Informations- und Cybersicherheit in Sachsen
Transcrição
Informations- und Cybersicherheit in Sachsen
Informations- und Cybersicherheit in Sachsen Jahresbericht des Beauftragten für Informationssicherheit des Landes 2014/2015 Inhaltsverzeichnis Vorwort .............................................................................................................................................................................................. 1 1. Begriffsdefinition Informationssicherheit / Cybersicherheit ........................................................................................................ 4 2. 2.1. 2.2. 2.3. 2.4. 2.5. Bedrohungslage ............................................................................................................................................................................... 6 Weltweit.............................................................................................................................................................................................................................. 7 Industrie 4.0 und Internet der Dinge ...........................................................................................................................................................................8 Deutschland ....................................................................................................................................................................................................................... 8 Sachsen............................................................................................................................................................................................................................. 10 SVN ............................................................................................................................................................................................................................... 11 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung......................................................................................... 12 3.1. Organisatorische Strukturen der Informationssicherheit................................................................................................................................... 13 3.1.1. AG Informationssicherheit ............................................................................................................................................................................ 13 3.1.2. AK IT und E-Government ............................................................................................................................................................................... 14 3.1.3. IT Kooperationsrat............................................................................................................................................................................................ 14 3.1.4. AK SVN................................................................................................................................................................................................................ 15 3.1.5. IT-Planungsrat................................................................................................................................................................................................... 15 3.1.6. AG Informationssicherheit des IT-Planungsrats...................................................................................................................................... 15 3.2. Gremienbeschlüsse zur Informationssicherheit in der sächsischen Landesverwaltung............................................................................ 16 3.2.1. Erhöhung der Sicherheit der Internetseiten der Landesverwaltung.................................................................................................. 16 3.2.2. Ressortübergreifendes Meldeverfahren..................................................................................................................................................... 17 3.3. Technische Projekte für mehr Informationssicherheit ........................................................................................................................................ 18 3.3.1. HoneySens.......................................................................................................................................................................................................... 18 3.3.2. Identity-Leak-Checker.................................................................................................................................................................................... 20 3.3.3. APT-Erkennung ................................................................................................................................................................................................. 21 3.3.4. DDoS-Protection .............................................................................................................................................................................................. 21 3.4. Stand der Informationssicherheit in den Kommunen ......................................................................................................................................... 22 3.4.1. Leitlinien- und Informationssicherheits-Management-Prozesse....................................................................................................... 22 3.4.2. Informationssicherheit in der IT-Service-Beratung ............................................................................................................................... 23 3.4.3. Erfahrungsaustausch und Kommunikation............................................................................................................................................... 23 3.4.4. Informationssicherheit und Datenschutz.................................................................................................................................................. 24 3.4.5. Das KDN als sicheres Netz............................................................................................................................................................................. 24 3.4.6. CERT-Leistungen für Kommunen................................................................................................................................................................. 24 3.4.7. Sicherheitstests ................................................................................................................................................................................................ 25 4. Informations- und Cybersicherheit durch Sensibilisierungsmaßnahmen.................................................................................. 26 4.1. Ist-Stand Handlungsbedarf für Sensibilisierungsmaßnahmen......................................................................................................................... 27 4.1.1. Bisherige Maßnahmen des Beauftragten für Informationssicherheit ............................................................................................... 27 4.1.2. Maßnahmen weiterer Akteure ..................................................................................................................................................................... 29 4.1.3. Ergebnisse von repräsentativen Umfragen zu den Themen Informationssicherheit und Cybersicherheit............................ 32 4.2. Maßnahmen: Sensibilisierung und Kompetenzvermittlung .............................................................................................................................. 34 4.2.1. Projekt: E-Learning.......................................................................................................................................................................................... 34 4.2.2. Informations- und Netzwerkveranstaltungen im Rahmen des Cyber Security Month der EU.................................................. 35 5. Cybersicherheit für Bürger und Wirtschaft ................................................................................................................................. 36 6. Zusammenfassung und Ausblick .................................................................................................................................................. 39 Abkürzungsverzeichnis................................................................................................................................................................................................. 41 Vorwort So wie das Internet aus dem Leben der Bürger nicht mehr wegzudenken ist, setzt auch die Verwaltung IT-basierte Lösungen ein, um Vorgänge effektiv und schnell zu bearbeiten. Zudem stellen die Behörden im Freistaat Sachsen den Bürgern zunehmend elektronische Angebote im Internet zur Verfügung. Die neuen Kommunikations- und Datenwege haben viele Vorteile, bergen aber auch Risiken in sich, denn die digitale Technik ist vor Missbrauch nicht einhundertprozentig zu schützen. Daher bedarf es fortwährender Anstrengungen in der Landesverwaltung, Daten und Kommunikationswege so hinreichend zu schützen, dass sie den potenziellen und sich immer weiter entwickelnden Angriffen von außen z.B. durch Hacker Stand halten. Der Freistaat Sachsen ist hierbei gut aufgestellt und verfügt über eine schlagkräftige CIO-Organisation, die zusammen mit weiteren Gremien wie der ressortübergreifenden Arbeitsgruppe Informationssicherheit Maßnahmen zur IT-Sicherheit beständig ausbaut und weiter entwickelt. Dem Beauftragten für Informationssicherheit des Landes obliegt hierbei die verantwortungsvolle Aufgabe, die Entwicklung der ITSicherheit in der Landesverwaltung strategisch zu steuern und hierbei immer wieder neuen technischen Lösungen zur Einführung zu verhelfen, die dem Schutz der Informationssicherheit dienen. Die Zusammenarbeit zwischen Gremien und Ressorts und das gemeinsame Erarbeiten von Sicherheitslösungen funktioniert auch deshalb so gut, weil der Freistaat frühzeitig die Bedeutung der Informationssicherheit auch gesetzlich verankert hat, und zwar in der Verwaltungsvorschrift Informationssicherheit im September 2011 und schließlich im Sächsischen E-Government-Gesetz, das im August 2014 in Kraft getreten ist. Auch auf Bundesebene erfährt das Thema Informationssicherheit eine große Beachtung: Im März 2013 hat der IT-Planungsrat die Leitlinie „Informationssicherheit für die öffentliche Verwaltung“ verabschiedet und damit zwischen Bund und Ländern auch ein verbindliches Mindestsicherheitsniveau der IT-gestützten Ebenen übergreifenden Zusammenarbeit in der Verwaltung vereinbart. Der vorliegende Jahresbericht des Beauftragten für Informationssicherheit des Landes zeigt, mit welchen Strukturen und Maßnahmen die IT des Freistaates Sachsen gegen Angriffe von außen gehärtet werden und welche Anstrengungen darüber hinaus unternommen wurden, die Online-Kommunikation mit Bürgern und Unternehmen bestmöglich zu sichern. All die Beispiele und Maßnahmen zeigen dabei deutlich: Informationssicherheit genießt in Sachsen hohe Priorität. Dr. Michael Wilhelm Staatssekretär und CIO des Freistaates Sachsen Vorwort | 1 Einführung: Informationssicherheit in Sachsen War vor dreißig Jahren der Begriff „Informationstechnik“ noch etwas für Spezialisten, so ist er mittlerweile Bestandteil unseres täglichen Lebens geworden. Dies spiegelt sich zum einen in den allgegenwärtigen Smartphones, Laptops und PCs, zum anderen aber auch vielfach unsichtbar in Produkten für das tägliche Lebens wider. So bilden heute die IT-Komponenten in einem normalen Fahrzeug der gehobenen Mittelklasse die Komplexität eines kleineren Rechenzentrums der 80er Jahre ab. All diese technischen Geräte kommunizieren mit- und untereinander, in aller Regel über das Internet aber auch über eine Vielzahl anderer Netzwerke wie Bluetooth, ZigBee und so weiter. Die Kommunikation der Menschen aber auch der Dinge selbst, also dem „Internet der Dinge“ von der intelligenten Zahnbürste bis hin zum Oberklasseauto, suchen und finden Plattformen für die Interaktion im Internet. Für die Menschen sind dies heute die sozialen Netzwerke wie Facebook, Twitter oder WhatsApp, für die Maschinen die Maschinen-Clouds, über die Daten aggregiert und ausgewertet werden. Die Informationstechnik ist überall. Parallel zu dieser Entwicklung hat sich aber auch eine „Szene“ für den Missbrauch der Möglichkeiten der Informationstechnik herausgebildet. Die Anfänge waren noch von Neugier und dem Motto „weil ich es kann!“ geprägt. Das hat sich geändert: Heute werden die Systeme und Netze aus wirtschaftlichen Gründen, mittlerweile aber auch aus politischen Gründen angegriffen. Die Art und Weise dieser Angriffe stellt sich je nach Ziel unterschiedlich dar. Werden „Normalbürger“ in der Breite und mit automatisierten Verfahren angegriffen, so werden einzelne Prominente oder auch Firmen und Verwaltungen oft gezielt und mit passgenauen Methoden manuell ins Visier genommen. Es hat sich hier eine eigene Industrie für die Entwicklung, die Vermarktung und den Einsatz von Angriffsverfahren herausgebildet, die Züge organisierter Kriminalität trägt. Die sächsische Staatsregierung hat vor sich diesem Hintergrund im Sommer 2011 entschlossen, das Thema der strategischen Informationssicherheit in einer eigenen, spezialisierten Organisationseinheit zu bündeln und dadurch die Kräfte der einzelnen Ressorts besser zu koordinieren und wirksam werden zu lassen. Zusammen mit den im „Computer Emergency Response Team“ (CERT) im Staatsbetrieb Sächsische Informatik Dienste (SID) vorhandenen Ressourcen soll sich so ein insgesamt höheres Niveau der Sicherheit der informationstechnischen Systeme aller Nutzer in der Landesverwaltung einstellen. Im Jahr 2013 konnten die Verhandlungen im IT-Planungsrat zwischen 2 | Einführung: Informationssicherheit in Sachsen den Ländern und dem Bund zu einer Leitlinie Informationssicherheit abgeschlossen werden, in der sich erstmals Bund und Länder zu einem gemeinsamen Vorgehen rund um die Informationssicherheit verpflichten. Diese Bündelung ist auch notwendig: Der Internetzugang des Sächsischen Verwaltungsnetzes verzeichnet monatlich hunderte Angriffsversuche. Die E-Mails, die an die Landesverwaltung gerichtet sind, bestehen zu 95 % aus sogenanntem Spam, also unerwünschten E-Mails. Aus den verbleibenden 5 % werden noch hunderte mit schädlichen Anhängen herausgefiltert. Parallel dazu gab und gibt es eine Reihe von versuchten Angriffen auf die Internetangebote der Landesverwaltung. Wie imminent die Bedrohung aus dem Internet ist, zeigt der erfolgreiche Angriff auf den Deutschen Bundestag. Die nicht nur materiellen Folgen dieses Angriffs sind derzeit noch gar nicht endgültig absehbar. Die Bedrohung ist also auch für die sächsische Landesverwaltung real. Der Schutz der informationstechnischen Systeme ist unverzichtbar. Es hat sich ein „Hase und Igel“ - Spiel entwickelt mit sich immer weiter verfeinernden Angriffsmethoden und einer sich daraus ergebenden Notwendigkeit immer komplexerer Schutzmechanismen. Mit dem vorliegenden Jahresbericht des Beauftragten für Informationssicherheit des Landes sollen Mitarbeiter der sächsischen Landes- und Kommunalverwaltungen sowie Bürger und Wirtschaft gleichermaßen über den Stand der Informations- und Cybersicherheit im Freistaat Sachsen, die damit verbundenen Herausforderungen und die Arbeit des Beauftragten für Informationssicherheit des Landes informiert werden. Karl Otto Feger Beauftragter für die Informationssicherheit des Landes Einführung: Informationssicherheit in Sachsen | 3 1. Begriffsdefinition Informationssicherheit/ Cybersicherheit Der Begriff „Informationssicherheit“ in der Landesverwaltung hat in den letzten Jahren mehr und mehr den bisherigen Begriff „IT-Sicherheit“ verdrängt. Hintergrund dafür ist die Erkenntnis, dass jegliche Form der Information einen Wert an sich darstellt, nicht nur die informationstechnisch bearbeitete und gespeicherte. Vor diesem Hintergrund definierte das Bundesamt für Sicherheit in der Informationstechnik im Standard BSI 100-11: „Informationssicherheit hat als Ziel den Schutz von Informationen jeglicher Art und Herkunft. Dabei können Informationen sowohl auf Papier, in Rechnersystemen oder auch in den Köpfen der Nutzer gespeichert sein. ITSicherheit beschäftigt sich an erster Stelle mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung.“ In der VwV Informationssicherheit 2 hat sich der Freistaat Sachsen für eine etwas andere Definition des Begriffs entschieden: „Informationssicherheit bezeichnet einen Zustand, in dem die Risiken für die Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und IT durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind. Die Informationssicherheit umfasst neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten auch die Sicherheit von nicht elektronisch verarbeiteten und gespeicherten Daten und Informationen.“ 1 https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/ITGrundschutzStandards_node.html 2 Verwaltungsvorschrift der Sächsischen Staatsregierung zur Gewährleistung der Informationssicherheit in der Landesverwaltung; siehe http://www.revosax.sachsen.de/vorschrift/12084-VwV_Informationssicherheit 4 | 1. Begriffsdefinition Informationssicherheit/Cybersicherheit Symbolbild für den Datenverkehr rund um den Globus, aus dem sich Gefahren für alle Nutzer ergeben können. Mit dieser Definition wird verdeutlicht, dass der Freistaat Sachsen bei der Betrachtung der Sicherheit mehr als nur die IT-Systeme im engeren Sinn ins Auge gefasst hat. Beispielswei se ist das Ziel der Verfügbarkeit nicht allein durch entsprechend dimensionierte IT-Systeme erreichbar. Vielmehr müssen auch flankierende bauliche und personelle Maßnahmen für die Zielerreichung ergriffen werden. Die Hochwasserereignisse in den Jahren 2002 und 2013 führten dies vor Augen, und die sich immer mehr verschärfende Bedrohung aus dem Internet unterstreicht es. Es ist daher erforderlich, die Informationssicherheit in der Landesverwaltung als ganz heitliche und gemeinsame Aufgabe aller betroffenen Akteure zu begreifen. Daher wurde seitens der Sächsischen Staatsregierung im September 2011 mit der VwV Informationssi cherheit die Plattform geschaffen, die vielen anstehenden ressortübergreifenden Aufgaben anzugehen. In Ergänzung und Abgrenzung dazu beschreibt der Begriff „Cybersicherheit“ die Informati onssicherheit bei Bürgern und Wirtschaft. Dieses Themenfeld wird seit Anfang 2015 neu im Sächsischen Staatsministerium des Innern durch den BfIS-Land verantwortet. 1. Begriffsdefinition Informationssicherheit/Cybersicherheit | 5 2. Bedrohungslage Im Berichtszeitraum 2014/15 zeigen Beispiele aus aller Welt wie auch aus der Öffentlichen Verwaltung in Deutschland, dass im wachsenden Maß aus bislang oft nur diffus wahrgenommenen Risiken für die IT-Sicherheit erhebliche reale Bedrohungen werden können. Das beschreiben auch die jährlich erscheinenden Berichte des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit in Deutschland 3. Im Folgenden sind beispielhaft einige Beispiele für schwerwiegende Sicher-heitsvorfälle genannt. 3 Die Lage der IT-Sicherheit in Deutschland 2015, Bundesamt für Sicherheit in der Informationstechnik, 2015. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2015. pdf;jsessionid=E8B9233ED0E7CBFEFF0B23D95A5FF28A.2_cid359?__blob=publicationFile&v=3 6 | 2. Bedrohungslage 2.1. Weltweit Beispielhaft für einen Cyberangriff mit politischer Motivation war der Angriff auf einen fran zösischen Fernsehsender im April 2015. Dabei gelang es vorgeblich islamistischen Hackern („Cyber-Kalifat“) sowohl die Konten des Senders auf sozialen Netzen zu übernehmen und zu missbrauchen als auch den Sendebetrieb über Stunden zu unterbinden. Gerade letzteres ist überraschend, da es eigentlich nicht möglich sein sollte, die Steuerungsanlagen des Senders über die Redaktionsnetze zu erreichen. Gerade das schien aber im vorliegenden Fall passiert zu sein. Darüber hinaus müssen die Angreifer über sehr genaue Kenntnis der technischen Anlagen des Fernsehsenders verfügt haben, um einen derartigen Schaden anzurichten. Daher wurde darüber spekuliert, ob es sich hier um eine Auftragsarbeit im Sinne eines Outsour cing-Modells „Cybercrime-as-a-Service“ handelt. Dass solche „Dienstleistungen“ heute durchaus einkaufbar sind, ist schon länger bekannt. So führten denn auch die Spuren der Er mittler wenige Wochen nach dem Cyber-Angriff nach Osteuropa zu einer Gruppe russischer Hacker, die auch mit Angriffen auf die Informationssysteme der US-Regierung und NATO in Verbindung gebracht werden. Einen anderen sensiblen Bereich stellt der Angriff auf einen italienischen Hersteller von Überwachungssoftware im Juli 2015 dar. Dabei erbeuteten die Angreifer die komplette Da tenstruktur inklusive aller internen E-Mails, Dokumente und Software-Quellcodes der um strittenen Sicherheitsfirma und veröffentlichten diese im Netz. Zudem hatten sie zeitweilig den Web-Server und das offizielle Twitter-Konto des Unternehmens unter Kontrolle und berichteten darüber über ihre Aktion, die in erster Linie dazu diente, die Geschäftspraktiken und - Beziehungen des Unternehmens aufzudecken. Da die Angreifer auch eine Tabelle mit Passwörtern von Firmenmitarbeitern ins Internet stellten, die einfach zu knackende Passwörter wie „PassW0rd“ und „Pa$$w0rd“ verwendeten, kann davon ausgegangen wer den, dass die Hacker-Attacke diese Schwachstelle der Sicherheitsspezialisten ausgenutzt haben dürfte, um im großen Stil die Daten abzugreifen. Dass es solche „einfachen“ und gleichermaßen schwerwiegenden Verhaltensfehler im Umgang mit der IT selbst bei Mitar beitern einer Sicherheitsfirma gibt, ist erstaunlich und zeigt, dass die Sensibilisierung von Mitarbeitern keinen Wirtschaftszweig ausklammern sollte. Ebenfalls im Juli 2015 wurde ein Cyberangriff auf die Personalverwaltung der US-Regie rung bekannt. Hierbei erbeuteten Hacker, die vermutlich aus China stammen, Daten von rund 26 Millionen US-Bürgern. Aufgrund der Masse an abgegriffenen Datensätzen, zu denen Adressen, Sozialversicherungsnummern, Geburts-, Telefon- und Gesundheitsdaten sowie Informationen zu Finanzen, krimineller Vergangenheit und teils auch Fingerabdrücke gehören, ist dieser Hackerangriff sicherlich einer der bislang größten Datendiebstähle im Cyberraum in der Geschichte der Vereinigten Staaten. Die in zwei Wellen stattgefundenen Angriffe ereigneten sich dabei bereits im Vorjahr und sollen vom chinesischen Staat in Auf trag gegeben worden sein. Offenbar soll die Personalverwaltung der US-Regierung bereits seit dem Jahr 2007 von Schwachstellen in ihrem Netzwerk gewusst haben. 2. Bedrohungslage | 7 2.2. Industrie 4.0 und Internet der Dinge Die Cybersicherheit in Unternehmen ist von hoher strategischer und ökonomischer Bedeu tung sowohl für das Funktionieren von IT-basierten bzw. mit IT vernetzten Industrieprozes sen (Industrie 4.0) als auch für die Sicherheit der Konsumenten, die Produkte oder Dienst leistungen von vernetzten Geräten nutzen (Internet der Dinge). Dass Defizite im Bereich der IT-Sicherheit für Unternehmen und Konsumenten gleichermaßen schwerwiegende Folgen haben können, beweisen allein die im Berichtszeitraum aufgedeckten Sicherheits lücken bei vernetzten Automobilen. Schwerwiegendster Fall war dabei die gezielte Manipulation eines Fahrzeugs, die Sicher heitsexperten in den USA im Juli 2015 nachgewiesen hatten. Hierbei war es gelungen, aus der Ferne über eine Sicherheitslücke im Unterhaltungssystem des Wagens, das mit dem Internet verbunden ist, bis zur Steuerung des Autos vorzudringen. Die IT-Spezialisten konnten demnach die Bremsen, Geschwindigkeit, Klimaanlage und das Radio des Fahr zeugs fernsteuern. Der Zugang geschah über eine GSM-Schnittstelle im Wagen, die bei Autos für den amerikanischen Markt verbaut wurde. Nach der Veröffentlichung dieser gra vierenden Sicherheitslücke rief der Autobauer in den USA 1,4 Millionen Autos wegen man gelndem Schutz vor Hackerangriffen zurück. Ein entsprechendes Sicherheits-Update hatte der Hersteller zwar bereits im Internet veröffentlicht, jedoch muss es über einen USB-Stick ins Auto-System gespielt werden, so dass dieser Softwarefehler für den Hersteller direk te negative finanzielle Konsequenzen – neben Auswirkungen für seine Reputation – hat. Hätten die Hacker kriminelle Absichten verfolgt, hätte in diesem Fall sogar das Leben der Autofahrer in Gefahr geraten können. 2.3. Deutschland In Deutschland wurde gleich Anfang des Jahres 2015 die Bundesverwaltung auf höchster Ebene Opfer eines Cyberangriffs. Am 7. Januar kam es zum Ausfall der Erreichbarkeit der Webseiten www.bundeskanzlerin.de, www.bundesregierung.de und www.bundestag.de. Wenig später war zusätzlich die Webseite des Auswärtigen Amtes www.auswaertiges-amt.de zeitweise nicht zu erreichen. Die betroffenen Webseiten werden außerhalb der Netze der Bundesverwaltung betrieben. Auslösendes Moment war ein „DDoS-Angriff“ (tech nische Erklärung, s. 3.3.4), zu dem sich die politisch motivierte Gruppierung „CyberBerkut“ bekannte. Anlass für den Angriff sei der Besuch des Ukrainischen Ministerprä sidenten im Bundeskanzleramt gewesen. Die Tätergruppe ist nach Erkenntnissen des BSI Lagezentrums bereits mehrfach mit ähnlichen Angriffen (NATO-Webseiten etc.) in Erscheinung getreten. Bei dem Angriff handelte es sich um verschiedene, vom Angrei fer aktiv variierte technische DDoS Angriffsformen mit einer signifikanten Bandbreite, die die Internetanbindung überlasteten. Zeitweilig waren an dem Angriff tausende welt weit verteilter Botnetz-Clients beteiligt. Nach sofort ergriffenen Maßnahmen wurden die Seiten zwar schnell wiederhergestellt, aber die Angreifer reagierten auf die Gegen maßnahmen und variierten die DDoS-Angriffe noch weit bis in den nächsten Tag, was vermuten lässt, dass die Angreifer über einen direkten Zugriff auf die Infrastruktur ei nes Botnetzes oder einen intensiven Kontakt zu einem „Botnetz-Betreiber“ verfügten. 8 | 2. Bedrohungslage Als Gegenstück zu einem Angriff mit hohem Volumen wie dem oben beschriebenen DDoS-Angriff kann hingegen der Cyber-Angriff auf eine Mitarbeiterin des Bundeskanzler amts mittels des Trojaners „Regin“ angesehen werden, der im Februar an die Öffentlichkeit gelangte. Untersuchungen des privaten Laptops der Referatsleiterin hatten ergeben, dass bereits im Jahr 2012 diese hochspezialisierte Spionagesoftware eingeschleust worden sei. Die Schadsoftware blieb demnach mehr als zwei Jahre lang unbemerkt. Die ausgefeilte Cyberwaffe war auch bei Attacken gegen die EU-Kommission, eine belgische Telekommu nikationsfirma sowie gegen Ziele in mindestens 14 weiteren Ländern im Einsatz – vor wiegend gegen Regierungen, Energieversorger und Airlines. Ein aus dem Snowden-Archiv veröffentlichter Teil eines Schadcodes gilt als Bestandteil der Schadsoftware „Regin“, was auf einen Angriff der Nachrichtendienste der sogenannten Five-Eyes-Staaten (USA, Groß britannien, Kanada, Australien, Neuseeland) zurückschließen lässt. Eine Überprüfung des Dienstrechners der Mitarbeiterin ergab allerdings keine Hinweise auf eine Verbreitung im Bundeskanzleramt. Die Frau hatte E-Mails zwischen ihrem privaten und ihrem dienstlichen Account verschickt. Als Super-GAU in den letzten 12 Monaten muss jedoch die Entdeckung von Hackern im IT-Netz des Bundestages gewertet werden. Anfang Mai 2015 sollen sie über Schadsoftware in das Netz des Bundestages eingedrungen sein und dann die dortigen Ressourcen (Server, andere PC‘s) ausgeforscht und auch übernommen habe. Bestätigt wurden auch vereinzelte zeitweise Datenabflüsse. Seit dem Vorfall wurde nur so viel bekannt, dass zumindest das BSI, möglicherweise aber auch BND und Verfassungsschutz aktiv wurden, Gegenmaßnah men einzuleiten. Dabei befinden sich die Behörden als Teil der Exekutive in einem Span nungsfeld zum Bundestag, deren Abgeordnete als Teil der Legislative sich gegen tiefgrei fende Eingriffe verwehren. Im Rahmen der Gegenmaßnahmen wurde u.a. der Zugang aus dem Parlaments-Netz zu Webseiten gesperrt, um zu verhindern, dass sich weitere Rechner mit Schadsoftware wie Trojanern infizieren. Diese Quarantäne-Liste, die mehrere zehntau send Einträge enthalten soll, stellte das BSI zur Verfügung. Wie im Fall des DDoS-Angriffs auf Webseiten der Bundesregierung sollen die Hacker aus dem Osten Europas stammen. Zu den angewendeten Methoden der Hacker und ihren Hintergründen ist bisher jedoch nichts Belastbares verlautbart worden. Neben den Angriffen auf Bundesbehörden soll jedoch auch eine Attacke auf anderer Be hörden-Ebene genannt sein, da die Auswirkungen hier auch unmittelbar die behördliche Arbeit mit dem Bürger betrafen: So mussten im Juni 2015 die KFZ-Zulassungsstellen zweier Bundesländer nach einem Cyberangriff ungefähr einen Werktag ihre Arbeit einstellen. Be troffen waren insgesamt 62 Zulassungsstellen. Aus Sicherheitsgründen hatte der kommu nale IT-Dienstleister in den betroffenen Rechenzentren alle Server vom Netz genommen. Die Hacker waren über eine Lücke in der Software des öffentlich zugänglichen Internetmo duls „Kfz-Wunschkennzeichen“ in das Behördennetz eingedrungen. 2. Bedrohungslage | 9 2.4. Sachsen Politische Motivation ist nicht nur ein vielfach beobachtetes Tatmotiv für Cyberangriffe auf internationaler und nationaler Ebene, sondern auch im Freistaat Sachsen. So wurde eine Partei in Sachsen kurz nach der Landtagswahl im September 2014 Opfer eines Hacks, bei dem Daten ihrer Mitglieder aus Sachsen abgegriffen und nachgehend veröffentlicht wurden. Dazu gehörten Name, Anschrift, E-Mail-Adresse, Geburtsdatum, Telefonnummern wie auch gescannte Mitgliedsanträge und interne Strategiepapiere der Partei. Hinter der Attacke stand eine Hackergruppe aus Österreich, die sich zum Netzaktivistenverbund „Ano nymous“ zählt. Als Einfallstor für den Angriff wurden schlecht konfigurierte Webserver und nicht ausreichend sichere Internetseiten genannt. Der Angriff zeigt, dass zur Verringerung der Gefahr von Identitätsdiebstählen eine ausreichende Absicherung von Internetseiten und -diensten sowie eine Verschlüsselung von Identitätsdaten dringend geboten ist. Der Einsatz von Verschlüsselungsfunktionen auch auf nicht besonders schützenswerten Inter netseiten ist auch über Sicherheitsaspekte hinaus ein gewinnbringender Standard im Inter net. So setzt der Internetkonzern Google etwa standardmäßig eine verschlüsselte Suche ein und zeigt verschlüsselte Seiten in seiner Trefferanzeige priorisiert an. Ein typisch räuberisches Motiv lag einem Datenklau zugrunde, der sich über drei Jahre unbemerkt in einem Leipziger Gastronomiebetrieb abspielte. Durch einen Virus im System wurden die Daten hunderter Kreditkartenbesitzer geklaut, dann auf neue Plastikkarten auf gespielt und diese unter die Leute gebracht. Insgesamt 464 Kreditkarteninhaber meldeten sich beim Anbieter Visa, nachdem Sie Einkäufe abgebucht bekommen hatten, die sie gar nicht getätigt hatten. Das Kreditkartensystem des Leipziger Lokals könnte durch einen Vi rus von außen durch Hacker oder aber auch durch einen gezielt eingesetzten USB-Stick kompromittiert worden sein. Untersuchungen ergaben, dass die Daten nach Rumänien, Russland, in die Ukraine und Weißrussland versendet wurden. Da sich allerdings keine Identität der Täter ermitteln ließ, wurde das Ermittlungsverfahren von der Staatsanwalt schaft Leipzig ergebnislos eingestellt. Das Leipziger Lokal musste für sein System die ge samte Hardware neu kaufen und akzeptiert seit dem Vorfall keine Kreditkarten mehr als Zahlungsmittel. Nicht eine Sicherheitslücke, sondern infrastrukturell bedingte Kapazitätsgrenzen woll te ein weiterer politisch motivierter Cyberangriff bei der sächsischen Polizei ausnutzen. Im Dezember 2014 wurde kurz nach dem Bekanntwerden einer bundesweiten, von der Generalstaatsanwaltschaft Dresden angeordneten Durchsuchungsaktion im Umfeld des illegalen Filmportals kinox.to ein versuchter Überlastungsangriff (DDoS) mit über 10.000 Paketen/Minute auf die Webseite der sächsischen Polizei gestartet. Aufgrund der gerin gen normalen Seitennutzung zur Angriffszeit (Feiertag, nachts) gab es keine schädlichen Auswirkungen auf den Betrieb. Der Angriff erinnert an die DDoS-Attacke im April 2012 nach der Verurteilung des Betreibers des inzwischen abgeschalteten illegalen Filmportals kino.to. Damals waren zahlreiche Seiten der Justiz - auch in Sachsen - stundenlang nicht erreichbar. 10 | 2. Bedrohungslage 2.5. SVN Dass auch die Landesverwaltung Sachsen Ziel von Angriffen ist, verdeutlichen die Zahlen zur Sicherheitslage des Sächsischen Verwaltungsnetzes (SVN). Danach konnten im Jahr 2015 knapp 900 Angriffe auf das SVN abgewehrt werden. Außerdem wurden fast 53 Mio. Spam-E-Mails aus dem Internet durch die Kopfstelle des SVN abgewiesen. In den aus dem Internet und internen Netzen eingehenden fast 53 Mio. E-Mails wurden über 26.000 Viren gefunden und entfernt. Auch im eingehenden Internetverkehr konnten mehr als 53.000 Schadprogramme entdeckt und unschädlich gemacht werden. Allerdings sind auf das SVN im abgeschlossenen Kalenderjahr 2015 vom SID keine erfolg reichen externen Angriffe registriert worden, die sich als Ereignisse mit direkten und/oder indirekten Auswirkungen auf die Informationssicherheit, also die Verletzung der Sicher heitsziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, klassifizieren lassen. Auch in den Datennetzen im Geschäftsbereich der Ressorts sowie der Polizei wurden in diesem Zeitraum keine Einbrüche mit einem damit verbundenen gezielten Datenabfluss und / oder Manipulationen festgestellt. Angenommene Mails aus dem Internet 2011 bis 2015 Menge der Schadprogramme 2011 bis 2015 30.000.000 120.000 25.000.000 100.000 20.000.000 80.000 15.000.000 60.000 10.000.000 40.000 5.000.000 20.000 2011 2012 2013 2014 2015 2011 2012 2013 2014 2015 Angenommene Mails insgesamt Mails unmarkiert Schadprogramme in Mails Mails als Spam markiert Schadprogramme Web 2. Bedrohungslage | 11 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung Die immer stärkere Durchdringung aller Bereiche mit Informationstechnik führt zu neuen Möglichkeiten der verwaltungsübergreifenden Zusammenarbeit. Mit Hilfe der neuen Technologien werden mehr und mehr Verwaltungsdaten elekt-ronisch zwischen Bund, Ländern und Kommunen ausgetauscht, die bisher noch per Post oder Kurier übermittelt werden mussten. Hier reicht es nicht mehr, dass jede Behörde für sich gesonderte Sicherheitsregeln definiert; einheitliche Informationssicherheitsstandards sind zu schaffen, die für alle am Datenaus-tausch Beteiligten verbindlich gelten müssen. Der Freistaat Sachsen setzt im Bereich Informationssicherheit wie die meisten Bundesländer auf die Standards des Bundesamtes für Sicherheit in der Informationstechnik. Sachsen war aktiv an der Erarbeitung der im März 2013 in Kraft gesetzten Informationssicherheitsleitlinie für Bund und Länder sowie am Aufbau des länderübergreifenden Verwaltungs-CERT-Verbundes beteiligt. Als Mitglied der Arbeitsgruppe Informationssicherheit des IT-Planungsrates wird der Freistaat Sachsen auf diesem Gebiet auch weiterhin eng mit den anderen Ländern und dem Bund zusammenarbeiten. Die Abstimmung mit den Kommunen des Frei-staats Sachsen ist durch einen ständigen kommunalen Vertreter in der regelmä-ßig tagenden sächsischen Arbeitsgruppe Informationssicherheit gewährleistet. 12 | 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung 3.1. Organisatorische Strukturen der Informationssicherheit a) In Sachsen Mit der Verabschiedung der VwV Informationssicherheit im September 2011 als verbind liche Leitlinie für die Landesverwaltung Sachsen wurde eine wichtige Grundlage für den Aufbau einer leistungsfähigen Organisation der Informationssicherheit geschaffen. Sie enthält vier Grundelemente: ❚ ❚ ❚ ❚ den BfIS-Land als zentrale Sicherheitsinstanz, die Arbeitsgruppe Informationssicherheit (AG IS) als Plattform der ressortübergrei fenden Zusammenarbeit, BfIS-Land der Ressorts, der Polizei und des SID und das Sicherheitsnotfallteam („Computer Emergency Response Team“ - SAX.CERT) im SID. Auf Basis dieser Organisationsstruktur werden die Vorgaben und Maßnahmen zur Infor mationssicherheit im Freistaat Sachsen abgestimmt und ausgebaut. 3.1.1. AG Informationssicherheit Die AG IS stellt das koordinierende Gremium für alle ressortübergreifenden Aspekte der Infor mationssicherheit dar. Ihr gehören der BfIS-Land als ihr Vorsitzender sowie die BfIS der Staats kanzlei und Staatsministerien (Ressorts), der Polizei und des SID als stimmberechtigte Mitglieder an. Als Mitglieder ohne Stimmrecht sitzen je ein Vertreter des SAX.CERT, der Verwaltung des Sächsischen Landtags, des Sächsischen Rechnungshofes und des Sächsischen Datenschutzbe auftragten sowie der Vorsitzende des Arbeitskreis Sächsisches Verwaltungsnetz (AK SVN) und ein gemeinsamer Vertreter der sächsischen Kommunen in der AG IS. Zu den Aufgaben der AG IS gehört u.a. die Weiterentwicklung der Leitlinie für Informati onssicherheit des Freistaates Sachsen zu initiieren sowie auf die Anwendung einheitlicher Lösungen für IT-Verfahren zur Erhöhung der Informationssicherheit hinzuwirken. Für die ressortübergreifende Zusammenarbeit beschließt die AG IS Empfehlungen insbesondere über Leit- und Richtlinien der Informationssicherheit als auch über den Einsatz von Pro dukten, um das in den Leit- und Richtlinien definierte Informationssicherheitsniveau zu erreichen bzw. zu erhöhen. Die von der AG IS getroffenen Empfehlungen werden dem Ar beitskreis für IT und E-Government (AK ITEG) zur Beschlussfassung vorgelegt. Zudem berät die AG IS dieses Gremium wie auch den Lenkungsausschuss für IT und E-Government (LA ITEG) zu Fragen der Informationssicherheit. 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung | 13 3.1.2. AK IT und E-Government Der BfIS-Land ist als Mitglied ohne Stimmrecht im Arbeitskreis IT und E-Government (AK ITEG) vertreten, welches als Abstimmungs- und Informationsgremium der Staatsverwal tung für Strategie, Planung und Nutzung der IT und des E-Governments in der Staatsver waltung fungiert. Der AK ITEG ist dabei Teil einer CIO-Organisation bestehend aus dem LA ITEG unter Vorsitz des Beauftragten für Informationstechnologie des Freistaates Sachsen (Chief Information Officer – CIO, Staatssekretär Dr. Wilhelm), der in diesem Bereich die stra tegischen Grundsatzentscheidungen verantwortet, und der Abteilung 6 des Sächsischen Staatsministerium des Innern (SMI), die diese ressortübergreifenden Strategien für IT und E-Government erarbeitet und umsetzt. Die Koordinatoren für IT und E-Government der Ressorts und der Staatskanzlei, die neben dem Abteilungsleiter 6 des SMI die stimmberechtigten Mitglieder im AK ITEG sind, werden über dieses Gremium in die Erarbeitung der Strategie eingebunden. Sie tragen besondere Verantwortung bei der Umsetzung der strategischen Vorgaben in ihrem Ressort. Daneben beschließt der AK ITEG bezüglich der ressortübergreifenden Zusammenarbeit weitere Emp fehlungen, u.a. über IT und E-Government-Standards, Informationssicherheit und IT-Be schaffung, strategische Marketing- und Kommunikationsmaßnahmen im E-Government als auch Aufgabenschwerpunkte des SID. Zudem initiiert das Gremium ressortübergrei fende IT- und E-Government-Projekte, wirkt auf die Anwendung einheitlicher Lösungen für IT-Verfahren hin und fördert allgemein den Erfahrungs- und Informationsaustausch auf dem Gebiet der IT innerhalb der öffentlichen Verwaltung sowie mit Wirtschaft und Wissenschaft. 3.1.3. IT Kooperationsrat Der Sächsische IT-Kooperationsrat ist das gemeinsame Abstimmungs-, Beratungs- und Beschlussgremium für die Zusammenarbeit von Freistaat und Kommunen beim Ausbau von IT und E-Government in Sachsen. Darüber hinaus werden die im IT-Planungsrat be handelten Themen und seine Beschlüsse erörtert, soweit kommunale Belange berührt sind. Ziel dieser Kooperation ist insbesondere die Einführung elektronischer, verwaltungsebe nenübergreifend interoperabler und sicherer Verwaltungsprozesse. Neben dem BfIS-Land gehören dem Gremium der CIO des Freistaates (als sein Vorsitzender), die Leiterin der Ab teilung 3 der Staatskanzlei, der Leiter der Abteilung 2 des SMI, der Geschäftsführer des Sächsischen Städte- und Gemeindetages, das Geschäftsführende Präsidialmitglied des Sächsischen Landkreistages und der Direktor der Sächsischen Anstalt für Kommunale Da tenverarbeitung als stimmberechtigte Mitglieder an. 14 | 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung 3.1.4. AK SVN Als Mitglied ohne Stimmrecht gehört der BfIS-Land dem AK SVN an; dem Abstimmungs und Informationsgremium der Landesverwaltung für Strategie, Planung und Nutzung des Sächsischen Verwaltungsnetzes (SVN), das die Netzwerkinfrastruktur der Behörden und Einrichtungen des Freistaates Sachsen umfasst. Dieses Gremium ist dem AK ITEG nachge stellt und befasst sich mit den spezifischen Fragen der gemeinsamen Netzwerkinfrastruk tur sowie deren Weiterentwicklung. Bezüglich der gemeinsamen Netzwerkinfrastruktur beschließt der AK SVN Empfehlungen, u.a. über die Strategie bezüglich Netzwerkinfra struktur als auch die Netzwerk-Standards für das SVN sowie Standards für die Umsetzung von Infrastruktur- Projekten. Zudem initiiert der AK SVN zentrale und ressortübergreifende Netzinfrastruktur-Projekte und wirkt auf die Anwendung einheitlicher Lösungen für Netz infrastruktur-Verfahren und damit des SVN hin. Stimmberechtigte Mitglieder des AK SVN sind die SVN-Verantwortlichen der Ressorts. b) Beteiligung auf Bundesebene Die Föderalismuskommission II hat im Jahr 2009 mit Artikel 91c Grundgesetz die Grundla ge für eine verbindliche IT-Koordinierung von Bund und Ländern geschaffen. Durch diese Grundgesetzänderung hielt die Informationstechnik erstmals Einzug in die Deutsche Ver fassung. 3.1.5. IT-Planungsrat Der IT-Planungsrat ist das zentrale Gremium für die föderale Zusammenarbeit in der In formationstechnik. Seinen rechtlichen Rahmen und das Aufgabenfeld definiert der Staats vertrag zur Ausgestaltung von Artikel 91c Grundgesetz, der am 1. April 2010 in Kraft trat. Der IT-Planungsrat koordiniert die Zusammenarbeit von Bund und Ländern in Fragen der Informationstechnik, beschließt fachunabhängige und fachübergreifende IT-Interoperabi litäts- und IT-Sicherheitsstandards, steuert E-Government-Projekte im Rahmen der Natio nalen E-Government-Strategie und beaufsichtigt das Verbindungsnetz der öffentlichen Verwaltung. Damit sollen ein sicherer und reibungsloser Datenverkehr ermöglicht sowie die Qualität und Effizienz der elektronischen Verwaltungsdienste gefestigt werden. Mitglie der im IT-Planungsrat sind der Beauftragte des BSI (Staatssekretär im Bundesministerium des Innern) und die in den Ländern jeweils Verantwortlichen für Informationstechnik (in der Regel Staatssekretäre). 3.1.6. AG Informationssicherheit des IT-Planungsrats Die Arbeitsgruppe Informationssicherheit, in der der BfIS-Land Sachsen mit seinen Länder kollegen seinen Platz hat, arbeitet dem IT-Planungsrat Expertisen und Stellungnahmen zu Themen der Informationssicherheit zu. Weitere Institutionen und Gremien, in denen der BfIS-Land sitzt bzw. zu denen er Kontakte auf der Arbeitsebene pflegt, sind die UAG Cybersicherheit der IMK AG Cybersicherheit – in ihr waren bis Ende 2014 Polizeibeamte aus der Abteilung 3 des SMI vertreten – und natür lich die oberste Bundesbehörde im Bereich Informationssicherheit, das BSI. 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung | 15 3.2 Gremienbeschlüsse zur Informationssicherheit in der sächsischen Landesverwaltung Im Berichtszeitraum wurden in erster Linie durch die AG IS als dem koordinierenden Gre mium für alle ressortübergreifenden Aspekte der Informationssicherheit wichtige Richt linien und Maßnahmen zum Ausbau und zur Weiterentwicklung der IT-Sicherheit verab schiedet und durch die anderen beteiligten Gremien bestätigt. Die weitreichendsten seien folgt genannt. 3.2.1 Erhöhung der Sicherheit der Internetseiten der Landesverwaltung Unter der Aufgabe Sicherheitsmonitoring der Landesverwaltung ist die regelmäßige Über prüfung des tatsächlich erreichten Informationssicherheitsniveaus in der Landesverwal tung zu verstehen. Mögliche Maßnahmen sind Vor-Ort-Audits in den Ressorts und Be hörden, aber vorrangig auch automatisierte bzw. teilautomatisierte Sicherheitsscans der IT-Infrastruktur der Landesverwaltung. Mit Hilfe solcher Erhebungen, angereichert mit Meldungen aus den Ressorts oder von externen Stellen kann dann ein realistisches Lage bild der aktuellen Sicherheitslage in der Landesverwaltung erstellt werden. Dieses Lagebild ist eine wichtige Grundlage für die Konzeption, Durchführung und Wirksamkeitsüberprü fung von Maßnahmen zur Erhöhung der Informationssicherheit. Der Freistaat Sachsen betreibt eine Vielzahl von Internetseiten und -diensten innerhalb und auch außerhalb des SVN. Rund 1.000 dieser Angebote der Landesverwaltung Sach sen sind aus dem Internet erreichbar. Insofern wurden im Berichtszeitraum 2014/15 meh rere landesweite Schwachstellentests durchgeführt und ein entsprechender Lagebericht zur Sicherheit der Internetseiten und –dienste der Landesverwaltung erarbeitet. Nach der Vorstellung des Berichts wurde ein Bündel von Maßnahmen zur Verbesserung der Sicher heitslage („Handlungsempfehlungen Verschlüsselung“) erarbeitet und abgestimmt. Zu den Maßnahmen wurden jeweils konkrete Umsetzungstermine und Schritt-für-Schritt-Hand lungsanleitungen vorgeschlagen. Nach Verabschiedung mehrerer entsprechender Be schlüsse in AG IS und AK ITEG zu den einzelnen Maßnahmen, konnten laut neuen Erhe bungen zur Sicherheitslage in der Landesverwaltung inzwischen deutliche Verbesserungen erreicht werden. Eine weitere Verbesserung der Sicherheitslage wird davon zu erwarten sein, dass die Inter netseiten des Freistaates Sachsen in einen höheren Sicherheitsstandard wechseln sollen. So stimmte der AK ITEG in einer Sitzung im ersten Quartal 2015 einstimmig dafür, alle Internetpräsenzen der Staatsverwaltung in Zukunft ausschließlich über das Kommunikati onsprotokoll HTTPS (HyperText Transfer Protocol Secure) anzubieten. Der Standard HTTPS sorgt für die Verschlüsselung übertragener Inhalte und bietet damit deutlich mehr Sicher heit als das Übertragungsprotokoll HTTP. Durch den geplanten Wechsel zu HTTPS läuft der einzelne Nutzer einer Internetseite des Freistaates Sachsen kaum noch Gefahr, dass die Kommunikation zwischen seinem Browser und dem Server der Internetpräsenz belauscht wird. Zudem ist dieser Schutzmechanismus technisch einfach nachzuvollziehen und weit verbreitet: Internetseiten, die durch HTTPS geschützt sind, werden in allen gängigen Browsern automatisch markiert und dem Nutzer angezeigt. 16 | 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung Die Umstellung auf HTTPS ist eine von 15 Handlungsempfehlungen eines Krypto-Teams der AG IS zur Erhöhung der Informationssicherheit der Internetseiten der Landesverwal tung, die auch Teil des Handlungsleitfaden zur Umsetzung des Sächsischen E-Government Gesetzes sind. Seit der Verabschiedung der Handlungsempfehlungen Mitte 2014 wurde die E-Mail-Verschlüsselung innerhalb der Ressorts um 41 %, zwischen den Ressorts um 24 % und nach extern um 30 % (eingehend) und 5 % (ausgehend) erhöht. Zudem sind bereits ein Drittel der Landesseiten mit HTTPS verschlüsselt. Insbesondere Angebote, die mit per sönlichen Daten von Nutzern umgehen, laufen aus Datenschutzgründen bereits über das Verschlüsselungsprotokoll HTTPS. Der BfIS-Land führt weiterhin regelmäßig automatisierte Scans durch, um den Umset zungsstand dieser Maßnahmen zu beobachten. 3.2.2 Ressortübergreifendes Meldeverfahren Die AG IS sieht die zentrale Erfassung wesentlicher Sicherheitsvorfälle innerhalb der Lan desverwaltung als wichtige Grundlage vor allem für ein realistisches Lagebild zur Infor mationssicherheit im Freistaat Sachsen als auch für die effektive und frühzeitige Warnung sowie Unterstützung bei ressortübergreifenden Sicherheitsvorfällen. Der Aufbau dieses ressortübergreifenden Meldeverfahrens soll in mehreren Stufen erfol gen. Ziele sollen dabei ein möglichst geringer Meldeaufwand durch die automatisierte Einbindung vorhandener Vorfallbearbeitungssysteme und Prozesse in den Ressorts sowie eine möglichst hohe Verbindlichkeit durch die Erarbeitung einer entsprechenden Melde verordnung durch die AG IS sein. Die erste Stufe eines ressortübergreifenden Meldeverfahrens wurde Ende 2015 durch die AG IS beschlossen. Hierbei soll in einem ersten Schritt bereits der Verdacht auf schwerwie gende Ereignisse in den Ressorts und den nachgeordneten Geschäftsbereichen unverzüg lich gemeldet werden. Die Meldung soll dabei mit Hilfe des über die Internetseite des SAX. CERT bereitgestellten Meldeformulars an das Notfallteam erfolgen. Soweit notwendig wird das SAX.CERT kurzfristige, anonymisierte Warnmeldungen an die Mitglieder der AG IS verteilen und gemäß den vorhandenen Möglichkeiten unterstützen. Zusätzlich werden alle gemeldeten Vorfälle durch das SAX.CERT monatlich anonymisiert zusammengefasst und in Form eines Berichts im Rahmen der AG IS-Sitzung vorgestellt. 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung | 17 3.3 Technische Projekte für mehr Informationssicherheit Neben Gremienbeschlüssen, die technische Maßnahmen nach sich ziehen können (s. 3.2.1.), veranlasst der BfIS-Land auch technische Pilot-Projekte, um zentrale Bereiche wie das SVN mit neuen Sicherheitsmaßnahmen zu ergänzen. Die IT-Systeme der Sächsischen Landesverwaltung unterliegen schließlich nicht nur Bedrohungen aus dem Internet, son dern können ebenso zum Ziel von Angriffen aus dem internen Netzwerk werden. Aus gangspunkt solcher Angriffe sind typischerweise mit Schadsoftware befallene Rechner. Aber auch unbemerkt in das Netzwerk vorgedrungene Angreifer oder Mitarbeiter, die sich über geltende Sicherheitsbestimmungen hinwegsetzen, stellen Gefahrenquellen dar. Klas sische Sicherheitsmaßnahmen, wie zentrale Firewalls und Antivirussysteme, können diese Gefahrenquellen nicht oder nur sehr eingeschränkt ausschalten. 3.3.1. HoneySens Ein innovatives technisches Pilotprojekt zur Informationssicherheit wurde vom BfIS-Land in Zusammenarbeit mit der Professur für Datenschutz und Datensicherheit der Techni schen Universität Dresden im Rahmen einer Diplomarbeit unter dem Titel „HoneySens“ entwickelt. Es sieht eine unter Berücksichtigung der Anforderungen des SVN gestaltete Architektur vor, in der innerhalb gefährdeter Teilnetze platzierte Sensoren Informationen über alle ankommenden verdächtigen Datenpakete aufzeichnen und an eine zentrale Ser verkomponente zur Verarbeitung weiterleiten. Administratoren können anschließend mit Hilfe einer komfortablen Web-Anwendung die aggregierten Daten auswerten und bei Be darf entsprechende Gegenmaßnahmen einleiten. Zur Erkennung potentieller Angriffe kommt auf den Sensoren Honey-pot-Software zum Einsatz, deren Zweck die Simulation typischer Netzwerkdienste und zugehöriger Sicher heitslücken ist. Je intensiver ein Eindringling mit diesen „Hackerfallen“ kommuniziert, desto mehr Informationen können über dessen Motivation und Vorgehensweise gewonnen wer den. Um ein möglichst umfassendes Bild über die Vorgänge innerhalb des Netzwerks zu gewinnen, können die Sensoren auch weitere Datenpakete aufzeichnen. Eine Erkennungs routine für die von Angreifern häufig zur Informationsgewinnung genutzten Portscans erleichtert zudem die automatische Klassifikation der gesammelten Datenmengen. Grundanforderungen an das System „HoneySens“ sind die spezifischen Gegebenheiten des SVN und der Wunsch nach einer wartungsarmen, benutzerfreundlichen Lösung. Um die Anforderungen genauer zu spezifizieren, wurde der zu erwartende Datenverkehr in ausgewählten Teilnetzen der Landesverwaltung analysiert. Die dabei gewonnenen Daten waren maßgebend für den Entwurf des autonomen Sensornetzwerks und die Auswahl der eingesetzten Hardwareplattform. Bei der prototypischen Implementierung des Systems wurde schließlich auf eine hohe Skalierbarkeit durch den Einsatz kostengünstiger Ein-Pla tinen-Computer als Sensoren, Standardkonformität, leichte Installation und Wartbarkeit, sowie die vollständig verschlüsselte Kommunikation zwischen allen beteiligten Kompo nenten geachtet. Ein weiterer wichtiger Teilaspekt war zudem die transparente Integration des Sensornetzwerkes in die derzeit bestehenden Strukturen der Landesverwaltung, um den Betrieb der IT-Infrastruktur nicht zu beeinträchtigten. 18 | 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung Die Architektur des HoneySens-Netzwerks basiert auf einem zentralen Server, der über gesicherte Datenwege (grüne Linien im Bild) von seinen Honeypot-Sensoren Informationen zu verdächtigem Datenverkehr in den überwachten Teilnetzen (Wolkenstrukturen im Bild) erhält und zusammenführt. Damit auch nicht im Bereich der Informationssicherheit geschulte Administratoren mit dem System „HoneySens“ arbeiten können, wurde bei der Entwicklung des Prototyps viel Wert auf eine leicht verständliche graphische Benutzeroberfläche gelegt. Die Web-Anwen dung unterstützt deshalb die Benutzer sowohl bei allen anfallenden Arbeitsschritten, dar unter die komfortable Integration zusätzlicher Sensoren und die Bereitstellung automati scher Updates der Sensor-Software, als auch bei der Auswertung aller gesammelten Daten. Eine flexible Benutzerverwaltung stellt zudem sicher, dass nur berechtigte Personen Zu gang zum System besitzen. Techniken des „Responsive Web Design“ garantieren ferner, dass die Benutzerschnittstelle auch auf Mobilgeräten wie Smartphones und Tablets ohne Einschränkungen genutzt werden kann. Auch bei der Konzeption der zentralen Serverkom ponente wurden Möglichkeiten zur unkomplizierten Installation berücksichtigt: Die Bereit stellung der Software in Form von virtualisierbaren Containern assistiert beim flexiblen, transparenten Betrieb der Anwendung und vereinfacht zukünftige Updates. Die prototypische „HoneySens“-Implementierung wurde im Rahmen der Diplomarbeit in einem mehrwöchigen Testzeitraum innerhalb des SVN und in einem Teilnetz der TU Dres den erprobt und verbessert. In einem nächsten Schritt wollen die Kooperationspartner den vorliegenden Prototyp für den Einsatz in komplexen Netzstrukturen weiterentwickeln und dabei auch weitere potentielle Anwender einbinden. Hauptaugenmerk ist dabei die Unter suchung und Bewertung der vielfältigen Anforderungen, die sich aus dem Einsatz inner halb eines Verbunds aus zahlreichen heterogenen Teilnetzen ergeben. Abschließend sollen die gewonnenen Erkenntnisse über sinnvolle Gestaltungs- und Anwendungsmöglichkeiten eines solchen Sensornetzwerks nicht nur für die Erhöhung der Informationssicherheit in Sachsen genutzt, sondern auch in die entsprechenden Gremien der Länder und des Bundes eingebracht werden. 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung | 19 3.3.2. Identity-Leak-Checker Die Gefährdung der Landesverwaltung im Bereich des Identitätsdiebstahls nimmt wegen der verstärkten elektronischen Speicherung und Verarbeitung von Fachdaten im Freistaat Sachsen, aber auch wegen der Professionalisierung und Automatisierung im Bereich der Cyberkriminalität ständig zu. Im Ergebnis solcher Attacken, durch Nachlässigkeiten beim Aussortieren von Hardwarespeichern oder auch durch Verlust mobiler Geräte können in terne dienstliche Informationen in die Öffentlichkeit gelangen. Besonders gefährlich ist dabei oft der Abfluss von Identitätsdaten in Form von Nutzernamen und zugehörigen Passwörtern, da externe Angreifer so Zugriff auf das interne Netz der Landesverwaltung erhalten können. Der BfIS-Land hat deshalb im Berichtszeitraum die Erforschung von Grundlagen zum Auf bau eines Warndienstes angestoßen, der beim Auftauchen von Identitätsdaten aus dem Freistaat Sachsen im Internet kurzfristig eine entsprechende Warnmeldung an die zustän digen Stellen in Sachsen generiert. So sollen einerseits kurzfristige Gegenmaßnahmen wie z.B. Löschanträge bei den jeweiligen Providern ermöglicht, andererseits aber auch ein Überblick über die aktuelle Gefährdungslage gewonnen werden. Ein erster wichtiger Schritt in diese Richtung war die Umsetzung einer prototypischen Lösung eines Warndienstes, der einen möglichst signifikanten Teil derjenigen Bereiche des Internets überwacht, in denen Identitätsdaten von Beschäftigten des Freistaats Sachsen gehandelt oder veröffentlicht werden könnten. In Absprache mit dem Hasso-Plattner-Ins titut an der Universität Potsdam, das im Mai 2014 den Online-Dienst „Identity-Leak-Che cker“ startete, wurden die im Rahmen dieses Dienstes entwickelten Funktionalitäten dem Freistaat Sachsen zur Verfügung gestellt und diese zusammen anforderungsgerecht weiter entwickelt. Basis des „Identity-Leak-Checker“ ist ein Forschungsprojekt zur Verarbeitung großer Da tenmengen mittels neuartiger, supercomputergestützter Datenbanktechnologien. Der Dienst deckt bereits große Teile des vom Freistaat Sachsen gesuchten Leistungsspektrums ab. Bisher konnte er weltweit schon über 182 Mio. gestohlene Identitätsdatensätze indi zieren. In dem gemeinsamen Forschungsprojekt wird auf Basis des „Identity-Leak-Checker“ ein Dienst zur Aufdeckung und Warnung vor Identitätsdiebstählen, die Beschäftigte des Freistaats Sachsen betreffen, durch das Hasso-Plattner-Institut umgesetzt. 20 | 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung 3.3.3. APT-Erkennung Die Teststellung eines Produkts zur Erkennung hochspezialisierter Cyberangriffe (Advanced Persistent Threat, APT) auf das SVN lief im Zeitraum vom 13. Mai bis 12. Juni 2015 im Rahmen von Sicherheitsmaßnahmen zu den G6/G7-Gipfeln in Sachsen. Im Unterschied zu den vorhandenen Schutzprogrammen scannte das Produkt den kompletten E-Mail- und Internetverkehr des SVN während des Testlaufs nicht nur auf Signaturen bekannter Bedro hungen, sondern analysierte das Verhalten aller verdächtigen Programme und Dokumente auf einem simulierten Arbeitsplatz automatisch auf bösartige Aktivitäten. Nach 4 Wochen wurde das Testsystem planmäßig abgeschaltet. In diesem Zeitraum konnte mit Hilfe der Teststellung nachgewiesen werden, dass signaturbasierte Scanverfahren keinen ausrei chenden Schutz mehr gegen aktuelle Schadsoftware bieten und eine zusätzliche Über wachung ausgehender Verbindungen auf Kontakte zu Schadsoftwareservern im Internet notwendig ist. Die Schutzmaßnahmen innerhalb des SVN wurden und werden auf Basis der gewonnenen Erkenntnisse weiter ausgebaut. 3.3.4. DDoS-Protection Ebenfalls im Rahmen von Sicherheitsmaßnahmen zu den G6/G7-Gipfeln in Sachsen wur de die Betriebsbereitschaft des SVN und der Internetseiten der Landesverwaltung durch DDoS-Protection Dienstleistungen der TSI zusätzlich abgesichert. Einige Services davon werden seit Mai 2015 dauerhaft für den Freistaat bereitgestellt. In erster Linie sollen da mit Netz und Access-Bandbreite gegen volumenbasierte Attacken geschützt werden. DDoS bezeichnet die Überlastung einer größeren Anzahl von Systemen der Informationstech nik durch einen v.a. absichtlichen Angriff auf einen Server, einen Rechner oder andere Komponenten eines Datennetzes. Solche mutwilligen DDoS-Angriffe werden mit speziellen Programmen durchgeführt, die z.B. Computerwürmer auf nicht ausreichend geschützten Rechnern installieren und dann versuchen weitere Rechner im Netzwerk zu infizieren, um so ein Botnetz aufzubauen, welches mit vielen Rechnern zusammen selbst gut geschützte Systeme durchdringen kann. Im Falle eines vom Freistaat Sachsen gemeldeten Angriffs werden von der TSI geeignete Gegenmaßnahmen ergriffen, soweit diese technisch möglich sind. Durch die Gegenmaß nahmen wird versucht, den Angriff soweit abzumildern, dass der Internetzugang des Frei staates Sachsen wieder erreichbar ist. Abhängig von der Art des Angriffs kann es aber wei terhin zu einer Beeinträchtigung der betroffenen Dienste des Freistaates Sachsen kommen. Die TSI wird in Abstimmung mit dem Ansprechpartner der Landesverwaltung die bestmög liche Lösung (Abwehrmechanismen) ermitteln und anwenden. Hiermit soll erreicht werden, dass die kundeneigenen Sicherheitsmechanismen wieder greifen können. 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung | 21 3.4. Stand der Informationssicherheit in den Kommunen Gastbeitrag von Thomas Weber, Direktor der Sächsischen Anstalt für kommunale Datenverarbeitung (SAKD) Die IT-Verfahren der Kommunen gewährleisten die internen Arbeitsabläufe der Verwaltung, stellen Dienste für Bürger bereit und sind häufig auch Bestandteil ebenenübergreifender Kommunikation mit dem Freistaat oder dem Bund. Alle drei Aspekte erfordern ein ange messenes IT-Sicherheitsniveau, um die Verfügbarkeit der Dienste und die Vertraulichkeit der Informationen zu gewährleisten. 3.4.1. Leitlinien- und Informationssicherheits Management-Prozesse Verbindliche Richtlinien, die auf staatlicher Seite bereits seit 2011 in Form der „Verwaltungs vorschrift der Sächsischen Staatsregierung zur Gewährleistung der Informationssicherheit in der Landesverwaltung“ existieren, gibt es übergreifend für alle Kommunen in Sachsen derzeit nicht. Der Versuch der kommunalen Bundesverbände, eine Sicherheitsleitlinie für Verwaltungen des Bundes für den Einsatz bei ebenenübergreifenden Verfahren auch für Kommunen für verbindlich erklären zu lassen, wurde vom IT-Planungsrat abgelehnt. Da die Festlegung dieser Leitlinie auf die BSI-Grundschutzmethodik erhebliche Aufwände für die Implementierung und die Umsetzung der erforderlichen Maßnahmen insb. in klei nen Kommunalverwaltungen erwarten ließ, sprachen sich auch SAKD und die sächsischen kommunalen Spitzenverbände gegen eine verbindliche Einführung dieser Leitlinie aus. In Kenntnis der unbefriedigenden Situation im Bereich der kommunalen Informations-Si cherheit (eine Umfrage im Jahr 2012 ergab, dass in weniger als 20 % der Kommunen ein IT-Sicherheitsbeauftragter namentlich benannt war), entwickelte die SAKD eine Muster leitlinie für die Herstellung von Informationssicherheit in Kommunalverwaltungen. Das Hauptziel des Dokumentes besteht darin, dass sich die Behördenleitungen zur Informati onssicherheit bekennen, Ressourcen dafür bereitstellen und einen kontinuierlichen Sicher heitsprozess initiieren. Die Musterleitlinie orientiert sich an der Verwaltungsvorschrift der Landesverwaltung, verzichtet aber bewusst auf jeden Bezug zur BSI-Grundschutzmetho dik, um keine Einstiegshürden wegen zu hoher Aufwendungen zu errichten. Nach Veröffentlichung der Leitlinie als Empfehlung des Fachausschusses der SAKD gemäß §4 Abs. 3 SAKDG im Amtsblatt vom 2. August 2012 wurde das Dokument inzwischen von mehr als 200 Kommunen von der Homepage der SAKD heruntergeladen und als Blaupause für eine eigene Sicherheitsleitlinie verwendet. Den gleichen Ansatz, das Thema als Leitungsverantwortung zu positionieren, verfolgte eine Initiative der kommunalen Spitzenverbände auf Bundesebene und der VITAKO (Bundesar beitsgruppe der kommunalen IT-Dienstleister). Die Arbeitsgruppe „Handreichung Informati onssicherheitsleitlinie“ verfolgte das Ziel, praktikable Handlungsleitfäden für kommunale ini tiale Sicherheitsdokumente zu erstellen, die sich an der für Bundes- und Landesverwaltungen verbindlichen Leitlinie für IT-Sicherheit des IT-Planungsrates orientieren. Die SAKD arbeitete in dieser Arbeitsgruppe mit und setzte Textvorschläge durch, die es auch kleinen Verwaltun gen ohne benannten Sicherheitsbeauftragten ermöglichen, diese Handreichung einzusetzen. 22 | 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung Die Veröffentlichung erfolgte 2014 über die VITAKO und das „IT-SiBe-Forum“. Die nicht öffentliche Plattform steht allen IT-Sicherheitsbeauftragten auf Länder- und Kommuna lebene zum Informations- und Erfahrungsaustausch kostenfrei zur Verfügung, erfordert aber eine individuelle Registrierung beim Deutschen Landkreistag (DLT). 3.4.2. Informationssicherheit in der IT-Service-Beratung Die beste Möglichkeit, das Thema IT-Sicherheit bei den Kommunen zu platzieren bieten individuelle Beratungsgespräche. Die kostenfreie IT-Serviceberatung für kleine Kommu nen hat sich als Dienstleistung der SAKD etabliert und bietet sich dafür an. Im Rahmen dieses Programmes hat die SAKD bisher ca. 80 Kommunalverwaltungen vor Ort besucht und zu unterschiedlichen Themen beraten. Ausgangspunkt für die meisten Anfragen sind geplante Hardwareinvestitionen zum Ersatz überalterter Technik. Informationssicherheit ist dabei fast nie der Anlass der Beratungsanfrage - wird aber von der SAKD bei allen Gesprächen angesprochen. Das kennzeichnet das unzureichende Sicherheitsbewusstsein in vielen kleinen Verwaltungen, die meist ohne eigenes IT-Personal auskommen müssen. Falls überhaupt eine Benennung von Verantwortlichen erfolgt ist, liegen Datenschutz und IT-Sicherheit meist in der Hand des gleichen Mitarbeiters, dem aber oft weder finanzielle noch zeitliche Ressourcen dafür bereitgestellt werden. Nur die Erhöhung des Problembe wusstseins in den Verwaltungsspitzen und bei allen Mitarbeitern kann hier zu Verbesserun gen führen. Die seit 2013 jährlich vom BfIS-Land durchgeführte Awareness-Veranstaltung „Infosic“, zu der sich regelmäßig auch viele kommunale Teilnehmer anmelden, ist dafür eine gute Möglichkeit. 3.4.3. Erfahrungsaustausch und Kommunikation In großen Stadt- und Landkreisverwaltungen, in denen in der Regel hauptamtliche Si cherheitsbeauftragte benannt sind, ist die Situation besser. Hier sind Sicherheitsprozesse etabliert und entsprechende Ressourcen vorhanden. Mit der Arbeitsgruppe der IT-Sicher heitsbeauftragten der Landkreise existiert auch ein Gremium, in dem sich die Landkreise zu Sicherheitsthemen austauschen. Ursprünglich als AG zur Ertüchtigung der EU-Zahlstellen der Landkreise für BSI-Grundschutz gegründet, beschäftigt sich die AG inzwischen mit verschiedenen Sicherheitsthemen in den Landkreisverwaltungen. Die Gruppe tagt regel mäßig unter Leitung des Sächsischen Landkreistages und lädt themenabhängig Vertreter des BfIS-Land, der KDN GmbH oder der SAKD zu den Sitzungen ein. Der Versuch, ein vergleichbares Gremium für kleinere Verwaltungen zu etablieren, war lei der nicht von dauerhaftem Erfolg gekrönt. So wurde die 2012 gegründete Arbeitsgruppe „IT-Sicherheit im KDN II“ im Jahr 2013 wieder eingestellt. Die AG hatte versucht, über ein vereinfachtes Checklistenverfahren kleineren Verwaltungen, die am KDN angeschlossen sind, eine Alternative zur BSI-Grundschutzvorgehensweise anzubieten. In der Landesverwaltung werden Angelegenheiten der Informationssicherheit in einer Arbeitsgruppe „IT-Sicherheit“ (AG IS) unter Leitung des BfIS-Land behandelt und voran getrieben. Die SAKD ist als Mitglied ohne Stimmrecht der kommunale Vertreter und Sach walter kommunaler Interessen in dieser Arbeitsgruppe. Während die Beschlüsse des Gre miums für die Ressorts und Behörden der Landesverwaltung bindend sind, können sie für Kommunalverwaltungen nur empfehlenden Charakter haben. Entsprechende Empfehlun gen werden regelmäßig über den Newsletter der SAKD publiziert. Beispiele dafür sind die 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung | 23 Hinweise zur Verwendung sicherer Verschlüsselungsverfahren, die Umstellung von Mail servern auf verschlüsselte Kommunikation oder die Mitnutzung von Diensten des Landes zur Prüfung von Identitätsdiebstahl von Nutzeraccounts. 3.4.4. Informationssicherheit und Datenschutz Eine unmittelbare gesetzliche Vorgabe zur Erstellung und Umsetzung von IT-Sicherheitskon zepten besteht für Kommunen erst seit Inkrafttreten des Sächsischen E-Government Geset zes (SächsEGovG). Bereits seit langem verpflichtet jedoch das Sächsische Datenschutzgesetz (SächsDSG) zur Einhaltung des Schutzes personenbezogener Daten. Das SächsDSG enthält die Vorgaben zum Führen von Verfahrensverzeichnissen, bei denen die umgesetzten organi satorischen und technischen Sicherheitsmaßnahmen konkret zu benennen sind. Die SAKD bietet kleinen Kommunen die vertragliche Übernahme der Funktion eines (exter nen) behördlichen Datenschutzbeauftragten. Bisher haben 20 Kommunen einen entspre chenden Auftrag erteilt. Sie bekommen so direkte Hilfestellung bei der Implementierung von Sicherheitsmaßnahmen. Das Leistungspaket umfasst neben der Erstellung der Ver fahrensverzeichnisse Schulungsmaßnahmen für Mitarbeiter und Vorabkontrollen bei der Einführung neuer Verfahren. 3.4.5. Das KDN als sicheres Netz Als wesentliche sicherheitsrelevante Infrastrukturkomponente im kommunalen Umfeld muss das Kommunale Datennetz (KDN) genannt werden. Durch seine Realisierung auf teil weise exklusiver Infrastruktur, gesicherten Netzübergängen und weiteren Sicherheitsmaß nahmen wie Online-Content-Scanning, Anti-Virus- und Anti-Spam-Lösungen, bietet es schon per se ein höheres Sicherheitsniveau gegenüber einem Standard-Internetanschluss. KDN GmbH und SAKD argumentieren deshalb bei allen Gelegenheiten für einen KDN-An schluss; Zielstellung hier ist die Flächendeckung des KDN über alle Kommunen. Seit Inkrafttreten des SächsEGovG, das die Kommunikation nur noch über gesicherte Net ze vorgibt, besteht de facto für alle Kommunen ein Anschlusszwang an das KDN. Die im Gesetz genannte alternative Schnittstelle mit vergleichbarer Sicherheit wurde bisher nicht definiert. Trotzdem gibt es noch ca. 80 „KDN-Verweigerer“, die nur über einen direkten Internetanschluss mit Landes- oder Bundesbehörden kommunizieren und damit eigentlich einen Gesetzesverstoß begehen. 3.4.6. CERT-Leistungen für Kommunen Nach Beschluss der AG IS stehen ausgewählte Leistungen des beim SID betriebenen SAX. CERT, wie zum Beispiel der Message-Dienst, auch den Kommunen zur Verfügung. Die technische Realisierung erfolgt über eine bei der SAKD gepflegte Verteilerliste. Von den ca. 60 Kommunen, die sich bisher für diesen Dienst registriert haben, hat sich allerdings inzwischen die Hälfte wieder abgemeldet, da die verteilten Meldungen für ihre jeweilige Infrastruktur zu unspezifisch sind. Eine verbesserte Selektivität dieser Nachrichten kann al lerdings nur über detaillierte Beschreibung der verwendeten Hard- und Software geleistet werden. Diese für die Landesverwaltung angestrebte Lösung ist mit einer einzigen zent ralen kommunalen Verteilerliste nicht realisierbar. Hier sind weitergehende Überlegungen vonnöten. 24 | 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung Symbolbild für Datenströme, die geschützt durch eine Art Sicherheitsschleuse, in einen Serverraum gelangen. 3.4.7. Sicherheitstests Ebenfalls auf Beschluss der AG IS finden seit 2014 regelmäßige, anfangs unangekündigte Tests der Webpräsenzen von Landes- und Kommunalverwaltungen unter Sicherheitsas pekten statt. Kritische Ergebnisse für kommunale Websites wurden der SAKD mitgeteilt, die daraufhin alle betroffenen Betreiber von Webservern und Diensten innerhalb des KDN direkt kontaktiert hat. Die meisten kommunalen Webpräsenzen liegen jedoch bei Providern im Internet, so dass hier nur die jeweilige Kommune selbst bei ihrem Dienstleister auf die Verbesserung des Sicherheitsniveaus drängen kann. Bei den in diesem Zusammenhang erfolgten Tests von Schul-Webpräsenzen sind die von Sicherheitsproblemen betroffenen Schulen unter Verwendung der beim Sächsischen Kul tusministerium vorliegenden Schuldatenbank einzeln angeschrieben worden. Neben einem personalisierten Fehlerbericht wurden dabei auch Kontaktinformationen für Hilfe bei der Problembewältigung übermittelt. 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung | 25 4. Informations- und Cybersicherheit durch Sensibilisierungsmaßnahmen Eines der schwächsten Glieder in der Sicherheitskette ist immer noch der Mensch. Da die beste Technik und die durchdachtesten Sicherheitsvorkehrun-gen die Informations- und Cybersicherheit alleine nicht garantieren können, solange der einzelne Nutzer Defizite im Umgang mit technischen Mitteln zeigt, führt der Weg zu einer nachhaltigen Erhöhung der Informations- und Cybersi-cherheit nur über eine Sensibilisierung eines jeden Einzelnen. Hauptaugenmerk sollte daher darin liegen, Defiziten wie fahrlässigem Handeln oder mangelnden Kenntnissen entgegenzuwirken. Ein zentraler Baustein zu mehr Sicherheit liegt in der Sensibilisierung vor Gefahren bei der alltäglichen Nutzung von PC, Smartphone und Internet einerseits und in der Vermittlung von Kompetenzen zur Gefahrenabwehr andererseits. Dazu zählen der bewusste Umgang mit der IT, die Erlernung einfacher Regeln und die Anwendung verständlicher Sicherheitsmaßnahmen. 26 | 4. Informations- und Cybersicherheit durch Sensibilisierungsmaßnahmen 4.1. Ist-Stand Handlungsbedarf für Sensibilisierungsmaßnahmen Der Handlungsbedarf für Sensibilisierungsmaßnahmen zu den Themen Informations- und Cybersicherheit im Freistaat Sachsen soll abgeleitet werden aus a) einer Übersicht bisheriger Maßnahmen des BfIS-Land b) einer Übersicht weiterer relevanter Initiativen und Aktionen von Staat, Wirtschaft und Bürgern unter besonderer Berücksichtigung ihrer Wirkung auf den Freistaat Sachsen sowie c) einer aktuellen Zusammenfassung der zentralen Ergebnisse von repräsentativen Um fragen zum Thema Cybersicherheit in der deutschen Bevölkerung und Befragungen von Unternehmen 4.1.1. Bisherige Maßnahmen des BfIS-Land Mit der Großveranstaltung „Infosic“ organisierte der BfIS-Land in den Jahren 2012, 2013 und 2015 die größten Sensibilisierungsveranstaltungen für Informationssicherheit auf Landesebene. 572 Menschen wurden gefragt Diese basiert auf der Veranstaltungsreihe „Roadshow Informationssicherheit“, die ur sprünglich von der Bundesakademie für öffentliche Verwaltung (BAköV) zusammen mit dem BSI entwickelt worden war, um die Bediensteten des Bundes auf die Risiken beim Einsatz der IT hinzuweisen und sie für den richtigen, sicherheitsbewussten Umgang mit der IT zu sensibilisieren. „Wie hat Ihnen die Veranstaltung insgesamt gefallen? Nachdem sich der BfIS-Land der BAköV als Partner angeboten hatte, um die Veranstal tungsreihe auch im Freistaat Sachsen den Landesbediensteten anzubieten, wurden im Jahr 2012 in Leipzig mit 600 Teilnehmern, im Jahr 2013 in Chemnitz mit 700 Teilnehmern und im Jahr 2015 in Dresden mit insgesamt 1.800 Teilnehmern bei gleich zwei entsprechenden Großveranstaltungen4 insgesamt bislang über 3.100 Bedienstete der sächsischen Landesund Kommunalverwaltung, sowie weiterer öffentlicher Einrichtungen und Institutionen erreicht. Die sich sehr positiv entwickelnden Teilnehmerzahlen sind sicherlich auch Er gebnis des kontinuierlichen Angebots einer solchen Veranstaltung. Die gesamte Veran staltungsreihe wurde und wird dabei aus Projektmitteln des IT-Planungsrats unterstützt. Nach der erfolgreichen Auftaktveranstaltung 2012 in Sachsen folgten die meisten anderen Bundesländer mit ähnlichen Veranstaltungen. 4 Nachdem die erste Sensibilisierungsveranstaltung bereits nach drei Wochen ausgebucht war, wurde kurzfristig eine zweite Veranstaltung organisiert, die ebenfalls weitere drei Wochen später ausgebucht war. 4. Informations- und Cybersicherheit durch Sensibilisierungsmaßnahmen | 27 In den bisherigen Veranstaltungen in Sachsen wurden in zwei jeweils 90 Minuten um fassenden Blöcken mittels einer unterhaltsamen Mischung aus Vorträgen und Technikde monstrationen („Live-Hacking“) folgende Themen behandelt: ❚ ❚ ❚ ❚ ❚ Gefährdungen durch die Nutzung der modernen Informationstechnik Tücken der Internetnutzung Mobilität mit Tücken Der Mensch als Angriffsziel von Hackern Digitale Identitäten Beworben wurde die Veranstaltung mit Flyern, Plakaten und über zahlreiche weitere Kanäle wie E-Mail-Verteiler, Zeitschriften, Intranet und einer zentralen Internetseite, über die auch die Anmeldung koordiniert wurde. Um Behördenmitarbeitern aller großen sächsischen Ein zugsgebiete die Teilnahme zu ermöglichen, wurden seit der zweiten Veranstaltung im Jahr 2013 zudem für die An- und Abreise Busse bereitgestellt. INFOSIC 2015 – Die Hacker kommen! Aufgrund der hohen Nachfrage fanden gleich zwei Sensibilisierungsveranstaltungen zur Informationssicherheit für Mitarbeiter der Landesverwaltung am 10. und 11. September 2015 im Rundkino Dresden statt. 28 | 4. Informations- und Cybersicherheit durch Sensibilisierungsmaßnahmen Als weitere Sensibilisierungsmaßnahmen für eine größere Öffentlichkeit ist die Veröffent lichung von Informationsmaterial zu nennen. Hier wurden bislang v.a. Flyer zum Thema „Informationssicherheit“ publiziert, die über die Arbeit des BfIS-Land sowie die Organisa tion der Informationssicherheit in der Landesverwaltung informieren. 2012 wurde zudem erstmals der Jahresbericht des BfIS-Land „Die Lage der Informationssicherheit in der Säch sischen Landesverwaltung“ für das vorangegangene Kalenderjahr veröffentlicht. 4.1.2. Maßnahmen weiterer Akteure Neben dem BfIS-Land ist als weiterer Akteur für Sensibilisierungsmaßnahmen im Bereich der Informationssicherheit die Fachhochschule für öffentliche Verwaltung und Rechts pflege Meißen, Fortbildungszentrum des Freistaates Sachsen (FHSV-FoBiZ) zu nen nen, die ihr Programm um Seminare zum Themenbereich Informationssicherheit erweitert hat. So bot die FHSV-FoBiZ im Jahr 2015 folgende Seminare an: ❚ Konzepte, Methodik und Didaktik zur Durchführung von Awareness- und Sensibilisie rungsmaßnahmen in Behörden ❚ Roadshow zur Informationssicherheit – Die Hacker kommen! ❚ Fortbildung zum Informations- / IT-Sicherheitsbeauftragten (Kompaktseminar) ❚ Informationssicherheit für Führungskräfte – Die Verantwortung trägt die Leitung, nicht die IT ❚ Informationssicherheit – aktuelle Entwicklungen ❚ Sicherheit – Privatsphäre – Datenschutz im Web 2.0 – Was NSA so interessiert ❚ Daten- und Informationssicherheit bei Konfiguration und Einsatz mobiler IT ❚ Internetkriminalität: Malware, Phishing, Botnetze – Gefährdungen, Maßnahmen, Richtlinien, Best Practices ❚ Ermittlung und Auswertung von Internetaktivitäten – Grundlagen und einfache Auswertungen – Teil 1 ❚ Ermittlung und Auswertung von Internetaktivitäten – Fortgeschrittene Techniken, Auswertung von Angriffen – Teil 2 Die meisten dieser Seminare richten sich jedoch in erster Linie an Fach- und Führungs kräfte, so dass sie als eine allgemeine Sensibilisierung für den „normalen“ Nutzer nicht in Frage kommen. Auch die sich in öffentlicher Trägerschaft befindliche Sächsische Verwaltungs- und Wirt schaftsakademie bot zwei Seminare zum Thema Informationssicherheit im Jahr 2015 an: ❚ Informationssicherheitsmanagement - Struktur und Vorgehensweise bei der Informa tionssicherheit ❚ Informationssicherheit und Datenschutz – Vertiefungsseminar Diese Seminare richten sich jedoch nur an Führungskräfte ihrer Behörde bzw. mit Daten schutzfragen befasste Mitarbeiter. 4. Informations- und Cybersicherheit durch Sensibilisierungsmaßnahmen | 29 Weitere Schulungen für Fachkräfte (v.a. Bürgermeister), die im Rahmen der „AG Infor mationssicherheit im Geschäftsbereich des SMI“ auf kommunaler Ebene über die SAKD angedacht waren, konnten bisher nicht umgesetzt werden. Jedoch gibt es Kommunen, die Informationsveranstaltungen in Eigenregie durchführen. So organisierte u.a. der Landkreis Meißen 2014 für sich eine „Roadshow Informationssicherheit“, an der über 500 Mitarbeiter teilnahmen. Auch der Landkreis Bautzen führte im Mai 2015 eine „Hacker-Veranstaltung“ zur Sensibilisierung von Mitarbeitern durch. Das Thema Cybersicherheit, und damit die Ausweitung des Bereichs Informationssicherheit auf die Bürger und die Wirtschaft, ist erst Anfang 2015 parallel mit der Neuzuschneidung der Ressorts und dem damit verbundenen Wechsel des Referats zum SMI als Aufgabenge biet des BfIS-Land dazugekommen. Das Thema wurde vormals durch Ref. 34 Technik der Polizei betreut – mit Schwerpunkt auf die Aspekte von Cybercrime und ihrer polizeilichen Verfolgung. So hat das Landeskriminalamt Sachsen eine Veranstaltungskonzeption zu „Gefahren im Umgang mit Neuen Medien“ mit den Bausteinen Elternabend sowie Fortbildung für pä dagogische Fachkräfte erarbeitet; diese zielt auf den Einsatz bei Eltern und Lehrern von Schülern ab Klassenstufe fünf .5 Schwerpunkte der Veranstaltungen sind: ❚ ❚ ❚ ❚ ❚ Jugendgefährdende Inhalte Soziale Netzwerke Handy/Smartphone Gewaltformen (Cybermobbing, Happy-Slapping) Handlungsempfehlungen Zur Gewährleistung der landesweiten Umsetzung dieser Elternabende sowie der Lehrer fortbildung werden seit dem Jahr 2011 mit Präventionsaufgaben betraute Polizeibeamte auf der Grundlage einer Rahmenkonzeption durch das heutige Fortbildungszentrum Baut zen fortgebildet. Darüber hinaus finden landesweit Schülerveranstaltungen zum Thema „Umgang mit neu en Medien“ statt. Hierbei variieren die Zielgruppen zwischen den Klassenstufen 6, 8 und 9. Zu den unterstützenden Begleitmaterialien im Unterricht zählen das Medienpaket „Ver klickt“, welches in Kooperation der Polizeilichen Kriminalprävention der Länder und des Bundes (ProPK) und dem BSI produziert wurde sowie der Film „Netzangriff“. Für die Zielgruppe der Bevölkerung allgemein stehen Informationen zum Thema Compu ter- und Internetkriminalität des ProPK zur Verfügung. Diese Materialien werden inter essierten Bürgern direkt bereitgestellt bzw. im Rahmen von Präventionsveranstaltungen durch die polizeilichen Beratungsstellen eingesetzt. 5 Es wird auf die Seite http://www.polizei.sachsen.de/de/23175.htm verwiesen. 30 | 4. Informations- und Cybersicherheit durch Sensibilisierungsmaßnahmen Zudem wurde im Jahr 2010 durch die sächsische Polizei und dem Sächsischen Verband für Sicherheit in der Wirtschaft e. V. mit Unterstützung des Landesamts für Verfassungs schutz das auf die Bedarfe von klein- und mittelständischen Unternehmen ausgerichtete ganzheitliche Präventionsangebot „Sicheres Unternehmen“ entwickelt. Ziel dessen ist es, die Unternehmen für die Themen „Wirtschaftskriminalität“ und „Unternehmenssicherheit“ zu sensibilisieren sowie bestehende Sicherheitslücken in den Unternehmen zu erkennen und zu beseitigen. Ein Schwerpunkt dieses kostenlosen Beratungsangebotes ist auch Cy bercrime. Neben der staatlichen Seite gibt es in Sachsen auch andere Akteure, die im Bereich der Cybersicherheit die Bürger sensibilisieren. Dazu zählen allen voran die Verbraucherzent rale Sachsen sowie auch der ChaosComputerClub. Die Verbraucherzentrale bietet dabei auf ihrer Internetseite Broschüren zum Datenschutz und weitere Informationsangebote an. Zudem führt sie regelmäßig Beratungsveranstaltungen durch: So gibt sie unter dem Titel „Gefahren im Internet“ Tipps zum sicheren Online-Kauf, Spam-Mails, Phishing, sozia len Netzwerken und Tauschbörsen-Abmahnungen. Auch der ChaosComputerClub Dresden bietet regelmäßig spezielle Veranstaltungen an, hauptsächlich zu Verschlüsselungs- und Sicherheitstechniken. Auch wenn hier für das Thema Cybersicherheit sensibilisiert wird, richten sich die Veranstaltungen doch eher an eine technikaffine Zielgruppe. Darüber hinaus werden einmal im Jahr koordiniert durch das Awareness Center „klicksafe“ des Verbunds Safer Internet DE im Rahmen eines „Safer Internet Day“ Veranstaltungen angeboten. Im Jahr 2015 waren das in Sachsen: ❚ ❚ ❚ Verbraucherzentrale Dresden: „Missbrauchsfalle Internet: Die neuen Medien und ihre Tücken“, ähnliche Veranstaltungen in Hoyerswerda, Torgau, Chemnitz, Bautzen, Leipzig, Zwickau. Dresden: Krypto-Party von der Casablanca Medienhaus gGmbH und dem CCC Dresden Leipzig: Krypto-Party vom Bündnis Privatsphäre Leipzig e.V. Über Sachsen hinaus sind nach dem Motto „Viel hilft viel“ aktuell eine Vielzahl von Initia tiven auf unterschiedlichen Ebenen zum Schutz der Bürgerinnen und Bürger im Internet aktiv, beispielsweise Deutschland Sicher im Netz e.V. (www.sicher-im-netz.de), BSI für Bür ger (www.bsi-fuer-buerger.de), die EU-Initiative für mehr Sicherheit im Netz „klicksafe.de“ (www.klicksafe.de) oder auch die Stiftung Datenschutz (https://stiftungdatenschutz.org). 4. Informations- und Cybersicherheit durch Sensibilisierungsmaßnahmen | 31 4.1.3. Umfragen zu den Themen Informations- und Cybersicherheit Aktuelle Studien wie das Eurobarometer oder der DSiN Index 2014 belegen, dass es einer seits eine große Kluft zwischen Anspruch und Wirklichkeit in der Sicherheitskompetenz bei den einzelnen Nutzern gibt, andererseits zeigen sie, dass Sensibilisierungsmaßnahmen für die reale Gefahrenlage und die Vermittlung von Kompetenzen zur Gefahrenabwehr unverzichtbar sind. In einer Eurobarometer-Umfrage zum Thema Cybersicherheit 6 aus dem Februar 2015 (1.532 Befragte in Deutschland) erkennen das z.T. auch die Nutzer selber: So fühlen sich 51 % der Befragten nicht gut über Risiken der Internet-Kriminalität informiert (plus 3 % im Vergleich zum Jahr 2014). Dieses Unwissen und die gemachten Erfahrungen mit Inter net-Kriminalität schüren Ängste. So sind z.B. 61 % der Befragten besorgt, Schadsoftware auf dem heimischen PC zu finden, und 58 % fürchten sich davor, dass jemand ihre persön lichen Daten missbraucht. Das fußt z.T. auf eigene Erfahrungen: so haben beispielsweise 54 % bereits Schadsoftware gefunden oder Betrug-E-Mails erhalten, die nach persönli chen Zugangsdaten fragten (32 %). Trotz der feststellbaren Uninformiertheit sehen sich jedoch 80 % in der Lage, sich selbst ausreichend vor Internet-Kriminalität zu schützen. Die Diskrepanz zwischen Selbstwahr nehmung und tatsächlicher Umsetzung beweisen jedoch folgende Zahlen: So haben le diglich 73 % der Befragten angegeben ein Anti-Viren-Programm installiert zu haben, nur 63 % öffnen keine ihnen unbekannte E-Mails und nur 36 % ändern regelmäßig ihr Pass wort. Zudem geben 54 % der Befragten an, die Preisgabe von persönlichen Daten auf Webseiten zu vermeiden – ein Prozentsatz, der nicht mit den hohen Nutzerzahlen sozialer Medien korrespondiert, bei denen regelmäßig persönliche Daten preisgegeben werden. Auch der DSiN Index 7 2014 kommt zu dem Ergebnis einer auffälligen Diskrepanz zwischen Kenntnis und tatsächlicher Umsetzung von Schutzmaßnahmen bei allen vier in der Stu die identifizierten Nutzergruppen. Dazu zählen die sogenannten fatalistischen Nutzer, die sehr häufig mit Sicherheitsvorfällen konfrontiert werden, ein hohes Gefährdungsempfin den haben, daraus allerdings kaum Schutzvorkehrungen ableiten (16 % der Onliner). Die nächste Gruppe sind die außenstehenden Nutzer, die geringe Kenntnisse und eine geringe Internetaffinität aufweisen sowie kaum wirksame Schutzvorkehrungen treffen (10 % der Onliner). Dritte Gruppe sind die gutgläubigen Nutzer (35 % der Onliner), die trotz gu ter Kenntnis von Gefahren ein schwach ausgeprägtes Gefährdungsempfinden haben und Schutzmaßnahmen nur selten einsetzen. Als letzte Gruppe benennt die Studie die sou veränen Nutzer (40 % der Onliner), die sich aufgrund der intensiven Nutzung des Inter nets überdurchschnittlich viel mit Schutzmaßnahmen auseinandersetzen, trotzdem aber durchschnittlich häufig von Sicherheitsvorfällen betroffen sind. Abhängig von der Gruppenzugehörigkeit schlägt die Studie deswegen auch unterschied liche Sensibilisierungsmaßnahmen vor: Beim gutgläubigen Nutzer steht Sensibilisierung im Vordergrund, dem fatalistischen Nutzer hingegen müssen die realen Wirkungen von Schutzvorkehrungen verdeutlicht werden. Die außenstehenden Nutzer müssen derweil mit Grundwissen und Umsetzungskompetenzen stärker vertraut gemacht werden. Souveräne Nutzer schließlich gilt es auf den aktuellen Stand zu halten. 6 Special Eurobarometer 423 „Cyber Security“: Factsheet: Ergebnisse für Deutschland, Februar 2015. 7 DsiN Index 2014: Digitale Sicherheitslage der Verbraucher in Deutschland. Eine Studie von Deutschland sicher im Netz e.V., Oktober 2014. 32 | 4. Informations- und Cybersicherheit durch Sensibilisierungsmaßnahmen Dabei hängt die Anwendung des erworbenen Wissens davon ab, dass die vorgestellten Sicherheitsmaßnahmen einfach zu handhaben sein sollten. Gerade bei anspruchsvolleren Sicherheitsmaßnahmen kann der Grad der Kenntnis bereits über ihre Anwendbarkeit ent scheiden. Sprich: Neben Wissen müssen Sensibilisierungsmaßnahmen auch die Umset zungsbereitschaft erhöhen. Doch nicht nur der Inhalt der Schulungen und Fortbildungen ist enorm wichtig, sondern auch, dass sie überhaupt stattfinden. So werden die Bürger allgemein in ihrem beruflichen Umfeld noch viel zu selten im Bereich der Informations- und Cybersicherheit informiert respektive geschult. Laut DSiN Sicherheitsmonitor 2014 für den Mittelstand 8 verharren Vorkehrungen für eine Sensibilisierung von Mitarbeitern auf relativ niedrigem Niveau mit starken Defiziten bei organisatorischen Vorkehrungen. So bieten nur 28 % der privatwirt schaftlichen Unternehmen regelmäßige Informationen und Schulungen zum sicherheits bewussten Verhalten für ihre Mitarbeiter an. Insgesamt wird die Rolle der Mitarbeiter für IT-Sicherheit im Unternehmen als zentraler Sicherheitsfaktor damit deutlich unterschätzt. Dies kann enorme Sicherheitsrisiken im Unternehmen verursachen. Denn praktisch jeder Mitarbeiter kommt in seiner täglichen Arbeit mit sensiblen Daten in Berührung. Von Seiten der Unternehmen gibt es in der Aufklärungsarbeit hier bislang also wenig Unterstützung. Fazit: Sowohl das bisher überschaubare Angebot an Sensibilisierungsmaßnahmen zur In formationssicherheit bzw. Cybersicherheit in Sachsen als auch die durch die Umfragen belegten Wissenslücken bei Bürgern als auch Unternehmen zeigen, dass es einen großen Bedarf nach Maßnahmen zur Sensibilisierung und Kompetenzvermittlung in diesem Be reich gibt. Ausgebuchte Sensibilisierungsveranstaltungen zur IT-Sicherheit des BfIS-Land wie im Jahr 2013 an der TU Chemnitz zeigen, dass es einen großen Bedarf zu dem Thema gibt - nicht nur bei den Landesbediensteten. 8 DsiN-Sicherheitsmonitor Mittelstand 2014. Eine Studie von Deutschland sicher im Netz, 2014. 4. Informations- und Cybersicherheit durch Sensibilisierungsmaßnahmen | 33 4.2. Maßnahmen: Sensibilisierung und Kompetenzvermittlung Um möglichst alle Zielgruppen zu erreichen und das über unterschiedliche Kommuni kationsinstrumente, sind die dafür notwendigen Maßnahmen der Sensibilisierung und Kompetenzvermittlung auf mehreren Ebenen und in Kooperation mit weiteren Akteuren umzusetzen. So bietet es sich nicht nur unter der Prämisse der Wirtschaftlichkeit an z.B. Publikationen und weitere Informationsangebote von seriösen Akteuren wie dem BSI, der BAköV und der EU-Behörde für Informationssicherheit, ENISA, zu nutzen und Synergien einzugehen. 4.2.1. Projekt: E-Learning Die Vernetzung von IT-Systemen, das steigende Datenvolumen sowie kriminelle Angriffe aus dem Internet stellen die Informationssicherheit in der öffentlichen Verwaltung vor immer neue Aufgaben. Um diese Aufgaben bewältigen zu können, sind ein entsprechen des Bewusstsein für Informationssicherheit sowie eine aktive Mitarbeit aller Beschäftigten unverzichtbar. Aus diesem Grund sollen künftig die Beschäftigten der Sächsischen Staats verwaltung systematisch mit der Thematik vertraut gemacht werden. Bei dem Projekt „E-Learning“ handelt es sich um ein Anschubprojekt zur langfristigen Sensibilisierung und Qualifizierung der Beschäftigten der sächsischen Landesverwaltung zum Thema Informa tionssicherheit. Aufgrund der Dezentralität und zeitlichen Verfügbarkeiten der Zielgruppe sollen in einem Lernangebot neben Präsenzveranstaltungen verstärkt E-Learning-Kompo nenten, bspw. die Bereitstellung von Selbstlerneinheiten auf einer zentralen Lernplattform, Berücksichtigung finden. Im Rahmen eines Kooperationsvertrag mit der TU Dresden erforscht der Lehrstuhl für Wirtschaftsinformatik der TU Dresden ein geeignetes Lernangebot unter dem Arbeitsti tel „Informationssicherheit in der sächsischen Landesverwaltung“. Dabei werden zunächst bestehende Angebote der BAköV hinsichtlich ihrer technischen und inhaltlichen Adaptier barkeit überprüft. Zudem wird mit zusätzlicher Unterstützung der HTW Dresden und eines studentischen Start-Ups ein passgenaues Marketing-Konzept entwickelt. Die Ergebnisse des Anschubprojektes sind die Grundlage für die prototypische Umset zung und Evaluierung der erarbeiteten Konzepte zur Umsetzung des mittel-/langfristigen Anliegens. Dies wäre in einem Anschlussprojekt umzusetzen. Ziel ist einerseits eine E-Le arning-Plattform, die ähnlich der erfolgreichen Veranstaltungsreihe „Die Hacker kommen“ zu Fragen der Informationssicherheit sensibilisiert, und andererseits ein Marketingkonzept zum Thema Informationssicherheit, insbesondere E-Learning. 34 | 4. Informations- und Cybersicherheit durch Sensibilisierungsmaßnahmen 4.2.2. Informations- und Netzwerkveranstaltungen im Rahmen des Cyber Security Month der EU Der BfIS-Land hat sich im Oktober 2015 erstmals am „European Cyber Security Month“ beteiligt. Mittels Informations- und Sensibilisierungsveranstaltungen sowie Medieninfor mationen wurde im Rahmen der Kampagne #CyberSecMonth der ENISA (European Union Agency for Network and Information Security), auf sächsische Themen aufmerksam ge macht. Nach unserer Kenntnis nahm damit zum ersten Mal ein Bundesland an der Kam pagne teil. Vor Beginn des „European Cyber Security Month“ wurde in einer Medieninformation über die Kampagne #CyberSecMonth und die Aktivitäten des Freistaates Sachsen informiert. In der letzten Oktoberwoche wurde dann eine Veranstaltung ausgerichtet: Am 27. Oktober wurde im Rahmen der etablierten Veranstaltungsreihe „IT-Security Stamm tisch“ des Netzwerkes „Silicon Saxony e.V.“ zusammen mit Partnern wie T-Systems Multi media Solutions und der TU Dresden behördliche Aktivitäten und Initiativen im Bereich der Informations- und Cybersicherheit vorgestellt. Bei der Veranstaltung im Hans-Nadler-Saal des Residenzschloss Dresden hielt der BfIS-Land einen Vortrag über seine Arbeit. Zudem wurde das Projekt „HoneySens“ präsentiert. IT Security Stammtisch im Rahmen des „European Cyber Security Month“ am 27.10.2015 im Hans-Nadler-Saal des Residenzschloss Dresden zum Thema „Digitales Sachsen und IT-Sicherheit in der Verwaltung“. 4. Informations- und Cybersicherheit durch Sensibilisierungsmaßnahmen | 35 5. Cybersicherheit für Bürger und Wirtschaft Das Internet stellt für Bürger und Wirtschaft mittlerweile eine unentbehrliche Ressource dar. Auf Seiten des Bürgers als Grundlage vielfältiger Wege der Kommunikation, Information, Unterhaltung. Für die Wirtschaft als allgegenwärtige Werbe- und Handelsplattform und auch als Grundlage der Zusammenarbeit von Firmen untereinander. Die Nutzung des Internets durch den Bürger hat sich in den letzten Jahren stark verändert. Waren noch vor Jahren der normale Desktopcomputer oder der Lap-top die primären Zugangswege, so ist es heute das Tablet und das Smartphone. War es früher üblich, das Internet bei Bedarf zu nutzen, z.B. um im Web zu sur-fen oder E-Mails abzurufen, so ist der Nutzer heute rund um die Uhr verbunden, also „always on“. In der Konsequenz arbeiten viele Kommunikationsangebote nach dem „Push“-Verfahren: Informationen werden auf das Geräte des Nutzers gesendet, sie müssen nicht mehr aktiv abgeholt werden. 36 | 5. Cybersicherheit für Bürger und Wirtschaft Diese tiefe Verbindung des täglichen Lebens mit dem Internet bietet viele Vorteile und An nehmlichkeiten, sie birgt aber auch Risiken. Für den normalen Nutzer des Internets stehen dabei die kriminellen Aktivitäten von Hackern im Vordergrund. Ziel dieser Cyberkriminellen ist es, solche Informationen und Daten zu erlangen, die sich in irgendeiner Form in Geld umsetzen lassen. In diesem Feld der Kriminalität werden eine ganze Reihe von Methoden verfolgt. Sie reichen vom Abhören von Passworten mithilfe sogenannter „Keylogger“ über den Eingriff in die Kommunikation mit der Bank beim Onlinebanking bis hin zur Erpressung beispielsweise durch Verschlüsselung von Festplatten und deren Entschlüsselung gegen ein Lösegeld. Aber auch die immer breitere Nutzung sozialer Netze wie Facebook oder Google+ bringt Risiken. Die damit verbundene, weite Verbreitung von persönlichen Infor mationen, wie zum Beispiel Urlaubsfotos, dient mittlerweile als Mittel der Ausforschung lohnender Einbruchsziele, und im zwischenmenschlichen Bereich kommt es immer wieder zum sogenannten Cybermobbing. Letzteres fokussiert hauptsächlich auf junge und jüngste Internetnutzer. All diesen Risiken kann nicht vollständig entgangen werden. Aber es ist möglich, die eigene „Angriffsfläche“ auf das notwendige Minimum zu reduzieren. Es kann und darf nicht die Aufgabe des Staates sein, seine Bürger zu schützen, denn umfassende Schutzmaßnahmen sind immer mit einem spürbaren Eingriff in die Kommunikation und damit in die informa tionelle Selbstbestimmung verbunden. Daher ist es erforderlich, dass sich die Nutzer des Internets der Risiken bewusst sind und ihre eigenen Schutzmöglichkeiten kennen. Diese Sensibilisierung kann aber sehr wohl durch den Staat befördert werden. Das sächsische Staatsministerium des Innern plant daher, wie schon erfolgreich für die Mitarbeiter der Landes- und Kommunalverwaltungen in den Jahren 2012, 2013 und 2015 praktiziert, Sensibilisierungsveranstaltungen für die Bürger des Freistaats Sachsen anzubieten und so mehr Bewusstsein für Sicherheit und das eigene Handeln im Internet zu befördern. Aber auch für die Firmen in Sachsen ist besondere Vorsicht geboten. Eine Vielzahl der kleinen und mittleren Unternehmen in Sachsen sind in hohem Maß innovativ. Gerade diese Innovationsfähigkeit macht sie aber gleichzeitig zu begehrten Zielen der Industriespiona ge. Kaum eine Entwicklung ist heute ohne den Einsatz von Computern denkbar, sei es im Maschinenbau, der Elektrotechnik oder anderen Bereichen. Dabei kommen praktisch immer auch firmeninterne Netzwerke zum Einsatz, die ihrerseits mit dem Internet verbunden sind. Die in solchen Netzen zusammengeschlossenen PCs und Server enthalten oft die „Kronju welen“ von Unternehmen, deren Verlust oft zu massiven, wirtschaftlichen Problemen bis hin zur Insolvenz führen kann. Immerhin ist es deutlich einfacher, Plagiate aus CAD-Unter lagen zu erstellen als die Originale mühsam zu vermessen. Seitdem Hackerangriffe mittlerweile als Dienstleistung angeboten werden, Stichwort „Cy bercrime as a Service“, muss auf Seiten des „Kunden“ solcher Dienstleistungen kein eigenes Know-how zum Hacking vorhanden sein. Es genügt, das Angriffsziel und den Angriffs zweck zu definieren und dann den geforderten Preis zu bezahlen. Der Rest ist dann eine „Dienstleistung“. Diese Dienstleistungen sind vielfältig. Es werden alle Angriffe vom Aus spionieren über Datenverfälschung bis hin zur nachhaltigen Störung der IT-Systeme des Zieles (DDoS-Angriff) auf diesem internationalen Markt angeboten. 5. Cybersicherheit für Bürger und Wirtschaft | 37 Eine aktuelle Studie des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e. V. (BITKOM) 9 zeigt, dass 51 % der Unternehmen in den letzten zwei Jahren Opfer von Wirtschaftsspionage, Sabotage und Datendiebstahl waren. Der dabei entstan dene Schaden von rund 51 Milliarden Euro pro Jahr entspricht mittlerweile 1,75 % vom jährlichen Bruttoinlandsprodukt. Trotzdem verfügen immer noch 51 % der Unternehmen nicht über ein adäquates Notfallmanagement, welches Schäden eingrenzt oder die Be triebsstabilität gewährleistet! Und so beschreibt es auch der BITKOM als „bedenklich, dass sich nur jedes fünfte Unternehmen (20 %) an staatliche Stellen wendet.“ 10 Es gilt also für Unternehmen vorzusorgen und die eigenen IT-Systeme zu schützen. Es ist in hohem Maße leichtsinnig, sich auf die Sicherheit der normalen, handelsüblichen Zugangsgeräte für das Internet, den Routern, zu verlassen. Vielmehr muss im Sinne einer realistischen Risikoabschätzung ein Maß an Sicherheit zu vertretbaren Kosten gefunden werden. Auch hier wird das Sächsische Staatsministerium des Innern spezielle Sensibilisie rungsmaßnahmen für kleine und mittlere Unternehmen anbieten. Nicht zuletzt wird das gerade erst im Juli 2015 vom Bundestag verabschiedete IT-Si cherheitsgesetz neue regulatorische Standards und Impulse für die Cybersicherheit von Unternehmen bringen. Schließlich ist es Ziel dieses Bundesgesetzes, dass die Betreiber besonders gefährdeter sogenannter kritischer Infrastrukturen (KRITIS) ihre Netze besser vor Hacker-Angriffen schützen. So sollen neben dann verpflichtenden Meldungen von IT-Sicherheitsvorfällen auch Mindeststandards für die IT-Sicherheit festgelegt werden. Die Betreiber der KRITIS (Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen) haben diese Standards selbst zu entwickeln und vom BSI genehmigen lassen. Offen hält das IT-Sicherheitsgesetz jedoch, welche Unternehmen konkret als KRITIS gelten. Dies wird vielmehr in Rechtsverordnungen geregelt. Ein den Ländern im Februar dieses Jahres vorgelegter Entwurf einer Rechtsverordnung für die ersten vier KRITIS-Bereiche Energie, ITK, Wasser und Ernährung zeigt dabei, dass die vom Bundesgesetzgeber fest gelegten Schwellenwerte, ab wann ein Unternehmen zu den KRITIS zu zählen ist, nicht immer identisch mit der Sicht des Landes sein müssen. In diesem Zusammenhang hätte der Freistaat Sachsen eine tiefergreifendere Beteiligung der Länder im Vorfeld des Entwurfs erwartet. Immerhin werden etwaige Sicherheitsvorfälle von KRITIS-Betreibern, v.a. wenn in kommunaler Hand, unmittelbare Auswirkungen auf das Verwaltungshandeln auf der Landesebene haben. Der Abstimmungsbedarf zwischen Bund und Ländern sowie die möglichen und absehbaren Auswirkungen des Gesetzes auf die Unternehmen zeigen: In den nächsten Jahren wird das IT-Sicherheitsgesetz mit hoher Wahrscheinlichkeit neue Impulse setzen, die mehr als die Cybersicherheit in der Wirtschaft betreffen. 9 10 Spionage, Sabotage und Datendiebstahl –Wirtschaftsschutz im digitalen Zeitalter, BITKOM 2015. s.o., S. 24. 38 | 5. Cybersicherheit für Bürger und Wirtschaft 6. Zusammenfassung und Ausblick Im vorliegenden Bericht wurden die vielfältigen Risiken bei der immer weiteren Durchdringung der Verwaltung, des täglichen Lebens und der Wirtschaft durch IT beleuchtet. Es muss konstatiert werden, dass die Abmilderung der Risiken immer ein Spiel von Hase und Igel darstellt. Dabei ist der Verteidiger immer in der Position des Hasen, denn wir können auf Bedrohungen immer nur reagieren. Allerdings gibt es Wege, die Angriffsmöglichkeiten spürbar zu reduzieren. Denn Angriffe werden in praktisch allen Fällen auf fehlerhafte Software ausgeführt und eben hier liegt ein ganz wesentlicher Hebel für mehr Sicherheit. Auf eben diesem Gebiet ist der Freistaat Sachsen deshalb auch aktiv. Mit dem im Rahmen des Projekts „Sachsen Digital“ ins Auge gefassten Softwareinstituts wird unter anderem genau dieses Ziel verfolgt. Gerade das sich immer weiter verbreitenden Internet der Dinge wird hier ein dankbarer Abnehmer sein. Aber auch alles rund um das Thema Industrie 4.0 kann nur dann zuverlässig funk-tionieren, wenn die Software als Schlüsselelement deutlich sicherer als heute wird. Aber auch in der sächsischen Landesverwaltung wird aktiv daran gearbeitet, die Sicherheit der informationstechnischen Systeme weiter zu verbessern und auch die organisatorischen Strukturen der Informationssicherheit zu verbes-sern. Denn die bisherige Durchdringung der Verwaltung mit Informationstech-nik wird weiter fortschreiten und auch die Bedrohungen aus dem Cyberraum für die Verwaltungen nehmen stetig zu. Hier muss Sachsen gerüstet sein. 6. Zusammenfassung und Ausblick | 39 Abkürzungsverzeichnis: AG IS Arbeitsgruppe Informationssicherheit AK ITEG Arbeitskreis IT und E-Government AK SVN Arbeitskreis Sächsisches Verwaltungsnetz BAköV Bundesakademie der öffentlichen Verwaltung BfIS Beauftragter für Informationssicherheit BfIS-Land Beauftragter für Informationssicherheit des Landes BSI Bundesamt für Sicherheit in der Informationstechnik DDoS Distributed Denial of Service (Verteilte Dienstblockade) ENISA European Union Agency for Network and Information Security http Hypertext Transfer Protocol (Hypertext-Übertragungsprotokoll) HTTPS Hypertext Transfer Protocol Secure (sicheres Hypertext-Übertragungsprotokoll) KDN Kommunales Datennetz LA ITEG Lenkungsausschuss IT und E-Government ProPK Polizeiliche Kriminalprävention der Länder und des Bundes SächsDSG Sächsisches Datenschutzgesetz SächsEGovG Sächsisches E-Government Gesetz SAKD Sächsische Anstalt für kommunale Datenverarbeitung SAX.CERT Computer Emergency Response Team (Computer Notfallteam) Freistaat Sachsen SID Staatsbetrieb Informatik Dienstleistungen SMI Sächsisches Staatsministerium des Innern SVN Sächsisches Verwaltungsnetz TSI T-Systems International VwV Verwaltungsvorschrift Abkürzungsverzeichnis | 41 Herausgeber: Sächsisches Staatsministerium des Innern Redaktion: Referat 65 „Informationssicherheit in der Landesverwaltung, Cybersicherheit“ Gestaltung und Satz: Haus E alltag & anders, Chemnitz Druck: Druckerei Oskar Görner, Chemnitz Redaktionsschluss: Februar 2016 Bezug: Diese Druckschrift kann kostenfrei bezogen werden bei: Zentraler Broschürenversand der Sächsischen Staatsregierung Hammerweg 30, 01127 Dresden Telefon: +49 351 210367172 Telefax: +49 351 2103681 E-Mail: [email protected] www.publikationen.sachsen.de Verteilerhinweis Diese Informationsschrift wird von der Sächsischen Staatsregierung im Rahmen ihrer verfas sungsmäßigen Verpflichtung zur Information der Öffentlichkeit herausgegeben. Sie darf we der von Parteien noch von deren Kandidaten oder Helfern im Zeitraum von sechs Monaten vor einer Wahl zum Zwecke der Wahlwerbung verwendet werden. Dies gilt für alle Wahlen. Missbräuchlich ist insbesondere die Verteilung auf Wahlveranstaltungen, an Informations ständen der Parteien sowie das Einlegen, Aufdrucken oder Aufkleben parteipolitischer Infor mationen oder Werbemittel. Untersagt ist auch die Weitergabe an Dritte zur Verwendung bei der Wahlwerbung. Auch ohne zeitlichen Bezug zu einer bevorstehenden Wahl darf die vorliegende Druckschrift nicht so verwendet werden, dass dies als Parteinahme des Herausgebers zu Gunsten einzel ner politischer Gruppen verstanden werden könnte. Diese Beschränkungen gelten unabhängig vom Vertriebsweg, also unabhängig davon, auf welchem Wege und in welcher Anzahl diese Informationsschrift dem Empfänger zugegan gen ist. Erlaubt ist jedoch den Parteien, diese Informationsschrift zur Unterrichtung ihrer Mitglieder zu verwenden. Copyright Diese Veröffentlichung ist urheberrechtlich geschützt. Alle Rechte, auch die des Nachdruckes von Auszügen und der fotomechanischen Wiedergabe, sind dem Herausgeber vorbehalten.