Regierungsrat habe, gemäss PUK, Daten- und Informationssicherheit vernachlässigt

In den Jahren 2002 – 2014 ist es in der Direktion der Justiz und des Innern (JI, derzeitige Vorsteherin Jacqueline Fehr, SP) zu „unsachgemässen“ Entsorgungen von Datenträgern gekommen. Im Rahmen der Abklärungen der Staatsanwaltschaft (STA) wurden mindestens 202 Datenträger (wie Festplatten und USB-Sticks) sichergestellt, welche teilweise sensitive Daten enthielten. Unklar bleibt, wie viele Datenträger über die von den STA sichergestellten Geräte hinaus ebenfalls vom Datenvorfall betroffen sind, resp. waren. Die sichergestellten Daten zeigen, dass verschiedene Ämter der JI vom Vorfall, welcher 2022 bekannt wurde, betroffen waren. 

Die PUK kritisiert in ihrem Bericht (KR-Nr. 172/2023) die Organisation der kantonalen Verwaltung bei der Daten- und Informationssicherheit. Diese lasse den Direktionen und der Staatskanzlei in der Umsetzung viel Spielraum. Das Silodenken, das den untersuchten Datensicherheitsvorfall in der JI erst ermöglichte, müsse überwunden werden.

Ungenügende Begleitung und Bewusstsein für kantonale Lösung fehlt weiterhin

Das Scheitern der kantonalen Informationsstrategie 2008, auch eine Folge er damals äusserst komplexen Entscheidungsstruktur, hatte für die kantonale Informationssicherheit nachteilige Folgen. Der Aufbau einer kantonalen Informationssicherheitsorganisation und eines Informationssicherheits-Managements verzögerte sich, womit auch die Erarbeitung konkreter, verbindlicher kantonaler Vorgaben erst später vorlagen. Erst 2015 schuf der Regierungsrat (RR) die Funktion des kantonalen Informationssicherheitsbeauftragten und erliess 2019 die Allgemeine Informationssicherheitsrichtlinie. Ab 2020 wurden die Stellen von Informationssicherheitsbeauftragten in den Direktionen und der Staatskanzlei geschaffen.  Die kantonalen Aktivitäten haben sich erst ab 2022 durch den Erlass der Informationssicherheitsstrategie (früher Cybersicherheitsstrategie) verstärkt. Die PUK-Datensicherheit bemängelt den weiterhin bestehenden Fokus des RR auf die einzelnen Direktionen statt auf den Kanton.

Datensicherheitsvorfall in der JI

Der  Zeitraum des Vorfalls konnte die PUK auf die Jahre 2002-2014 eingrenzen. In diesem Zeitraum standen die Regierungsräte Markus Notter (SP) von 2002 – 2010, Martin Graf (Grüne) von 2010 – 2014 der JI vor.

2015 übernahm Jacqueline Fehr (SP) die Direkton der Justiz und des Innern. Als die Direktionsvorsteherin der JI im November 2020 vom Vorfall erfuhr, ordnete sie eine Administrationsuntersuchung an und informierte den kantonalen Informationssicherheitsbeauftragten sowie die Datenschutzbeauftragte. Die Kommunikation der JI gegenüber den Behörden war jedoch krass ungenügend:

Die Finanzkontrolle wurde nicht informiert und die Datenschutzbeauftragte erhielt den Schlussbericht erst auf wiederholte Nachfrage. Die Geschäftsprüfungskommission des Kantonsrates erfuhr zwar im Rahmen eines Referentengesprächs 2021 vom Vorfall, eine Zustellung des Schlussberichts blieb aber aus.

Kritisiert wird von der PUK-Datensicherheit die Kommunikation von RR Jacqueline Fehr gegenüber dem RR.

Bei der ersten RR-Sitzung vom 19. November 2020 erwähnte sie den Vorfall so beiläufig, dass sich später kaum jemand an diese Information erinnern konnte. Den Schlussbericht zur Administrationsuntersuchung erhielt der RR erst im Vorfeld eines Point de Presse vom 6.12.2022! Erst am 21.12.2022 wurde der RR über den Datensicherheitsvorfall grundlegend informiert! (1:1 Text aus der MM der PUK vom 12.12.25).

50! Empfehlungen der PUK

Mit ihren 50 Empfehlungen legt die PUK dem Betrachter die Vermutung nah, dass kein PUK-Mitglied je in einer Leitungsfunktion in einem grösseren Betrieb oder in der Armee tätig war.

Die PUK empfiehlt insbesondere eine intensivere Zusammenarbeit, einheitliche Regelungen und eine gemeinsame Verantwortung der Regierung bei allen Aspekten der Informationssicherheit und der Informatik. Zudem sei die Berichterstattung innerhalb der Regierung (Anmerkung der Tribüne: Bestehend aus einzelnen Fürstentümern)  und gegenüber den Aufsichtskommissionen (Anmerkung der Tribüne: An der Peripherie des der Zürcher Politik angesiedelt – von den wenigsten politischen Akteuren im Kanton ernst genommen!) zu stärken und die Aufsicht über IT-Projekte und Informationssicherheit sicherzustellen.

Fazit

  • Der Gesamt-Regierungsrat muss endlich über die Bücher gehen und seinem Gärtchen-Denken den Garaus machen. Hätte er dies spätestens 2008 getan, wäre dieser Datensicherheitsvorfall wohl viel früher ans Licht gekommen. 
  • Die derzeit nur noch wenig motiviert auftretende und amtsmüde Justizdirektorin Jacqueline Fehr (SP) sollte sich nach ihrem abermaligen Informations-Gau anlässlich dieses Datensicherheitsvorfalls (siehe oben) einen vorzeitigen Rücktritt ernsthaft überlegen. Ihr Verhalten anlässlich der regierungsrätlichen Pressekonferenz nach der Abstimmung über die Kantonale Mobilitätsinitiative (RR J. Fehr spielte ostentativ auf ihrem Handy während der PK ihrer Kollegin, Volkswirtschaftsdirektorin Walker-Späh, FDP) zeugt davon!
  • Die 50! Empfehlungen aus 50! Sitzungen im 219-seitigen Bericht der PUK (12 Mitglieder à CHF 234 pro Sitzung) sind in der vorgelegten Form schwer bearbeitbar, geschweige denn umsetzbar und bedingten vor allem eines: Einen weiteren, wohl grösstenteils unnötigen Ausbau der Verwaltung!