Verpflichtungen zur Umsetzung der Informationssicherheit in den Behörden seit 1.1.2020 in Kraft

1.  Informationssicherheit als öffentliche Aufgabe

Aufgrund dieser Gefährdungslage und weil die Sicherheit in der Informationstechnik eine wesentliche Voraussetzung für gelingendes E-Government ist, enthält das Bayerische E-Government-Gesetz auch diesbezügliche Pflichten für die Behörden.

Art. 11 Abs. 1 BayEGovG verpflichtet die Behörden (u.a. staatliche Behörden, Landratsämter und Gemeinden) dazu, die Sicherheit ihrer informationstechnischen Systeme im Rahmen der Verhältnismäßigkeit sicherzustellen. Die Gewährleistung der Informationssicherheit wird damit zugleich als öffentliche Aufgabe definiert. Im Rahmen der Prüfung der Verhältnismäßigkeit können insbesondere

• Art und Ausmaß des Risikos,
• die Wahrscheinlichkeit des Risikoeintritts und
• die Kosten der Risikovermeidung

gegeneinander abgewogen werden.

Unter dem Gesichtspunkt der Wirtschaftlichkeit kann auch die Leistungsfähigkeit der jeweiligen Behörde berücksichtigt werden, da diese nach wie vor in der Lage sein muss, ihre übrigen öffentlichen Aufgaben zu erfüllen.


2.  Umzusetzende Maßnahmen/Informationssicherheitskonzepte

Die von den Behörden konkret umzusetzenden Maßnahmen ergeben sich aus Art. 11 Abs. 1 Satz 2 BayEGovG. Diese Vorschrift verpflichtet die Behörden dazu, angemessene technische und organisatorische Maßnahmen i. S. v. Art. 32 Datenschutz-Grundverordnung und Art. 32 BayDSG zu treffen und die hierzu erforderlichen Informationssicherheitskonzepte zu erstellen. Für die Umsetzung dieser Maßnahmen einschließlich der Erstellung des erforderlichen Informationssicherheitskonzepts hatte der Gesetzgeber eine Umsetzungsfrist vorgesehen; die entsprechenden Verpflichtungen sind nunmehr am 1.1.2020 in Kraft getreten (Art. 19 Abs. 2 Satz 2 Nr. 3 BayEGovG).

Die hiernach zu treffenden Maßnahmen müssen insbesondere geeignet sein, um

• Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle),
  
  
• die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle),
  
  
• zu verhindern, dass
  
  - Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),
  
  - personenbezogene Daten unbefugt eingegeben werden sowie gespeicherte personenbezogene Daten unbefugt gelesen, verändert oder gelöscht werden (Speicherkontrolle),
  
  - automatisierte Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle),
  
  - bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle),
  
  

• zu gewährleisten, dass
  
  - die zur Benutzung eines automatisierten Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle),- überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),
  
  - nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in automatisierte Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),
  
  - eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellung),
  
  - alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),
  
  - gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),
  
  - personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Verantwortlichen verarbeitet werden können (Auftragskontrolle).

Notwendig ist ein systematisches Vorgehen, das unter Berücksichtigung vorhandener Schwachstellen und Risiken gewährleistet, dass die Aufgabe nach Art. 11 Abs. 1 Satz 1 BayEGovG erfüllt wird. Informationssicherheitskonzepte sind daher nicht nur zu „erstellen“ (wie der Wortlaut ggf. vermuten ließe), sondern müssen auch angewendet, regelmäßig überprüft und bei Bedarf fortgeschrieben werden (Denkhaus/Geiger, Praxishandbuch zum Bayerischen E-Government-Gesetz, Hüthig Jehle Rehm Verlag, 2017, S. 155 ff. m.w.N.).

Um die Kommunen bei der Erstellung dieses Informationssicherheitskonzepts zu unterstützen, hat die Innovationsstiftung Bayerische Kommune eine entsprechende Arbeitshilfe herausgegeben. Die Arbeitshilfe kann über die Internetseite der Innovationsstiftung kostenlos heruntergeladen werden (www.bay-innovationsstiftung.de/ → Projekte).


3.  Förderrichtlinie zur Einführung eines Informationssicherheits-Managementsystems

Neben der Erstellung (und Fortschreibung) eines Informationssicherheitskonzepts, können die Verpflichtungen aus Art. 11 Abs. 1 BayEGovG auch durch Implementierung eines Informationssicherheits-Managementsystems (ISMS) erfüllt werden. Das Staatsministeriums des Innern, für Sport und Integration unterstützt die Kommunen finanziell bei der Einführung eines ISMS, das die Mindestanforderungen gemäß der jeweiligen Beschlusslage des IT-Planungsrates abdeckt sowie dessen Zertifizierung oder abschließende Prüfung der vollständigen Implementierung durch einen zugelassenen Auditor (Richtlinie zur Förderung der Informationssicherheit durch Implementierung eines Informationssicherheits-Managementsystems bei kommunalen Gebietskörperschaften vom 11.12.2018, AllMBl. S. 1229).

Förderfähig ist hiernach die Einführung des IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) und ISO/IEC 2700X. Die Förderung bezieht sich auch auf die Implementierung von ISIS12 als vom IT-Planungsrat als ausreichend anerkannte Basis, die aber auch für ein eventuell später gewünschtes Aufstocken zu BSI-Grundschutz oder ISO/IEC 2700X genutzt werden kann.

Der Zuschuss beträgt bis zu 50 % der zuwendungsfähigen Ausgaben, höchstens 15.000 €.

Die Förderrichtlinie ist am 1.1.2019 in Kraft getreten.


4.  Zunehmende Bedrohung durch Ransomware

In den letzten Monaten hat sich insbesondere die Bedrohungslage durch sog. Ransomware deutlich verschärft, weshalb hierauf abschließend eingegangen wird. Als Ransomware werden Schadprogramme bezeichnet, die den Zugriff auf Daten und Systeme einschränken oder verhindern. Zum Teil werden diese Ressourcen nur gegen Zahlung eines Lösegeldes (englisch: „ransom“) wieder freigeben, in anderen Fällen werden Daten sogar gelöscht. Es handelt sich dabei um einen Angriff auf das Sicherheitsziel der Verfügbarkeit und eine Form digitaler Erpressung.

Grundsätzlich kann bei Ransomware zwischen zwei Varianten unterschieden werden:

• Ransomware, die keine Verschlüsselung der Festplatte durchführt, sondern durch eine Manipulation lediglich den Zugriff auf das System versperrt. Die wohl bekanntesten Ausprägungen sind Schadprogramme, bei denen bekannte Namen und Logos von Sicherheitsbehörden missbraucht werden, um der kriminellen Zahlungsaufforderung einen offiziellen Charakter zu verleihen.
  
  
• Sog. Krypto-Ransomware, die die Daten auf den infizierten Endsystemen und den mittels Netzwerk verbundenen Systemen (Server, Dateiablagen etc.) tatsächlich verschlüsselt. Diese Variante birgt für den Betroffenen ein weitaus größeres Schadenspotenzial, da die genutzten Verschlüsselungen nicht in allen Fällen überwunden werden können. Die Zahlung des geforderten Lösegelds führt darüber hinaus häufig nicht zur Entschlüsselung des infizierten Systems.

In den meisten Fällen fordern die Täter ein Lösegeld, das in Form von Kryptowährungen zu zahlen ist. Nach Zahlung der geforderten Summe wird den Geschädigten die Übermittlung eines Freischaltcodes zugesagt, mit dem sie das blockierte System entsperren bzw. entschlüsseln und anschließend wieder nutzen können – wobei die Zahlung allerdings keinerlei Garantie für die Freigabe verschlüsselter Daten oder gesperrter Systeme bietet. Aus polizeilicher Sicht wird von entsprechenden Zahlungen abgeraten, da hierdurch das kriminelle Geschäftsmodell Ransomware unterstützt wird, Anreize zur weiteren Tatbegehung geschaffen werden und insbesondere die Zahlung keine Gewähr für die Wiederherstellung der verschlüsselten Daten darstellt.

Der allgemeine Ratschlag, regelmäßig Sicherheitskopien anzulegen, kann eine wirksame Ransomware-Prävention darstellen. Denn im Falle eines Angriffs können sich damit Datenbestände auch ohne Lösegeldzahlung rekonstruieren lassen.

Nähere Informationen sowie Hilfestellungen zum Thema Ransomware enthalten die nachfolgenden Veröffentlichungen des BSI:

• Zusammenfassung „Neue Qualität aktueller Angriffe“:
  Dieses Dokument fasst in Kurzfassung Ausgangslage, Sachverhalt und Angriffstechniken im Bereich der Ransomware zusammen.
  
  
• Ransomware: Bedrohungslage, Prävention & Reaktion:
  Vor dem Hintergrund von IT-Sicherheitsvorfällen durch Verschlüsselungs-Trojaner beschreibt das Themenpapier die verschärfte Bedrohungslage durch Ransomware und stellt Angriffsvektoren und mögliche Schäden dar. Weitere Schwerpunkte des Papiers sind konkrete Empfehlungen und Hilfestellungen für die Prävention und die Reaktion im Schadensfall.
  
  
• Erste Hilfe bei einem schweren IT-Sicherheitsvorfall:
  Dieses Dokument dient als Notfalldokument für IT-Sicherheitsbeauftrage, CISOs und Systemadministratoren für den Fall eines schweren IT-Sicherheitsvorfalls. Dies kann etwa die Infektion von einer Reihe an Systemen mit einer fortschrittlichen Schadsoftware wie Emotet oder Trickbot oder eine bereits durchgeführte Verschlüsselung mit Ransomware sein. Im Schwerpunkt geht dieses Papier auf die Kombination fortschrittlicher Schadsoftware und Ransomware ein, welche ein gesamtes Netz übernehmen und verschlüsseln kann.

Klaus Geiger, Referent für Finanzen, Organisation und digitale Verwaltung beim Bayerischen Landkreistag, München