Kanton Luzern stellt CISO nach Kritik an Microsoft-Cloud frei

Der Kanton Luzern hat seinen Chief Information Security Officer (CISO) Anfang Juni freigestellt. Dieser äusserte Bedenken gegenüber der seit vergangenem Jahr geplanten Einführung von Microsoft 365 in die Kommunikations­infrastruktur des Kantons, wie "Republik" unter Verweis auf mehrere nicht genannte Quellen berichtet. Der CISO habe den Luzerner Regierungsrat in diesem Zusammenhang darauf hingewiesen, dass die Umstellung die strategischen Cybersicherheitsvorgaben noch nicht erfülle. Der Regierungsrat entschied jedoch, den von ihm geäusserten Warnungen nicht zu folgen und die Umstellung weiter voranzutreiben, wie es weiter heisst.

Kritik an fahrlässigem Umgang mit sensiblen Daten

Die Kontroverse um die Einführung der Microsoft-Cloud wird noch durch weitere kritische Stimmen verstärkt. So haben sowohl das Datenschutzteam des Kantons Luzern sowie die Luzerner Gerichte bereits 2024 in Stellungnahmen vor einer unzureichenden Bewertung der Cloud-bezogenen Risiken gewarnt, schreibt "Republik" weiter. Als besonders heikel sähen sie den Einsatz von Exchange Online für den E-Mail-Verkehr sowie die Speicherung "besonders schützenswerter Personendaten" wie Gesundheits-, Sozialhilfe- und Steuerdaten.

Dennoch plane der Luzerner Regierungsrat, Microsoft 365 ohne zusätzliche Verschlüsselung für Daten bis zur Stufe "vertraulich" zu nutzen. In seinem öffentlichen Tätigkeitsbericht erwähnt das Datenschutzteam diesbezüglich, dass das Projekt einen schweren Eingriff in das Grundrecht auf informationelle Selbst­bestimmung nach Artikel 13 der Bundes­verfassung darstelle.

Microsoft-Cloud sorgt auch andernorts für Kritik

Auch ausserhalb von Luzern sorgt die Einführung von Microsoft-Cloud in der Verwaltung für Debatten. In Bern etwa habe die Kinder- und Erwachsenenschutzbehörde die Nutzung der Cloud für sensible Fälle stark eingeschränkt. Die Stadt Zürich wiederum hat laut Bericht die Auslagerung sensibler Fachanwendungen auf Sharepoint Online gestoppt. Und auch das Basel-Städter Parlament hat Einwände gegen die Microsoft-Cloud erhoben.

Parlamentarier und Datenschützer kritisieren, dass bei der Nutzung von US-amerikanischen Clouds das Parlament nicht einbezogen wird, heisst es bei "Republik" weiter. Für die meisten kantonalen Exekutiven würden Entscheidungen rund um die IT-Infrastruktur als rein administrative Entscheidungen gelten, ohne dass die Legislative miteinbezogen wird.

CISO-Stelle neu ausgeschrieben

Vor dem Hintergrund der aktuellen Entwicklungen schreibt der Kanton Luzern das Amt des CISO neu aus. Laut der Stellenausschreibung umfasst die Rolle die strategische Weiterentwicklung der Informations- und IT-Sicherheit in einem kantonsweiten Kontext und die Leitung des IT-Risikomanagements. Erwartet würden neben einer relevanten akademischen Ausbildung vertiefte Kenntnisse im Risikomanagement und Erfahrung in der Führung interdisziplinärer Projekte mit Fokus auf Sicherheit und Innovation.

Während in der Schweiz die Einführung von Microsofts Cloud-Diensten in kantonale Verwaltungen Kritik erntet, versucht der Tech-Gigant, seine Präsenz in Europa durch ein Angebot an souveränen Cloud-Diensten zu festigen. Mehr dazu lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.