Im Mai 2023 kündigte die Konferenz der Kantonalen Justiz- und Polizeidirektorinnen und -direktoren (KKJPD) ein neues E-Learning-System zum Thema Informations- und Cybersicherheit für öffentliche Verwaltungen an. In ihrem Auftrag hat der Sicherheitsverbund Schweiz (SVS) zusammen mit Security-Expertinnen und -Experten die Plattform entwickelt. Seit Ende letzten Jahres ist sie auf Deutsch, Französisch, Italienisch und Englisch online.

Das E-Learning richte sich an alle Behörden von Bund, Kantonen und Gemeinden, so die damalige Ankündigung. "Schweizweit steht damit insgesamt rund 400'000 Mitarbeiterinnen und Mitarbeiter der öffentlichen Verwaltungen eine einheitliche Grundausbildung zur Verfügung, unabhängig ihres Tätigkeitsgebietes oder ihrer Hierarchiestufe."

Aufgebaut ist "E-Learning Cyber" bis jetzt in zwölf Trainingsmodule. Dazu gehören unter anderem "Informationssicherheit und Datenklassifizierung", "Phishing, Fake News", "Passwortsicherheit", "Sicherheit im Umgang mit mobilen Endgeräten" und "Regulatorien".

"Wir haben früh gemerkt, dass wir den Kantonen kein Tool oder ein Learning Management System vorschreiben können. Manche verfügen bereits über ein solches LMS, andere nicht", erklärt Projektleiter Sébastien Jaquier, Dekan des Instituts de lutte contre la criminalité économique der Haute école de gestion Arc in Neuenburg, im Gespräch mit inside-it.ch. Aus diesem Grund würden die Lerninhalte über verschiedene Wege zur Verfügung gestellt. "Module, die in ein bestehendes LMS eingespielt werden können, Module im LMS des Projektes oder, für diejenigen, die über kein LMS verfügen, auf der Website elearningcyber.ch."

Mehrere Kantone waren in die Entwicklung der Module involviert. Doch setzen sie die Trainings auch ein? "Der Kanton St. Gallen nutzt Teile des 'E-Learnings Cyber' als Ergänzung zum bestehenden E-Learning 'Informationssicherheit und Datenschutz' beim Onboarding von neuen Mitarbeitenden", erklärt das St. Galler Finanzdepartement auf unsere Anfrage. Die Rückmeldungen der Mitarbeitenden seien weitgehend positiv.

Ähnlich sieht es im Kanton Zürich aus. "Das E-Learning wurde in der kantonalen Verwaltung bisher in einzelnen Direktionen zur Sensibilisierung der Mitarbeitenden zum Thema Informationssicherheit eingesetzt", schreibt die Zürcher Finanzdirektion. Das E-Learning sei eine sinnvolle Ergänzung zum bestehenden internen Schulungsangebot.

Der Kanton Nidwalden erklärt, er habe bereits vor der Lancierung der SVS-Plattform ein eigenes Lernprogramm zur Informations- und IT-Sicherheit lanciert. "Der kantonale Kurs ist für alle Mitarbeitenden obligatorisch und deckt im Grundsatz dieselben Bereiche ab wie 'E-Learning Cyber'", teilt die zuständige Finanzdirektion mit. Zukünftig werde dieser Kurs den Mitarbeitenden aber ergänzend ebenfalls zur Verfügung gestellt. Die Einführung sei bis Ende Jahr geplant.

"Aufgrund der zunehmenden Bandbreite an Cybergefahren wird zurzeit diskutiert, in welcher Kadenz solche Kurse absolviert werden sollen und wie Tests, ob die Grundlagen des Kurses angewendet werden, optimiert werden können", schreibt die Finanzdirektion Nidwalden.

Vom Amt für Informatik Bern (Kaio) heisst es: "Wir haben mit BE-Secure bereits 2018 ein eigenes Schulungsangebot für die Mitarbeitenden der kantonalen Verwaltung entwickelt. Daher haben wir keinen Bedarf an einer nationalen Lösung." Man verlinke die Plattform jedoch auf der eigenen Website und wolle damit insbesondere Mitarbeitende von Gemeinden, Lehrpersonen und weitere Interessierte ansprechen.

Das sei ein wichtiger Punkt, sagt Projektleiter Jaquier. "Die Kantone, die eine eigene Lösung haben, wollen diese natürlich auch weiterhin nutzen. Oft steht diese aber nicht den Gemeinden zur Verfügung." Deshalb sei man mit der Plattform an die Städte- und Gemeindeverbände herangetreten, um deren Verbreitung zu fördern. "Ein weiteres Ziel ist, dass auch Organisationen wie Schulen oder Spitäler die Trainings für ihr Personal nutzen. Wenn sie bereits eine eigene Lösung haben, dann umso besser."

Nicht eingesetzt wird die Schulung in der Bundesverwaltung, obwohl das damalige NCSC in die Entwicklung involviert war. "Innerhalb der Bundesverwaltung ist ein anderes webbasiertes Training als Grundausbildung in der Cybersicherheit Pflicht. Dieses ist stärker auf die Vorgaben des Bundes ausgerichtet", schreibt das Bundesamt für Cybersicherheit (Bacs). Es stehe den Mitarbeitenden aber frei, "E-Learning Cyber" ebenfalls zu nutzen.

Die angefragten Kantone betonen alle, dass Cybersecurity-Schulungen wichtig seien und die Sensibilisierung für Sicherheitsthemen von den Mitarbeitenden auch geschätzt werde. "Alle Mitarbeitenden der kantonalen Verwaltung werden mehrschichtig geschult und trainiert", erklärt das Finanzdepartement St. Gallen. Dazu würden ein verpflichtendes, jährliches E-Learning "Informationssicherheit und Datenschutz" zu unterschiedlichen Themen gehören, fortlaufende Phishing-Awareness-Kampagnen sowie Newsmeldungen zu aktuellen Vorfällen im Intranet.

Wird in diesem Bereich also genug getan? "Es gibt ganz bestimmt noch viel zu tun", sagt Sébastien Jaquier. "Es gibt aber auch ein Bewusstsein. Wir müssen nicht mehr das Interesse bei den Gemeinden und bei den Kantonen wecken." Für "E-Learning Cyber" habe man jetzt eine operative Gruppe aufgebaut, um Feedbacks einzuholen. "Mit diesen Feedbacks und auch mit der Überwachung der Cyberlage prüfen wir, ob Inhalte angepasst und ergänzt werden sollen oder ob neue Themen hinzukommen sollen." Zwei zusätzliche Module würden schon in Kürze eingeführt.

Ausgerichtet sei die Schulung nach wie vor auf Behörden, Verwaltungen und behördennahe Organisationen. Aber auch Privatpersonen oder Unternehmen könnten die Trainings der Website nutzen. "Es ist auch nicht ausgeschlossen, dass man künftig aus diesem Modell eine ähnliche Lösung baut für ein anderes Zielpublikum, zum Beispiel für die Bevölkerung oder für Unternehmen", sagt Jaquier.