IT-Sicherheit
Cyberkriminalität: Der Thurgau wehrt sich mit allen Mitteln
Die Thurgauer Kantonsverwaltung ist gegen Cyberrisiken gerüstet. Zu viel über das Abwehrdispositiv verraten möchte der Regierungsrat allerdings nicht. Aus Sicherheitsgründen, versteht sich.
2022 wurde eine Rekordzahl von digitalen Angriffen in der Schweizer Arbeitswelt gemeldet.
Es trifft nicht nur Unternehmen - wie zum Beispiel jenes, zu dem die Thurgauer Zeitung gehört. Auch staatliche Einrichtungen sind immer wieder von folgenschweren Cyberangriffen betroffen. Mitte-Kantonsrat Patrick Siegenthaler aus Herdern wollte in einer Einfachen Anfrage deshalb von der Thurgauer Regierung wissen, wie die kantonale Verwaltung gegen solche Angriff gerüstet ist.
Der Bereitschaftsgrad gegen einen Cyberangriff sei zwar nur schwer messbar, heisst es in der Antwort der Kantonsregierung. Gleichzeitig versichert sie aber, dass in der Verwaltung betreffend Sicherheit der IT-Systeme «sämtliche gängigen Standards angewendet» werden. Will heissen: Es werde grosser Wert auf physische und systemtechnische Zugangsbeschränkungen gelegt und immer das «Need-to-know»-Prinzip angewendet.
Auf zwei Standorte verteilt
Letzteres bedeutet, dass nur derjenige Personenkreis Zugang zu den Rechenzentren erhält, der auch tatsächlich Arbeiten darin ausführen muss. Der Zugang zur IT-Infrastruktur wird separat überwacht «und ist generell nur einem stark eingeschränkten Personenkreis möglich». Zudem werden sämtliche Zutritte registriert. «Analog verhält es sich mit den systemtechnischen Zugriffen.» Dabei sind verschiedene Stufen des Logins zu durchlaufen.
Die Systeme sind laut Regierungsrat in einem Netzwerkverbund auf zwei physische Standorte verteilt. «Zum Schutz gegen Datenverlust ist ein dreistufiges Backup-Konzept im Einsatz, wobei unterschiedliche Technologien für Speichermedien zum Einsatz kommen.»
Enge Orientierung an ISO-Standards
ISO-zertifiziert ist das kantonale Amt für Informatik (AfI) gemäss Regierung wie die meisten verwaltungsinternen IT-Dienstleister nicht. Es orientiere sich aber eng an den Standards ISO 27001 und ISO 9001. Ausserdem arbeite das Amt für periodische IT- Security-Bewertungen mit externen Spezialisten zusammen. Im AfI selbst gibt es einen eigenen IT-Sicherheitsbeauftragten (CISO), «der die gesamte IT-Landschaft laufend auf Unsicherheiten überprüft». Dieser stehe auch in engem Austausch mit dem National Cyber Security Center (NCSC) des Bundes. «Sodann», so der Regierungsrat weiter, «bestehen enge Kontakte mit den CISO der umliegenden Kantone».
Die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter gehört ebenfalls zum Abwehrdispositiv des Kantons. Zu diesem Zweck werden periodische Phishing-Kampagnen durchgeführt, die letzte im Herbst 2022. Zurzeit laufe ausserdem eine Kampagne mit verschiedenen E-Learning-Modulen, um die Mitarbeiter zu sensibilisieren.
Mehr zum Thema
