Täglich Angriffe aus dem Cyberraum auf kantonale Verwaltung - Regierung reagiert
In den letzten Jahren haben Angriffe auf die Informatiksysteme der kantonalen Verwaltung stark zugenommen. Der Schutz sensibler Daten vor Cyberangriffen und anderen Bedrohungen werde immer wichtiger und ist eine unabdingbare Voraussetzung für das Funktionieren der Verwaltung. Dies teilt der Regierungsrat mit.
Öffentliche Anhörung bis 16. August
Mit dem neuen Informationssicherheitsgesetz schaffe der Kanton Aargau die rechtlichen Grundlagen, um die Informations- und Cybersicherheit in der Kantonsverwaltung zu stärken, heisst es darin weiter. Die öffentliche Anhörung zum Gesetz dauert vom 8. Mai bis am 16. August 2024. Um die Sicherheit digitaler Daten auf einem genügend hohen Stand zu haben, müssen auch technische und organisatorische Massnahmen ergriffen werden. Dem Grossen Rat wird dazu ein entsprechender Verpflichtungskredit beantragt.
Der rasante Wandel hin zu einer Informationsgesellschaft und die Digitalisierung berge viele Chancen, jedoch auch erhebliche Risiken. Die zunehmende Abhängigkeit von Informations- und Kommunikationstechnologie (IKT) mache auch den Kanton Aargau betroffen gegenüber Ausfällen, Störungen und Missbräuchen dieser Technologien, namentlich nehmen die Angriffe auf Verwaltungssysteme stark zu, heisst es in der Mitteilung weiter.
Die Aufgaben der Informationssicherheit werden bereits heute im Rahmen der zur Verfügung stehenden Ressourcen wahrgenommen. Als Reaktion auf die deutlich wachsende Gefahr von Cyberangriffen und anderen Bedrohungen will der Regierungsrat die Informationssicherheit gesetzlich normieren. Das neue Informationssicherheitsgesetz stärke den Schutz von sensiblen Daten im Aargau und schaffe die rechtlichen Grundlagen für einen bisher unzureichend geregelten Bereich, heisst es dazu weiter.
Weiter legt der Regierungsrat dem Grossen Rat einen Verpflichtungskredit vor, um notwendige technische und organisatorische Massnahmen zur Erreichung des angestrebten Sicherheitsstandards umsetzen zu können.
Cyber-Bedrohungen nehmen zu, Risiken steigen
Die Informations- und Kommunikationsinfrastruktur von Behörden und Unternehmen sind zunehmenden Angriffen ausgesetzt. Die Systeme der kantonalen Verwaltung verzeichnen laut Mitteilung täglich Angriffe aus dem Cyberraum. Der Ausfall eines Informatiksystems könne je nachdem, wie heikel oder wichtig die damit bearbeiteten Informationen sind, erhebliche finanzielle Folgen nach sich ziehen oder in schwerwiegenden Fällen sogar die Erfüllung gesetzlicher Aufgaben des Staates verunmöglichen.
Orientierung an branchenüblichen Standards
Das kantonale Recht soll sich dabei an den in der Branche üblichen internationalen Standards wie ISO/IEC 27001 und NIST orientieren. So soll für die kantonale Verwaltung die Führungsverantwortung dort verankert werden, wo die Behörden (Grosser Rat, Regierungsrat und Gerichte) für die Umsetzung der gesetzlichen Vorgaben zu sorgen haben.
Dabei gehe es beispielsweise um die Implementierung eines ganzheitlichen Informationssicherheits-Systems (ISMS), um Notfallplanung und Präventionsmassnahmen, um die Klassifizierung von Informationen sowie um die Sicherstellung technischer und organisatorischer Massnahmen beim Einsatz von Informatikmitteln, das Identitäts- und Risikomanagement sowie personelle Massnahmen (z.B. Personensicherheitsprüfungen).
Stärkung der internen Organisationsstrukturen
Eine zentrale Fachstelle für Informationssicherheit soll neu als Kompetenzzentrum für die departements- und behördenübergreifenden Aufgaben dienen und den kantonalen Stellen beratend und unterstützend zur Verfügung stehen. Angesichts des grossen Gefährdungspotenzials und damit verbunden einer notwendigen einheitlichen kantonalen Erkennungs- und Abwehrstrategie mit entsprechenden Massnahmen werde sie mit Weisungs- und Durchsetzungsbefugnissen ausgestattet.
Für den dezentralen Vollzug sind die departementalen Stellen mit ihren Informationssicherheitsbeauftragten Personen (ISBP) zuständig. Sie steuern und begleiten in den jeweiligen Departementen und den Gerichten Kanton Aargau die Umsetzung der beschlossenen MassnahDie Gewährleistung der Informationssicherheit gehört zum Risikomanagement eines jeden Gemeinwesens und eines jeden Unternehmens. Damit werden die Vertraulichkeit, die Verfügbarkeit, die Integrität und die Nachvollziehbarkeit von Informationen gewährleistet.
Kantonale Cyber-Koordination unterstützt Bevölkerung, Wirtschaft und Gemeinden
Zudem soll ein Koordinationsorgan etabliert werden, welches dem effektiven Informationsaustausch und der Koordination der verschiedenen Massnahmen im Kanton Aargau dient. Die neu zu schaffende kantonale Cyber-Organisation richtet sich im Wesentlichen nach den Empfehlungen des Sicherheitsverbunds Schweiz (SVS). Im Zentrum steht die Cyber-Koordinationsstelle, die als zentrale Anlaufstelle für Fragen zur Informationssicherheit der Bevölkerung, der Wirtschaft und der Gemeinden zur Verfügung stehen soll. Mit Vernetzung, Informationsaustausch und Sensibilisierung trägt der Kanton dazu bei, das Risiko von Cyber-Bedrohungen auch ausserhalb der Verwaltungsgrenzen zu minimieren.
Personelle und finanzielle Auswirkungen für den Kanton
Nebst der Schaffung rechtlicher Grundlagen sind für die Aufgabe der Informationssicherheit in der kantonalen Verwaltung laut Regierungsmitteilung Investitionen in technische und organisatorische Massnahmen sowie zusätzliche Stellen erforderlich. Die Informationssicherheit wird in den Aufgaben- und Finanzplan (AFP) 2025–2028 als neuer Entwicklungsschwerpunkt aufgenommen. Dieser besteht aus verschiedenen Initiativen, die sich über alle Organisationseinheiten erstrecken und die langfristige Stärkung der Informationssicherheit im Kanton Aargau darstellen.
Die personellen Ressourcen werden im AFP 2025–2028 eingestellt. Für die Umsetzung einer Reihe von technischen und organisatorischen Massnahmen zur Stärkung der Informationssicherheit wird dem Grossen Rat ein Verpflichtungskredit für einen einmaligen Bruttoaufwand von 7,2 Millionen Franken und für einen jährlich wiederkehrenden Bruttoaufwand von 4 Millionen Franken beantragt.