Sicherheit + Datenschutz 11. Mai 2020 4 Min Lesezeit

Eine IKT-Strategie am Beispiel von St. Gallen

Geschrieben von
Roger Klein

Wie in unserem letzten Beitrag angekündigt, wollen wir uns näher mit der Thematik «IKT-Strategie» auseinandersetzen. Dazu haben wir uns das von St. Gallen vorgestellte Gesetzeswerk angeschaut. Wozu überhaupt eine eigene Strategie für Internet- und Kommunikationstechnik? Was bleibt Aufgabe der Regierung — und wo müssen sich weitere Akteure besser vernetzen, um vor Cyberrisiken geschützt zu sein?

Mit IKT-Strategie und gutem Beispiel voran

Schon der erste Satz des Regelwerks trifft die Ist-Situation präzise: Die Schweiz befindet sich inmitten der Digitalisierung. Ob mit einer gezielten Strategie oder einfach im Schwimmen mit dem Strom — KMU wie Privathaushalte werden zunehmend digitaler. Vernetzung wächst, und mit ihr die Transparenz.

Was transparent ist, wird allerdings auch angreifbar. Private PCs und Firmennetzwerke schützen sich nicht von selbst. St. Gallen listet die relevanten Gefahren klar auf:

  • Cyber-Kriminalität, -Spionage, Sabotage und Terrorismus
  • Desinformation
  • Propaganda
  • technische Ausfälle
  • menschliches Fehlverhalten

Was auch immer die Ursache ist — Cyberangriffe hinterlassen erhebliche Schäden, nicht nur finanziell. Aus Internet und Digitalisierung zurückzuziehen ist aber keine Antwort. Also ran ans (Regel)Werk.

Regierungsaufgaben

Die Strafverfolgung bleibt Sache von Bund und Kantonen. St. Gallen hält fest, dass die bisherige Zusammenarbeit zwischen Kantonspolizei und Staatsanwaltschaft gut funktioniert — eine neue Rollenverteilung ist nicht nötig. Der Bereich «Cyber-Defense» liegt ausschliesslich beim Bund.

Ziele der IKT-Strategie

Prävention

Frühzeitige Erkennung ist die Voraussetzung, um auf Bedrohungen reagieren zu können. Weil sich die Bedrohungslage laufend verändert, müssen alle Akteure gleichermassen vorbereitet sein.

Resilienz

Gemeint ist die Fähigkeit, sich nach einem Angriff schnell zu erholen.

Kompetenz

Eine widerstandsfähige Struktur braucht gut ausgebildete Fachkräfte.

Zweckmässigkeit

Der Zweck heiligt alle Mittel? Nicht ganz. Gerade in Regierungsangelegenheiten ist adäquates Handeln gefragt — jede Regierung muss gezielt und verhältnismässig auf Bedrohungen der öffentlichen Sicherheit reagieren können.

Zusammenarbeit

Kein Kanton bewältigt die Herausforderungen von Digitalisierung und Cyber-Risiken allein. So vernetzt das Internet ist, so partnerschaftlich soll der Austausch zwischen allen Akteuren sein — national wie international.

Information

Auf Basis von Vorarbeiten des Bundes wird die Bevölkerung informiert. Eine gute Informationslage sorgt für Sensibilisierung. Am wirkungsvollsten ist dabei eine zentrale Stelle für die Informationsverbreitung.

Grundsätze der IKT-Strategie

Eigenverantwortung

Es gilt das Prinzip der «Subsidiarität»: Privatpersonen und Unternehmen sind für ihr Handeln selbst verantwortlich. Der Kanton wird aktiv, wenn Akteure sich nicht ausreichend schützen können und das Gemeinwohl gefährdet ist.

Risikomanagement

Diverse Grundsätze führen zu verhältnismässigen Massnahmen — inhaltlich eng verwandt mit dem Ziel der Zweckmässigkeit.

Verbindlichkeit

Ein Gesetz, das nicht verbindlich ist, ist keins. Gleichzeitig muss der Reformbedarf laufend beobachtet werden.

Kooperation

Kantone sollen ihre Ansprechpartner kennen und zusammenarbeiten, damit keine Frage der Cybersicherheit unbeantwortet bleibt. Kooperationen und nachhaltige Kontaktpflege sind dabei keine Nettigkeit — sie sind wirtschaftlich relevant.

Ökonomie

Alle Mittel werden bedarfsgerecht und gezielt eingesetzt. Auch das läuft auf das Ziel der Zweckmässigkeit hinaus.

Die Akteure

Ein Fahrplan steht und fällt mit seinen Beteiligten. Obwohl wir uns am Beispiel St. Gallens orientieren, wollen wir uns hier etwas von den gesetzlichen Definitionen lösen — der Kanton betont selbst, dass es sich bei diesem Regelwerk nicht um eine reine IKT-Strategie handelt. Wir sind aber überzeugt, dass die erarbeiteten Vorschläge sich genauso effizient für KMU und Privatpersonen anwenden lassen.

Ein Kanton nimmt gegenüber der Bevölkerung eine unterstützende Rolle ein. Gleiches gilt für die Gemeinden: Auch sie folgen dem Prinzip von Autonomie und Subsidiarität — der Kanton greift nur ein, wenn das Gemeinwohl auf dem Spiel steht.

Interessant wird es bei Kapitel 5.3, der «Wirtschaft». Dort geht es um KMU und alle, die unternehmerisch tätig sind. Im entsprechenden Abschnitt steht, dass «namentlich für KMU» eine kantonale Stelle für Cyber-Sicherheit von Vorteil wäre.

Umsetzung einer IKT-Strategie

Gesetzliche Vorgaben sind für alle Beteiligten hilfreich: Sie liefern Schutz und Leitlinien, die sich auch intern umsetzen lassen. Wie eingangs angedeutet — die beste Strategie nützt wenig, wenn niemand den Beispielen folgt. Warum also nicht an einer unternehmerischen IKT-Strategie arbeiten und die Akteure auf Regierungsebene im Ernstfall entlasten?

Weder die Ziele noch die Grundsätze einer IKT-Strategie sind unrealistisch. Alle Punkte taugen als Orientierung, um dich als Privatperson oder Unternehmen in puncto Cyber-Sicherheit solide aufzustellen. Hier sind die Vorschläge aus dem Kapitel «Umsetzung» auf KMU-Geschäftsführungsebene übertragen:

  1. Cyber-Schutz gehört fest in die Schwerpunkt-Planung des Unternehmens — inklusive Ressourcenplanung und Controlling.
  2. Ohne Ziele kein Plan: Hast du deine Unternehmensziele bereits klar definiert? Falls nicht, jetzt ist der richtige Moment — und integriere dabei konkrete Ziele im Bereich Cyber-Sicherheit.
  3. Wie steht es um den Cyberschutz bei deinen Geschäftspartnern und Kunden? Kooperationen eröffnen mitunter unerwartete Möglichkeiten. Erfahrungsaustausch ist auch in Cyber-Angelegenheiten unterschätzt.
  4. Ruf dir die Punkte unter dem Kapitel «Ziele» nochmal ins Gedächtnis: Gibt es in deinem Betrieb klare Massnahmen für den Fall einer Cyber-Attacke? Stehen im Notfall die nötigen Mittel bereit?
  5. Du setzt auf die Kompetenz deiner Mitarbeitenden — vergiss dabei nicht, dass Transparenz und klare Kommunikation seitens der Geschäftsführung die Grundlage für Vertrauen sind. Und: Schulungen zur Sensibilisierung für Cyber-Risiken zahlen sich aus.
Tags: DigitalisierungProjektmanagementSchweiz
Über die Autor:in

Roger Klein

Geschäftsführer dataloft GmbH. WordPress seit Version 3, Frauenfeld. Verantwortet bei dataloft Strategie, Architektur und KI-Integration. Baut mit Mattes und Elena rundum.dog, die grösste deutschsprachige Hunde-Wissensplattform.

→ Wir

Hat dich der Artikel ins Grübeln gebracht?

Wir besprechen sowas gerne im Erstgespräch — schreib uns oder ruf an. Unverbindlich, persönlich, in der Regel innerhalb von 24 Stunden werktags.

→ Direkt zum Kontakt

Wenn du gleich noch was Grösseres anschauen willst

rundum.dog — unsere Hunde-Wissensplattform.

Die grösste deutschsprachige Hunde-Wissensplattform. Unser Eigenprojekt, unser Live-Beweis. Mit ca. einer Million Sessions pro Monat, eigenem KI-Plugin auf Anthropic-API und 17 Custom Post Types.

→ rundum.dog ansehen
Mehr zum Thema Sicherheit + Datenschutz

Drei verwandte Beiträge.

2020-01-23 Welche Verantwortung hat der Aufsichtsrat für die Cybersecurity? 2020-10-01 Was RDP Angriffe für Anwender und Unternehmen bedeuten 2020-08-11 WhatsApp Überwachung durch BKA? Gerüchteküche um den Handy-Hack

Schreib uns oder ruf an.
Wir antworten in der Regel innerhalb von 24 Stunden werktags.

Roger Klein
Geschäftsführer
E-Mail
info@dataloft.ch
Telefon
+41 52 511 05 05
Adresse
dataloft GmbH · Rietweg 1 · 8506 Lanzenneunforn TG