Stadt Zug soll 2025 einen CISO erhalten

Die Stadt Zug tut einiges für ihre IT-Sicherheit, aber noch nicht genug. Zu diesem Schluss kommt der Stadtrat in einem Bericht zuhanden des Gemeinderates. Es ist seine Antwort auf eine Motion, die dann aber in ein Postulat umgewandelt wurde. Darin verlangt die SP-Fraktion einen umfassenden Penetrationstest durch eine externe Firma.

Ein solcher Test sei nicht nötig, befindet der Stadtrat und verweist auf eine Reihe bereits erfolgter Massnahmen. Sie reichen von regelmässigen Awareness-Trainings der Mitarbeitenden über eigene Tests (wie interne Penetration Tests und Bug-Bounty-Programme) bis zum von Kanton und Gemeinden zusammengeführten Fachbereich SOC (Security Operations Center). Zu letzterem schreibt der Rat, die Stelle sei 2023 ausgeschrieben worden und zum Teil schon besetzt.

Allerdings sei sich die Abteilung für Informatik "bewusst, dass im Sicherheitsbereich in Zukunft noch mehr finanzielle Ressourcen für Personal und technische Infrastruktur erforderlich sind", schreibt der Stadtrat im Ausblick. Für das Jahr 2025 werde das Amt darum eine Teilzeitstelle für einen CISO (Chief Information Security Officer) beantragen.

Die Stelle soll von den bei der Stadt Zug angeschlossenen Gemeinden mitfinanziert werden und als Kontrollorgan der IT-Sicherheit die Fachgruppe SOC komplementieren.

Der Stadtrat nennt auch schon sieben zentrale Aufgaben des künftigen CISO:

• Etablierung eines Managementsystems zur Informationssicherheit (ISMS)

• Bedrohungs- und Risikoanalysen durchführen

• Beratung bei Sicherheitsrelevanten Informatikprojekten

• Ausarbeitung, Anpassung von Sicherheitsrichtlinien, Schutzzielen und Sicherheitsvorgaben

• Auditierung von Infrastruktur und Personal zum Thema Informationssicherheit

• Awareness-Kampagnen und E-Learnings erarbeiten und durchführen

• Sicherstellung der Einhaltung des Datenschutzgesetzes

"Der Stadtrat ist sich bewusst, dass die IT-Sicherheit eine sehr schnelländernde und immer wichtiger werdende Aufgabe ist", heisst es im Fazit des Berichts. Die internen Mitarbeitenden und die Informatik müssten eng, flexibel und schnell zusammenarbeiten. Mit der für 2025 geplanten Teilzeit-CISO-Stelle soll "die noch vorhandene Lücke mit internen Mitarbeitenden gefüllt" werden.

Im September 2023 hat die Erstausgabe der "Swiss CISO Awards" stattgefunden. Marcel Zumbühl, CISO der Schweizerischen Post, nahm die Auszeichnung als CISO des Jahres entgegen. Was seiner Meinung nach einen guten CISO ausmacht, erfahren Sie im Interview.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.