News

ARI begleitet ihre Kunden auf dem Weg "in die Cloud"

Im Zuge der Digitalisierung und zunehmender Internetnutzung werden immer mehr Services oder Anwendungen entweder zusätzlich oder sogar nur noch cloud-basiert angeboten. Somit führt auch für die öffentlich-rechtlichen Einrichtungen kein Weg an der Cloud vorbei.

 

Auch bei Nutzung von Cloud-Diensten verbleibt die Verantwortung für die Erfüllung der Anforderungen puncto Informations- und Datenschutz bei den Anwenderinnen und Anwendern. Wir unterstützen unsere Kundinnen und Kunden dabei, indem wir sie zum bewussten Umgang mit schützenswerten Daten befähigen. Wir unterstützen sie auch bei der Erarbeitung der notwendigen Grundlagen wie Schutzbedarfsanalyse, ISDS-Konzept (inkl. Risikoanalyse), Datenschutzfolgeabschätzung usw. Gleichzeitig richten wir unsere Infrastruktur und zugrundeliegende Services auf die cloud-basierte Nutzung aus, so dass die Daten im System möglichst sicher sind (Stichwort Datensicherheit).

Sensibilisierungsmassnahmen für den Informations- und Datenschutz

Die Bedrohung durch Cyber-Kriminalität ist generell hoch. Das Nationale Zentrum für Cybersicherheit (NCSC) hat in den vergangenen Wochen neue Rekordwerte bei den eingegangenen Meldungen über Cybervorfälle registriert. Auf der Seite «Im Fokus» (https://www.ncsc.admin.ch/ncsc/de/home/aktuell/im-fokus.html) wird wöchentlich über die neuesten aufgedeckten Aktivitäten von Cyberkriminellen informiert. Der Hack bei einem Lieferanten des Bundes (Xplain) hat nicht nur grosses Echo in den Medien erhalten, sondern auch bei uns im Kanton zu verschiedenen Rückfragen geführt.

Besonders wichtig in diesem Zusammenhang ist uns die Sensibilisierung aller Benutzerinnen und Benutzer zum Thema Cyber-Bedrohungen. Mit der neuen Awareness-Plattform «Lucy» wurde vor den Sommerferien die erste Trainingskampagne für sämtliche Kundinnen und Kunden erfolgreich durchgeführt. Wir konnten eine sehr gute Rücklaufquote von über 80% verzeichnen. Ende September 2023 haben wir eine erste kombinierte Kampagne mit Angriffssimulation und anschliessendem Awareness-Training per eLearning-Kurs mit ausgewählten Kunden durchgeführt. Die Auswertung dazu läuft noch. Es lässt sich aber bereits ein positiver Trend erkennen: Gegenüber der letzten vergleichbaren Kampagne haben wir deutlich besser abgeschnitten. Weitere Kampagnen und ergänzende Massnahmen zur Sensibilisierung aller Anwenderinnen und Anwender im Kanton sind in Planung. Für gezielte Anfragen kontaktieren Sie bitte unseren CISO Christoph Schwalm per E-Mail.

Erweiterung der ARI-Services und Ausbau der Infrastruktur

Cloud-Dienste werden auch in der öffentlichen Verwaltung in Appenzell Ausserrhoden immer wichtiger. Deshalb haben wir neben der Azure-Cloud von Microsoft auch die Amazon Web Services (AWS) sicher an unser Cloud-Fundament angebunden und können somit unseren Kundinnen und Kunden künftig moderne Dienste aus der AWS-Cloud anbieten. Darüber haben wir auch die Möglichkeit, mittels VPDC (Virtual Private Data Center) eine sichere «private Cloud» zur Nutzung anzubieten.

Eines unserer strategischen Ziele ist es, unsere Kompetenzen als «Cloud Broker» auszubauen. Als solcher stellen wir künftig die Standardisierung, Verrechnung, Interoperabilität, IT Service Continuity (Verfügbarkeit) und Sicherheit in den Multi-Cloud-Umgebungen für unsere Kundinnen und Kunden sicher.

Haben Sie Fragen oder konkrete Projekte zu Cloud-Services? Gerne beraten wir Sie und finden gemeinsam die optimale Lösung für Ihre Bedürfnisse.

Grenzen der Schutzvorkehrungen

Trotz der vielen Massnahmen für die Sensibilisierung der Anwenderinnen und Anwender sowie zum technischen und organisatorischen Schutz der ARI-Infrastruktur bleiben gewisse Restrisiken bei der Nutzung von Cloud-Diensten bestehen. Dies betrifft zum einen rechtliche Fragestellungen im Zusammenhang mit dem Thema «Lawful Access / US CLOUD Act» (potenzieller Zugriff durch US-Strafverfolgungsbehörden zur Verhütung, Ermittlung, Aufklärung oder Verfolgung schwerer Straftaten). Zum anderen ergeben sich durch die Nutzung von Cloud-Diensten oft Abhängigkeiten vom jeweiligen Lieferanten, wie beispielsweise Microsoft für Microsoft-365-Anwendungen, und man ist auf die Verfügbarkeit des Internets angewiesen. Auf diese und andere Risiken hat auch ARI nur geringen oder gar keinen Einfluss. Um mit diesen Risiken angemessen umzugehen, sind eine seriöse Risikoanalyse, die Erstellung von entsprechenden Notfallkonzepten und die bewusste Übernahme der Restrisiken unabdingbar.