Abo
Bild: Unsplash
  • Kanton Zürich

Silodenken bei der Regierung

Am vergangenen Freitag stellte der Präsident der PUK Datensicherheit Benno Scherrer deren Schlussbericht vor. Die PUK sollte aufarbeiten, wie es zum Datenschutzvorfall in den 2000er-Jahren kam und wie es generell um die Informationssicherheit bei der Verwaltung steht.
VonSergio Scagliola
19.12.2025

Am Freitag vor einer Woche wurde im Walcheturm zur Pressekonferenz geladen. Es ging um den Schlussbericht der Parlamentarischen Untersuchungskommission Datensicherheit. Die PUK sollte auch den vor knapp drei Jahren publik gemachten Datenschutzvorfall aufarbeiten. Im Langstrassen-Milieu, genauer im Neugasshof, waren Datenträger der Justizdirektion aufgetaucht, die eigentlich fachgemäss entsorgt sein sollten. In den Nullerjahren hatte die Justizdirektion für die Entsorgung nicht mehr benötigter Datenträger einen externen Dienstleister beauftragt – den Bruder des Neugasshof-Betreibers. 2022, nota bene mitten im Wahlkampf, wurde die Sache durch eine Anfrage im Kantonsrat, unter anderem von alt-Kantonsrat Valentin Landmann (SVP), publik gemacht. Landmann war zudem der Rechtsanwalt des Neugasshof-Betreibers, der sich zu diesem Zeitpunkt auch mit rechtlichen Problemen konfrontiert sah. Im Schlussbericht der PUK spielen weder Landmanns Doppelmandat noch der Neugasshof per se eine wesentliche Rolle. Vielmehr ging es darum, die generelle Situation bzgl. Informationssicherheit aufzuarbeiten. Auch die Rücktrittsforderungen gegen Justizdirektorin Jacqueline Fehr, die von bürgerlichen Politiker:innen in Reaktion auf den Vorfall geäussert wurden, sind heute mehr als Wahlkampf und Diskreditierung zu erkennen als etwas, was Hand und Fuss hätte. Das hätte eigentlich klar sein sollen – der Datenschutzvorfall geschah lange bevor Jacqueline Fehr das Amt innehatte. 

Der PUK-Bericht zeigt Jacqueline Fehrs Rolle zwar auch als nicht völlig unproblematisch – was die PUK aber herausgefunden hat, ist mehr als Rüffel für die gesamte Regierung zu verstehen. Die Kommission attestiert zwar, dass die Verwaltung in Sachen Informationssicherheitslage unter angemessenen Grundlagen handelte, die Umsetzung sei aber ungenügend gewesen und ist es auch heute noch – trotz Verbesserungen. Ausserdem stellte die PUK fest, dass auch einzelne Akteure innerhalb der Verwaltung problematisch handelten.  

Reglemente zur Informationssicherheit gibt es in der Verwaltung seit den späten 1990er-Jahren. So regelte etwa die Datenschutzverordnung von 1997, welche Vorkehrungen getroffen werden sollten, dass der Datenschutz gewährleistet ist. Ergänzend dazu erliess der Regierungsrat Richtlinien zum Umgang mit IT-Mitteln. Der Aufbau einer professionellen kantonalen Informationssicherheitsorganisation hat sich allerdings über die Jahre verzögert. Ebenfalls attestiert wird im Bericht, dass der Informationssicherheitsbeauftragte zwar bemüht, die Rahmenbedingungen aber suboptimal waren. Generell habe die PUK wenig Verständnis für die äusserst mangelhafte Aufarbeitung der Informationssicherheitslage. Und auch dafür, dass sich die Regierungsratsmitglieder damals bis heute nicht so stark für die Prozesse in anderen Direktionen interessiert haben, wie es angezeigt wäre. Das Bewusstsein für die Wichtigkeit gesamtkantonaler Lösungen bleibe weiterhin bestehen. 

Silodenken und Kommunikationsprobleme

Auffällig ist, dass die meisten aufgeführten Kritikpunkte an der Regierung kommunikationsbezogene Problematiken sind. Nicht wie bei Jacqueline Fehr und deren nicht in allen Belangen vorbildliches Handling in Bezug auf die Kommunikation, als die Sache publik gemacht wurde – sondern sozusagen als regierungsweites Kulturproblem. Bereits in der Vergangenheit wurde bemängelt, dass die Mitglieder der Exekutive ihre Rolle als Direktionsvorsteher:innen jener als Regierungsratsmitglieder priorisiert hätten. Was in Bezug auf die Informationssicherheit heisst: Die Regierungsrät:innen waren mit den Lösungen in ihren eigenen Departementen jeweils zufrieden und kümmerten sich zuwenig um verwaltungsübergreifend standardisierte zentralisierte Systeme – darunter auch die Entsorgung von Datenträgern in der Justizdirektion. Dies trotz mahnender Berichte seitens Aufsichtskommissionen, den Datenschutzbeauftragten und der Finanzkon­trolle. Eine Kritik, die bereits von der Geschäftsprüfungskommission (GPK) des Kantonsrats ausgesprochen wurde: Informationssicherheit sei eine Sache der Organisation. Das ist innerhalb des letzten Jahrzehnts zwar besser geworden, auch weil eine Weichenstellung in Bezug auf die Zentralisierung des Gesundheitssystems und digitaler Arbeitsplätze stattfand. Ein kausales Fehlverhalten einzelner Mitglieder des Regierungsrats stellte die PUK bei ihrer Untersuchung aber nicht fest. PUK-Präsident Benno Scherrer mahnte aber auch, dass das Silodenken, das den untersuchten Vorfall überhaupt erst ermöglichte, aufgebrochen werden muss. 

Auch im Rahmen des Digitalisierungsprozesses gibt es entscheidende Versäumnisse in Sachen Informationssicherheit, die nicht mitgedacht wurden. So ist die Verwaltung heute stark von Cloud-Lösungen privater Anbieter abhängig. Namentlich zum Beispiel von Microsoft. Problematisch wird das, wenn sensible Daten bei privaten Akteuren gelagert werden. Es stellt ein Sicherheitsrisiko dar. Dass private Anbieter aber überhaupt den Fuss in der Tür der Verwaltungen haben, ist wiede­rum eine Praktikabilitätsfrage. Eigene Software zu entwickeln oder Open-Source-Software für die eigenen Zwecke weiterzuentwickeln, wäre einst durchaus eine langfristig lohnende Investition gewesen. Aber weil teuer und aufwendig, wäre es vor einem bürgerlich dominierten Parlament, das die Privatwirtschaft so gerne fördert, eher nicht zu rechtfertigen – wenn man fixfertige Lösungen von Techkonzernen bekommen kann, dafür gewisse Abhängigkeiten und Risiken schafft, aber anfangs weniger investieren muss. 

Konkrete Empfehlungen

Was tun, wenn die Informationssicherheit nicht in allen Belangen gewährleistet ist? Konkret liefert die PUK im Schlussbericht 50 Empfehlungen. Alle hier abzuhandeln, würde den Rahmen sprengen, aber im Wesentlichen geht es um folgende Bereiche: Neben mehr direktionsübergreifender Koordination, standardisierter, zen­tralisierter Systeme, engerer Begleitung durch den Regierungsrat und der Überprüfung des Umgangs mit Cloud-Lösungen fordert die PUK eine stärkere Verankerung der rechtlichen und strukturellen Grundlagen. Zum Beispiel beim Archivgesetz, bei der Sicherheitsorganisation oder mittels einer spezifischen Richtlinie zur Informationssicherheit. Die Kommunikation müsse weiter nicht nur zwischen den Departementen verbessert werden, sondern auch bei Amtsübergaben. Was die Entsorgung von z.B. Datenträgern betrifft, fordert die PUK Einheitlichkeit bei den Entsorgungsprozessen und akribischere Inventarisierung der entsorgten Geräte. Zudem erachtet die PUK es als dringend angezeigt, die Schulungen zur Informationssicherheit verpflichtend zu machen. Und zuletzt schlägt die PUK vor, eine externe Aufsicht sowie eine Aufsichtskommission im Kantonsrat betreffend Informationssicherheit einzurichten.

Dieser Artikel, die Honorare und Löhne unserer MitarbeiterInnen, unsere IT-Infrastruktur, Recherchen und andere Investitionen kosten viel Geld. Unterstützen Sie die Arbeit des P.S mit einem Abo oder einer Spende – bequem via Twint oder Kreditkarte.

Jetzt spenden

Kontakt

P.S. Zeitung
Hohlstrasse 216
8004 Zürich
Redaktion: +41 44 241 07 60
redaktion@pszeitung.ch

Alle älteren Artikel, die Sie nicht auf dieser Seite finden, sind über alt.pszeitung.ch einsehbar.

Service

Rubriken

© 1998 – 2024 P.S. Die linke Zürcher Zeitung.

(P.) S. O. S. !

P.S., die letzte linke Zürcher Lokalzeitung, ist existenziell bedroht. Wir brauchen Ihre Unterstützung. 

Ich helfe!
Ich abonniere!
Ich verschenke!