Sächsisches Informationssicherheitsgesetz - SächsISichG - Hinweise für Kommunen

Einleitung

Das mit dem Ziel der weiteren Verbesserung der Informationssicherheit bei den sächsischen Behörden am 31. August 2019 in Kraft getretene "Gesetz zur Gewährleistung der Informationssicherheit im Freistaat Sachsen" (Sächsisches Informationssicherheitsgesetz - SächsISichG1)) enthält zahlreiche Regelungen, die die "nicht-staatlichen Stellen", also auch Kommunalverwaltungen, betreffen.

Diese Regelungen geben den kommunalen Behörden konkrete Handlungsanweisungen zur Organisation der Informationssicherheit in ihrer Behörde. Einerseits sind es natürlich einzuhaltende gesetzliche Vorgaben, andererseits beziehen sich diese auf einen Aspekt des Schutzes der Handlungsfähigkeit einer Behörde und der Schadensabwehr, welcher schon immer seit Einführung von IT-Lösungen der Verwaltung oblag. Im Zuge der weiteren Digitalisierung der kommunalen Prozesse gewinnt dieser Schutz zunehmende Bedeutung. Insofern kann man die Umsetzung der Vorgaben des Informationssicherheitsgesetzes als Chance sehen, durch systematische Planung, Anwendung und Dokumentation von organisatorischen und technischen Maßnahmen die Informationssicherheit weiter zu verbessern.

Die SAKD unterstützt die sächsichen Kommunen bei der Umsetzung dieser Maßnahmen und koordiniert entsprechende Aktivitäten mit dem Sicherheitsnotfallteam und dem Beauftragten für Informationssicherheit des Landes. Für Fragen und Anregungen wenden Sie sich bei der SAKD bitte an Herrn Kretschmer (E-Mail kretschmer(at)sakd.de, Telefon +49 3594 775256)

Im Folgenden soll auf die für Kommunen relevanten Punkte des Gesetzes eingegangen werden.
Auszüge des Gesetzes werden zitiert, u.U. verkürzt wiedergegeben, kommentiert und mit Links untersetzt.
Für weitere Details wird die Lektüre des originalen Gesetzestextes empfohlen.

Anwendungsbereich (Paragraph 2)

"Dieses Gesetz gilt für die Behörden und die Gerichte des Freistaates Sachsen (staatliche Stellen) sowie die seiner Aufsicht unterstehenden Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts (nicht-staatliche Stellen)" also z.B. auch für Gemeinde- und Landkreisverwaltungen.

Grundsätze der Informationssicherheit (Paragraph 4)

Auch für nicht-staatliche Stellen gilt "Die staatlichen Stellen treffen angemessene organisatorische und technische Vorkehrungen sowie sonstige Maßnahmen zur Gewährleistung der Informationssicherheit. Für technische Maßnahmen soll der Stand der Technik maßgeblich sein. Maßnahmen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen der Verletzung der Schutzziele steht."
Die Berücksichtigung der Standards und des IT-Grundschutz-Kompendiums des BSI2) wird empfohlen.
Die SAKD empfiehlt auch den Kommunen die Einführung eines für staatliche Stellen obligatorischen Informationssicherheitsmanagementsystemes - ISMS auf Grundlage der BSI-IT-Grundschutz-Methodik und damit verbunden die Bestellung eines Beauftragten für Informationssicherheit.
Ein ISMS ist ein geplantes und organisiertes Vorgehen, um ein angemessenes Sicherheitsniveau für die Informationssicherheit zu erzielen und aufrechtzuerhalten untersetzt mit Dokumenten in Bezug zur Informationssicherheit (z.B. Leitlinien, Konzepte, Organisationsanweisungen, Dokumentationen).
Die Erstellung und Anwendung eines Sicherheitskonzeptes ist nach §14 verpflichtend.
Die Verantwortung für die Informationssicherheit trägt der jeweilige Leiter der nicht-staatlichen Stelle.
Wesentliche Änderungen an den informationstechnischen Systemen dürfen nur im Benehmen mit dem für diese nicht-staatliche Stelle ernannten Beauftragten für Informationssicherheit durchgeführt werden.
Stehen Aufwand und damit erreichbare Senkung des Risikos zur Erreichnung der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit außer Verhältnis, ist auf den Einsatz informationstechnischer Systeme zu verzichten.

Beauftragter für Informationssicherheit des Landes (Paragraph 5)

Bei Gefahren kann der Beauftragte Anordnungen gegenüber nicht-staatlichen Stellen, welche an das KDN angeschlossen sind, treffen. Bei Gefahr im Verzug kann er die Trennung des SVN vom KDN anordnen.

Der Beauftragte für Informationssicherheit des Landes erstellt verbindliche Mindeststandards zur Informationssicherheit.
Den nicht-staatlichen Stellen wird die Anwendung der Mindeststandards empfohlen. Der Beauftragte berät auf Ersuchen die nicht-staatlichen Stellen bei der Umsetzung und Einhaltung der Mindeststandards.

Die staatlichen und nicht-staatlichen Stellen, die die Maßnahmen nach §12 (Abwehr von Gefahren für die informationstechnischen Systeme im Freistaat Sachsen) und §13 (Datenspeicherung und Auswertung) in eigener Zuständigkeit ausüben, unterrichten den Beauftragten für Informationssicherheit des Landes jährlich in folgenden Punkten über ihre Tätigkeit:

  • Maßnahmen zur Erhebung von Protokoll- und Inhaltsdaten im Zusammenhang mit der Abwehr von Gefahren
  • Anzahl der Fälle zur Auswertung von Protokolldaten über oder durch Personen
  • Anzahl der Fälle zur Speicherung und Auswertung von Inhaltsdaten (Pflicht zur Anordnung und Dokumentation)
  • Anzahl der Fälle der nicht automatisierten Verarbeitung von Protokoll- und Inhaltsdaten zur Bestätigung oder Widerlegung des Verdachts auf Gefahren für die informationstechnischen Systeme
  • Anzahl der durchgeführten, unterbliebenen sowie nachgeholten Benachrichtigungen der Betroffenen nach Schadereignissen (Einbeziehung Datenschutzbeauftragter, Dokumentation),
  • Anzahl von Fällen der Übermittlung verdächtiger Protokoll- und Inhaltsdaten an Strafverfolgungsbehörden, Polizei und Landesamt für Verfassungsschutz
  • den Umgang mit unzulässig erlangten Daten welche den Kernbereich privater Lebensgestaltung betreffen (Dokumentation der Tatsache der Erlangung und Löschung))
  • Anzahl von gemeldeten Informationen, Sicherheitsereignissen (Versuch) und Sicherheitsvorfällen (Schaden ist eingetreten)

Zur Unterrichtung ist das ausgefüllte Meldeformular3) bis zum 31.08. an bfis-land(at)sk.sachsen.de zu senden. Der Beauftragte berichtet zusammenfassend weiter an den Landtag und im "Jahresbericht Informationssicherheit".

Sicherheitsnotfallteam (Paragraph 6)

Das Sicherheitsnotfallteam SAX.CERT4) des Staatsbetrieb Sächsische Informatik Dienste - SID unterstützt nicht-staatliche Stellen in technischen Sicherheitsfragen und wirkt bei der Koordinierung der Informationssicherheit mit.

Zur Unterstützung bietet das SAX.CERT auch für Kommunen kostenlose Dienstleistungen5) an:

  • HoneySens - Sicherheitslösung zur Erkennung von Hacker-Angriffen in internen Netzwerken
  • Vulnerability Advisory Service "dCERT" - tagesaktuelle Informationen zu Schwachstellen und Sicherheitslücken in IT-Systemen
  • Sicherheitsscans von Internetseiten
  • Identity Leak Checker - Betroffenheit von E-Mail-Adressen in Zusammenhang mit bekannt gewordenen Leaks

Die Inanspruchnahme dieser Dienstleistungen kann über sax.cert(at)cert.sachsen.de angemeldet werden

Die staatlichen oder nicht-staatlichen Stellen im Freistaat Sachsen stellen dem Sicherheitsnotfallteam die Daten zu Sicherheitslücken, Schadprogrammen, erfolgten oder versuchten Angriffen über ein Meldeformular6) zur Verfügung.

Bei Gefahren kann das Sicherheitsnotfallteam Anordnungen gegenüber KDN-Nutzern treffen oder Maßnahmen ergreifen.

Beauftragte für Informationssicherheit der nicht-staatlichen Stellen (Paragraph 8)

Nicht-staatliche Stellen sollen eine/n Beauftragte/n für Informationssicherheit - BfIS und eine/n Vertreter/in ernennen. Sie sind also grundsätzlich dazu verpflichtet.
Rechte und Pflichten des/der Beauftragten regelt §7, Absatz 3.
Die SAKD stellt ein Muster zur Bestellung des/der BfIS zur Verfügung.
Insbesondere kleine Verwaltungen sollten erwägen, einen externen Dienstleister als BfIS zu ernennen, welcher über die erforderlichen Kenntnisse verfügt. Zur Kontaktaufnahme dient eine Liste der potentiellen Dienstleister. Ergänzend ist ein Dienstleistungsvertrag abzuschließen (inhaltliche Formulierungsvorschläge).
Der Beauftragte für Informationssicherheit des Landes ist innerhalb eines Monats über die Ernennung (Link zum Meldeformular BfIS7)) zu unterrichten.

Datenübermittlung der nicht-staatlichen Stellen (Paragraph 11)

Absatz 1 regelt die Möglichkeiten der verwaltungsübergreifenden Datenübermittlung nach § 15 des Sächsischen E-Government-Gesetzes8) und Absatz 3 den Durchgriff der Anforderungen der Netze des Bundes - NdB9).

Abwehr von Gefahren für die informationstechnischen Systeme im Freistaat Sachsen (Paragraph 12)

Zur Erkennung und Abwehr von Gefahren dürfen Protokoll- und Inhaltsdaten erhoben und automatisiert ausgewertet werden.
Das Sicherheitsnotfallteam ist zu unterstützen und dem Sicherheitsnotfallteam sind bestimmte Daten zur Verfügung zu stellen.

Datenspeicherung und -auswertung (Paragraph 13)

Es werden Bestimmungen getroffen über

  • die Zulässigkeit und Dauer der Speicherung von Daten,
  • die Art der Auswertung (automatisiert / nicht automatisiert),
  • den Ort der Speicherung (Gebiet der Europäischen Union),
  • die Pseudonymisierung und Wiederherstellung des Personenbezugs,
  • die Entscheidungsbefugnisse,
  • die Benachrichtigung der betroffenen Personen und
  • die Weitergabe an andere Behörden.

Sicherheitskonzept (Paragraph 14)

Ein Sicherheitskonzept muss erstellt sowie die Umsetzung aller darin vorgesehenen technischen und organisatorischen Maßnahmen vor Aufnahme der Datenverarbeitung aktenkundig gemacht werden.

Stellenübergreifende Meldepflichten (Paragraph 15)

Informationen, die zur Abwehr von Gefahren für die informationstechnischen Systeme von Bedeutung sind, werden unverzüglich dem Sicherheitsnotfallteam zur Verfügung gestellt (siehe auch §6, Absatz2, Satz2).

Meldepflichten der nicht-staatlichen Stellen (Paragraph 17)

Für Kommunen, welche mit dem Sächsischen Verwaltungsnetz oder dem Kommunalen Datennetz verbunden sind, müssen nach §16 Sicherheitsereignisse und Sicherheitsvorfälle an das Sicherheitsnotfallteam gemeldet werden

  • welche zu einer erheblichen Beeinträchtigung der Schutzziele geführt haben oder
  • behördenübergreifend zu einer erheblichen Beeinträchtigung der Schutzziele führen können.

Die Details regelmäßiger Meldungen bestimmt eine Rechtsverordnung.
Informationen zu dieser Rechtsverordnung werden, sobald verfügbar, hier veröffentlicht.

Externe Links