Anfrage Nicola Yuste, Zürich, Florian Heer, Winterthur, und Stefan Schmid, Niederglatt, betrefffend Sicherheitslücken in Softwareprogrammen der Kantonspolizei, Beantwortung
Auszug aus dem Protokoll des Regierungsrates des Kantons Zürich KR-Nr. 75/2024
Sitzung vom 17. April 2024
400. Anfrage (Sicherheitslücken in Softwareprogrammen der Kantonspolizei) Kantonsrätin Nicola Yuste, Zürich, sowie die Kantonsräte Florian Heer, Winterthur, und Stefan Schmid, Niederglatt, haben am 11. März 2024 fol- gende Anfrage eingereicht: Gemäss einer Recherche des Tagesanzeigers1 nutzte die Kantonspoli- zei Zürich bis im vergangenen Jahr die Software Agisoft Metashape, deren Hersteller Agisoft demselben russischen Besitzer wie der grösste russische Drohnenproduzent Geoscan angehört: Innopraktika, eine rus- sische Staatsstiftung, geleitet von der Tochter des russischen Präsidenten, Katerina Tichonowa. Der Bericht führt weiter aus, dass gemäss dem Ein- trag der Präsidententochter auf der Schweizer Sanktionsliste die Stiftung Innopraktika von russischen Oligarchen finanziert wird, die Präsident Putin nahestehen. Die Nutzung der Software auf Schweizer und Zürcher Polizeicompu- tern ist angesichts der Verflechtungen mit dem Kreml insofern höchst problematisch, weil die Software als Trojaner Daten abgreifen oder eine sogenannte «Backdoor» eingebaut haben könnte, die sie für Angriffe von russischen Hackern oder Spionageeinheiten empfindlich macht. Dies lässt sich nicht ausschliessen und stellt ein erhebliches Sicherheitsrisiko dar. Vor diesem Hintergrund bitten wir die Regierung um die Beantwor- tung folgender Fragen:
Erwägungen
1. Von wann bis wann wurde die Software Agisoft Metashape von der Zürcher Kantonspolizei genutzt?
2. Weshalb stellte man die Nutzung erst 2023 ein, wenn die Sicherheits- risiken von staatsnahen russischen Softwares bereits früher bekannt waren und sich russische Cyberangriffe in der Schweiz seit 2016 häuf- ten?
3. Welche Softwares aus dem Ausland nutzen die Kantonspolizei und Staatsanwaltschaften, und von welchen Herstellern?
1 https://www.tagesanzeiger.ch/agisoft-schweizer-polizei-setzt-auf-russische-software-
4. Mit welchen Prozessen prüft die Regierung Sicherheitsrisiken syste- matisch, bevor eine neue Software eingekauft wird?
5. Welche Konsequenzen hat die Regierung aus dem Fall Agisoft Me- tashape gezogen und welche Massnahmen wurden daraus abgeleitet?
6. Gemäss Antwort der Regierung auf die Anfrage 243/2023 «Wie sicher ist der Kanton Zürich vor Cyberangriffen» wird ein Pilotversuch zum Umgang mit Cyberrisiken in der kantonalen Lieferkette erwähnt. Wel- che Ergebnisse hat dieser Versuch hervorgebracht und welche Mass- nahmen werden daraus abgeleitet?
7. Wie wird sichergestellt, dass in Zukunft keine Software mit erhebli- chen Sicherheitsrisiken mehr angeschafft wird?
Dispositiv
Auf Antrag der Sicherheitsdirektion beschliesst der Regierungsrat:
I. Die Anfrage Nicola Yuste, Zürich, Florian Heer, Winterthur, und Stefan Schmid, Niederglatt, wird wie folgt beantwortet: Zu Fragen 1 und 2: Die Kantonspolizei schaffte die Software Agisoft im Februar 2017 zu Testzwecken für die Auswertung von Daten nach der Dokumentation schwerer Unfallereignisse mithilfe von Drohnen an. Sie setzte diese je- doch ausschliesslich zu Testzwecken auf einem Computer ein, auf dem keine polizeilichen Systeme oder Software installiert waren und der nicht mit dem Netzwerk der Kantonspolizei verbunden war. Die Software wurde auch nie für die Bearbeitung eines realen Falles eingesetzt. Nach Bekanntwerden von möglichen Sicherheitsproblemen im Mai 2023 de- installierte die Kantonspolizei diese Software umgehend. Zu Frage 3: Die Kantonspolizei und die Staatsanwaltschaft nutzen Microsoft-Pro- dukte. Aus Sicherheitsgründen werden die weiteren eingesetzten Soft- ware-Produkte nicht aufgeführt, da deren Auflistung die Angreifbarkeit substanziell erhöhen würde. Zu Fragen 4–7: Die IT-Beschaffung ausserhalb der Grundversorgung ist bei der Ver- waltung des Kantons Zürich dezentral organisiert. Gemäss den Grund- sätzen der Beschaffungspolitik des Regierungsrates vom 7. März 2018 (RRB Nr. 202/2018) gewährleisten die Beschaffungsstellen ein systema- tisches Risikomanagement, um die Risiken von Beschaffungen gezielt zu überwachen und zu minimieren. Auch die Projektmethodik HERMES,
die in der kantonalen Verwaltung zur Anwendung kommt, sieht für die Beschaffung und Integration von IT-Standardanwendungen entspre- chende Szenarien vor. Risiken betreffend Informationssicherheit sind in einem Informationssicherheits- und Datenschutzkonzept festzuhalten. Im Zentrum des in der Anfrage erwähnten Pilotversuchs stand der Umgang mit Cyberrisiken in der Lieferkette. So hatte dieser u. a. zum Ziel, den Nutzen eines Services zur Bewertung von Lieferantinnen und Lieferanten für den Kanton Zürich zu beurteilen. Dabei zeigte sich, dass es auf dem Markt Lösungen gibt, die eine aussagekräftige Risikobewer- tung von Unternehmen und deren Umgang mit Cyberrisiken abgeben. Diese Dienste werten öffentlich verfügbare Informationen aus. Die Er- gebnisse zeigen beispielsweise auf, wie effektiv und effizient ein bewer- tetes Unternehmen grundlegende Sicherheitsmassnahmen umgesetzt hat. Da die Anbieterinnen und Anbieter dieser Lösungen keinen Bezug zu den bewerteten Unternehmen haben, handelt es sich um unabhängige Be- wertungen. Sodann sind diese Bewertungen einfach und benutzerfreund- lich ausgestaltet. Der Kanton plant daher die Beschaffung einer solchen Lösung. Weiter hat das Steuerungsgremium Digitale Verwaltung und IKT im Dezember 2023 dem kantonalen Zentrum für Cybersicherheit den Auf- trag erteilt, die wesentlichen Lieferantinnen und Lieferanten des Kan- tons Zürich einer standardisierten Bewertung aus Sicht der Cybersicher- heit zu unterziehen. Die Direktionen und die Staatskanzlei sollen einfach umsetzbare Vorschläge und Empfehlungen erhalten, wie sie ihre Liefe- rantinnen und Lieferanten besser verwalten und die Risiken der Infor- mationssicherheit verringern können.
II. Mitteilung an die Mitglieder des Kantonsrates und des Regierungs- rates sowie an die Sicherheitsdirektion.
Vor dem Regierungsrat Die Staatsschreiberin: Kathrin Arioli