Kanton Zürich: Direktion JI veröffentlicht Untersuchungsbericht (Video)
VON Polizei.news Redaktion Polizeinews Schweiz Verbrechen Zürich
Mutmasslich zwischen 2006 und 2012 kam es in der Direktion der Justiz und des Innern (JI) zu Unregelmässigkeiten bei der Entsorgung von Hardware. Die Direktion hat bei Bekanntwerden des Vorfalls Ende 2020 die zuständigen Stellen umgehend informiert und eine Administrativuntersuchung in Auftrag gegeben.
Heute Dienstag hat Regierungsrätin Jacqueline Fehr den Abschlussbericht veröffentlicht.
Dieser kam zum Schluss, dass die IT-Sicherheit der Direktion JI seit Jahren gewährleistet ist und dass keine Sofortmassnahmen nötig waren. Der Bericht zeigt auch auf, warum ein solcher Fall heute nicht mehr passieren kann, und empfiehlt Massnahmen für den künftigen Umgang mit Datensicherheit.
Aufzeichnung des Point de Presse „Konsequenzen aus dem Datensicherheitsvorfall bei der Direktion JI“
Die Zürcher Staatsanwaltschaft informiert die Vorsteherin der Direktion der Justiz und des Innern (JI) im November 2020 über den Verdacht, dass bei Entsorgungen von Hardware in den späten Nullerjahren sensible Daten in falsche Hände geraten sein könnten. JI-Vorsteherin Jacqueline Fehr hat darauf umgehend den kantonalen Informationssicherheitsbeauftragten und die kantonale Datenschutzbeauftragte über den Vorfall informiert. Zudem hat die Direktion bei mag. iur. Maria Winkler von IT & Law Consulting GmbH eine Administrativuntersuchung in Auftrag gegeben. Maria Winkler untersuchte, ob Sofortmassnahmen nötig sind und ob ein vergleichbarer Vorfall noch immer stattfinden könnte.
Ein erster Zwischenbericht von Ende Januar 2021 zeigte, dass es keine Sofortmassnahmen brauche. Die Direktion JI hat darüber die Datenschutzbeauftragte informiert. Ebenso hat sie die Geschäftsprüfungskommission des Kantonsrates über den Vorfall und die in Auftrag gegebene Administrativuntersuchung ins Bild gesetzt.
Wie es zum Vorfall kommen konnte
Maria Winkler präsentierte am Dienstag vor den Medien die Schlussergebnisse der Administrativuntersuchung, welche sie Ende März 2021 vorgelegt hatte. Sie berichtete einerseits, wie es mutmasslich zum Vorfall kommen konnte. Andererseits zeigt der Bericht auf, warum ein solcher Fall heute nicht mehr passieren kann – und er empfiehlt Massnahmen für den künftigen Umgang mit Datensicherheit.
Diese Empfehlungen wurden durch die Datenschutzbeauftragten geprüft und als angemessen und sinnvoll erachtet. Sie werden nun einerseits auf kantonaler Ebene, andererseits in der JI umgesetzt. So hat die Digital Solutions, die IT-Abteilung der Direktion JI, personelle Ressourcen und die Prozesse bereitgestellt, um die Empfehlungen zu realisieren. Die Arbeiten daran seien am Laufen, erklärte Urs Kaderli, der Leiter von Digital Solutions.
Regierungsrätin Jacqueline Fehr hat den Datensicherheitsvorfall im Rahmen einer Medienkonferenz soweit möglich und bekannt rekonstruiert. Allerdings sind nach wie vor viele Fragen offen. So ist unklar, wie viele Daten tatsächlich im Umlauf sind und wie sensitiv diese sind. Sicher ist, dass der unprofessionelle Umgang mit Hardware und Daten vor 2014 stattgefunden hat. Seit 2013 läuft die Vernichtung von Daten der Direktion JI nach standardisierten und zertifizierten Prozessen.
Direktion weiss über Strafuntersuchung nicht Bescheid
Die weiterhin offenen Fragen wird – wenn überhaupt – erst die laufende Strafuntersuchung beantworten können. So lange diese nicht abgeschlossen ist, haben die zuständige Direktion und ihre Vorsteherin nur beschränkte Kenntnisse über den Fall. Die Staatsanwaltschaft untersucht unabhängig. Die Kommunikationshoheit liegt bei ihr.
Der Direktion JI ist Transparenz und Einblick in staatliches Handeln sehr wichtig. Wenn immer möglich, schafft die Direktion diese Transparenz. Es gibt aber Gründe, etwa polizeiliche Ermittlungen, Strafverfahren oder Persönlichkeitsrechte, welche zur Zurückhaltung beim Herstellen von Öffentlichkeit verpflichten.
Nach Ansicht der Direktion JI ist auch in diesem Fall Zurückhaltung angezeigt. Gleichwohl hat sich die Direktion JI nach der breiten medialen Information über angebliche Details der Vorkommnisse entschieden, den Schlussbericht zur Administrativuntersuchung publik zu machen und so zur Klärung der Fakten beizutragen Sie wird auch nach Abschluss des Strafverfahrens zu diesem Datensicherheitsvorfall informieren.
Quelle: Kanton Zürich
Titelbild: Screenshot YouTube / Kanton Zürich