ISMS. Diese Abkürzung scheint derzeit die eine oder andere Behörde im Land nervös zu machen. In einem ISMS – oder ausgeschrieben Information Security Management System – sind Vorschriften, Verfahren und Massnahmen festgehalten, die die Cybersicherheit von Unternehmen, Organisationen und Behörden verbessern sollen.

Es ist also gut und sinnvoll, ein ISMS einzuführen. Und es ist zumindest für die Bundesverwaltung auch vorgeschrieben. Seit Anfang Jahr gilt das neue Bundesgesetz über die Informationssicherheit beim Bund, das sämtliche Behörden verpflichtet, dies bis spätestens Ende 2026 zu erledigen.

Noch ein bisschen länger Zeit haben die Behörden im Kanton Zürich. In der "Allgemeinen Informationssicherheitsrichtlinie des Regierungsrates für die kantonale Verwaltung" (PDF) steht, dass das ISMS erstmals im Jahr 2027 von einer unabhängigen Stelle auf seine Wirksamkeit, Zweckmässigkeit und Wirtschaftlichkeit zu überprüfen" sei.

Aber egal ob Ende 2026 oder im Laufe des Folgejahres. Ein solches System ist nicht von heute auf morgen eingeführt. Erst jetzt damit anzufangen – in der Hoffnung, in weniger als zwei Jahren damit fertig zu sein – ist anspruchsvoll. Vor allem, wenn damit noch eine Zertifizierung nach ISO 27001 einhergeht. Optimisten würden das Unterfangen als "sportlich" bezeichnen. Kritischere (oder realistische) Zeitgenossen stufen es eher in der Nähe von "unmöglich" ein.

Aber egal auf wessen Seite man nun ist: Der Zeitdruck erklärt die Nervosität bei den Behörden, die sich zunächst beim Bundesamt für Gesundheit (BAG) akzentuierte: Das BAG veröffentlichte nach unserer Story "Das Security-Management beim BAG liegt im Argen" eine offenbar eilends zusammengeklöppelte Stellungnahme (PDF), bei der sowohl Logo, Datum oder andere Hinweise auf ein offizielles Dokument fehlen.

Aber hey, immerhin hat die Behörde auf unsere Anfrage zeitgerecht reagiert und sich zum ISMS geäussert. Dies ganz im Gegensatz zur Sicherheitsdirektion des Kantons Zürich.

Doch der Reihe nach: Unsere Redaktion entdeckte am 2. April 2024 ein Stelleninserat. Darin sucht die Behörde einen oder eine CISO. Dieser Vorgang alleine ist noch nichts Ungewöhnliches. In den Aufgaben für die künftige Stelleninhaberin steht indes: "Du bist für den weiteren projektorientierten Aufbau der Informationssicherheit in unserer Direktion verantwortlich. Dazu gehört massgeblich die Erarbeitung eines ISMS."

Diese Formulierung lässt sich so interpretieren, dass es derzeit in der Sicherheitsdirektion des Kantons noch gar kein ISMS gibt. Deshalb haben wir noch gleichentags einen Fragenkatalog an die Medienstelle der Sicherheitsdirektion gerichtet. Unter anderem wollten wir wissen:

Acht Tage lang erhielten wir trotz mehrmaligem Nachfragen, verschiedenen Anrufen und dem Verlangen einer Direktwahl keine Antwort. Stattdessen wurden wir immer wieder auf den E-Mail-Weg verwiesen, auf dem unsere Anfrage offensichtlich ignoriert wurde. Diese Ignoranz veranlasste mich schliesslich zu einem mittel-freundlichen Linkedin-Posting, indem ich die Verantwortlichen aufforderte, unsere Fragen noch gleichentags zu beantworten.

Passiert ist das bis heute nicht. Wir erhielten zwar einen Rückruf und eine E-Mail, doch die Verantwortlichen gingen nur auf die harmlosen Fragen zur CISO-Stelle ein. Die Fragen zum ISMS ignoriert die Sicherheitsdirektion nach wie vor. Wie mir Kolleginnen und Kollegen anderer Medien berichteten, hat dieses Vorgehen Methode bei der Sicherheitsdirektion. Kritische Fragen würden oft nicht oder nur sehr unvollständig und oft mit enormer Verzögerung beantwortet.

Ob das auf Geheiss des Zürcher Sicherheitsdirektors Mario Fehr passiert, ist nicht bekannt. Klar ist nur, dass er dazu beitragen könnte, dass sich die Kommunikation der Zürcher Sicherheitsdirektion gegenüber den Medien verbessert. Das wäre super, Mario. Aktuell ist es das leider nicht.