Im Juni 2022 verabschiedete der Zürcher Regierungsrat eine neue Cybersicherheitsstrategie. Diese soll den Rahmen bilden, "damit Regierung und Verwaltung im Bereich der Cyberrisiken vorausschauend und wirksam handeln können". Die Regierung hielt in der Strategie fest: "Der Kanton Zürich betreibt eine eigene Erkennung, Schutz, Abwehr und Bewältigung von Cyberangriffen." Mit dem Beschluss wurden damals zahlreiche neue Stellen bewilligt.
Eine dieser Stellen muss jetzt neu besetzt werden. Das kantonale Amt für Informatik (AFI) sucht eine Programmleiterin oder einen neuen Leiter für die Umsetzung der Strategie. Die zuständige Finanzdirektion erklärt auf unsere Anfrage, die Stelle sei seit einem Jahr besetzt gewesen. Der heutige Programmleiter wechsle aber intern auf eine andere Position im kantonalen Zentrum für Cybersicherheit (CCSC).
Direkt dem CCSC-Leiter unterstellt
Das CCSC wurde ebenfalls im Rahmen der Strategie
ab 2022 aufgebaut und ist dem AFI angegliedert. Zu seiner Arbeit gehören unter anderem die Sensibilisierung der Mitarbeitenden, das Cyber-Risikomanagement und ein Bug-Bounty-Programm.
Zum Stand des Zentrums sagte uns Kantons-CIO Hansruedi Born
im Interview vor einem Jahr: "Das CCSC wird etappenweise aufgebaut, für die operativen Themen in der Cyberdefense konnten wir alle bislang benötigten Stellen besetzten. Im Bereich Risk und Compliance haben wir aber noch nicht alle notwendigen Kandidatinnen und Kandidaten gefunden."
Die Programmleitung wiederum ist direkt dem Informationssicherheitsbeauftragten des Kantons unterstellt, der das CCSC leitet. Die gesuchte Person trägt laut Stelleninserat die Gesamtverantwortung für die Umsetzung der Cybersicherheitsstrategie, für Projekte im Programm sowie für "die Planung und die Pflege des direktionsübergreifenden Servicesportfolios im Bereich Cybersicherheit".
Strategie wird weiterentwickelt
Die kantonale Cybersicherheitsstrategie sei ein übergreifendes Vorhaben, erklärt Mediensprecher Urs Neuenschwander. "Entsprechend erfolgt eine Umsetzung in Abstimmung mit allen Direktionen und der Staatskanzlei. Durch die Umsetzung der Strategie werden den Verwaltungseinheiten unter anderem zentrale Services und Hilfsmittel bereitgestellt." Die Verwaltungseinheiten würden dieses Angebot nutzen, um ihre Cybersicherheit kontinuierlich zu verbessern.
In einer ersten Phase der Strategie ging es laut Regierungsratsbeschluss um die Bedrohungslage, die Stärkung der kantonalen Verwaltung und den Umgang mit Vorfällen. In einer zweiten Phase ab 2024 würden sich "die Anstrengungen zusätzlich auf die weiteren Zielgruppen des Kantons, insbesondere auf seine kritischen Infrastrukturen" richten. Die Cybersicherheitsstrategie werde regelmässig auf ihre Angemessenheit geprüft und bei Bedarf mit zusätzlichen Massnahmen ergänzt, betont Neuenschwander. Es sei vorgesehen, 2025 die Strategie mit den Stakeholdern weiterzuentwickeln.