Der Kanton Zürich hinkt in Sachen Cybersecurity den Vorschriften hinterher. Obwohl schon bald gesetzlich vorgesehen, verfügen die Behörden offenbar noch nicht über ein Information Security Management System (ISMS). Laut Experten dürfte sich die Einführung auch kaum mehr im vorgegebenen Zeitrahmen realisieren lassen.
Das neue Bundesgesetz über die Informationssicherheit beim Bund (Informationssicherheitsgesetz) verpflichtet alle Bundesbehörden, bis spätestens Ende 2026 ein Information Security Management System (ISMS) einzuführen. Ein derartiges System umfasst Vorschriften, Verfahren und Massnahmen zur Verbesserung der Cybersicherheit von Unternehmen, Organisationen und Behörden.
Auch im Kanton Zürich ist ein ISMS schon länger ein Thema, allerdings ist der Zeitrahmen hier anders als beim Bund. Einen entsprechenden Hinweis enthält die «Allgemeine Informationssicherheitsrichtlinie des Regierungsrates für die kantonale Verwaltung» aus dem Jahr 2019 (PDF): Gemäss diesem Papier ist das ISMS der kantonalen Behörden nämlich «erstmals im Jahr 2027 von einer unabhängigen Stelle auf seine Wirksamkeit, Zweckmässigkeit und Wirtschaftlichkeit zu überprüfen». Unklar ist allerdings – trotz dieser Richtlinie – ob im Kanton bereits ein ISMS vorhanden ist, was ja eine Voraussetzung wäre, um es überprüfen zu können.
Ist die Einführung eines ISMS überhaupt noch rechtzeitig möglich?
Der Inhalt eines Stelleninserates, womit die Sicherheitsdirektion des Kantons Zürich zur Zeit einen Informationssicherheitsbeauftragten sucht, legt nämlich die Vermutung nahe, dass die Behörde noch nicht über ein ISMS verfügt. Denn im Aufgabenbeschrieb heisst es: «Du bist für den weiteren projektorientierten Aufbau der Informationssicherheit in unserer Direktion verantwortlich. Dazu gehört massgeblich die Erarbeitung eines ISMS.»
Eine Nachfrage des Online-Magazins «Inside IT» bei der Sicherheitsdirektion wurde von dieser trotz mehrfachem Nachhaken nur unvollständig beantwortet – ignoriert wurden insbesondere spezifische Fragen zum Vorhandensein eines ISMS in der Behörde und zu dessen Funktionsweise und Budgetierung. Klar ist indes laut den Experten des Magazins, dass die Einführung eines ISMS für die Zürcher Kantonsbehörden bis 2027 – falls noch nicht vorhanden – ohnehin ein anspruchsvolles bis unmögliches Vorhaben sein dürfte, zumal dann, wenn es auch nach ISO 27001 zertifiziert werden soll.
Endpoint Security: Die optimale Ergänzung zu einem ISMS
Mit einem ISMS können Behörden und Unternehmen eine maximal effektive Prävention gegen Cyberkriminalität sicherstellen – und so Angriffen vorbeugen. Daneben sind jedoch auch technische Lösungen zur Abwehr von Angriffen notwendig. Ein gut funktionierendes Abwehrmittel ist beispielsweise eine bewährte Endpoint Security-Lösung, wie Bitdefender. Sie unterbindet Angriffe aus dem Cyberspace effektiv und ohne grossen Aufwand. Damit ist sie eine optimale Ergänzung zu einem ISMS-Regelwerk, das die theoretische Grundlage für den Umgang mit Cyberkriminalität bildet.