7. Informationssicherheit und Datenschutz

Der Freistaat Sachsen hat mit der Verwaltungsvorschrift Informationssicherheit (VwV IS) bereits Ende des Jahres 2011 die Grundlagen für die Initiierung und Etablierung eines ganzheitlichen Informationssicherheitsmanagements gelegt. Die VwV IS legt Grundsätze und Ziele der Informationssicherheit, Verantwortlichkeiten, Rollen und die Informationssicherheitsorganisation fest. Hervorzuheben ist, dass die Standards und Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für die Verwaltung des Freistaates Sachsen maßgeblich sind. Zudem wird geregelt, dass die Sicherheit der IT höher gewichtet wird als deren Verfügbarkeit. Auf dieser Basis werden derzeit die kontinuierlichen Prozesse, die das Informationssicherheitsmanagement erfordern, übergreifend in den Verwaltungen des Freistaates Sachsen etabliert.

Strategisches Ziel:

»Die Informationssicherheit wird weiter ausgebaut, indem kurzfristig u.a. Informationssicherheitsmanagementteams in den Ressorts eingerichtet, Meldewege für Verletzungen der Informationssicherheit verlässlich etabliert und das Sicherheitsnotfallteam (CERT) zur zentralen Einrichtung für alle Fragen der operativen Informationssicherheit entwickelt werden.«

In diesem Sinne hat der IT-Planungsrat am 8. März 2013 die »Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung« als gemeinsame Basis für die Informationssicherheit beschlossen. Das für Bund und Länder verbindliche Vorgehen ruht auf fünf Säulen:

• Umsetzung von Mindestanforderungen an das Informationssicherheitsmanagement,
• Absicherung der Netzinfrastrukturen,
• Einheitliche Sicherheitsstandards für ebenenübergreifende IT-Verfahren,
• Gemeinsame Abwehr von IT-Angriffen (u. a. Etablierung eines CERT-Verbunds) und
• Standardisierung und Produktsicherheit.

Darüber hinaus wird die Europäische Kommission Maßnahmen zur Stärkung der Netz- und Informationssicherheit sowie zur Bekämpfung von IT-Angriffen durchführen. Vorgeschlagen sind u. a.:

• die Errichtung eines Netzes von nationalen CERT-Teams, das ganz Europa abdeckt,
• die Simulation großmaßstäblicher IT-Angriffe und
• die Einrichtung oder Anpassung nationaler Meldesysteme, die an die Europol-Plattform für die Meldung von Cyberkriminalität angeschlossen sind.

Eine intensive Begleitung dieser und weiterer Aktivitäten der Verwaltungen im föderalen Kontext Deutschlands und im europäischen Kontext wird zur Stärkung der Informationssicherheit in der Verwaltung des Freistaates Sachsen beitragen. Sachsen wird sich daran aktiv beteiligen.

Ein weiterer übergreifender Aspekt der Informationssicherheit von hoher strategischer Bedeutung ist die Zusammenarbeit der Verwaltung mit den anderen Institutionen und Einrichtungen, die zu den kritischen Infrastrukturen (KRITIS) gezählt werden. Basierend auf der hohen Bedeutung der IT für die Daseinsvorsorge werden in den nächsten Jahren geeignete Rahmenbedingungen und gemeinsame Maßnahmen zur übergreifenden Förderung der Informationssicherheit abgestimmt und etabliert werden. Erwartung an das Informationssicherheitsmanagement in der Verwaltung des Freistaates Sachsen ist, dass diese Entwicklungen beobachtet und daraufhin geprüft werden, ob eine aktive Mitwirkung angezeigt ist. Ein Beispiel ist die Verknüpfung der Informationssicherheitsteams.

Zudem wird es im Ergebnis der »Länderübergreifenden Krisenmanagementübung 2011 (LÜKEX 11)« für erforderlich gehalten, dass das IT-Krisenmanagement zur Bewältigung einer Gesamtlage in die allgemeinen Krisenmanagementstrukturen integriert wird. Mit der ständigen Einbindung des Leiters des CERT Sachsen als Fachberater wurde dies für den Freistaat Sachsen aufgegriffen und der notwendige Sachverstand im Verwaltungsstab bereits verankert.

Die zunehmende Digitalisierung aller Lebensbereiche und die über Ländergrenzen hinweg vernetzte digitale Kommunikation vergrößern die Risiken für den Schutz des Rechts auf informationelle Selbstbestimmung erheblich und verleihen der Frage nach den Instrumentarien für diesen Schutz einen neuen Stellenwert. Sicherheit wird nur zu erreichen sein, wenn alle, die in dieser Frage Verantwortung tragen, sich dieser auch konsequent stellen. Das sind nicht zuletzt auch die Bürger selbst, die ihre Eigenverantwortung erkennen und wahrnehmen müssen.

In Zeiten, in denen die Datenströme Grenzen überschreiten und die Risiken für das Recht auf informationelle Selbstbestimmung vom Bürger allein oft kaum im Detail wahrgenommen und ausgeschlossen werden können, erwächst aus dem Recht auf informationelle Selbstbestimmung eine Schutzpflicht des Staates. Der Freistaat Sachsen nimmt auch im Rahmen des Einsatzes der IT in der Verwaltung seine Verantwortung für die Gewährleistung des Rechts auf informationelle Selbstbestimmung wahr.

Die hierfür notwendigen Rechtsgrundlagen werden weiter entwickelt. Sie werden die Pflicht, den Bürgern eine sichere elektronische Kommunikation anzubieten, ebenso beinhalten wie die Pflicht, Datenschutz- und Informationssicherheitskonzepte für IT-Verfahren und IT-Infrastruktur der Verwaltung zu erstellen, die die im konkreten Fall angemessenen technischen und organisatorischen Maßnahmen beinhalten.-

Der Freistaat Sachsen wird dafür Sorge tragen, dass diese Pflichten erfüllt werden. Wichtige bereits bestehende technische Voraussetzungen für sichere Kommunikation sind das Sächsische Verwaltungsnetz (SVN), eine exklusive nicht in öffentliche Netze integrierte Infrastruktur, und die Funktionalität der zentral zur Verfügung gestellten Basiskomponente Elektronische Signatur und Verschlüsselung. Diese Infrastruktur wird weiter entwickelt und unter Berücksichtigung der Belange des Datenschutzes ergänzt.

Ein wirksamer Datenschutz setzt voraus, dass Informationssicherheit gewährleistet wird. Alle Anstrengungen, auf diesem Weg weiter voranzukommen, dienen auch der Sicherung des Rechts auf informationelle Selbstbestimmung der Bürger, deren Daten in den IT-Systemen der Verwaltung gespeichert und übertragen werden.

Informationssicherheit ist eine Aufgabe, die alle Mitarbeiter erfüllen müssen, die mit Daten – in elektronischer oder anderer Form – in Berührung kommen. Strategischer Anspruch für den Freistaat Sachsen ist, dass jeder Mitarbeiter die Gewährleistung von Informationssicherheit und des Datenschutzes als Teil verantwortungsvollen Verwaltungshandelns akzeptiert. Informationssicherheit ist als integraler Bestandteil des Arbeitsalltags zu verstehen und nicht als Erweiterung, die über das vermeintlich Notwendige hinausgeht.

Dafür müssen alle Mitarbeiter im erforderlichen Umfang bezüglich der Informationssicherheit und des Datenschutzes sensibilisiert und qualifiziert werden. Hierzu sind angesichts der in der VwV IS festgelegten Verantwortlichkeiten und Rollen jeder Mitarbeiter selbst, aber auch die Behördenleitungen in besonderer Weise gefordert. Dabei kann eine Vielzahl an Maßnahmen zentral in der Informationssicherheitsorganisation initiiert und koordiniert werden.

Strategisches Ziel:

»Kurzfristig wird ein Maßnahmenkatalog zur Sensibilisierung und Qualifizierung der Mitarbeiter zur Informationssicherheit und zum Datenschutz konzipiert und ressortübergreifend abgestimmt. Dabei soll jene Maßnahmen besondere Beachtung geschenkt werden, die geeignet sind, alle Mitarbeiter des Freistaates Sachsen zu erreichen. Mittelfristig wird eine Evaluierung durchgeführt und der Maßnahmenkatalog fortgeschrieben.«

Der Maßnahmenkatalog soll einen ressortübergreifenden Grundbestand an Maßnahmen, aber auch Empfehlungen oder Anknüpfungspunkte für bereichsspezifische Maßnahmen enthalten. Je Maßnahme sind zentral und dezentral verantworteten Aktivitäten anzugeben und es ist zur haushälterischen Absicherung auszuführen. Bei der Umsetzung des strategischen Ziels soll der Nutzung von E-Learning in Verbindung mit einem Abschlusszertifikat, das an den Bundes-Informationssicherheits-Schein (BISS) angelehnt ist, eine zentrale Rolle zukommen. Die gezielte interne Öffentlichkeitsarbeit, bspw. in Form eines Newsletters, und der Einsatz von Multiplikatoren sollen geprüft werden. Eine intensive Kooperation mit dem Sächsischen Datenschutzbeauftragten ist anzustreben.

Zudem ist mit dem strategischen Ziel die Erwartung verknüpft, dass sich die Maßnahmen nicht nur auf die korrekte und verantwortungsbewusste Nutzung der IT und der Daten beziehen. Vielmehr soll sich die Qualifikation und Sensibilisierung der Mitarbeiter auch beziehen auf:

• die Gestaltung der Organisation und von Arbeitsabläufen,
• die Schaffung und Besetzung von Rollen,
• die Führung von Mitarbeitern,
• die Zusammenarbeit mit anderen Behörden und Externen und
• die Auswahl und den Einsatz von Hilfsmitteln.

Zuletzt ist explizit hervorzuheben, dass auch die Leitungsebene Adressat der Qualifikations- und Sensibilisierungsmaßnahmen zur Informationssicherheit und zum Datenschutz ist.