Zur Stärkung der IT-Sicherheit verabschiedete der Kanton Zürich kürzlich eine neue Cyberstrategie, die auch die Schaffung eines neuen Zentrums für Cybersicherheit beinhaltet. Für das neue Zentrum hat der Regierungsrat 18 neue Stellen geschaffen. Gemäss 'NZZ' wurden Mittel von knapp 10 Millionen Franken bis 2025 gesprochen.

Im Rahmen der neuen Strategie wurden verschiedene Schwerpunkt­themen erarbeitet, die zur umfassenden Cybersicherheit im Kanton beitragen sollen. So will der Kanton unter anderen die Verwaltung stärken, den Umgang mit Cybervorfällen regeln oder Betreiber von kritischer Infrastruktur sensibilisieren. Wir haben uns die Zeitpläne, den geschätzten Personalaufwand und die Kosten für die Umsetzung der neuen Cyberstrategie genauer angeschaut.

Die Regierung will, dass künftig ein besserer Überblick über die IT-Sicher­heits­lage besteht. Für die Erstellung eines Lagebildes sollen Daten aus allen zur Verfügung stehenden Quellen beigezogen werden können. Diese würden dann einen Zugriff auf Bedrohungsinformationen, aktuelle Sicherheitslücken oder versuchte Angriffe erlauben.

Der Aufbau eines solchen Systems habe bereits begonnen, heisst es im Bericht zur Umsetzung der Strategie. Der Abschluss soll dann im 2. Quartal 2023 erfolgen, bevor ein regelmässiger Betrieb gestartet wird. Der Aufwand für die Initialisierung wird mit 100'000 Franken beziffert, schreibt der Kanton. Derjenige für den laufenden Betrieb auf 25'000 Franken. Beide beinhalten jedoch auch noch je 50 Tage an Personalaufwand, die zusätzlich mit je 50'000 Franken zu Buche schlagen.

Um Synergien zu nutzen, soll in Zukunft eine Zusammenarbeit mit dem NCSC und dem Bedrohungsradar des Seco angestrebt werden, heisst es von Kanton. Zudem sei noch zu klären, ob zusammen mit Hochschulen und Forschung eine Früherkennung von Trends und Technologien eingeführt werden soll.

Weitere Kosten fallen für interne Regelwerke und die regelmässige Prüfung der Organisationsstruktur an. Um Letztere zu überprüfen, wird mit einem Aufwand von rund 15 Personentagen gerechnet, was jährlichen Ausgaben von 25'000 Franken entspricht. Die stete Aktualisierung – etwa mit Blick auf neue Bedrohungen – von internen Regelwerken wird gemäss der Regierung ab 2024 mit 100'000 Franken zu Buche schlagen.

Um die Cybersicherheit auch nachhaltig zu stärken, will der Regierungsrat auch in Ausbildungsprogramme für Informationssicherheit investieren. Dafür soll eine Security-Awareness-Plattform mit E-Learning entwickelt werden, auf der Mitarbeitende und Vorgesetzte für die Sicherheit von IT-Infrastruktur sensibilisiert werden.

Dazu sollen jährlich 50'000 Franken für den Betrieb ausgegeben werden. Hinzu kommen jährliche Lizenzkosten von 100'000 Franken, ebenfalls rund 100'000 für die Durchführung von Ausbildungsveranstaltungen, rund 50'000 für die konzeptionelle Weiterentwicklung der Plattform sowie eine zuständige Person mit Fachkenntnissen in Security-Awareness.

Laut dem Strategiepapier will der Kanton, dass die Aufgaben, Kompetenzen und Verantwortlichkeiten bei einem Cybervorfall bereits definiert und geregelt sind. Dazu müssen aber auch die nötigen Mittel vorhanden sein, um auf Cyberangriffe reagieren zu können, schreibt die Regierung.

Die Verwaltungseinheiten sollen grundsätzlich befähigt sein, Ereignisse fachlich und in der Führung selbstständig zu bewältigen. Wo das Schaden­aus­mass, der Leistungsbedarf oder die zeitliche Dringlichkeit es gebieten, werde jedoch punktuell Unterstützung angeboten. Würde sich etwa abzeichnen, dass der Vorfall auch für den Bevölkerungsschutz relevant ist oder die Handlungs­fähigkeit der Verwaltung eingeschränkt wird, wäre die Kantonale Führungs­organi­sation beizuziehen, heisst es im Papier.

Bis zum 2. Quartal 2023 soll der Aufbau der Eskalationsstufen abgeschlossen sein. Zu den Kosten machte der Kanton keine Angaben, da diese je nach Vorfall variieren können.

Ein weiteres Handlungsfeld zielt auf das Krisenmanagement des Kantons bei Cybervorfällen ab. Dieses soll neu auch Vorgehenspläne, verschiedene Übungsszenarien, aber auch eine Eskalationsmatrix oder ein Bewertungs­raster für die Schwere der Vorfälle beinhalten. Dazu sollen verschiedene Trainings und Simulationen kommen, die sowohl amtsintern als auch unter Einbezug von externen Organisationen oder Polizeibehörden durchgeführt werden sollen.

Für die Fertigstellung des entsprechenden Konzepts wurden 50'000 Franken budgetiert. Weitere 100'000 Franken sollen für die Durchführung von Trainings, Simulationsübung und Stabsübung aufgewendet werden. Die Erarbeitung des Krisenmanagements soll bis Ende Jahr abgeschlossen sein. Erste Simulations- und Stabsübungen sollen dann 2023 stattfinden und alle 2 Jahre wiederholt werden.

Weil die Verantwortung für den Schutz von kritischen Infrastrukturen in erster Linie bei den Betreibern selbst liegt, möchte der Kanton einen regelmässigen Austausch mit diesen pflegen. Dazu soll eine Liste mit verantwortlichen Personen eingeführt und wiederkehrende Sitzungen abgehalten werden. Ebenfalls geklärt werden soll die Mitwirkung des Bundes, insbesondere wenn es um die Umsetzung von IKT-Minimalstandards geht.

Durch die Kontaktpflege sollen die Betreiber von kritischer Infrastruktur bezüglich Cybersicherheit sensibilisiert werden, schreibt der Kanton. Bis Ende 2023 soll ein Kontaktnetzwerk aufgebaut werden, welches sich ab 2024 regelmässig austauscht. Dafür ausgeben will der Kanton 25'000 Franken, was rund 15 Personentagen entspricht.

Zusätzlich sollen die Betreiber auch indirekt über den Bund unterstützt werden. So will der Kanton zum Beispiel bei der Erstellung von Wiederanlauf- sowie Krisenmanagementplänen bei einem Cyberangriff mithelfen und die Koordination von Krisenübungen mit Betreibern von kritischer Infrastruktur gestalten.

Weitere Handlungsfelder betreffen den Austausch mit den Städten und Gemeinden, wofür 25'000 Franken ausgegeben werden. Zu denselben Konditionen soll bis zum 3. Quartal 2024 auch ein Netzwerk mit Wirtschaft und Gewerbe erschlossen werden. Zusätzlich zu den Aktivitäten zur Vernetzung betreibt der Kanton Zürich auch einen Erfahrungsaustausch mit den Nachbarländern sowie mit nationalen und internationalen Gremien und Expertinnen und Experten im Securitybereich.