verschlüsselt werden muss. Aber es gibt auch technische Möglichkeiten, etwa indem man Templates vorklassifiziert, zum Beispiel Anträge der Direktionen an den Regierungsrat.
Das könnte man mit Machine Learning noch verfeinern.
Ja, wir spielen tatsächlich aktiv mit der Idee, On-Premises eine Machine-Learning-Anwendung zu lancieren, die Empfehlungen für die Anwender erstellt. Wir bauen für die KI-Thematik derzeit auch ein Innovationslabor auf. Aber es ist klar, sowohl bei den Templates als auch bei statistischen Verfahren wird die Entscheidung beim Endanwender bleiben.
Und wer entscheidet generell, welche Informationen in die Public Cloud dürfen?
Wir arbeiten an Schutzmassnahmen, um die Cloud auch für sensitivere Inhalte zu erschliessen. Die Sicherheit der Daten ist bei uns aber immer oberstes Ziel. Die Verantwortung liegt bei den Direktionen, in letzter Instanz entscheidet der Regierungsrat.
Wofür setzen Sie die Public Cloud bereits ein?
Derzeit wird sie vor allem für die Büroautomation mit Microsoft 365 genutzt, wie sie beim digitalen Standardarbeitsplatz vorgesehen ist. Wenn wir andere Plattformen einsetzen, müssen wir Vertragsinhalt, rechtliche Vorgaben, Lieferanten und Technik jeweils spezifisch prüfen. Die Beurteilung, was in die Cloud kann, muss ganzheitlich erfolgen.
Im März haben sie sich vom Juristen David Rosenthal wegen des US Cloud Acts und eines potentiellen Zugriffs durch ausländische Behörden beraten lassen. Dessen statistische Methode wird aber von Datenschützerinnen und Datenschützern kritisiert.
Einzelne Datenschützer vertreten die Meinung, dass die statistische Betrachtung nichts bringe, weil der Schutz ihrer Meinung nach 100% betragen muss. Das gibt es aber nirgends. Rosenthal zeigt einen guten Weg auf, wie man die Wirksamkeit von Schutzmassnahmen quantifizieren kann. Sein Ansatz wird nicht nur in anderen Kantonen und in der Bundeskanzlei anerkannt, sondern auch in der Rechtslehre unterstützt.
Aber juristische Fragen des Datenschutzes können doch nicht statistisch beantwortet werden.
Was wäre denn eine alternative Methode zum statistischen Ansatz? Das sollten sich die Kritiker fragen. Man hat sich bei der Eintrittswahrscheinlichkeit übrigens am Recht orientiert, nämlich an der Schwelle zur Fahrlässigkeit. Wenn die Wahrscheinlichkeit eines Lawful Access durch eine ausländische Behörde innert 100 Jahren unter 90% liegt, ist dies laut Regierungsratsbeschluss ein zulässiges Schutzniveau.
Zugleich versuchen Sie, sich gegenüber den Hyperscalern abzusichern.
Ja, wir stellen die Werkzeuge und Schutzmassnahmen für die sichere Datenhaltung zur Verfügung. Wenn Restrisiken wie beim Cloud Act der USA bestehen, versuchen wir diese zu berechnen und zu minimieren. Bei der Ausarbeitung des Vertrags mit Microsoft haben wir übrigens eng mit der Zürcher Datenschutzbeauftragten zusammengearbeitet.
Was sind denn neben Skalierbarkeit und Kosteneinsparungen die grössten Vorteile bei der Nutzung der Dienste der Cloud-Hyperscaler?
Cloudservices führen in den allerwenigsten Fällen zu Einsparungen. Was viel mehr überzeugt, ist die Flexibilität, aber auch die Informationssicherheit. Ausserdem darf man nicht vergessen, dass die Cloud-Technologien hochmodern sind und man sich damit als Arbeitgeber positionieren kann. Dank unseres modernen Umfelds konnten wir bereits begehrte Fachleute gewinnen.

Loading

Mehr erfahren

Mehr zum Thema

image

Swiss Marketplace Group kauft Moneyland

Der Online-Vergleichsdienst gehört neu zur Swiss Marketplace Group. Alle Mitarbeitenden werden übernommen und die Marke soll erhalten bleiben.

publiziert am 2.7.2024
image

Aargau verlangt für Aufrüstung auf 5G nachträgliche Baugesuche

Die Forderung des Kantons geht auf ein Bundesgerichtsurteil zurück. Entsprechende Gesuche werden in den kommenden Wochen auch andernorts fällig.

publiziert am 2.7.2024
image

Aargau spart bei der Informations­sicherheit

Der Aargauer Regierungsrat will die Cybersicherheit im Kanton für mehrere Millionen verbessern. Einer bürgerlichen Mehrheit im Parlament kostet das aber zu viel.

publiziert am 2.7.2024
image

Zürich will Steuererklärungen für Firmen digitalisieren

Beim kantonalen Steueramt soll dank einer digitalen Deklaration für juristische Personen weniger Papier anfallen. Der traditionelle Weg bleibt aber erhalten.

publiziert am 2.7.2024