So werden öffentliche Verwaltungen in Cyber­sicher­heit geschult

24. Mai 2024 um 07:03
image
Illustration: Erstellt durch inside-it.ch mit Midjourney

Seit Ende 2023 steht Kantonen und Gemeinden ein neues "E-Learning Cyber"-Tool der KKJPD zur Verfügung. Wird es auch genutzt? Wir haben bei Verwaltungen und dem Projektleiter nachgefragt.

Im Mai 2023 kündigte die Konferenz der Kantonalen Justiz- und Polizeidirektorinnen und -direktoren (KKJPD) ein neues E-Learning-System zum Thema Informations- und Cybersicherheit für öffentliche Verwaltungen an. In ihrem Auftrag hat der Sicherheitsverbund Schweiz (SVS) zusammen mit Security-Expertinnen und -Experten die Plattform entwickelt. Seit Ende letzten Jahres ist sie auf Deutsch, Französisch, Italienisch und Englisch online.
Das E-Learning richte sich an alle Behörden von Bund, Kantonen und Gemeinden, so die damalige Ankündigung. "Schweizweit steht damit insgesamt rund 400'000 Mitarbeiterinnen und Mitarbeiter der öffentlichen Verwaltungen eine einheitliche Grundausbildung zur Verfügung, unabhängig ihres Tätigkeitsgebietes oder ihrer Hierarchiestufe."

Trainingsmodule von Phishing bis Regulatorien

Aufgebaut ist "E-Learning Cyber" bis jetzt in zwölf Trainingsmodule. Dazu gehören unter anderem "Informationssicherheit und Datenklassifizierung", "Phishing, Fake News", "Passwortsicherheit", "Sicherheit im Umgang mit mobilen Endgeräten" und "Regulatorien".
image
Ausschnitt aus dem Modul "Sicherheit im Umgang mit mobilen Endgeräten".
"Wir haben früh gemerkt, dass wir den Kantonen kein Tool oder ein Learning Management System vorschreiben können. Manche verfügen bereits über ein solches LMS, andere nicht", erklärt Projektleiter Sébastien Jaquier, Dekan des Instituts de lutte contre la criminalité économique der Haute école de gestion Arc in Neuenburg, im Gespräch mit inside-it.ch. Aus diesem Grund würden die Lerninhalte über verschiedene Wege zur Verfügung gestellt. "Module, die in ein bestehendes LMS eingespielt werden können, Module im LMS des Projektes oder, für diejenigen, die über kein LMS verfügen, auf der Website elearningcyber.ch."

Kantone ergänzen ihre E-Learnings

Mehrere Kantone waren in die Entwicklung der Module involviert. Doch setzen sie die Trainings auch ein? "Der Kanton St. Gallen nutzt Teile des 'E-Learnings Cyber' als Ergänzung zum bestehenden E-Learning 'Informationssicherheit und Datenschutz' beim Onboarding von neuen Mitarbeitenden", erklärt das St. Galler Finanzdepartement auf unsere Anfrage. Die Rückmeldungen der Mitarbeitenden seien weitgehend positiv.
Ähnlich sieht es im Kanton Zürich aus. "Das E-Learning wurde in der kantonalen Verwaltung bisher in einzelnen Direktionen zur Sensibilisierung der Mitarbeitenden zum Thema Informationssicherheit eingesetzt", schreibt die Zürcher Finanzdirektion. Das E-Learning sei eine sinnvolle Ergänzung zum bestehenden internen Schulungsangebot.
Der Kanton Nidwalden erklärt, er habe bereits vor der Lancierung der SVS-Plattform ein eigenes Lernprogramm zur Informations- und IT-Sicherheit lanciert. "Der kantonale Kurs ist für alle Mitarbeitenden obligatorisch und deckt im Grundsatz dieselben Bereiche ab wie 'E-Learning Cyber'", teilt die zuständige Finanzdirektion mit. Zukünftig werde dieser Kurs den Mitarbeitenden aber ergänzend ebenfalls zur Verfügung gestellt. Die Einführung sei bis Ende Jahr geplant.
"Aufgrund der zunehmenden Bandbreite an Cybergefahren wird zurzeit diskutiert, in welcher Kadenz solche Kurse absolviert werden sollen und wie Tests, ob die Grundlagen des Kurses angewendet werden, optimiert werden können", schreibt die Finanzdirektion Nidwalden.

Auch für Schulen und Spitäler

Vom Amt für Informatik Bern (Kaio) heisst es: "Wir haben mit BE-Secure bereits 2018 ein eigenes Schulungsangebot für die Mitarbeitenden der kantonalen Verwaltung entwickelt. Daher haben wir keinen Bedarf an einer nationalen Lösung." Man verlinke die Plattform jedoch auf der eigenen Website und wolle damit insbesondere Mitarbeitende von Gemeinden, Lehrpersonen und weitere Interessierte ansprechen.
image
Sébastien Jaquier.
Das sei ein wichtiger Punkt, sagt Projektleiter Jaquier. "Die Kantone, die eine eigene Lösung haben, wollen diese natürlich auch weiterhin nutzen. Oft steht diese aber nicht den Gemeinden zur Verfügung." Deshalb sei man mit der Plattform an die Städte- und Gemeindeverbände herangetreten, um deren Verbreitung zu fördern. "Ein weiteres Ziel ist, dass auch Organisationen wie Schulen oder Spitäler die Trainings für ihr Personal nutzen. Wenn sie bereits eine eigene Lösung haben, dann umso besser."

Bund hat eigene Grundausbildung

Nicht eingesetzt wird die Schulung in der Bundesverwaltung, obwohl das damalige NCSC in die Entwicklung involviert war. "Innerhalb der Bundesverwaltung ist ein anderes webbasiertes Training als Grundausbildung in der Cybersicherheit Pflicht. Dieses ist stärker auf die Vorgaben des Bundes ausgerichtet", schreibt das Bundesamt für Cybersicherheit (Bacs). Es stehe den Mitarbeitenden aber frei, "E-Learning Cyber" ebenfalls zu nutzen.
image
Die angefragten Kantone betonen alle, dass Cybersecurity-Schulungen wichtig seien und die Sensibilisierung für Sicherheitsthemen von den Mitarbeitenden auch geschätzt werde. "Alle Mitarbeitenden der kantonalen Verwaltung werden mehrschichtig geschult und trainiert", erklärt das Finanzdepartement St. Gallen. Dazu würden ein verpflichtendes, jährliches E-Learning "Informationssicherheit und Datenschutz" zu unterschiedlichen Themen gehören, fortlaufende Phishing-Awareness-Kampagnen sowie Newsmeldungen zu aktuellen Vorfällen im Intranet.

Schulung soll ausgebaut werden

Wird in diesem Bereich also genug getan? "Es gibt ganz bestimmt noch viel zu tun", sagt Sébastien Jaquier. "Es gibt aber auch ein Bewusstsein. Wir müssen nicht mehr das Interesse bei den Gemeinden und bei den Kantonen wecken." Für "E-Learning Cyber" habe man jetzt eine operative Gruppe aufgebaut, um Feedbacks einzuholen. "Mit diesen Feedbacks und auch mit der Überwachung der Cyberlage prüfen wir, ob Inhalte angepasst und ergänzt werden sollen oder ob neue Themen hinzukommen sollen." Zwei zusätzliche Module würden schon in Kürze eingeführt.
Ausgerichtet sei die Schulung nach wie vor auf Behörden, Verwaltungen und behördennahe Organisationen. Aber auch Privatpersonen oder Unternehmen könnten die Trainings der Website nutzen. "Es ist auch nicht ausgeschlossen, dass man künftig aus diesem Modell eine ähnliche Lösung baut für ein anderes Zielpublikum, zum Beispiel für die Bevölkerung oder für Unternehmen", sagt Jaquier.

Loading

Mehr erfahren

Mehr zum Thema

image

Schluss mit schwachen und kompromittierten Passwörtern in Active Directory

Passwörter sind immer noch die wichtigste Methode zur Authentifizierung von Nutzern und zur Absicherung des Zugriffs auf Daten Ihrer Organisation. Das macht sie aber auch zu beliebten Zielen der Cyberkriminellen. Doch es gibt Tools und Methoden, um die Passwortsicherheit wirkungsvoll zu verbessern.

image

Schwyzer Kantonsratsdebatten können im Internet übertragen werden

Die Regierung war zwar dagegen, das Volk hat sich aber dafür entschieden.

publiziert am 10.6.2024
image

Sichere dir jetzt dein Cyber Security-Know-how!

Starte jetzt deine zukunftssichere Karriere mit einer Weiterbildung in Cyber Security bei IFA, der Höheren Fachschule aus dem Bereich «Informatik und Security».

image

Neuer Leitfaden für den M365-Einsatz in Gemeinden

Die Zürcher Datenschutzbeauftragte erklärt, was bei der Einführung von Microsoft 365 berücksichtigt werden sollte, etwa mit Blick auf den Cloud Act.

publiziert am 7.6.2024 2