Vogt am Freitag: Super Mario, nicht

12. April 2024 um 12:34
image

Die Sicherheitsdirektion des Kantons Zürich ignoriert unsere kritischen Fragen. Das scheint Methode zu haben.

ISMS. Diese Abkürzung scheint derzeit die eine oder andere Behörde im Land nervös zu machen. In einem ISMS – oder ausgeschrieben Information Security Management System – sind Vorschriften, Verfahren und Massnahmen festgehalten, die die Cybersicherheit von Unternehmen, Organisationen und Behörden verbessern sollen.
Es ist also gut und sinnvoll, ein ISMS einzuführen. Und es ist zumindest für die Bundesverwaltung auch vorgeschrieben. Seit Anfang Jahr gilt das neue Bundesgesetz über die Informationssicherheit beim Bund, das sämtliche Behörden verpflichtet, dies bis spätestens Ende 2026 zu erledigen.

ISMS-Pflicht bis 2027

Noch ein bisschen länger Zeit haben die Behörden im Kanton Zürich. In der "Allgemeinen Informationssicherheitsrichtlinie des Regierungsrates für die kantonale Verwaltung" (PDF) steht, dass das ISMS erstmals im Jahr 2027 von einer unabhängigen Stelle auf seine Wirksamkeit, Zweckmässigkeit und Wirtschaftlichkeit zu überprüfen" sei.
Aber egal ob Ende 2026 oder im Laufe des Folgejahres. Ein solches System ist nicht von heute auf morgen eingeführt. Erst jetzt damit anzufangen – in der Hoffnung, in weniger als zwei Jahren damit fertig zu sein – ist anspruchsvoll. Vor allem, wenn damit noch eine Zertifizierung nach ISO 27001 einhergeht. Optimisten würden das Unterfangen als "sportlich" bezeichnen. Kritischere (oder realistische) Zeitgenossen stufen es eher in der Nähe von "unmöglich" ein.

Nervosität allüberall

Aber egal auf wessen Seite man nun ist: Der Zeitdruck erklärt die Nervosität bei den Behörden, die sich zunächst beim Bundesamt für Gesundheit (BAG) akzentuierte: Das BAG veröffentlichte nach unserer Story "Das Security-Management beim BAG liegt im Argen" eine offenbar eilends zusammengeklöppelte Stellungnahme (PDF), bei der sowohl Logo, Datum oder andere Hinweise auf ein offizielles Dokument fehlen.
Aber hey, immerhin hat die Behörde auf unsere Anfrage zeitgerecht reagiert und sich zum ISMS geäussert. Dies ganz im Gegensatz zur Sicherheitsdirektion des Kantons Zürich.
Doch der Reihe nach: Unsere Redaktion entdeckte am 2. April 2024 ein Stelleninserat. Darin sucht die Behörde einen oder eine CISO. Dieser Vorgang alleine ist noch nichts Ungewöhnliches. In den Aufgaben für die künftige Stelleninhaberin steht indes: "Du bist für den weiteren projektorientierten Aufbau der Informationssicherheit in unserer Direktion verantwortlich. Dazu gehört massgeblich die Erarbeitung eines ISMS."

Hat die Sicherheitsdirektion noch kein ISMS?

Diese Formulierung lässt sich so interpretieren, dass es derzeit in der Sicherheitsdirektion des Kantons noch gar kein ISMS gibt. Deshalb haben wir noch gleichentags einen Fragenkatalog an die Medienstelle der Sicherheitsdirektion gerichtet. Unter anderem wollten wir wissen:
  • Gibt es in der Sicherheitsdirektion schon ein solches ISMS?
  • Falls ja, wie funktioniert das Information Security Management in der Sicherheitsdirektion heute?
  • Falls nein, wie viel Budget ist für den Aufbau des ISMS eingeplant?
  • Welche Verbesserungen erwarten Sie vom neuen ISMS?
Acht Tage lang erhielten wir trotz mehrmaligem Nachfragen, verschiedenen Anrufen und dem Verlangen einer Direktwahl keine Antwort. Stattdessen wurden wir immer wieder auf den E-Mail-Weg verwiesen, auf dem unsere Anfrage offensichtlich ignoriert wurde. Diese Ignoranz veranlasste mich schliesslich zu einem mittel-freundlichen Linkedin-Posting, indem ich die Verantwortlichen aufforderte, unsere Fragen noch gleichentags zu beantworten.

Heute ist es nicht super, Mario!

Passiert ist das bis heute nicht. Wir erhielten zwar einen Rückruf und eine E-Mail, doch die Verantwortlichen gingen nur auf die harmlosen Fragen zur CISO-Stelle ein. Die Fragen zum ISMS ignoriert die Sicherheitsdirektion nach wie vor. Wie mir Kolleginnen und Kollegen anderer Medien berichteten, hat dieses Vorgehen Methode bei der Sicherheitsdirektion. Kritische Fragen würden oft nicht oder nur sehr unvollständig und oft mit enormer Verzögerung beantwortet.
Ob das auf Geheiss des Zürcher Sicherheitsdirektors Mario Fehr passiert, ist nicht bekannt. Klar ist nur, dass er dazu beitragen könnte, dass sich die Kommunikation der Zürcher Sicherheitsdirektion gegenüber den Medien verbessert. Das wäre super, Mario. Aktuell ist es das leider nicht.

Loading

Mehr erfahren

Mehr zum Thema

image

Datenleck bei BFH betrifft 9600 Kursteilnehmende

Die Berner Fachhochschule (BFH) hat eigenen Angaben zufolge sofort reagiert und die Betroffenen informiert.

publiziert am 14.5.2024
image

Von Hensch zu Mensch: Jenseits von #Cybersecurity

Risikomanagement darf sich nicht auf Datensicherheit allein konzentrieren, wie es heute in vielen Firmen oft passiert.

publiziert am 14.5.2024
image

Grosse Schweizer Städte haben Probleme mit neuer Mobilitätsplattform

Basel, Bern und Zürich haben keinen Anbieter für die geplante Mobilitäts-App gefunden. Der Kostenrahmen wurde überschritten.

publiziert am 13.5.2024
image

Make or Buy: Keine ideologische Frage

Eine Debatte um "Staatssärge" hat zur Erkenntnis geführt, dass sich aus dem öffentlichen Beschaffungsrecht kein Anspruch auf die Privatisierung ergibt, schreibt Bundesverwaltungsrichter Marc Steiner in seiner ersten Kolumne.

publiziert am 13.5.2024 1