S├Ąchsisches Informationssicherheitsgesetz - S├ĄchsISichG - Hinweise f├╝r Kommunen

Das mit dem Ziel der weiteren Verbesserung der Informationssicherheit bei den s├Ąchsischen Beh├Ârden am 31. August 2019 in Kraft getretene "Gesetz zur Gew├Ąhrleistung der Informationssicherheit im Freistaat Sachsen" (S├Ąchsisches Informationssicherheitsgesetz - S├ĄchsISichG) enth├Ąlt zahlreiche Regelungen, die die "nicht-staatlichen Stellen", also auch Kommunalverwaltungen, betreffen.

Diese Regelungen geben den kommunalen Beh├Ârden konkrete Handlungsanweisungen zur Organisation der Informationssicherheit in ihrer Beh├Ârde. Einerseits sind es nat├╝rlich einzuhaltende gesetzliche Vorgaben, andererseits beziehen sich diese auf einen Aspekt des Schutzes der Handlungsf├Ąhigkeit einer Beh├Ârde und der Schadensabwehr, welcher schon immer seit Einf├╝hrung von IT-L├Âsungen der Verwaltung oblag. Im Zuge der weiteren Digitalisierung der kommunalen Prozesse gewinnt dieser Schutz zunehmende Bedeutung. Insofern kann man die Umsetzung der Vorgaben des Informationssicherheitsgesetzes als Chance sehen, durch systematische Planung, Anwendung und Dokumentation von organisatorischen und technischen Ma├čnahmen die Informationssicherheit weiter zu verbessern.

Die SAKD unterst├╝tzt die s├Ąchsichen Kommunen bei der Umsetzung dieser Ma├čnahmen und koordiniert entsprechende Aktivit├Ąten mit dem Sicherheitsnotfallteam und dem Beauftragten f├╝r Informationssicherheit des Landes. F├╝r Fragen und Anregungen wenden Sie sich bei der SAKD bitte an Herrn Kretschmer (E-Mail bfis(at)sakd.de, Telefon +49 3594 775256)

Im Folgenden soll auf die f├╝r Kommunen relevanten Punkte des Gesetzes eingegangen werden.
Ausz├╝ge des Gesetzes werden zitiert, u.U. verk├╝rzt wiedergegeben, kommentiert und mit Links untersetzt.
F├╝r weitere Details wird die Lekt├╝re des originalen Gesetzestextes empfohlen.

Anwendungsbereich (Paragraph 2)

"Dieses Gesetz gilt f├╝r die Beh├Ârden und die Gerichte des Freistaates Sachsen (staatliche Stellen) sowie die seiner Aufsicht unterstehenden K├Ârperschaften, Anstalten und Stiftungen des ├Âffentlichen Rechts (nicht-staatliche Stellen)" also z.B. auch f├╝r Gemeinde- und Landkreisverwaltungen.

Grunds├Ątze der Informationssicherheit (Paragraph 4)

Auch f├╝r nicht-staatliche Stellen gilt "Die staatlichen Stellen treffen angemessene organisatorische und technische Vorkehrungen sowie sonstige Ma├čnahmen zur Gew├Ąhrleistung der Informationssicherheit. F├╝r technische Ma├čnahmen soll der Stand der Technik ma├čgeblich sein. Ma├čnahmen sind angemessen, wenn der daf├╝r erforderliche Aufwand nicht au├čer Verh├Ąltnis zu den Folgen der Verletzung der Schutzziele steht."
Die Ber├╝cksichtigung des IT-Grundschutz-Kompendiums des BSI wird empfohlen.
Die SAKD empfiehlt auch den Kommunen die Einf├╝hrung eines f├╝r staatliche Stellen obligatorischen Informationssicherheitsmanagementsystemes - ISMS und damit verbunden die Bestellung eines Beauftragten f├╝r Informationssicherheit.
Ein ISMS ist ein geplantes und organisiertes Vorgehen, um ein angemessenes Sicherheitsniveau f├╝r die Informationssicherheit zu erzielen und aufrechtzuerhalten untersetzt mit Dokumenten in Bezug zur Informationssicherheit (z.B. Leitlinien, Konzepte, Organisationsanweisungen, Dokumentationen).
Die Erstellung und Anwendung eines Sicherheitskonzeptes ist nach ┬ž14 verpflichtend.
Die Verantwortung f├╝r die Informationssicherheit tr├Ągt der jeweilige Leiter der nicht-staatlichen Stelle.
Wesentliche Änderungen an den informationstechnischen Systemen dürfen nur im Benehmen mit dem für diese nicht-staatliche Stelle ernannten Beauftragten für Informationssicherheit durchgeführt werden.
Stehen Aufwand und damit erreichbare Senkung des Risikos zur Erreichnung der Schutzziele Vertraulichkeit, Integrit├Ąt und Verf├╝gbarkeit au├čer Verh├Ąltnis, ist auf den Einsatz informationstechnischer Systeme zu verzichten.

Beauftragter f├╝r Informationssicherheit des Landes (Paragraph 5)

Bei Gefahren kann der Beauftragte Anordnungen gegen├╝ber nicht-staatlichen Stellen, welche an das KDN angeschlossen sind, treffen. Bei Gefahr im Verzug kann er die Trennung des SVN vom KDN anordnen.

Der Beauftragte f├╝r Informationssicherheit des Landes erstellt verbindliche Mindeststandards zur Informationssicherheit.
Den nicht-staatlichen Stellen wird die Anwendung der Mindeststandards empfohlen. Der Beauftragte ber├Ąt auf Ersuchen die nicht-staatlichen Stellen bei der Umsetzung und Einhaltung der Mindeststandards.

Die staatlichen und nicht-staatlichen Stellen, die die Ma├čnahmen nach ┬ž12 (Abwehr von Gefahren f├╝r die informationstechnischen Systeme im Freistaat Sachsen) und ┬ž13 (Datenspeicherung und Auswertung) in eigener Zust├Ąndigkeit aus├╝ben, unterrichten den Beauftragten f├╝r Informationssicherheit des Landes j├Ąhrlich in folgenden Punkten ├╝ber ihre T├Ątigkeit:

  • Ma├čnahmen zur Erhebung von Protokoll- und Inhaltsdaten im Zusammenhang mit der Abwehr von Gefahren
  • Anzahl der F├Ąlle zur Auswertung von Protokolldaten ├╝ber oder durch Personen
  • Anzahl der F├Ąlle zur Speicherung und Auswertung von Inhaltsdaten (Pflicht zur Anordnung und Dokumentation)
  • Anzahl der F├Ąlle der nicht automatisierten Verarbeitung von Protokoll- und Inhaltsdaten zur Best├Ątigung oder Widerlegung des Verdachts auf Gefahren f├╝r die informationstechnischen Systeme
  • Anzahl der durchgef├╝hrten, unterbliebenen sowie nachgeholten Benachrichtigungen der Betroffenen nach Schadereignissen (Einbeziehung Datenschutzbeauftragter, Dokumentation),
  • Anzahl von F├Ąllen der ├ťbermittlung verd├Ąchtiger Protokoll- und Inhaltsdaten an Strafverfolgungsbeh├Ârden, Polizei und Landesamt f├╝r Verfassungsschutz
  • den Umgang mit unzul├Ąssig erlangten Daten welche den Kernbereich privater Lebensgestaltung betreffen (Dokumentation der Tatsache der Erlangung und L├Âschung))
  • Anzahl von gemeldeten Informationen, Sicherheitsereignissen (Versuch) und Sicherheitsvorf├Ąllen (Schaden ist eingetreten)

Zur Unterrichtung ist das ausgef├╝llte Meldeformular bis zum 31.08. an bfis-land(at)sk.sachsen.de zu senden. Der Beauftragte berichtet zusammenfassend weiter an den Landtag und im "Jahresbericht Informationssicherheit".

Sicherheitsnotfallteam (Paragraph 6)

Das Sicherheitsnotfallteam SAX.CERT des Staatsbetrieb S├Ąchsische Informatik Dienste - SID unterst├╝tzt nicht-staatliche Stellen in technischen Sicherheitsfragen und wirkt bei der Koordinierung der Informationssicherheit mit.

Zur Unterst├╝tzung bietet das SAX.CERT auch f├╝r Kommunen kostenlose Dienstleistungen an:

  • HoneySens - Sicherheitsl├Âsung zur Erkennung von Hacker-Angriffen in internen Netzwerken
  • Vulnerability Advisory Service "dCERT" - tagesaktuelle Informationen zu Schwachstellen und Sicherheitsl├╝cken in IT-Systemen
  • Sicherheitsscans von Internetseiten
  • Identity Leak Checker - Betroffenheit von E-Mail-Adressen in Zusammenhang mit bekannt gewordenen Leaks

Die Inanspruchnahme dieser Dienstleistungen kann ├╝ber sax.cert(at)cert.sachsen.de angemeldet werden

Die staatlichen oder nicht-staatlichen Stellen im Freistaat Sachsen stellen dem Sicherheitsnotfallteam die Daten zu Sicherheitsl├╝cken, Schadprogrammen, erfolgten oder versuchten Angriffen ├╝ber ein Meldeformular zur Verf├╝gung.

Bei Gefahren kann das Sicherheitsnotfallteam Anordnungen gegen├╝ber KDN-Nutzern treffen oder Ma├čnahmen ergreifen.

Beauftragte f├╝r Informationssicherheit der nicht-staatlichen Stellen (Paragraph 8)

Nicht-staatliche Stellen sollen eine/n Beauftragte/n f├╝r Informationssicherheit - BfIS und eine/n Vertreter/in ernennen. Sie sind also grunds├Ątzlich dazu verpflichtet.
Rechte und Pflichten des/der Beauftragten regelt ┬ž7, Absatz 3.
Die SAKD stellt ein Muster zur Bestellung des/der BfIS zur Verf├╝gung.
Insbesondere kleine Verwaltungen sollten erw├Ągen, einen externen Dienstleister als BfIS zu ernennen, welcher ├╝ber die erforderlichen Kenntnisse verf├╝gt. Zur Kontaktaufnahme dient eine Liste der potentiellen Dienstleister. Erg├Ąnzend ist ein Dienstleistungsvertrag abzuschlie├čen (inhaltliche Formulierungsvorschl├Ąge).
Der Beauftragte f├╝r Informationssicherheit des Landes ist innerhalb eines Monats ├╝ber die Ernennung (Link zum Meldeformular BfIS) zu unterrichten.

Daten├╝bermittlung der nicht-staatlichen Stellen (Paragraph 11)

Absatz 1 regelt die M├Âglichkeiten der verwaltungs├╝bergreifenden Daten├╝bermittlung nach ┬ž 15 des S├Ąchsischen E-Government-Gesetzes und Absatz 3 den Durchgriff der Anforderungen der Netze des Bundes - NdB.

Abwehr von Gefahren f├╝r die informationstechnischen Systeme im Freistaat Sachsen (Paragraph 12)

Zur Erkennung und Abwehr von Gefahren d├╝rfen Protokoll- und Inhaltsdaten erhoben und automatisiert ausgewertet werden.
Das Sicherheitsnotfallteam ist zu unterst├╝tzen und dem Sicherheitsnotfallteam sind bestimmte Daten zur Verf├╝gung zu stellen.

Datenspeicherung und -auswertung (Paragraph 13)

Es werden Bestimmungen getroffen ├╝ber

  • die Zul├Ąssigkeit und Dauer der Speicherung von Daten,
  • die Art der Auswertung (automatisiert / nicht automatisiert),
  • den Ort der Speicherung (Gebiet der Europ├Ąischen Union),
  • die Pseudonymisierung und Wiederherstellung des Personenbezugs,
  • die Entscheidungsbefugnisse,
  • die Benachrichtigung der betroffenen Personen und
  • die Weitergabe an andere Beh├Ârden.

Sicherheitskonzept (Paragraph 14)

Ein Sicherheitskonzept muss erstellt sowie die Umsetzung aller darin vorgesehenen technischen und organisatorischen Ma├čnahmen vor Aufnahme der Datenverarbeitung aktenkundig gemacht werden.

Stellen├╝bergreifende Meldepflichten (Paragraph 15)

Informationen, die zur Abwehr von Gefahren f├╝r die informationstechnischen Systeme von Bedeutung sind, werden unverz├╝glich dem Sicherheitsnotfallteam zur Verf├╝gung gestellt (siehe auch ┬ž6, Absatz2, Satz2).

Meldepflichten der nicht-staatlichen Stellen (Paragraph 17)

F├╝r Kommunen, welche mit dem S├Ąchsischen Verwaltungsnetz oder dem Kommunalen Datennetz verbunden sind, m├╝ssen nach ┬ž16 Sicherheitsereignisse und Sicherheitsvorf├Ąlle an das Sicherheitsnotfallteam gemeldet werden

  • welche zu einer erheblichen Beeintr├Ąchtigung der Schutzziele gef├╝hrt haben oder
  • beh├Ârden├╝bergreifend zu einer erheblichen Beeintr├Ąchtigung der Schutzziele f├╝hren k├Ânnen.

Die Details regelm├Ą├čiger Meldungen bestimmt eine Rechtsverordnung.
Informationen zu dieser Rechtsverordnung werden, sobald verf├╝gbar, hier ver├Âffentlicht.