Sicherheit

Nach dem Stellenantritt von André Mäder als CISO (Chief Information Security Officer) bei Justitia 4.0 im Oktober 2021 konnten in den Bereichen Informationssicherheit und Datenschutz die Massnahmen weiter auf- und ausgebaut werden. In Bezug auf die IT-Sicherheit standen die Steigerung der Resilienz sowie die Erhöhung der Maturität sowohl der Projektorganisation als auch ihrer Lieferobjekte (Produkte) im Fokus. Die Priorisierung der Arbeiten geschah unter Berücksichtigung der Bedürfnisse der zukünftigen öffentlich-rechtlichen Körperschaft.

Steigerung der Resilienz der Projektorganisation

Zur Steigerung der Resilienz werden den Justitia 4.0-Mitarbeitenden seit Mitte des Jahres 2022 regelmässig Trainingsinhalte angeboten, sogenannte «Security Awareness Trainings». Dazu gehören auch Selbsteinschätzungen sowie Phishing-Simulationen. Die Akzeptanz und die ersten Resultate aus diesen Aktivitäten sind, insbesondere auch im weltweiten Vergleich, gut. Das Angebot der Sicherheitstrainings wird entsprechend weitergeführt.

Im Sommer 2022 wurden verschiedene vom Gesamtprojekt genutzte IT-Dienstleistungen (Projektwebsite, Confluence) durch eine externe Firma mittels Penetration-Testing auf Schwachstellen bezüglich der IT-Sicherheit geprüft. Die betroffenen Dienstleister waren transparent in den Prozess eingebunden, um den Nutzen zu erhöhen. Auch hier waren die Resultate im Vergleich mit Erfahrungswerten gut: Es wurden keine kritischen Schwachstellen entdeckt. Die Umsetzung von Massnahmen, um entdeckte Schwachstellen zu beheben oder zu reduzieren, ist weit fortgeschritten.

Auf Ende des Jahres 2022 konnten auch Handlungsanweisungen betreffend Informationssicherheit und Passwortsicherheit erstellt werden. Diese unterstützen die Justitia 4.0-Mitarbeitenden beim sicheren Umgang mit Informatikmitteln.

Datenschutz und Informationssicherheit der Plattform «Justitia.Swiss»

Zudem wurden im Berichtsjahr verschiedene Grundlagenelemente der Informationssicherheit wie Schutzbedarfsanalysen und IKT-Grundschutzkataloge weiter detailliert und wo angezeigt ergänzt. Hierbei sind insbesondere die Arbeiten am Informationssicherheits- und Datenschutzkonzept (ISDS-Konzept) der zukünftigen Plattform «Justitia.Swiss» zu erwähnen. Gemeinsam mit den Partnern für Entwicklung und Betrieb konnten hier materielle Fortschritte gemacht werden und weitere sind im Verlaufe des Projektes Justitia 4.0 geplant. Vertreter des eidgenössischen und der kantonalen Datenschutzbeauftragten werden situativ beigezogen, damit sie sich zu den Konzepten äussern können.

Nächste Schritte

Für das Jahr 2023 ist die Weiterführung von Arbeiten und Massnahmen hinsichtlich sowohl des Projektteams als auch der Plattform «Justitia.Swiss» geplant. Dazu gehören insbesondere die Einführung von Sicherheitsmassnahmen in der Plattform und die Einbettung von Informationssicherheits-Restrisiken in bestehende Prozesse. Für die JAA werden die Informationssicherheits-Aufgaben hinsichtlich eines Informationssicherheits- und Datenschutzkonzeptes intensiviert.