Verantwortung und Informationssicherheit

Ausgangslage

Die Verwaltungen von Kanton und Gemeinden sind heute ohne Informations- und Kommunikationstechnologie (IKT) nicht mehr denkbar. Dabei ist die IKT nicht einfach ein Werkzeug wie vielleicht früher die Schreibmaschine – man hätte die Verfügung auch von Hand schreiben können, wenn die Schreibmaschine ausgefallen wäre. Die Geschäftsprozesse der Verwaltung werden vielmehr von IKT regelrecht durchdrungen; viele staatliche Dienstleistungen können ohne die IKT gar nicht mehr erbracht werden.

Dabei ist sowohl die IKT-Landschaft als auch die Organisation und die Art der zu erbringenden Leistungen alles andere als homogen. Es herrscht ein «föderaler» Aufbau: Die Informatik wird je nach Aufgabenstellung von der Dienststelle selber, zentralisiert auf Departementsstufe oder gesamtkantonal betrieben. Gesamtkantonal zentralisierte Leistungen werden von den Zentralen Informatikdiensten (ZID) oder externen Dritten bezogen. Die Informatik trifft auf föderalistische und äusserst unterschiedliche Strukturen und Kulturen, auf sehr hierarchische wie etwa bei der Kantonspolizei oder auf eher partizipative wie bei den Schulen. Überlagert wird die Heterogenität durch die Tendenz, dass die IKT bedingt durch erhoffte Kostenoptimierung durch Skaleneffekte oder Verbesserung der Professionalität zunehmend zentralisiert und teilweise auch ausgelagert (Outsourcing) wird.

Diese Ausgangslage führt unweigerlich dazu, dass es schwierig bis unmöglich ist, die Risiken, die mit der IKT verbunden sind, in der Gesamtheit zu überblicken und im Griff zu halten. Es kann nicht gesagt werden, dass die Risiken aus dem Ruder laufen – aber auch nicht das Gegenteil. Eine Aussage zum Stand der Risiken ist schlicht nicht möglich, wenn beispielsweise ein An-wendungs- und ein Projektportfolio nur ansatzweise und nicht aktualisiert vorhanden sind.

nach oben

Verantwortung nach IDG

Das Informations- und Datenschutzgesetz (IDG) legt die Verantwortlichkeit grundsätzlich fest: Verantwortlich für den Umgang mit den Informationen ist das öffentliche Organ, das zur Erfüllung seiner gesetzlichen Aufgabe Informationen (und insbesondere Personendaten) bearbeitet. Die Verantwortung bleibt auch beim öffentlichen Organ, wenn es die Informationen bearbeiten lässt, also eine Leistung (beispielsweise IKT-Leistungen) von einem (verwaltungsinternen oder externen) Dritten bezieht. Zu dieser Verantwortung gehört auch die Informationssicherheit: Das öffentliche Organ hat die Informationen durch angemessene organisatorische und technische Massnahmen zu schützen.

Die heterogene Ausgangslage in Kombination mit dem benötigten Fachwissen im Bereich der Informationssicherheit macht klar, dass die Verantwortung nicht durch jedes öffentliche Organ (z.B. durch jede einzelne Dienststelle), das zur Erfüllung seiner Aufgabe IKT einsetzt und/oder IKT-Leistungen bezieht, nach eigenem Gutdünken wahrgenommen werden kann. Das öffentliche Organ kann auch nicht nach Belieben selber entscheiden, was angemessene technische oder organisatorische Massnahmen zum Schutz seiner Informationen sind und welche verbleibenden Risiken es übernehmen will.

nach oben

Lösungsansatz

Vordringlich ist, dass im Bereich der Informationssicherheit die Aufgaben, Kompetenzen und Verantwortlichkeiten klar zugewiesen werden. Das beginnt bei der Dateneignerin (siehe sogleich) und geht über die verschiedenen Instanzen, im Kanton bis zum Regierungsrat als operativer Leitung. Wie die Erfahrung der letzten Jahre gezeigt hat, ist bei etlichen Daten nicht einmal geklärt, welches Organ Dateneignerin ist. Weiter muss der «Risikoappetit» bestimmt werden. Dazu wird ein durchgängiges Risikomanagement, wiederum bis hin zum Regierungsrat, benötigt. Die Massnahmen, die zur Risikominimierung bestimmt werden, sind in einem Grundschutzhandbuch zu definieren.

Die Dateneignerin – das öffentliche Organ, das die Informationen zur Aufgabenerfüllung bearbeitet oder bearbeiten lässt – muss vorerst den Schutzbedarf «ihrer» Informationen in Bezug auf die verschiedenen Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit, Zurechenbarkeit und Nachvollziehbarkeit) beurteilen. Sodann muss sie dafür sorgen, dass die angemessenen organisatorischen und technischen Massnahmen zur Erreichung der Schutzziele getroffen werden. Das ist schon nicht einfach, wenn das Bearbeiten vollständig in ihrer Hand liegt (sie beispielsweise die Informatik selber betreibt), weil häufig das dazu notwendige spezifische Fachwissen nicht vorhanden ist. Auch kann es – aus einer Gesamtsicht – nicht allein bei der Dateneignerin liegen, die Angemessenheit der Massnahmen zu bestimmen. Geradezu unrealistisch wird es, wenn es allein an ihr liegen würde, sicherzustellen und durch Audits zu überprüfen, dass «ihre» Leistungserbringer (z.B. die Departementsinformatik, die ZID oder externe Provider wie die Swisscom) die notwendigen Massnahmen treffen.

Mit diesem Problem steht der Kanton Basel-Stadt nicht allein da. Sowohl andere Gemeinwesen als auch die Privatwirtschaft sind damit konfrontiert. Aus diesem Grund gibt es auch internationale Regelwerke (Frameworks), welche (u.a.) notwendige Prozesse beschreiben, Mass-nahmen vorschlagen oder Metriken zur Bestimmung der Zielerreichung anbieten. Es braucht also nicht alles erfunden zu werden – und trotzdem reicht es nicht, sich an solchen Frameworks zu orientieren, um das Problem zu lösen. Frameworks sind keine Wunderheilmittel; jedes Framework hat sein «Spezialgebiet», ist in der Regel «generisch und/oder abstrakt» und muss immer auf die Gegebenheiten der Organisation angepasst werden. Notwendig sind also erstens ein klares Bekenntnis von oberster Ebene, zweitens angemessene organisatorische Strukturen, denen die Aufgaben, Kompetenzen und Verantwortlichkeiten zugeteilt werden und drittens bewusste und nachvollziehbare Entscheidungen.

Regelungen und Organisation Die Gesamtverantwortung liegt im Kanton beim Regierungsrat als operativer Leitung. Er hat die nötigen Regelungen zu erlassen und die Organisation zu schaffen, die sicherstellt, dass er seine Verantwortung übernehmen kann. Zu regeln sind etwa die Aufgaben, Kompetenzen und Verantwortlichkeiten der verschiedenen Organe und Rollen in der Informatik, allenfalls auch die Standards und Frameworks, nach denen gearbeitet werden soll. Festzulegen und tat-sächlich umzusetzen ist etwa, in welchen Prozessen und mit welchen Qualitätsansprüchen an die Prozesse beispielsweise die Strategie(weiter)entwicklung stattfindet. Organisatorisch braucht es etwa ein Organ, das Standards festlegt, also beispielsweise bestimmt, welche Massnahmen zwingend und in welcher Form umzusetzen sind, um den Grundschutz sicherzustellen usw. Schliesslich muss die Sorge um die Informationssicherheit in kantonale Risikomanagement, Governance- bzw. IT-Governance-Vorkehren eingebettet sein.

Der Datenschutzbeauftragte wacht über die Einhaltung der Bestimmungen betreffend den Umgang mit Informationen. Aus diesem Grund sehen wir es als unsere Aufgabe, auf die Dringlichkeit hinzuweisen, die Verantwortung für die Informationssicherheit nach § 8 IDG wahrzunehmen. Es gibt in diesem Bereich etliche Baustellen, auf denen die Arbeiten dringend voranzutreiben sind: insb. die Definition des Grundschutzes, die Regelung der Verantwortlichkeit, die Festlegung der Standards und Frameworks, aber auch das Identity and Access Management (IAM) mit einer stärkeren Authentisierung und die Speicherung und elektronische Übermittlung von besonderen Personendaten.

Das Inkrafttreten des IDG wurde vom Regierungsrat festgelegt, sobald die konkretisierenden Bestimmungen in der Informations- und Datenschutzverordnung (IDV) beschlossen waren. Es wurde damals darauf verzichtet, das Inkrafttreten des IDG auch von der Anpassung der Informatiksicherheitsverordnung (ISV) abhängig zu machen, weil diese nicht unter Zeitdruck, sondern eingebettet in die Regelung der IT-Governance erfolgen sollte. Damit war allerdings nicht gemeint, dass die Anpassung der ISV auf die lange Bank geschoben werden dürfe. Es ist dringend, die Risiken in Bezug auf die Abhängigkeit von der IKT aktiv anzugehen. Es ist ja nicht nötig, damit zu warten, bis – wie im Bundesnachrichtendienst – ein Mitarbeiter oder eine Mitarbeiterin mit heiklen Informationen auch einer Festplatte hinausspaziert…

Anmerkung

Dieser Text ist mit Quellennachweisen im Tätigkeitsbericht 2012 publiziert (dort S. 10 f.). Tätigkeitsbericht 2012

nach oben

Navigation

Sprunglinks

Sprachwahl

Zugänge ganzer Kanton

Behörden & Organisation

Themen A-Z

Hauptnavigation

structural.subnavigation

Verantwortung und Informationssicherheit

Inhalt dieser Seite

Ausgangslage

Verantwortung nach IDG

Lösungsansatz

Anmerkung

Weitere Informationen

Zugänge nach Informationstyp

Kontakt

Stadtplan & Karte

Gesetze

Statistiken

Publikationen

Bild & Multimedia

Fusszeile

Rechtliches & Hilfe

Sie sind hier:

Verantwortung und Informationssicherheit

Ausgangslage

Verantwortung nach IDG

Lösungsansatz

Anmerkung

Weitere Informationen