IT-Sicherheit: Herausforderungen & Massnahmen für öffentliche Behörden

Revidiertes Datenschutzgesetz in der Schweiz

Das Datenschutzgesetz (DSG) der Schweiz ist das rechtliche Rückgrat, das die Grundlagen für den Schutz personenbezogener Daten in öffentlichen Behörden legt. Das DSG wurde vor einer Weile totalrevidiert und das neue Datenschutzgesetz (revDSG) ist am 1. September 2023 in Kraft getreten.

Das neue Datenschutzgesetz fokussiert auf den Schutz der Persönlichkeit von natürlichen Personen, deren Personendaten verarbeitet werden. Daten von juristischen Personen (z. B. Vereine oder Stiftungen) werden vom neuen DSG nicht mehr erfasst. Das revDSG legt zum Beispiel das Auskunftsrecht der betroffenen Personen fest: Einwohnende dürfen Auskunft darüber verlangen, ob und welche Daten über sie gespeichert werden. Auch das Recht auf Datenherausgabe und -übertragung (Recht auf Datenportabilität) wird im revDSG geregelt, ebenso wie das Recht auf Löschung der Daten.

Eine Übersicht der wichtigsten Änderungen findet sich auf der Website «Das neue Datenschutzgesetz aus Sicht des EDÖB». 

Auswirkungen des revidierten DSG auf öffentliche Organe

Seit dem Inkrafttreten des revDSG im Jahr 2023 sind öffentliche Verwaltungen grundsätzlich verpflichtet, die Bearbeitung von Personendaten an die neuen Bestimmungen anzupassen. Beispielsweise müssen Bundesorgane nun eine/n Datenschutzberater/-in ernennen, der bzw. die die Einhaltung des revDSG überwacht und sicherstellt.

Die Einhaltung des revDSG ist nicht nur gesetzlich vorgeschrieben, sondern auch von grundlegender Bedeutung, um das Vertrauen der Bevölkerung in die öffentlichen Institutionen zu bewahren und gleichzeitig die persönlichen Daten sicher zu halten. Datenschutz-Reviews und -Audits sollten regelmässig durchgeführt werden, um sicherzustellen, dass die Behörden den gesetzlichen Anforderungen entsprechen und den Datenschutz in allen Aspekten ihrer Arbeit gewährleisten. 

Wirtschaftlicher Wettbewerb

Hier muss jedoch erwähnt werden, dass öffentliche Organe zwar dem revDSG unterstehen, aber es gibt Ausnahmen. Denn eine Voraussetzung ist, dass die öffentliche Verwaltung am wirtschaftlichen Wettbewerb teilnimmt. Der Datenschutzbeauftragte des Kanton Zürichs nimmt bezüglich Auswirkungen des revidierten Datenschutzgesetzes auf öffentliche Organe eine klare Haltung ein: «Die Totalrevision des Datenschutzgesetzes hat keine Auswirkungen auf die öffentlichen Organe des Kantons Zürich, sofern sie nicht am wirtschaftlichen Wettbewerb teilnehmen. Für öffentliche Organe, die am wirtschaftlichen Wettbewerb teilnehmen und dabei nicht hoheitlich handeln, kommen die Vorgaben des totalrevidierten Datenschutzgesetzes sinngemäss zur Anwendung», heisst es im PDF-Dokument «Auswirkungen des revidierten Datenschutzgesetztes auf die öffentlichen Organe».

Ein Beispiel ist, wenn eine Gemeinde ein Restaurant führt, das mit anderen Gastrobetrieben in der Region konkurriert. Dasselbe gilt für kantonale Spitäler, die ein Restaurant betreiben – wenn es nicht nur für Mitarbeitende zugänglich ist. Mehr dazu auf datenschutz.ch.

Ziele des Datenschutzreviews

Regelmässige Datenschutzreviews sind unerlässlich, um sicherzustellen, dass Datenschutzrichtlinien und -verfahren wirksam umgesetzt sind. Zudem wird geprüft, ob die technischen und organisatorischen Massnahmen im Bereich Informationssicherheit den latenten Gefahren von aussen angemessen umgesetzt sind. 

Weiter werden potenzielle Schwachstellen in der Datenschutz-Strategie identifiziert. Die Datenschutz-Audits durch den kantonalen Datenschutzbeauftragten setzen seitens IT-verantwortlicher Person ein hohes Mass an Kenntnissen über komplexe und stetig ändernde technologische Anforderungen, sowie eine ausgeprägte Übersicht über die interne IT-Landschaft und IT-Strategie voraus.

Im Falle eines IT-Outsourcings kann eine Vorbereitung inklusive Erstellung der notwendigen Dokumentationen, Begleitung und Nachbearbeitung eines Datenschutz-Reviews hauptsächlich auf den externen Dienstleister fallen – je nach Dienstleistungsumfang.
 

So läuft ein Datenschutzreview ab
Die Schritte eines Datenschutzreview sind:

• Vorbesprechung des Audits vor Ort
• Elektronisches Einreichen der vorhandenen Unterlagen & Dokumentationen
• Prüfung der eingereichten Unterlagen durch den Datenschutzbeauftragten (dsb)
• Prüfung vor Ort
• Berichtsentwurf dsb und Schlussbesprechung
• Stellungnahme & Terminierung Massnahmenumsetzung
• Bericht
   

Umsetzung der Massnahmen
Bei der Umsetzung der im Datenschutzreview ermittelten nötigen Massnahmen sind folgende Punkte wichtig: 

• Welche Dokumente benötigt eine Behörde idealerweise für ein Review?
• Auflistung externer Stellen inkl. gesetzlicher Grundlage, falls diese auf besondere Personendaten zugreifen
• Auflistung externer Auftragnehmender im IT-Bereich
• Aktuelle Verträge mit Auftragnehmenden für IT-Dienstleistungen inkl. deren Datenschutzbestimmungen
• Regelung der Datenaufbewahrung (Dauer, Vernichtung)
• Berichte vergangener Prüfungen der Informationssicherheit
• Informationssicherheitsstrategie
• Prozess- und Verfahrensdokumentationen für die systematische Verwaltung der Informationssicherheit oder des Informationssicherheits-Managementsystems (ISMS)
• Informationssicherheitskonzept inkl. Risikoanalyse, Massnahmenplanung, Umsetzung, Kontrolle etc.
• Sicherheits- und Betriebsorganisation als Organigramm und Funktions- und Verantwortungsbeschreibung
• Betriebshandbuch & Weisungen für Benutzende (Passwörter, mobiler Arbeitsplatz, Geräte, WLAN etc.)
• Dokumentation der Sensibilisierungs- und Schulungsmassnahmen rund um Datenschutz & Informationssicherheit
• Verzeichnis der Datenbestände samt Klassifikation
• Verzeichnis der Applikationen mit Beschrieb und Klassifikation der Anwendung, Schnittstellen inkl. verantwortliche Personen
• Dokumentation Inventarprozess der Infrastrukturkomponenten inkl. Inventarliste
• Dokumentation der Massnahmen für Identity- und Accessmanagement (IAM) wie Rollen- und Berechtigungskonzept, administrative Prozesse bei Zugriffen und Passwörtern (Ein- und Austritt, Mutationen, übergeordnete Rechte), Umsetzung, Kontrolle von Umfang und Aktualität, Auswertung von Aufzeichnungen (Logging)
• Dokumentation technische Umsetzung von Passwortanforderungen
• Dokumentation der technischen Umsetzung der Datenschutz- und Informationssicherheitseinstellungen für Systeme und Anwendungen
• Weisungen und Anleitungen für Betreiberstellen (Betriebskonzept sowie -handbücher, insbesondere Back-up-Konzept, Protokollierung der Änderungen an IT-Systemen, Change-Management-Prozess, Incident-Management-Prozess, Capacity-Management-Prozess, Vulnerability-Management-Prozess, Patch-Management-Prozess, Life-Cycle-Management-Prozess, Protokollierung bei besonderen Personendaten, Auswerten von Log-Dateien, Kontrollmechanismen beim Outsourcing, Entsorgung von Datenträgern, grafische Übersichten der Informatikmittel in der kontrollierten Organisationseinheit in Form von Server Layouts)
• Weisungen, Unterlagen und Dokumente zur Telefonie- und Kommunikationslösung (Voice-over-IP / VOIP, Unified Communication and Collaboration / UCC) sowie implementierte Schutzmassnahmen
• Dokumentation allfälliger Verschlüsselungstechnologien
• Dokumentation für mobile Arbeitsplätze, Smartphones und mobile Datenträger
• Massnahmen zum physischen Schutz von Informationen wie Zutrittsregelungen und Schutz vor elementaren Bedrohungen (Wasser, Feuer, Rauch, Blitz)
• Weitere Infos auf der Webseite des Datenschutzbeauftragten des Kanton Zürichs

Die Sicherstellung des Schutzes personenbezogener Daten ist eine zentrale Herausforderung in der digitalen Ära, insbesondere innerhalb öffentlicher Verwaltungen. Die Schweizer Behörden haben mit der Einführung der Datenschutz-Folgenabschätzung (DSFA) eine wichtige Massnahme ergriffen, um die Privatsphäre der Bevölkerung zu wahren. Dieses Instrument ist besonders in Zeiten der digitalen Transformation und der zunehmenden Vernetzung von Bedeutung.

Die DSFA ist ein Prozess, der dazu dient, die Risiken für die Privatsphäre bei der Verarbeitung personenbezogener Daten systematisch zu identifizieren, zu bewerten und zu minimieren. Sie wird vor der Implementierung neuer Projekte oder der Anpassung bestehender Prozesse, die personenbezogene Daten betreffen, durchgeführt. Ziel ist es, Datenschutzverletzungen vorzubeugen und die Einhaltung gesetzlicher Bestimmungen sicherzustellen.

In der Schweiz wird der Bedarf einer DSFA durch das Bundesgesetz über den Datenschutz (DSG) geregelt. Gemäss DSG müssen staatliche Stellen eine DSFA durchführen, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen darstellt. Dies schliesst insbesondere Verarbeitungen ein, die aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke besondere Risiken bergen.

Die Durchführung einer DSFA beginnt typischerweise mit einer Vorabkontrolle, die bestimmt, ob eine vollständige Bewertung notwendig ist. Dies beinhaltet die Prüfung der Art der Datenverarbeitung und der potenziellen Risiken. Anschliessend erfolgt eine detaillierte Analyse, in der die Notwendigkeit und Proportionalität der Datenverarbeitung bewertet werden. Hierbei werden technische und organisatorische Massnahmen in Betracht gezogen, die das Risiko minimieren können.

Ein wesentlicher Aspekt der DSFA ist die Transparenz. Die Behörden sind verpflichtet, über die durchgeführten Bewertungen zu berichten und die Ergebnisse öffentlich zugänglich zu machen. Dies fördert nicht nur das Vertrauen der Öffentlichkeit in die öffentliche Verwaltung, sondern stärkt auch das Bewusstsein für Datenschutzfragen.

Darüber hinaus spielen Schulungen und Weiterbildungen eine wichtige Rolle bei der Umsetzung der DSFA. Die Mitarbeitenden der öffentlichen Verwaltung müssen in der Lage sein, die Prinzipien des Datenschutzes zu verstehen und anzuwenden. Hierfür bieten zahlreiche Institutionen spezialisierte Kurse an, die auf die Bedürfnisse der öffentlichen Verwaltung zugeschnitten sind.

Die DSFA ist jedoch nicht frei von Herausforderungen. Die Komplexität der Datenlandschaften und die ständige Entwicklung der Technologie erfordern eine kontinuierliche Anpassung der Bewertungsverfahren. Zudem kann die Interpretation dessen, was ein «hohes Risiko» darstellt, variieren, was die Konsistenz der Durchführung beeinträchtigen kann.

Abschliessend lässt sich sagen, dass die Datenschutz-Folgenabschätzung eine fundamentale Massnahme für den Schutz der Privatsphäre in der Schweiz darstellt. Sie ermöglicht es den Behörden, proaktiv auf Datenschutzrisiken zu reagieren und so das Vertrauen der Bevölkerung in die digitale Verwaltung zu stärken. Trotz der bestehenden Herausforderungen ist die DSFA ein entscheidender Schritt zur Förderung einer datenschutzfreundlichen Kultur innerhalb der öffentlichen Verwaltung.

Weitere Infos auf der Website des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB.

1. Immer neue Bedrohungen
   Die Komplexität der digitalen Bedrohungen und deren stetige Weiterentwicklung ist enorm. Unternehmen müssen sich einer breiten Palette von Cyber-Gefahren stellen, darunter Malware, Ransomware, Phishing, Social Engineering oder Zero-Day-Exploits.
2. Schwachstelle Faktor Mensch
   Ein zentraler Risikofaktor liegt im menschlichen Verhalten der Mitarbeitenden. Die strikte Einhaltung von Sicherheitsrichtlinien und -verfahren ist entscheidend. Insbesondere Hackerangriffe, z. B. in Form von Phishing und ein unzureichendes Sicherheitsbewusstsein, stellen erhebliche Gefahren dar.
3. Insider-Bedrohungen
   Bedrohungen von aktuellen oder ehemaligen Mitarbeitern, sei es durch böswillige Absicht oder Fahrlässigkeit in der Anwendung, sind oft schwer zu erkennen und zu verhindern.
4. Ressourcenknappheit
   Die Umsetzung von Sicherheitsmassnahmen sowie die Schulung von Mitarbeitenden können aufgrund begrenzter Ressourcen eine Herausforderung darstellen.
5. Homeoffice & BYOD
   Die vermehrte Nutzung privater Geräte (Bring your own device, BYOD) auch am Arbeitsplatz erschwert die Sicherstellung der Gerätesicherheit, da diese nicht vollständig von der IT-Abteilung verwaltet und kontrolliert werden können.
6. Ortsunabhängiges Arbeiten & Cloud-Nutzung
   Der praktische Zugriff über cloud- und webbasierte Dienste bietet zahlreiche Vorteile, birgt jedoch auch neue Sicherheitsrisiken, da der Zugriff stets über das Internet erfolgt.
7. Strikte gesetzliche Vorgaben
   Auch öffentliche Organe müssen sämtliche gesetzlichen Anforderungen im immer komplexer werdenden Bereich Datenschutz und Informationssicherheit strikt einhalten, was gerade kleinere Institutionen ressourcentechnisch an den Anschlag bringen kann.
8. Fehlende Aktualität der Systeme
   Die regelmässige Aktualisierung und das Patching von Software, Betriebssystemen und anderen Systemen ist unerlässlich, um mögliche Sicherheitslücken zu vermeiden. Fehlende Aktualität wird oftmals von Hackern als Zugang zu Systemen ausgenutzt.
9. Technisches Versagen
   Zum Beispiel beim Crash von Festplatten, Servern oder anderer Hardware infolge von Überhitzung, Stromausfällen etc.
10. Elementarereignisse
    Feuer, Wasser, Erdrutsche oder andere Elementarereignisse können die physische Infrastruktur beschädigen oder zerstören. 

Diese Risiken verdeutlichen die Notwendigkeit einer umfassenden und proaktiven IT-Sicherheitsstrategie, um die Integrität und Verfügbarkeit der Daten zu gewährleisten. Jede Organisation muss sich kontinuierlich an die sich wandelnde Bedrohungslandschaft anpassen und entsprechende Sicherheitsmassnahmen implementieren.

Organisatorische Massnahmen

1. Sensibilisierung und Schulung der Mitarbeitenden
   Mitarbeitende sind oft die schwächste Stelle in der Informationssicherheitskette. Meist aus Unwissen und nicht mit Absicht oder weil es die Mitarbeitenden nicht kümmert. Regelmässige und wiederkehrende Schulungen und Sensibilisierungsmassnahmen sind entscheidend, um sicherzustellen, dass Mitarbeitende sich der Datenschutzanforderungen bewusst sind und verstehen, wie sie dazu beitragen können, Daten und die IT-Infrastruktur sicher zu halten. Je grösser das Wissen der Mitarbeitenden über sicherheitsrelevante Themen – von Aufklärung über Phishing-Mails, Unterstützung bei der Wahl sicherer Passwörter oder Kosten- und Imagefolgen von erfolgreichen Cyberangriffen, desto sicherer sind Ihre Daten und IT. Nutzen Sie beispielsweise auch eLearning-Programme und interne Zertifikate nach Absolvierung der entsprechenden Module. So können Mitarbeitende zusätzlich motiviert werden, sich regelmässig in diesem Thema weiterzubilden.
2. IT-Governance und IT-Organisation
   Eine effektive IT-Governance und IT-Organisation sind entscheidend, um sicherzustellen, dass einerseits die IT-Risiken wesentlich minimiert werden und somit Datenschutz und Datensicherheit in öffentlichen Behörden gewährleistet sind. Sie bieten zudem der Verwaltungs-Führung ein Instrument für die Entwicklung und Umsetzung von Richtlinien sowie Verfahren zur Verwaltung ihrer IT-Ressourcen. Weiter hilft die IT-Governance, dass die strategischen Ziele einer Stadt, Gemeinde oder einer anderen öffentlichen Behörde erreicht werden können. Zum Beispiel die Versorgungssicherheit oder der sparsame Umgang mit öffentlichen Mitteln. Die Erstellung der entsprechenden Dokumentationen kann auch mithilfe eines externen Partners erstellt werden.

3. ISMS (Informationssicherheitsmanagementsystem) gemäss ISO 27001
   Ein Information Security Management System (ISMS) ist eine ganzheitliche Sammlung von Methoden und Regeln, die die Informationssicherheit dauerhaft steuern und verbessern sollen. Es betrifft nicht nur die IT, sondern auch Organisation, Personal- und physische Sicherheit, Zugangskontrolle, Störungsmanagement und Geschäftskontinuität. 

   Der Informationssicherheitsbeauftragte spielt dabei eine wichtige Rolle. Ein ISMS nach ISO/IEC 27001 identifiziert, bewertet und behandelt Risiken in Ihrem Unternehmen und verbessert die Sicherheit Ihrer IT-Systeme und -Prozesse.

   Individuell angepasste ISMS senken IT-Risiken und Kosten, erfüllen Compliance-Anforderungen und bieten Wettbewerbsvorteile. Während der Datenschutz rein auf den Schutz personenbezogener Daten abzielt, gewährleistet Informationssicherheit die Sicherheit von Unternehmensdaten, egal ob sie einen Personenbezug aufweisen oder nicht. Beide Bereiche können sich überschneiden.

4. Notfallkonzepte
   Notfallkonzepte sind unverzichtbar, um auf Datenverluste oder Sicherheitsvorfälle vorbereitet zu sein. Sei dies ein Elementarschaden oder beispielsweise ein Hackerangriff. Öffentliche Behörden sollten Pläne entwickeln und periodisch testen, um sicherzustellen, dass sie beim Eintreten eines Notfalls effektiv reagieren können und wichtige Geschäftsprozesse auch in kritischen Situationen möglichst nicht unterbrochen werden.
5. Zugriffsrechte, Rollen- und Berechtigungsmanagement
   Die Verwaltung von Benutzerrollen und Berechtigungen ist entscheidend, um sicherzustellen, dass nur autorisierte Personen auf sensible Daten zugreifen können oder Applikationen installieren. Öffentliche Behörden sollten sicherstellen, dass die Zugriffsrechte streng kontrolliert und regelmässig überprüft werden.

Technische Massnahmen

1. Datensouveränität behalten – Private Cloud statt Public Cloud
   Datensouveränität ist ein Schlüsselkonzept im Datenschutz. Sie bedeutet, dass die Kontrolle über personenbezogene Daten bei den Einwohnenden sowie den Behörden liegt, die diese Daten sammeln und verarbeiten. Öffentliche Verwaltungen müssen sicherstellen, dass sie die Daten ihrer Bürger nicht ohne deren Zustimmung an Dritte weitergeben und dass sie die Daten gemäss den geltenden Datenschutzgesetzen schützen. 

   Entsprechend sollten die Daten stets in (ISO 27001) zertifizierten Rechenzentren in der Schweiz bleiben. Mit dem Einsatz einer in der Schweiz gehosteten, sicheren private Cloud nutzen Sie die Vorteile von Clouddiensten, ohne ihre Datensouveränität ins Ausland, zum Beispiel an US-Konzerne, abgeben zu müssen. 

   Der Einsatz von internationalen Public Cloud-Diensten für öffentliche Behörden, die mit sensiblen Personendaten operieren, ist zumindest kritisch zu hinterfragen. Zumal die Verantwortung über die Klassifizierung der Sensibilität von Daten (und welche davon in die Cloud dürfen oder nicht) nicht einfach in die Hände der Mitarbeitenden abgeschoben werden kann.

2. Redundante Rechenzentren – mehrfache Absicherung von Daten & IT-Betrieb
   Eine moderne und redundante Rechenzentrums-Infrastruktur in der Schweiz ist die Basis für einen sicheren und kontinuierlichen IT-Betrieb und den Schutz sensibler Daten. 

   Durch die Existenz mehrerer paralleler Rechenzentren, die proaktiv überwacht werden, gewährleistet man nicht nur eine praktisch unterbrechungsfreie Verfügbarkeit von Diensten, sondern auch eine robuste Datensicherheit. Im Falle eines Ausfalls oder einer Störung in einem Rechenzentrum, sei es aufgrund von technischen Problemen, Naturkatastrophen oder sogar gezielten Angriffen, übernimmt das redundante Zentrum die Last und sichert somit die Kontinuität der behördlichen Prozesse. 

3.  Aktualität der Systeme – Updates, Patches & Client-Management-Systeme
   Veraltete Versionen von Programmen und Systemen bieten oftmals Einfallstore für Cyberkriminelle, um beispielsweise Schadsoftware installieren zu können. Daher ist es zentral, dass sämtliche potentielle Sicherheitslücken über alle Nutzer hinweg schnellstmöglich geschlossen werden und entsprechende Updates & Patches installiert werden. In Zeiten von Homeoffice und dezentralem Arbeiten kann dabei ein Client-Management-System helfen, mit dem bei sämtlichen Nutzern zeitgleich und zentral die neuesten Updates und Sicherheitspatches installiert werden können. Dadurch sind alle Clients bestmöglich geschützt.

4. Verschlüsselung von Daten und Kommunikation allgemein
   Es ist von grosser Bedeutung, sicherzustellen, dass sowohl der Inhalt als auch der Transport von E-Mails in Ihrem Unternehmen verschlüsselt sind. Dies gilt besonders, wenn die E-Mails sensible oder personenbezogene Daten enthalten. Es empfiehlt sich, klare E-Mail-Richtlinien für Ihr Unternehmen zu etablieren, um sicherzustellen, dass Sicherheitsstandards in der E-Mail-Kommunikation eingehalten werden.

   Hinsichtlich des Datentransports ist es entscheidend, auf eine TLS-Verschlüsselung beim Versand von E-Mails zu achten. Diese Massnahme verhindert, dass Unbefugte wie Cyberkriminelle, während des Versands Zugang zu Informationen wie Empfängeradresse oder Betreff erhalten. Die Verschlüsselung der Inhalte wird durch eine End-to-End-Verschlüsselung gewährleistet. Hierbei wird der Inhalt von der Absenderseite verschlüsselt und erst beim Empfänger wieder entschlüsselt. Zusätzlich ist es ratsam, besonderes Augenmerk auf Spam-Schutz und die Sicherheit Ihres E-Mail-Postfach-Passworts zu legen. Diese Massnahmen ergänzen den Gesamtschutz Ihrer E-Mail-Kommunikation.

5. Sichere Passwörter
   Eigentlich wissen alle, dass sichere Passwörter heute ein Muss sind, um sich vor unbefugten Zugriffen zu schützen. Und doch werden noch immer Passwörter wie «123456», «password» oder dasselbe Passwort für zahlreiche Online-Dienste verwendet. Wie Sie sichere Passwörter erstellen, erfahren Sie zum Beispiel auf der Website des Bundesamts für Cybersicherheit BACS oder S-U-P-E-R.ch. Wenn Sie nicht sicher sind, ob Ihr Passwort eine hohe Qualität aufweist, können Sie es mit dem Passwort-Checker des dsb des Kantons Zürich überprüfen.