Ein falscher Klick genügt
Cyberattacken nehmen zu. Das ist auch bei der Stadt Zürich zu spüren. Um diese abzuwehren, hat die Stadtverwaltung verschiedene Massnahmen ergriffen. Auch im HR-Bereich.
«Hacker haben versucht, mit einer täuschend echten Blindbewerbung Schadsoftware in unserem IT-System zu installieren», erzählt Martin Otzenberger, Kommunikationsleiter der Dienstabteilung Organisation und Informatik der Stadt Zürich. (Bild: 123RF)
Martin Otzenberger, wie gross ist das Cybersecurity-Problem tatsächlich?
Martin Otzenberger: Mit der fortschreitenden Digitalisierung nehmen auch die Cyberattacken zu. Und sie werden professioneller. Deshalb braucht es effektive Abwehrmassnahmen gegen Cyberattacken.
… und was hat HR mit dem Thema Cybersecurity am Hut?
Einerseits muss das HR für den Sicherheitsbereich die richtigen Leute finden und auf der anderen Seite die HR-Mitarbeitenden zum Thema Informationssicherheit sensibilisieren: Auch das HR selbst kann das Ziel solcher Attacken sein. Etwa durch Bewerberdateien mit Schadsoftware. So haben Hacker schon versucht, mit einer täuschend echten Blindbewerbung per E-Mail Schadsoftware in unserem IT-System zu installieren. Ein einziger Klick eines HR-Mitarbeitenden hätte genügt, um potenziell einen Schaden zu verursachen. Eine HR-Mitarbeitende hat richtig reagiert und unsere IT-Sicherheitsabteilung informiert. Diese informierte dann alle restlichen HR-Mitarbeitenden und die Gefahr konnte gebannt werden.
Was tut die Stadt Zürich, um Cyberattacken abzuwenden?
Wir haben ein sogenanntes Security Operation Center (SOC) aufgebaut. Das ist eine Einrichtung, welche die gesamte IT-Infrastruktur nach Anomalien absucht und Warnsignale sendet, falls Unregelmässigkeiten auftauchen. Diese werden von unseren Security-Spezialisten eingeschätzt, die dann bei Bedarf Abwehrmassnahmen ergreifen. Daneben sensibilisieren wir unsere Mitarbeitenden. Etwa mit unserer Sicherheitskampagne «einfach sicher», mit der wir Mitarbeitenden Tipps und Handlungsanweisungen zur Informationssicherheit in allen Lebensbereichen vermitteln, wobei wir in einer ersten Phase allen städtischen Organisationen wie dem EWZ über die Zürcher Spitäler bis zur VBZ von Tür zu Tür gegangen sind und Informationsmaterial verteilt haben. In einer nächsten Phase werden wir verschiedene Zielgruppen spezifisch informieren. So auch unsere städtischen HR-Mitarbeitenden.
Oftmals läuft HR-Software auf ausländischen Servern in Ländern, die andere Datenschutzstandards kennen als wir. Wie handhaben Sie das?
HR-Software in der Cloud zu nutzen, ist auch für die Stadt Zürich ein Thema, da immer mehr Lieferanten ihre Produkte nur noch in der Cloud anbieten. Welche Services wir aus der Cloud beziehen, ist unter anderem abhängig von der Sensibilität der Daten. Wir fokussieren auf Cloud-Services, die in der Schweiz oder Ländern mit vergleichbarem Datenschutzrecht bezogen werden können. Wo dieser Datenschutzstandard nicht existiert – zum Beispiel in den USA –, nutzen diese Services nur, wenn diese Dienstleistungen keine kritischen Daten oder Informationen betreffen. Seit dem Inkrafttreten der EU-DSGVO sind die Anbieter aber vermehrt bestrebt, den europäischen Datenschutzstandard einzuhalten. Davon profitiert auch die Stadt Zürich, denn die europäische Datenschutzverordnung geht weiter als das Schweizer Datenschutzgesetz.
Der Interviewpartner und die Abteilung:
Martin Otzenberger ist Kommunikationsleiter der Dienstabteilung Organisation und Informatik der Stadt Zürich.
Die Dienstabteilung Organisation und Informatik (OIZ) ist für die IT-Basisinfrastruktur und damit auch für die Informationssicherheit aller städtischen Organisationen von der Stadtpolizei über Spitäler bis zum Elektrizitätswerk zuständig.