Informationssicherheit in den Kommunen
Aktuelles
Online-Sprechstunde des SAX.CERT
Nach der erfolgreichen Roadshow Kommunen des BSI in Zusammenarbeit mit der Sächsischen Staatskanzlei wird ab dem 7. Oktober 2022 jeden ersten Freitag im Monat um 10 Uhr eine Online-Sprechstunde des SAX.CERT zu Themen der IT-Sicherheit für die Kommunen angeboten, die dazu dienen soll aktuelle Themen und Services des SAX.CERT genauer zu erläutern als auch Fragen und Bedarfe aus den Kommunen aufzunehmen. Wenn Sie an der Sprechstunde als kommunaler Vertreter teilnehmen möchten, wenden Sie sich bitte direkt an SAX.CERT@cert.sachsen.de
Pflichten und Unterstützungsleistungen
Die Kommunen und andere als nicht-staatliche Stellen bezeichneten Körperschaften sind mit dem Inkrafttreten des Sächsischen Informationssicherheitsgesetzes noch enger mit der staatlichen Informationssicherheitsorganisation verwoben. Das bringt für die Kommunen neue Pflichten mit sich, aber auch die Möglichkeit von zahlreichen Unterstützungsleistungen des Freistaates Sachsen zu profitieren.
Ernennung eines Beauftragten
Der erste Schritt für jede Kommune besteht darin, einen Beauftragten für Informationssicherheit zu ernennen und diesen beim Beauftragten für Informationssicherheit des Landes (BfIS Land) zu melden. Mit dieser Meldung wird die Kommune automatisch Teil des IT-Sicherheitsnetzwerkes und erhält fortan z.B. Warnmeldungen des SAX.CERT bei kritischen Sicherheitsereignissen (Beispiel).
Etablierung eines Informationssicherheits-Management-Systems (ISMS)
Den sächsischen Kommunen wird die Einführung eines Informations-Sicherheits-Management-Systems (ISMS) anhand der IT-Grundschutzmethodik des Bundesamtes für Sicherheit in der Informationstechnik (BSI) empfohlen. Die Verwendung einer etablierten Methodik sichert die getätigten Investitionen nachhaltig, erleichtert die Zusammenarbeit mit anderen Akteuren und das Ergebnis ist zertifizierbar.
Die BSI-Methodik verfolgt dabei einen ganzheitlichen Ansatz indem sie neben technischen Aspekten auch infrastrukturelle, organisatorische und personelle Themen einbezieht. Sie wird durch das BSI laufend an den Stand der Technik angepasst und steht in Verbindung mit zahlreichen unterstützenden Informationen kostenlos zur Verfügung.
Die geplanten technischen und organisatorischen Maßnahmen zur Verbesserung der Informationssicherheit sollten in einem Konzept dargelegt werden. Zum Aufbau eines ISMS und der Erstellung eines Informationssicherheitskonzepts veröffentlicht die SAKD auf Ihrer Homepage unterstützende Informationen.
Sicherheitsleistungen des SAX.CERT
Zudem können Kommunen folgende Sicherheitsdienstleistungen des SAX.CERT abonnieren:
Als Nutzer des Dienstes Identity Leak Checker wird jeder Abonnent durch das das SAX.CERT informiert, wenn E-Mail-Adressen der eigenen Domain von Leaks betroffen sind. Die dahinterliegende Datenbank wird ständig durch automatische Suchläufe im Internet und die manuelle Einarbeitung neuer Daten gepflegt.
Jeder Abonnent erhält hier eine tägliche Zusammenstellung von Schwachstellen, wobei jeder Abonnent im Vorfeld die einzelnen Softwareprodukte selbst auswählen kann, wofür er benachrichtigt werden möchte. Bei neuen Schwachstellen erhält der Nutzer dann eine individuelle Warnmeldung im Namen des SAX.CERT per E-Mail. Werden keine Produkte ausgewählt, erhält der Nutzer alle neuen Schwachstellenmeldungen. Die Auswahl der Produkte kann jederzeit angepasst werden.
Die Grundidee beim Einsatz der Sicherheitslösung HoneySens ist es, passive Sensoren innerhalb der einzelnen Teilnetzwerke einer IT-Landschaft zu platzieren, die unerwünschten Datenverkehr im Netzwerk erkennen und solche Sicherheitsereignisse an eine zentrale Serverinstanz melden können. Der Fokus liegt dabei auf der Erkennung sicherheitsrelevanter Fehlkonfigurationen im Netzwerk sowie interner Angriffe durch unberechtigte Dritte. Für eine vollständige Beschreibung der Funktionalitäten stellt das SAX.CERT auf Anfrage eine Dokumentation zur Verfügung.
Abonnenten können bei diesem Dienst über ein Info-Portal des SAX.CERT die Scanergebnisse von gemeldeten Webseiten und Diensten in ihrem Verantwortungsbereich sowie Handlungsempfehlungen einsehen. Das SAX.CERT führt monatlich mindestens zwei Sicherheitsscans aller bekannten Webseiten und Dienste durch. Dabei werden Sicherheitsmerkmale des verwendeten HTTPS-Protokolls (u.a. Anfälligkeit für SSL-/TLS-Schwachstellen, verwendete Versionen) geprüft und die eingesetzte Dienste-Software inklusive Versionsnummer erfasst. Die Scans erfolgen ohne Anmeldedaten oder aggressive Scantechniken, vor der Durchführung werden alle hinterlegten Ansprechpartner/-innen benachrichtigt. Anhand der Scanergebnisse werden die Webseiten klassifiziert, bei kritischen Schwachstellen werden die jeweiligen Ansprechpartner/-innen informiert.
Einer der wichtigsten Sicherheitsaspekte einer IT-Landschaft sind Passwörter! Jeden Benutzer stören Passwortwechsel und immer wieder steht dabei die Frage im Raum "Habe ich eigentlich ein sicheres Passwort?". Genau diese Frage soll der Passwortchecker beantworten. Er berechnet aus einem eingegeben Passwort einen Gesamtpunktewert, welcher die Passwortstärke messbar darstellt. Als sicher angenommen wird ein Passwort, welches mindestens 100 Punkte erreicht. Hier hat jeder selbst die Möglichkeit die Sicherheit des SVN/KDN, oder die ihrer eigenen IT-Umgebung, mittels einer guten Passwortstärke mitzugestalten.
Sicherheitsereignisse melden
Neben der Möglichkeit die eben genannten staatlichen Unterstützungsleistungen in Anspruch zu nehmen, haben die Kommunen in Sachsen jedoch auch Pflichten zu erfüllen. Dazu gehört vor allem die Pflicht, Sicherheitsereignisse in der eigenen Behörde an das SAX.CERT mittels Formular zu melden.
IT-Abwehrsysteme lösen Berichtspflicht aus
Betreibt die Kommune für ihre IT bestimmte Abwehrsysteme (z.B. IDS, SIEM) sind manche Datenerfassungen jährlich gegenüber dem BfIS Land berichtspflichtig (s. Erläuterung pdf). Bitte verwenden Sie hierzu folgendes:
Mitarbeiter sensibilisieren und schulen
Die Sächsische Staatskanzlei bietet den Mitarbeiterinnen und Mitarbeitern von Kommunen die Teilnahme am E-Learning „Informationssicherheit am Arbeitsplatz“ an. Mit dem Online-Lernangebot kann sich jeder Bedienstete selbstständig zum sicheren Umgang mit Informationstechnik fortbilden. Die Anforderung von Werbematerialien und weitere Fragen zur Einführung des Lernangebots in Ihrer Behörde können Sie richten an: infosic@sk.sachsen.de
Kommunales Datennetz KDN III
Das KDN III ist ein in Richtung offenes Internet abgesichertes Netz. Daher kann die Kommunikation innerhalb dieses Netzes als relativ sicher angesehen werden. Der kommunale Netzverbund bietet den Teilnehmern viele sinnvolle zusätzliche Dienste. Von den vorgelagerten Schutzsystemen profitieren alle Nutzer des KDN und erhöhen so die IT-Sicherheit erheblich. Weitere Informationen erhalten Sie unter https://kdn-gmbh.de/
Online-Zugangsgesetz (OZG)
Das OZG verpflichtet Bund, Länder und Kommunen, ihre „Verwaltungsleistungen auch elektronisch über Verwaltungsportale anzubieten“. Von den im OZG-Leistungskatalog aus Sicht des Bundesministeriums des Innern und für Heimat (BMI) erfassten und aufgrund regionaler Besonderheiten hinzukommenden Leistungen sind durch sächsische Kommunen ca. 540 Leistungen entsprechend elektronisch abzubilden. Die SAKD geht in diesem Zusammenhang auf ihrer Homepage auf Belange der Informationssicherheit ein und berichtet über den aktuellen Umsetzungsstand.
