1. Informationssicherheit als öffentliche Aufgabe
Aufgrund dieser Gefährdungslage und weil die Sicherheit in der Informationstechnik eine wesentliche Voraussetzung für gelingendes E-Government ist, enthält das Bayerische E-Government-Gesetz auch diesbezügliche Pflichten für die Behörden.
Art. 11 Abs. 1 BayEGovG verpflichtet die Behörden (u.a. staatliche Behörden, Landratsämter und Gemeinden) dazu, die Sicherheit ihrer informationstechnischen Systeme im Rahmen der Verhältnismäßigkeit sicherzustellen. Die Gewährleistung der Informationssicherheit wird damit zugleich als öffentliche Aufgabe definiert. Im Rahmen der Prüfung der Verhältnismäßigkeit können insbesondere
gegeneinander abgewogen werden.
Unter dem Gesichtspunkt der Wirtschaftlichkeit kann auch die Leistungsfähigkeit der jeweiligen Behörde berücksichtigt werden, da diese nach wie vor in der Lage sein muss, ihre übrigen öffentlichen Aufgaben zu erfüllen.
2. Umzusetzende Maßnahmen/Informationssicherheitskonzepte
Die von den Behörden konkret umzusetzenden Maßnahmen ergeben sich aus Art. 11 Abs. 1 Satz 2 BayEGovG. Diese Vorschrift verpflichtet die Behörden dazu, angemessene technische und organisatorische Maßnahmen i. S. v. Art. 32 Datenschutz-Grundverordnung und Art. 32 BayDSG zu treffen und die hierzu erforderlichen Informationssicherheitskonzepte zu erstellen. Für die Umsetzung dieser Maßnahmen einschließlich der Erstellung des erforderlichen Informationssicherheitskonzepts hatte der Gesetzgeber eine Umsetzungsfrist vorgesehen; die entsprechenden Verpflichtungen sind nunmehr am 1.1.2020 in Kraft getreten (Art. 19 Abs. 2 Satz 2 Nr. 3 BayEGovG).
Die hiernach zu treffenden Maßnahmen müssen insbesondere geeignet sein, um
Notwendig ist ein systematisches Vorgehen, das unter Berücksichtigung vorhandener Schwachstellen und Risiken gewährleistet, dass die Aufgabe nach Art. 11 Abs. 1 Satz 1 BayEGovG erfüllt wird. Informationssicherheitskonzepte sind daher nicht nur zu „erstellen“ (wie der Wortlaut ggf. vermuten ließe), sondern müssen auch angewendet, regelmäßig überprüft und bei Bedarf fortgeschrieben werden (Denkhaus/Geiger, Praxishandbuch zum Bayerischen E-Government-Gesetz, Hüthig Jehle Rehm Verlag, 2017, S. 155 ff. m.w.N.).
Um die Kommunen bei der Erstellung dieses Informationssicherheitskonzepts zu unterstützen, hat die Innovationsstiftung Bayerische Kommune eine entsprechende Arbeitshilfe herausgegeben. Die Arbeitshilfe kann über die Internetseite der Innovationsstiftung kostenlos heruntergeladen werden (www.bay-innovationsstiftung.de/ → Projekte).
3. Förderrichtlinie zur Einführung eines Informationssicherheits-Managementsystems
Neben der Erstellung (und Fortschreibung) eines Informationssicherheitskonzepts, können die Verpflichtungen aus Art. 11 Abs. 1 BayEGovG auch durch Implementierung eines Informationssicherheits-Managementsystems (ISMS) erfüllt werden. Das Staatsministeriums des Innern, für Sport und Integration unterstützt die Kommunen finanziell bei der Einführung eines ISMS, das die Mindestanforderungen gemäß der jeweiligen Beschlusslage des IT-Planungsrates abdeckt sowie dessen Zertifizierung oder abschließende Prüfung der vollständigen Implementierung durch einen zugelassenen Auditor (Richtlinie zur Förderung der Informationssicherheit durch Implementierung eines Informationssicherheits-Managementsystems bei kommunalen Gebietskörperschaften vom 11.12.2018, AllMBl. S. 1229).
Förderfähig ist hiernach die Einführung des IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) und ISO/IEC 2700X. Die Förderung bezieht sich auch auf die Implementierung von ISIS12 als vom IT-Planungsrat als ausreichend anerkannte Basis, die aber auch für ein eventuell später gewünschtes Aufstocken zu BSI-Grundschutz oder ISO/IEC 2700X genutzt werden kann.
Der Zuschuss beträgt bis zu 50 % der zuwendungsfähigen Ausgaben, höchstens 15.000 €.
Die Förderrichtlinie ist am 1.1.2019 in Kraft getreten.
4. Zunehmende Bedrohung durch Ransomware
In den letzten Monaten hat sich insbesondere die Bedrohungslage durch sog. Ransomware deutlich verschärft, weshalb hierauf abschließend eingegangen wird. Als Ransomware werden Schadprogramme bezeichnet, die den Zugriff auf Daten und Systeme einschränken oder verhindern. Zum Teil werden diese Ressourcen nur gegen Zahlung eines Lösegeldes (englisch: „ransom“) wieder freigeben, in anderen Fällen werden Daten sogar gelöscht. Es handelt sich dabei um einen Angriff auf das Sicherheitsziel der Verfügbarkeit und eine Form digitaler Erpressung.
Grundsätzlich kann bei Ransomware zwischen zwei Varianten unterschieden werden:
In den meisten Fällen fordern die Täter ein Lösegeld, das in Form von Kryptowährungen zu zahlen ist. Nach Zahlung der geforderten Summe wird den Geschädigten die Übermittlung eines Freischaltcodes zugesagt, mit dem sie das blockierte System entsperren bzw. entschlüsseln und anschließend wieder nutzen können – wobei die Zahlung allerdings keinerlei Garantie für die Freigabe verschlüsselter Daten oder gesperrter Systeme bietet. Aus polizeilicher Sicht wird von entsprechenden Zahlungen abgeraten, da hierdurch das kriminelle Geschäftsmodell Ransomware unterstützt wird, Anreize zur weiteren Tatbegehung geschaffen werden und insbesondere die Zahlung keine Gewähr für die Wiederherstellung der verschlüsselten Daten darstellt.
Der allgemeine Ratschlag, regelmäßig Sicherheitskopien anzulegen, kann eine wirksame Ransomware-Prävention darstellen. Denn im Falle eines Angriffs können sich damit Datenbestände auch ohne Lösegeldzahlung rekonstruieren lassen.
Nähere Informationen sowie Hilfestellungen zum Thema Ransomware enthalten die nachfolgenden Veröffentlichungen des BSI:
Klaus Geiger, Referent für Finanzen, Organisation und digitale Verwaltung beim Bayerischen Landkreistag, München
Gerne können Sie auch unser Kontaktformular benutzen und wir melden uns bei Ihnen.
Kontaktformular