Informationssicherheit als Herausforderung für die Behörden in Bayern – das neue Landesamt für Sicherheit in der Informationstechnik

Aufgrund des weiter gestiegenen Stellenwerts hat sich der Freistaat entschlossen, zur effektiven Gewährleistung von Informationssicherheit ein eigenes Landesamt für Sicherheit in der Informationstechnik (LSI) mit erweiterten Aufgaben und Befugnissen mit Hauptsitz in Nürnberg einzurichten. Das LSI übernimmt dabei auch die bisherigen Aufgaben des Bayern-CERT.

Die Informationssicherheit soll mit dem Gesetz zur Einrichtung des Landesamts für Sicherheit in der Informationstechnik (LSI-Gesetz, LT-Drs. 17/17726) in einem neuen Teil 2 des BayEGovG in den neuen bzw. neu gefassten Art. 9 bis 17 BayEGovG-Entwurf deutlich umfassender und detaillierter geregelt werden. Die derzeitigen gesetzlichen Regelungen in Art. 8 BayEGovG sollen dabei weitgehend unverändert übernommen werden, zugleich aber durch weitere und zusätzliche Regelungen, insbesondere auch zum Datenschutz (Art. 16 und 17 BayEGovG-Entwurf) ergänzt werden.

1. Die Aufgaben des LSI

Art. 10 BayEGovG-Entwurf regelt als Aufgaben des LSI, insbesondere die

• Abwehr von Gefahren für die Sicherheit in der Informationstechnik im Bayerischen Behördennetz (Abs. 1 und Abs. 4)
• Das LSI fungiert bei der Gefahrenabwehr für kritische Infrastrukturen auch Kontaktstelle für den Informationsaustausch mit dem Bundesamt für Sicherheit in der Informationstechnik (= BSI gem. § 8 b BSI-Gesetz).
• Unterstützung und Beratung von staatlichen und kommunalen Stellen, öffentlichen Unternehmen und Betreibern kritischer Infrastrukturen bei Fragen der Sicherheit in der Informationstechnik(Abs. 2)
• Unterstützung und Beratung von Polizei, Strafverfolgungsbehörden und Verfassungsschutz bei technischen Untersuchungen (Abs. 3)

2. Die Befugnisse des LSI

Die Art. 12 bis 15 BayEGovG-Entwurf regeln die zugehörigen Befugnisse des LSI.

Abbildung: Befugnisse des LSI

Die Befugnisse des LSI sollen umfassen,

• Befugnisse zur Abwehr von Gefahren, etwa durch Schadprogramme oder Sicherheitslücken oder unbefugte Datennutzung. Das LSI soll zur Gefahrenabwehr insbesondere Protokolldaten erheben und automatisiert auswerten dürfen, die an den Schnittstellen von Behördennetz und anderen Netzen anfallen nach Maßgabe von Art. 12 BayEGovG-Entwurf (derzeit Art 8 Abs. 2 Satz 2 BayEGovG)
• Befugnis zur Untersuchung der Sicherheit der Informationstechnik im Bayerischen Behördennetz (nur staatliche Behörden) sowie zur Sicherheit von am Markt angebotenen IT-Produkten (Art. 13 BayEGovG-Entwurf).
• Befugnis zur Festlegung von Mindeststandards in der Informationssicherheit für staatliche Behörden nach Maßgabe von Art. 14 BayEGovG-Entwurf. Die Mindeststandards können für staatliche Behörden durch Verwaltungsvorschriften der zuständigen Staatsministerien verbindlich vorgegeben werden. Für Landratsämter und die an das Behördennetz angeschlossenen nicht staatlichen Stellen sollen weiterhin die Mindeststandards für die Teilnahme am Behördennetz maßgeblich sein.
• Befugnis zu Warnungen und Empfehlungen im Falle von Gefahren für die Sicherheit der Informationstechnik nach Maßgabe von Art. 15 BayEGovG-Entwurf (derzeit Art. 8 Abs. 2 Satz 4 BayEGovG)

3. Unterstützung des LSI durch Behörden im Behördennetz

Das LSI wird bei der Erfüllung seiner Kernaufgaben im Bayerischen Behördennetz auf die Zusammenarbeit mit den an das Behördennetz angeschlossenen Behörden angewiesen sein. Daher sehen Art. 11 Abs. 2 und Abs. 3 BayEGovG-Entwurf (derzeit Art. 8 Abs. 2 Satz 3 BayEGovG) bestimmte Unterstützungspflichten der am Behördennetz angeschlossenen Stellen vor.

Die an das Behördennetz angeschlossenen Stellen

• sollen dem LSI gem. Art. 11 Abs. 2 BayEGovG-Entwurf sicherheitsrelevante Vorfälle melden und
• das LSI gem. Art. 11 Abs. 3 BayEGovG-Entwurf auch im Übrigen bei seinen Aufgaben nach Art. 10 Abs. 1 Nr. 1, 2, 4 und 5 BayEGovG-Entwurf unterstützen, soweit keine gesetzlichen Vorschriften (z.B. Datenschutz) entgegenstehen.

4. Datenschutz im Bereich der Informationssicherheit

Mit den vorgesehenen erweiterten Aufgaben und Befugnisse des neuen LSI sollen auch die datenschutzrechtlichen Regelungen weiter und präziser gefasst werden (derzeit Art. 8 Abs. 2 Satz 5 BayEGovG). Der Datenschutz soll künftig seine Grundlage in den Art. 16 und 17 BayEGovG-Entwurf finden.

Art. 16 BayEGovG-Entwurf enthält Regelungen zur Datenspeicherung und -auswertung, insbesondere für Protokolldaten im Sinne des Art 12 Abs. 2 BayEGovG-Entwurf, die grundsätzlich maximal für drei Monate gespeichert werden dürfen (Art. 16 Abs. 2 BayEGovG-Entwurf). Die maximale Speicherdauer für Inhaltsdaten soll sich sogar auf zwei Monate reduzieren (Art. 16 Abs. 3 BayEGovG-Entwurf). Eine längere Speicherung soll nur unter strengen Voraussetzungen zulässig sein (Abs. 4). Daten, die den Kernbereich der privaten Lebensgestaltung betreffen, sollen – soweit technisch möglich – überhaupt nicht erhoben werden (Abs. 5).

Art. 17 Abs. 1 BayEGovG-Entwurf soll entsprechend auch die Datenübermittlung an Dritte auf Fälle begrenzen, in denen dies zur Abwehr von Gefahren für die Sicherheit in der Informationstechnik erforderlich ist. Art 17 Abs. 2 BayEGovG-Entwurf enthält einen Katalog von Tatbeständen, in denen eine unverzügliche Datenübermittlung vom LSI an Sicherheits- und Strafverfolgungsbehörden bei erheblichen Gefahren bzw. bei schweren Straftaten erfolgen soll. 

5. Fazit

Mit dem neuen Landesamt für Sicherheit in der Informationstechnik reagiert der Freistaat auf die gestiegene Bedrohungslage für die informationstechnischen Systeme (auch) der Behörden. Bei der Bewältigung der damit verbundenen Herausforderungen sind die einzelnen Behörden auf Unterstützung angewiesen. Dezentrale Maßnahmen vor Ort reichen alleine nicht aus. Es ist daher richtig, wenn der Freistaat die Kompetenzen im Bereich der Informationssicherheit in einer zentralen Behörde bündelt und seine Beratungs- und Unterstützungsangebote für die staatlichen Behörden und die Kommunen weiter ausbaut. Durch das Ineinandergreifen von zentralen und dezentralen Maßnahmen kann das Informationssicherheitsniveau nachhaltig verbessert werden.