Kanton Aargau: Stärkung der Informationssicherheit

Regierungsrat startet Anhörung zum neuen Informationssicherheitsgesetz und legt Verpflichtungskredit zur Erhöhung des Sicherheitsniveaus vor

In den letzten Jahren haben Angriffe auf die Informatiksysteme der kantonalen Verwaltung stark zugenommen.

Der Schutz sensibler Daten vor Cyberangriffen und anderen Bedrohungen wird immer wichtiger und ist eine unabdingbare Voraussetzung für das Funktionieren der Verwaltung. Mit dem neuen Informationssicherheitsgesetz schafft der Kanton Aargau die rechtlichen Grundlagen, um die Informations- und Cybersicherheit in der Kantonsverwaltung zu stärken. Die öffentliche Anhörung zum Gesetz dauert vom 8. Mai bis am 16. August 2024. Um die Sicherheit digitaler Daten auf einem genügend hohen Stand zu haben, müssen auch technische und organisatorische Massnahmen ergrif fen werden. Dem Grossen Rat wird dazu ein entsprechender Verpflichtungskredit beantragt.

Der rasante Wandel hin zu einer Informationsgesellschaft und die Digitalisierung bergen viele Chancen, jedoch auch erhebliche Risiken. Die zunehmende Abhängigkeit von Informations- und Kommunikationstechnologie (IKT) macht auch den Kanton Aargau betroffen gegenüber Ausfällen, Störungen und Missbräuchen dieser Technologien, namentlich nehmen die Angriffe auf Verwaltungssysteme stark zu. Die Aufgaben der Informationssicherheit werden bereits heute im Rahmen der zur Verfügung stehenden Ressourcen wahrgenommen. Als Reaktion auf die deutlich wachsende Gefahr von Cyberangriffen und anderen Bedrohungen will der Regierungsrat die Informationssicherheit gesetzlich normieren. Das neue Informationssicherheitsgesetz stärkt den Schutz von sensiblen Daten im Aargau und schafft die rechtlichen Grundlagen für einen bisher unzureichend geregelten Bereich.

Die öffentliche Anhörung zum neuen Informationssicherheitsgesetz dauert vom 8. Mai bis am 16. August 2024. Weiter legt der Regierungsrat dem Grossen Rat einen Verpflichtungskredit vor, um notwendige technische und organisatorische Massnahmen zur Erreichung des angestrebten Sicherheitsstandards umsetzen zu können.

Cyber-Bedrohungen nehmen zu, Risiken steigen

Die Informations- und Kommunikationsinfrastruktur von Behörden und Unternehmen sind zunehmenden Angriffen ausgesetzt. Die Systeme der kantonalen Verwaltung verzeichnen täglich Angriffe aus dem Cyberraum. Der Ausfall eines Informatiksystems kann je nachdem, wie heikel oder wichtig die damit bearbeiteten Informationen sind, erhebliche finanzielle Folgen nach sich ziehen oder in schwerwiegenden Fällen sogar die Erfüllung gesetzlicher Aufgaben des Staates verunmöglichen.

Orientierung an branchenüblichen Standards

Das kantonale Recht soll sich dabei an den in der Branche üblichen internationalen Standards wie ISO/IEC 27001 und NIST orientieren. So soll für die kantonale Verwaltung die Führungsverantwortung dort verankert werden, wo die Behörden (Grosser Rat, Regierungsrat und Gerichte) für die Umsetzung der gesetzlichen Vorgaben zu sorgen haben. Dabei geht es beispielsweise um die Implementierung eines ganzheitlichen Informationssicherheits-Systems (ISMS), um Notfallplanung und Präventionsmassnahmen, um die Klassifizierung von Informationen sowie um die Sicherstellung technischer und organisatorischer Massnahmen beim Einsatz von Informatikmitteln, das Identitäts- und Risikomanagement sowie personelle Massnahmen (z.B. Personensicherheitsprüfungen).

Stärkung der internen Organisationsstrukturen

Eine zentrale Fachstelle für Informationssicherheit soll neu als Kompetenzzentrum für die departements- und behördenübergreifenden Aufgaben dienen und den kantonalen Stellen beratend und unterstützend zur Verfügung stehen. Angesichts des grossen Gefährdungspotenzials und damit verbunden einer notwendigen einheitlichen kantonalen Erkennungs- und Abwehrstrategie mit entsprechenden Massnahmen wird sie mit Weisungs- und Durchsetzungsbefugnissen ausgestattet. Für den dezentralen Vollzug sind die departementalen Stellen mit ihren Informationssicherheitsbeauftragten Personen (ISBP) zuständig. Sie steuern und begleiten in den jeweiligen Departementen und den Gerichten Kanton Aargau die Umsetzung der beschlossenen Massnahmen. Landammann Dr. Markus Dieth hält fest: «Die Gewährleistung der Informationssicherheit gehört zum Risikomanagement eines jeden Gemeinwesens und eines jeden Unternehmens. Damit werden die Vertraulichkeit, die Verfügbarkeit, die Integrität und die Nachvollziehbarkeit von Informationen gewährleistet.»

Kantonale Cyber-Koordination unterstützt Bevölkerung, Wirtschaft und Gemeinden

Zudem soll ein Koordinationsorgan etabliert werden, welches dem effektiven Informationsaustausch und der Koordination der verschiedenen Massnahmen im Kanton Aargau dient. Die neu zu schaffende kantonale Cyber-Organisation richtet sich im Wesentlichen nach den Empfehlungen des Sicherheitsverbunds Schweiz (SVS). Im Zentrum steht die Cyber-Koordinationsstelle, die als zentrale Anlaufstelle für Fragen zur Informationssicherheit der Bevölkerung, der Wirtschaft und der Gemeinden zur Verfügung stehen soll. Mit Vernetzung, Informationsaustausch und Sensibilisierung trägt der Kanton dazu bei, das Risiko von Cyber-Bedrohungen auch ausserhalb der Verwaltungsgrenzen zu minimieren.

Personelle und finanzielle Auswirkungen für den Kanton

Nebst der Schaffung rechtlicher Grundlagen sind für die Aufgabe der Informationssicherheit in der kantonalen Verwaltung Investitionen in technische und organisatorische Massnahmen sowie zusätzliche Stellen erforderlich. Die Informationssicherheit wird in den Aufgaben- und Finanzplan (AFP) 2025–2028 als neuer Entwicklungsschwerpunkt aufgenommen. Dieser besteht aus verschiedenen Initiativen, die sich über alle Organisationseinheiten erstrecken und die langfristige Stärkung der Informationssicherheit im Kanton Aargau darstellen. Die personellen Ressourcen werden im AFP 2025–2028 eingestellt. Für die Umsetzung einer Reihe von technischen und organisatorischen Massnahmen zur Stärkung der Informationssicherheit wird dem Grossen Rat ein Verpflichtungskredit für einen einmaligen Bruttoaufwand von 7,2 Millionen Franken und für einen jährlich wiederkehrenden Bruttoaufwand von 4 Millionen Franken beantragt.

Die Anhörungsunterlagen sind im Internet abrufbar unter: www.ag.ch/anhörungen > Laufende Anhö-
rungen > Gesetz über die Informationssicherheit (InfoSiG)

Weitere Informationen dazu sind unter www.ag.ch/grossrat > Geschäfte > Suche Geschäfte > Ge-
schäfts-Nr. GR 24.135 verfügbar.

 

Quelle: Kanton Aargau / Staatskanzlei
Titelbild: Symbolbild © YueStock – shutterstock.com