Informations- und Cybersicherheit in Sachsen

Transcrição

Informations- und
Cybersicherheit in Sachsen
Jahresbericht des Beauftragten für
Informationssicherheit des Landes
2014/2015
Inhaltsverzeichnis
Vorwort
.............................................................................................................................................................................................. 1
1.
Begriffsdefinition Informationssicherheit / Cybersicherheit ........................................................................................................ 4
2.
2.1.
2.2.
2.3.
2.4.
2.5.
Bedrohungslage ............................................................................................................................................................................... 6
Weltweit.............................................................................................................................................................................................................................. 7
Industrie 4.0 und Internet der Dinge ...........................................................................................................................................................................8
Deutschland ....................................................................................................................................................................................................................... 8
Sachsen............................................................................................................................................................................................................................. 10
SVN ............................................................................................................................................................................................................................... 11
3.
Informationssicherheit in der öffentlichen sächsischen Verwaltung......................................................................................... 12
3.1. Organisatorische Strukturen der Informationssicherheit................................................................................................................................... 13
3.1.1. AG Informationssicherheit ............................................................................................................................................................................ 13
3.1.2. AK IT und E-Government ............................................................................................................................................................................... 14
3.1.3. IT Kooperationsrat............................................................................................................................................................................................ 14
3.1.4. AK SVN................................................................................................................................................................................................................ 15
3.1.5. IT-Planungsrat................................................................................................................................................................................................... 15
3.1.6. AG Informationssicherheit des IT-Planungsrats...................................................................................................................................... 15
3.2. Gremienbeschlüsse zur Informationssicherheit in der sächsischen Landesverwaltung............................................................................ 16
3.2.1. Erhöhung der Sicherheit der Internetseiten der Landesverwaltung.................................................................................................. 16
3.2.2. Ressortübergreifendes Meldeverfahren..................................................................................................................................................... 17
3.3. Technische Projekte für mehr Informationssicherheit ........................................................................................................................................ 18
3.3.1. HoneySens.......................................................................................................................................................................................................... 18
3.3.2. Identity-Leak-Checker.................................................................................................................................................................................... 20
3.3.3. APT-Erkennung ................................................................................................................................................................................................. 21
3.3.4. DDoS-Protection .............................................................................................................................................................................................. 21
3.4. Stand der Informationssicherheit in den Kommunen ......................................................................................................................................... 22
3.4.1. Leitlinien- und Informationssicherheits-Management-Prozesse....................................................................................................... 22
3.4.2. Informationssicherheit in der IT-Service-Beratung ............................................................................................................................... 23
3.4.3. Erfahrungsaustausch und Kommunikation............................................................................................................................................... 23
3.4.4. Informationssicherheit und Datenschutz.................................................................................................................................................. 24
3.4.5. Das KDN als sicheres Netz............................................................................................................................................................................. 24
3.4.6. CERT-Leistungen für Kommunen................................................................................................................................................................. 24
3.4.7. Sicherheitstests ................................................................................................................................................................................................ 25
4.
Informations- und Cybersicherheit durch Sensibilisierungsmaßnahmen.................................................................................. 26
4.1. Ist-Stand Handlungsbedarf für Sensibilisierungsmaßnahmen......................................................................................................................... 27
4.1.1. Bisherige Maßnahmen des Beauftragten für Informationssicherheit ............................................................................................... 27
4.1.2. Maßnahmen weiterer Akteure ..................................................................................................................................................................... 29
4.1.3. Ergebnisse von repräsentativen Umfragen zu den Themen Informationssicherheit und Cybersicherheit............................ 32
4.2. Maßnahmen: Sensibilisierung und Kompetenzvermittlung .............................................................................................................................. 34
4.2.1. Projekt: E-Learning.......................................................................................................................................................................................... 34
4.2.2. Informations- und Netzwerkveranstaltungen im Rahmen des Cyber Security Month der EU.................................................. 35
5.
Cybersicherheit für Bürger und Wirtschaft ................................................................................................................................. 36
6.
Zusammenfassung und Ausblick .................................................................................................................................................. 39
Abkürzungsverzeichnis................................................................................................................................................................................................. 41
Vorwort So wie das Internet aus dem Leben der Bürger nicht mehr wegzudenken ist, setzt
auch die Verwaltung IT-basierte Lösungen ein, um Vorgänge effektiv und schnell
zu bearbeiten. Zudem stellen die Behörden im Freistaat Sachsen den Bürgern
zunehmend elektronische Angebote im Internet zur Verfügung.
Die neuen Kommunikations- und Datenwege haben viele Vorteile, bergen aber auch
Risiken in sich, denn die digitale Technik ist vor Missbrauch nicht einhundertprozentig
zu schützen. Daher bedarf es fortwährender Anstrengungen in der Landesverwaltung,
Daten und Kommunikationswege so hinreichend zu schützen, dass sie den
potenziellen und sich immer weiter entwickelnden Angriffen von außen z.B. durch
Hacker Stand halten.
Der Freistaat Sachsen ist hierbei gut aufgestellt und verfügt über eine schlagkräftige
CIO-Organisation, die zusammen mit weiteren Gremien wie der ressortübergreifenden
Arbeitsgruppe Informationssicherheit Maßnahmen zur IT-Sicherheit beständig
ausbaut und weiter entwickelt. Dem Beauftragten für Informationssicherheit des
Landes obliegt hierbei die verantwortungsvolle Aufgabe, die Entwicklung der ITSicherheit in der Landesverwaltung strategisch zu steuern und hierbei immer wieder
neuen technischen Lösungen zur Einführung zu verhelfen, die dem Schutz der
Informationssicherheit dienen.
Die Zusammenarbeit zwischen Gremien und Ressorts und das gemeinsame Erarbeiten
von Sicherheitslösungen funktioniert auch deshalb so gut, weil der Freistaat frühzeitig
die Bedeutung der Informationssicherheit auch gesetzlich verankert hat, und zwar in
der Verwaltungsvorschrift Informationssicherheit im September 2011 und schließlich
im Sächsischen E-Government-Gesetz, das im August 2014 in Kraft getreten ist.
Auch auf Bundesebene erfährt das Thema Informationssicherheit eine große
Beachtung: Im März 2013 hat der IT-Planungsrat die Leitlinie „Informationssicherheit
für die öffentliche Verwaltung“ verabschiedet und damit zwischen Bund und
Ländern auch ein verbindliches Mindestsicherheitsniveau der IT-gestützten Ebenen
übergreifenden Zusammenarbeit in der Verwaltung vereinbart.
Der vorliegende Jahresbericht des Beauftragten für Informationssicherheit des Landes
zeigt, mit welchen Strukturen und Maßnahmen die IT des Freistaates Sachsen gegen
Angriffe von außen gehärtet werden und welche Anstrengungen darüber hinaus
unternommen wurden, die Online-Kommunikation mit Bürgern und Unternehmen
bestmöglich zu sichern. All die Beispiele und Maßnahmen zeigen dabei deutlich:
Informationssicherheit genießt in Sachsen hohe Priorität.
Dr. Michael Wilhelm
Staatssekretär und CIO des Freistaates Sachsen
Vorwort | 1
Einführung:
Informationssicherheit in Sachsen
War vor dreißig Jahren der Begriff „Informationstechnik“ noch etwas für Spezialisten,
so ist er mittlerweile Bestandteil unseres täglichen Lebens geworden. Dies spiegelt
sich zum einen in den allgegenwärtigen Smartphones, Laptops und PCs, zum
anderen aber auch vielfach unsichtbar in Produkten für das tägliche Lebens wider.
So bilden heute die IT-Komponenten in einem normalen Fahrzeug der gehobenen
Mittelklasse die Komplexität eines kleineren Rechenzentrums der 80er Jahre ab. All
diese technischen Geräte kommunizieren mit- und untereinander, in aller Regel über
das Internet aber auch über eine Vielzahl anderer Netzwerke wie Bluetooth, ZigBee
und so weiter.
Die Kommunikation der Menschen aber auch der Dinge selbst, also dem „Internet
der Dinge“ von der intelligenten Zahnbürste bis hin zum Oberklasseauto, suchen und
finden Plattformen für die Interaktion im Internet. Für die Menschen sind dies heute
die sozialen Netzwerke wie Facebook, Twitter oder WhatsApp, für die Maschinen
die Maschinen-Clouds, über die Daten aggregiert und ausgewertet werden. Die
Informationstechnik ist überall.
Parallel zu dieser Entwicklung hat sich aber auch eine „Szene“ für den Missbrauch
der Möglichkeiten der Informationstechnik herausgebildet. Die Anfänge waren noch
von Neugier und dem Motto „weil ich es kann!“ geprägt. Das hat sich geändert:
Heute werden die Systeme und Netze aus wirtschaftlichen Gründen, mittlerweile
aber auch aus politischen Gründen angegriffen. Die Art und Weise dieser Angriffe
stellt sich je nach Ziel unterschiedlich dar. Werden „Normalbürger“ in der Breite
und mit automatisierten Verfahren angegriffen, so werden einzelne Prominente oder
auch Firmen und Verwaltungen oft gezielt und mit passgenauen Methoden manuell
ins Visier genommen. Es hat sich hier eine eigene Industrie für die Entwicklung,
die Vermarktung und den Einsatz von Angriffsverfahren herausgebildet, die Züge
organisierter Kriminalität trägt.
Die sächsische Staatsregierung hat vor sich diesem Hintergrund im Sommer 2011
entschlossen, das Thema der strategischen Informationssicherheit in einer eigenen,
spezialisierten Organisationseinheit zu bündeln und dadurch die Kräfte der einzelnen
Ressorts besser zu koordinieren und wirksam werden zu lassen. Zusammen mit den im
„Computer Emergency Response Team“ (CERT) im Staatsbetrieb Sächsische Informatik
Dienste (SID) vorhandenen Ressourcen soll sich so ein insgesamt höheres Niveau der
Sicherheit der informationstechnischen Systeme aller Nutzer in der Landesverwaltung
einstellen. Im Jahr 2013 konnten die Verhandlungen im IT-Planungsrat zwischen
2 | Einführung: Informationssicherheit in Sachsen
den Ländern und dem Bund zu einer Leitlinie Informationssicherheit abgeschlossen
werden, in der sich erstmals Bund und Länder zu einem gemeinsamen Vorgehen
rund um die Informationssicherheit verpflichten.
Diese Bündelung ist auch notwendig: Der Internetzugang des Sächsischen
Verwaltungsnetzes verzeichnet monatlich hunderte Angriffsversuche. Die E-Mails, die
an die Landesverwaltung gerichtet sind, bestehen zu 95 % aus sogenanntem Spam,
also unerwünschten E-Mails. Aus den verbleibenden 5 % werden noch hunderte mit
schädlichen Anhängen herausgefiltert. Parallel dazu gab und gibt es eine Reihe von
versuchten Angriffen auf die Internetangebote der Landesverwaltung. Wie imminent
die Bedrohung aus dem Internet ist, zeigt der erfolgreiche Angriff auf den Deutschen
Bundestag. Die nicht nur materiellen Folgen dieses Angriffs sind derzeit noch gar
nicht endgültig absehbar.
Die Bedrohung ist also auch für die sächsische Landesverwaltung real. Der Schutz der
informationstechnischen Systeme ist unverzichtbar. Es hat sich ein „Hase und Igel“
- Spiel entwickelt mit sich immer weiter verfeinernden Angriffsmethoden und einer
sich daraus ergebenden Notwendigkeit immer komplexerer Schutzmechanismen.
Mit dem vorliegenden Jahresbericht des Beauftragten für Informationssicherheit
des Landes sollen Mitarbeiter der sächsischen Landes- und Kommunalverwaltungen
sowie Bürger und Wirtschaft gleichermaßen über den Stand der Informations- und
Cybersicherheit im Freistaat Sachsen, die damit verbundenen Herausforderungen und
die Arbeit des Beauftragten für Informationssicherheit des Landes informiert werden.
Karl Otto Feger
Beauftragter für die Informationssicherheit des Landes
Einführung: Informationssicherheit in Sachsen | 3
1. Begriffsdefinition Informationssicherheit/
Cybersicherheit
Der Begriff „Informationssicherheit“ in der Landesverwaltung hat in den letzten Jahren mehr und mehr den bisherigen Begriff „IT-Sicherheit“ verdrängt.
Hintergrund dafür ist die Erkenntnis, dass jegliche Form der Information einen
Wert an sich darstellt, nicht nur die informationstechnisch bearbeitete und gespeicherte.
Vor diesem Hintergrund definierte das Bundesamt für Sicherheit in der Informationstechnik im Standard BSI 100-11:
„Informationssicherheit hat als Ziel den Schutz von Informationen jeglicher
Art und Herkunft. Dabei können Informationen sowohl auf Papier, in
Rechnersystemen oder auch in den Köpfen der Nutzer gespeichert sein. ITSicherheit beschäftigt sich an erster Stelle mit dem Schutz elektronisch
gespeicherter Informationen und deren Verarbeitung.“
In der VwV Informationssicherheit 2 hat sich der Freistaat Sachsen für eine etwas
andere Definition des Begriffs entschieden:
„Informationssicherheit bezeichnet einen Zustand, in dem die Risiken für die
Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen
und IT durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind. Die
Informationssicherheit umfasst neben der Sicherheit der IT-Systeme und der darin
gespeicherten Daten auch die Sicherheit von nicht elektronisch verarbeiteten und
gespeicherten Daten und Informationen.“
1
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/ITGrundschutzStandards_node.html
2
Verwaltungsvorschrift der Sächsischen Staatsregierung zur Gewährleistung der Informationssicherheit in der
Landesverwaltung; siehe http://www.revosax.sachsen.de/vorschrift/12084-VwV_Informationssicherheit
4 | 1. Begriffsdefinition Informationssicherheit/Cybersicherheit
Symbolbild für den Datenverkehr rund um den Globus, aus dem sich Gefahren für alle Nutzer ergeben können.
Mit dieser Definition wird verdeutlicht, dass der Freistaat Sachsen bei der Betrachtung der
Sicherheit mehr als nur die IT-Systeme im engeren Sinn ins Auge gefasst hat. Beispielswei
se ist das Ziel der Verfügbarkeit nicht allein durch entsprechend dimensionierte IT-Systeme
erreichbar. Vielmehr müssen auch flankierende bauliche und personelle Maßnahmen für
die Zielerreichung ergriffen werden. Die Hochwasserereignisse in den Jahren 2002 und
2013 führten dies vor Augen, und die sich immer mehr verschärfende Bedrohung aus dem
Internet unterstreicht es.
Es ist daher erforderlich, die Informationssicherheit in der Landesverwaltung als ganz
heitliche und gemeinsame Aufgabe aller betroffenen Akteure zu begreifen. Daher wurde
seitens der Sächsischen Staatsregierung im September 2011 mit der VwV Informationssi
cherheit die Plattform geschaffen, die vielen anstehenden ressortübergreifenden Aufgaben
anzugehen.
In Ergänzung und Abgrenzung dazu beschreibt der Begriff „Cybersicherheit“ die Informati
onssicherheit bei Bürgern und Wirtschaft. Dieses Themenfeld wird seit Anfang 2015 neu im
Sächsischen Staatsministerium des Innern durch den BfIS-Land verantwortet.
1. Begriffsdefinition Informationssicherheit/Cybersicherheit | 5
2. Bedrohungslage
Im Berichtszeitraum 2014/15 zeigen Beispiele aus aller Welt wie auch aus der
Öffentlichen Verwaltung in Deutschland, dass im wachsenden Maß aus bislang
oft nur diffus wahrgenommenen Risiken für die IT-Sicherheit erhebliche reale
Bedrohungen werden können. Das beschreiben auch die jährlich erscheinenden
Berichte des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur
Lage der IT-Sicherheit in Deutschland 3.
Im Folgenden sind beispielhaft einige Beispiele für schwerwiegende Sicher-heitsvorfälle genannt.
3
Die Lage der IT-Sicherheit in Deutschland 2015, Bundesamt für Sicherheit in der Informationstechnik, 2015.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2015.
pdf;jsessionid=E8B9233ED0E7CBFEFF0B23D95A5FF28A.2_cid359?__blob=publicationFile&v=3
6 | 2. Bedrohungslage
2.1. Weltweit
Beispielhaft für einen Cyberangriff mit politischer Motivation war der Angriff auf einen fran
zösischen Fernsehsender im April 2015. Dabei gelang es vorgeblich islamistischen Hackern
(„Cyber-Kalifat“) sowohl die Konten des Senders auf sozialen Netzen zu übernehmen und zu
missbrauchen als auch den Sendebetrieb über Stunden zu unterbinden. Gerade letzteres ist
überraschend, da es eigentlich nicht möglich sein sollte, die Steuerungsanlagen des Senders
über die Redaktionsnetze zu erreichen. Gerade das schien aber im vorliegenden Fall passiert
zu sein. Darüber hinaus müssen die Angreifer über sehr genaue Kenntnis der technischen
Anlagen des Fernsehsenders verfügt haben, um einen derartigen Schaden anzurichten. Daher
wurde darüber spekuliert, ob es sich hier um eine Auftragsarbeit im Sinne eines Outsour
cing-Modells „Cybercrime-as-a-Service“ handelt. Dass solche „Dienstleistungen“ heute
durchaus einkaufbar sind, ist schon länger bekannt. So führten denn auch die Spuren der Er
mittler wenige Wochen nach dem Cyber-Angriff nach Osteuropa zu einer Gruppe russischer
Hacker, die auch mit Angriffen auf die Informationssysteme der US-Regierung und NATO in
Verbindung gebracht werden.
Einen anderen sensiblen Bereich stellt der Angriff auf einen italienischen Hersteller von
Überwachungssoftware im Juli 2015 dar. Dabei erbeuteten die Angreifer die komplette Da
tenstruktur inklusive aller internen E-Mails, Dokumente und Software-Quellcodes der um
strittenen Sicherheitsfirma und veröffentlichten diese im Netz. Zudem hatten sie zeitweilig
den Web-Server und das offizielle Twitter-Konto des Unternehmens unter Kontrolle und
berichteten darüber über ihre Aktion, die in erster Linie dazu diente, die Geschäftspraktiken
und - Beziehungen des Unternehmens aufzudecken. Da die Angreifer auch eine Tabelle
mit Passwörtern von Firmenmitarbeitern ins Internet stellten, die einfach zu knackende
Passwörter wie „PassW0rd“ und „Pa$$w0rd“ verwendeten, kann davon ausgegangen wer
den, dass die Hacker-Attacke diese Schwachstelle der Sicherheitsspezialisten ausgenutzt
haben dürfte, um im großen Stil die Daten abzugreifen. Dass es solche „einfachen“ und
gleichermaßen schwerwiegenden Verhaltensfehler im Umgang mit der IT selbst bei Mitar
beitern einer Sicherheitsfirma gibt, ist erstaunlich und zeigt, dass die Sensibilisierung von
Mitarbeitern keinen Wirtschaftszweig ausklammern sollte.
Ebenfalls im Juli 2015 wurde ein Cyberangriff auf die Personalverwaltung der US-Regie
rung bekannt. Hierbei erbeuteten Hacker, die vermutlich aus China stammen, Daten von
rund 26 Millionen US-Bürgern. Aufgrund der Masse an abgegriffenen Datensätzen, zu
denen Adressen, Sozialversicherungsnummern, Geburts-, Telefon- und Gesundheitsdaten
sowie Informationen zu Finanzen, krimineller Vergangenheit und teils auch Fingerabdrücke
gehören, ist dieser Hackerangriff sicherlich einer der bislang größten Datendiebstähle im
Cyberraum in der Geschichte der Vereinigten Staaten. Die in zwei Wellen stattgefundenen
Angriffe ereigneten sich dabei bereits im Vorjahr und sollen vom chinesischen Staat in Auf
trag gegeben worden sein. Offenbar soll die Personalverwaltung der US-Regierung bereits
seit dem Jahr 2007 von Schwachstellen in ihrem Netzwerk gewusst haben.
2. Bedrohungslage | 7
2.2. Industrie 4.0 und Internet der Dinge
Die Cybersicherheit in Unternehmen ist von hoher strategischer und ökonomischer Bedeu
tung sowohl für das Funktionieren von IT-basierten bzw. mit IT vernetzten Industrieprozes
sen (Industrie 4.0) als auch für die Sicherheit der Konsumenten, die Produkte oder Dienst
leistungen von vernetzten Geräten nutzen (Internet der Dinge). Dass Defizite im Bereich
der IT-Sicherheit für Unternehmen und Konsumenten gleichermaßen schwerwiegende
Folgen haben können, beweisen allein die im Berichtszeitraum aufgedeckten Sicherheits
lücken bei vernetzten Automobilen.
Schwerwiegendster Fall war dabei die gezielte Manipulation eines Fahrzeugs, die Sicher
heitsexperten in den USA im Juli 2015 nachgewiesen hatten. Hierbei war es gelungen,
aus der Ferne über eine Sicherheitslücke im Unterhaltungssystem des Wagens, das mit
dem Internet verbunden ist, bis zur Steuerung des Autos vorzudringen. Die IT-Spezialisten
konnten demnach die Bremsen, Geschwindigkeit, Klimaanlage und das Radio des Fahr
zeugs fernsteuern. Der Zugang geschah über eine GSM-Schnittstelle im Wagen, die bei
Autos für den amerikanischen Markt verbaut wurde. Nach der Veröffentlichung dieser gra
vierenden Sicherheitslücke rief der Autobauer in den USA 1,4 Millionen Autos wegen man
gelndem Schutz vor Hackerangriffen zurück. Ein entsprechendes Sicherheits-Update hatte
der Hersteller zwar bereits im Internet veröffentlicht, jedoch muss es über einen USB-Stick
ins Auto-System gespielt werden, so dass dieser Softwarefehler für den Hersteller direk
te negative finanzielle Konsequenzen – neben Auswirkungen für seine Reputation – hat.
Hätten die Hacker kriminelle Absichten verfolgt, hätte in diesem Fall sogar das Leben der
Autofahrer in Gefahr geraten können.
2.3. Deutschland
In Deutschland wurde gleich Anfang des Jahres 2015 die Bundesverwaltung auf höchster
Ebene Opfer eines Cyberangriffs. Am 7. Januar kam es zum Ausfall der Erreichbarkeit der
Webseiten www.bundeskanzlerin.de, www.bundesregierung.de und www.bundestag.de.
Wenig später war zusätzlich die Webseite des Auswärtigen Amtes www.auswaertiges-amt.de
zeitweise nicht zu erreichen. Die betroffenen Webseiten werden außerhalb der Netze
der Bundesverwaltung betrieben. Auslösendes Moment war ein „DDoS-Angriff“ (tech
nische Erklärung, s. 3.3.4), zu dem sich die politisch motivierte Gruppierung „CyberBerkut“ bekannte. Anlass für den Angriff sei der Besuch des Ukrainischen Ministerprä
sidenten im Bundeskanzleramt gewesen. Die Tätergruppe ist nach Erkenntnissen des
BSI Lagezentrums bereits mehrfach mit ähnlichen Angriffen (NATO-Webseiten etc.) in
Erscheinung getreten. Bei dem Angriff handelte es sich um verschiedene, vom Angrei
fer aktiv variierte technische DDoS Angriffsformen mit einer signifikanten Bandbreite,
die die Internetanbindung überlasteten. Zeitweilig waren an dem Angriff tausende welt
weit verteilter Botnetz-Clients beteiligt. Nach sofort ergriffenen Maßnahmen wurden
die Seiten zwar schnell wiederhergestellt, aber die Angreifer reagierten auf die Gegen
maßnahmen und variierten die DDoS-Angriffe noch weit bis in den nächsten Tag, was
vermuten lässt, dass die Angreifer über einen direkten Zugriff auf die Infrastruktur ei
nes Botnetzes oder einen intensiven Kontakt zu einem „Botnetz-Betreiber“ verfügten.
Als Gegenstück zu einem Angriff mit hohem Volumen wie dem oben beschriebenen
DDoS-Angriff kann hingegen der Cyber-Angriff auf eine Mitarbeiterin des Bundeskanzler
amts mittels des Trojaners „Regin“ angesehen werden, der im Februar an die Öffentlichkeit
gelangte. Untersuchungen des privaten Laptops der Referatsleiterin hatten ergeben, dass
bereits im Jahr 2012 diese hochspezialisierte Spionagesoftware eingeschleust worden sei.
Die Schadsoftware blieb demnach mehr als zwei Jahre lang unbemerkt. Die ausgefeilte
Cyberwaffe war auch bei Attacken gegen die EU-Kommission, eine belgische Telekommu
nikationsfirma sowie gegen Ziele in mindestens 14 weiteren Ländern im Einsatz – vor
wiegend gegen Regierungen, Energieversorger und Airlines. Ein aus dem Snowden-Archiv
veröffentlichter Teil eines Schadcodes gilt als Bestandteil der Schadsoftware „Regin“, was
auf einen Angriff der Nachrichtendienste der sogenannten Five-Eyes-Staaten (USA, Groß
britannien, Kanada, Australien, Neuseeland) zurückschließen lässt. Eine Überprüfung des
Dienstrechners der Mitarbeiterin ergab allerdings keine Hinweise auf eine Verbreitung im
Bundeskanzleramt. Die Frau hatte E-Mails zwischen ihrem privaten und ihrem dienstlichen
Account verschickt.
Als Super-GAU in den letzten 12 Monaten muss jedoch die Entdeckung von Hackern im
IT-Netz des Bundestages gewertet werden. Anfang Mai 2015 sollen sie über Schadsoftware
in das Netz des Bundestages eingedrungen sein und dann die dortigen Ressourcen (Server,
andere PC‘s) ausgeforscht und auch übernommen habe. Bestätigt wurden auch vereinzelte
zeitweise Datenabflüsse. Seit dem Vorfall wurde nur so viel bekannt, dass zumindest das
BSI, möglicherweise aber auch BND und Verfassungsschutz aktiv wurden, Gegenmaßnah
men einzuleiten. Dabei befinden sich die Behörden als Teil der Exekutive in einem Span
nungsfeld zum Bundestag, deren Abgeordnete als Teil der Legislative sich gegen tiefgrei
fende Eingriffe verwehren. Im Rahmen der Gegenmaßnahmen wurde u.a. der Zugang aus
dem Parlaments-Netz zu Webseiten gesperrt, um zu verhindern, dass sich weitere Rechner
mit Schadsoftware wie Trojanern infizieren. Diese Quarantäne-Liste, die mehrere zehntau
send Einträge enthalten soll, stellte das BSI zur Verfügung. Wie im Fall des DDoS-Angriffs
auf Webseiten der Bundesregierung sollen die Hacker aus dem Osten Europas stammen. Zu
den angewendeten Methoden der Hacker und ihren Hintergründen ist bisher jedoch nichts
Belastbares verlautbart worden.
Neben den Angriffen auf Bundesbehörden soll jedoch auch eine Attacke auf anderer Be
hörden-Ebene genannt sein, da die Auswirkungen hier auch unmittelbar die behördliche
Arbeit mit dem Bürger betrafen: So mussten im Juni 2015 die KFZ-Zulassungsstellen zweier
Bundesländer nach einem Cyberangriff ungefähr einen Werktag ihre Arbeit einstellen. Be
troffen waren insgesamt 62 Zulassungsstellen. Aus Sicherheitsgründen hatte der kommu
nale IT-Dienstleister in den betroffenen Rechenzentren alle Server vom Netz genommen.
Die Hacker waren über eine Lücke in der Software des öffentlich zugänglichen Internetmo
duls „Kfz-Wunschkennzeichen“ in das Behördennetz eingedrungen.
2.4. Sachsen
Politische Motivation ist nicht nur ein vielfach beobachtetes Tatmotiv für Cyberangriffe
auf internationaler und nationaler Ebene, sondern auch im Freistaat Sachsen. So wurde
eine Partei in Sachsen kurz nach der Landtagswahl im September 2014 Opfer eines Hacks,
bei dem Daten ihrer Mitglieder aus Sachsen abgegriffen und nachgehend veröffentlicht
wurden. Dazu gehörten Name, Anschrift, E-Mail-Adresse, Geburtsdatum, Telefonnummern
wie auch gescannte Mitgliedsanträge und interne Strategiepapiere der Partei. Hinter der
Attacke stand eine Hackergruppe aus Österreich, die sich zum Netzaktivistenverbund „Ano
nymous“ zählt. Als Einfallstor für den Angriff wurden schlecht konfigurierte Webserver und
nicht ausreichend sichere Internetseiten genannt. Der Angriff zeigt, dass zur Verringerung
der Gefahr von Identitätsdiebstählen eine ausreichende Absicherung von Internetseiten
und -diensten sowie eine Verschlüsselung von Identitätsdaten dringend geboten ist. Der
Einsatz von Verschlüsselungsfunktionen auch auf nicht besonders schützenswerten Inter
netseiten ist auch über Sicherheitsaspekte hinaus ein gewinnbringender Standard im Inter
net. So setzt der Internetkonzern Google etwa standardmäßig eine verschlüsselte Suche ein
und zeigt verschlüsselte Seiten in seiner Trefferanzeige priorisiert an.
Ein typisch räuberisches Motiv lag einem Datenklau zugrunde, der sich über drei Jahre
unbemerkt in einem Leipziger Gastronomiebetrieb abspielte. Durch einen Virus im System
wurden die Daten hunderter Kreditkartenbesitzer geklaut, dann auf neue Plastikkarten auf
gespielt und diese unter die Leute gebracht. Insgesamt 464 Kreditkarteninhaber meldeten
sich beim Anbieter Visa, nachdem Sie Einkäufe abgebucht bekommen hatten, die sie gar
nicht getätigt hatten. Das Kreditkartensystem des Leipziger Lokals könnte durch einen Vi
rus von außen durch Hacker oder aber auch durch einen gezielt eingesetzten USB-Stick
kompromittiert worden sein. Untersuchungen ergaben, dass die Daten nach Rumänien,
Russland, in die Ukraine und Weißrussland versendet wurden. Da sich allerdings keine
Identität der Täter ermitteln ließ, wurde das Ermittlungsverfahren von der Staatsanwalt
schaft Leipzig ergebnislos eingestellt. Das Leipziger Lokal musste für sein System die ge
samte Hardware neu kaufen und akzeptiert seit dem Vorfall keine Kreditkarten mehr als
Zahlungsmittel.
Nicht eine Sicherheitslücke, sondern infrastrukturell bedingte Kapazitätsgrenzen woll
te ein weiterer politisch motivierter Cyberangriff bei der sächsischen Polizei ausnutzen.
Im Dezember 2014 wurde kurz nach dem Bekanntwerden einer bundesweiten, von der
Generalstaatsanwaltschaft Dresden angeordneten Durchsuchungsaktion im Umfeld des
illegalen Filmportals kinox.to ein versuchter Überlastungsangriff (DDoS) mit über 10.000
Paketen/Minute auf die Webseite der sächsischen Polizei gestartet. Aufgrund der gerin
gen normalen Seitennutzung zur Angriffszeit (Feiertag, nachts) gab es keine schädlichen
Auswirkungen auf den Betrieb. Der Angriff erinnert an die DDoS-Attacke im April 2012
nach der Verurteilung des Betreibers des inzwischen abgeschalteten illegalen Filmportals
kino.to. Damals waren zahlreiche Seiten der Justiz - auch in Sachsen - stundenlang nicht
erreichbar.
2.5. SVN
Dass auch die Landesverwaltung Sachsen Ziel von Angriffen ist, verdeutlichen die Zahlen
zur Sicherheitslage des Sächsischen Verwaltungsnetzes (SVN). Danach konnten im Jahr
2015 knapp 900 Angriffe auf das SVN abgewehrt werden. Außerdem wurden fast 53 Mio.
Spam-E-Mails aus dem Internet durch die Kopfstelle des SVN abgewiesen. In den aus dem
Internet und internen Netzen eingehenden fast 53 Mio. E-Mails wurden über 26.000 Viren
gefunden und entfernt. Auch im eingehenden Internetverkehr konnten mehr als 53.000
Schadprogramme entdeckt und unschädlich gemacht werden.
Allerdings sind auf das SVN im abgeschlossenen Kalenderjahr 2015 vom SID keine erfolg
reichen externen Angriffe registriert worden, die sich als Ereignisse mit direkten und/oder
indirekten Auswirkungen auf die Informationssicherheit, also die Verletzung der Sicher
heitsziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, klassifizieren
lassen.
Auch in den Datennetzen im Geschäftsbereich der Ressorts sowie der Polizei wurden in
diesem Zeitraum keine Einbrüche mit einem damit verbundenen gezielten Datenabfluss
und / oder Manipulationen festgestellt.
Angenommene Mails aus dem Internet 2011 bis 2015
Menge der Schadprogramme 2011 bis 2015
30.000.000
120.000
25.000.000
100.000
20.000.000
80.000
15.000.000
60.000
10.000.000
40.000
5.000.000
20.000
2011
2012
2013
2014
2015
2011
2012
2013
2014
2015
Angenommene Mails insgesamt
Mails unmarkiert
Schadprogramme in Mails
Mails als Spam markiert
Schadprogramme Web
3. Informationssicherheit in der öffentlichen
sächsischen Verwaltung
Die immer stärkere Durchdringung aller Bereiche mit Informationstechnik führt
zu neuen Möglichkeiten der verwaltungsübergreifenden Zusammenarbeit. Mit
Hilfe der neuen Technologien werden mehr und mehr Verwaltungsdaten elekt-ronisch zwischen Bund, Ländern und Kommunen ausgetauscht, die bisher noch
per Post oder Kurier übermittelt werden mussten. Hier reicht es nicht mehr,
dass jede Behörde für sich gesonderte Sicherheitsregeln definiert; einheitliche
Informationssicherheitsstandards sind zu schaffen, die für alle am Datenaus-tausch Beteiligten verbindlich gelten müssen. Der Freistaat Sachsen setzt im
Bereich Informationssicherheit wie die meisten Bundesländer auf die Standards
des Bundesamtes für Sicherheit in der Informationstechnik.
Sachsen war aktiv an der Erarbeitung der im März 2013 in Kraft gesetzten
Informationssicherheitsleitlinie für Bund und Länder sowie am Aufbau des
länderübergreifenden Verwaltungs-CERT-Verbundes beteiligt. Als Mitglied der
Arbeitsgruppe Informationssicherheit des IT-Planungsrates wird der Freistaat
Sachsen auf diesem Gebiet auch weiterhin eng mit den anderen Ländern und
dem Bund zusammenarbeiten. Die Abstimmung mit den Kommunen des Frei-staats Sachsen ist durch einen ständigen kommunalen Vertreter in der regelmä-ßig tagenden sächsischen Arbeitsgruppe Informationssicherheit gewährleistet.
12 | 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung
3.1. Organisatorische Strukturen der
Informationssicherheit
a) In Sachsen
Mit der Verabschiedung der VwV Informationssicherheit im September 2011 als verbind
liche Leitlinie für die Landesverwaltung Sachsen wurde eine wichtige Grundlage für den Aufbau einer leistungsfähigen Organisation der Informationssicherheit geschaffen. Sie enthält vier Grundelemente: ❚
❚
❚
❚
den BfIS-Land als zentrale Sicherheitsinstanz,
die Arbeitsgruppe Informationssicherheit (AG IS) als Plattform der ressortübergrei
fenden Zusammenarbeit,
BfIS-Land der Ressorts, der Polizei und des SID und
das Sicherheitsnotfallteam („Computer Emergency Response Team“ - SAX.CERT)
im SID.
Auf Basis dieser Organisationsstruktur werden die Vorgaben und Maßnahmen zur Infor
mationssicherheit im Freistaat Sachsen abgestimmt und ausgebaut.
3.1.1. AG Informationssicherheit
Die AG IS stellt das koordinierende Gremium für alle ressortübergreifenden Aspekte der Infor
mationssicherheit dar. Ihr gehören der BfIS-Land als ihr Vorsitzender sowie die BfIS der Staats
kanzlei und Staatsministerien (Ressorts), der Polizei und des SID als stimmberechtigte Mitglieder
an. Als Mitglieder ohne Stimmrecht sitzen je ein Vertreter des SAX.CERT, der Verwaltung des
Sächsischen Landtags, des Sächsischen Rechnungshofes und des Sächsischen Datenschutzbe
auftragten sowie der Vorsitzende des Arbeitskreis Sächsisches Verwaltungsnetz (AK SVN) und
ein gemeinsamer Vertreter der sächsischen Kommunen in der AG IS.
Zu den Aufgaben der AG IS gehört u.a. die Weiterentwicklung der Leitlinie für Informati
onssicherheit des Freistaates Sachsen zu initiieren sowie auf die Anwendung einheitlicher
Lösungen für IT-Verfahren zur Erhöhung der Informationssicherheit hinzuwirken. Für die
ressortübergreifende Zusammenarbeit beschließt die AG IS Empfehlungen insbesondere
über Leit- und Richtlinien der Informationssicherheit als auch über den Einsatz von Pro
dukten, um das in den Leit- und Richtlinien definierte Informationssicherheitsniveau zu
erreichen bzw. zu erhöhen. Die von der AG IS getroffenen Empfehlungen werden dem Ar
beitskreis für IT und E-Government (AK ITEG) zur Beschlussfassung vorgelegt. Zudem berät
die AG IS dieses Gremium wie auch den Lenkungsausschuss für IT und E-Government (LA
ITEG) zu Fragen der Informationssicherheit.
3. Informationssicherheit in der öffentlichen sächsischen Verwaltung | 13
3.1.2. AK IT und E-Government
Der BfIS-Land ist als Mitglied ohne Stimmrecht im Arbeitskreis IT und E-Government (AK
ITEG) vertreten, welches als Abstimmungs- und Informationsgremium der Staatsverwal
tung für Strategie, Planung und Nutzung der IT und des E-Governments in der Staatsver
waltung fungiert. Der AK ITEG ist dabei Teil einer CIO-Organisation bestehend aus dem LA
ITEG unter Vorsitz des Beauftragten für Informationstechnologie des Freistaates Sachsen
(Chief Information Officer – CIO, Staatssekretär Dr. Wilhelm), der in diesem Bereich die stra
tegischen Grundsatzentscheidungen verantwortet, und der Abteilung 6 des Sächsischen
Staatsministerium des Innern (SMI), die diese ressortübergreifenden Strategien für IT und
E-Government erarbeitet und umsetzt.
Die Koordinatoren für IT und E-Government der Ressorts und der Staatskanzlei, die neben
dem Abteilungsleiter 6 des SMI die stimmberechtigten Mitglieder im AK ITEG sind, werden
über dieses Gremium in die Erarbeitung der Strategie eingebunden. Sie tragen besondere
Verantwortung bei der Umsetzung der strategischen Vorgaben in ihrem Ressort. Daneben
beschließt der AK ITEG bezüglich der ressortübergreifenden Zusammenarbeit weitere Emp
fehlungen, u.a. über IT und E-Government-Standards, Informationssicherheit und IT-Be
schaffung, strategische Marketing- und Kommunikationsmaßnahmen im E-Government
als auch Aufgabenschwerpunkte des SID. Zudem initiiert das Gremium ressortübergrei
fende IT- und E-Government-Projekte, wirkt auf die Anwendung einheitlicher Lösungen
für IT-Verfahren hin und fördert allgemein den Erfahrungs- und Informationsaustausch
auf dem Gebiet der IT innerhalb der öffentlichen Verwaltung sowie mit Wirtschaft und
Wissenschaft.
3.1.3. IT Kooperationsrat
Der Sächsische IT-Kooperationsrat ist das gemeinsame Abstimmungs-, Beratungs- und
Beschlussgremium für die Zusammenarbeit von Freistaat und Kommunen beim Ausbau
von IT und E-Government in Sachsen. Darüber hinaus werden die im IT-Planungsrat be
handelten Themen und seine Beschlüsse erörtert, soweit kommunale Belange berührt sind.
Ziel dieser Kooperation ist insbesondere die Einführung elektronischer, verwaltungsebe
nenübergreifend interoperabler und sicherer Verwaltungsprozesse. Neben dem BfIS-Land
gehören dem Gremium der CIO des Freistaates (als sein Vorsitzender), die Leiterin der Ab
teilung 3 der Staatskanzlei, der Leiter der Abteilung 2 des SMI, der Geschäftsführer des
Sächsischen Städte- und Gemeindetages, das Geschäftsführende Präsidialmitglied des
Sächsischen Landkreistages und der Direktor der Sächsischen Anstalt für Kommunale Da
tenverarbeitung als stimmberechtigte Mitglieder an.
3.1.4. AK SVN
Als Mitglied ohne Stimmrecht gehört der BfIS-Land dem AK SVN an; dem Abstimmungs
und Informationsgremium der Landesverwaltung für Strategie, Planung und Nutzung des
Sächsischen Verwaltungsnetzes (SVN), das die Netzwerkinfrastruktur der Behörden und
Einrichtungen des Freistaates Sachsen umfasst. Dieses Gremium ist dem AK ITEG nachge
stellt und befasst sich mit den spezifischen Fragen der gemeinsamen Netzwerkinfrastruk
tur sowie deren Weiterentwicklung. Bezüglich der gemeinsamen Netzwerkinfrastruktur
beschließt der AK SVN Empfehlungen, u.a. über die Strategie bezüglich Netzwerkinfra
struktur als auch die Netzwerk-Standards für das SVN sowie Standards für die Umsetzung
von Infrastruktur- Projekten. Zudem initiiert der AK SVN zentrale und ressortübergreifende
Netzinfrastruktur-Projekte und wirkt auf die Anwendung einheitlicher Lösungen für Netz
infrastruktur-Verfahren und damit des SVN hin. Stimmberechtigte Mitglieder des AK SVN
sind die SVN-Verantwortlichen der Ressorts.
b) Beteiligung auf Bundesebene
Die Föderalismuskommission II hat im Jahr 2009 mit Artikel 91c Grundgesetz die Grundla
ge für eine verbindliche IT-Koordinierung von Bund und Ländern geschaffen. Durch diese
Grundgesetzänderung hielt die Informationstechnik erstmals Einzug in die Deutsche Ver
fassung.
3.1.5. IT-Planungsrat
Der IT-Planungsrat ist das zentrale Gremium für die föderale Zusammenarbeit in der In
formationstechnik. Seinen rechtlichen Rahmen und das Aufgabenfeld definiert der Staats
vertrag zur Ausgestaltung von Artikel 91c Grundgesetz, der am 1. April 2010 in Kraft trat.
Der IT-Planungsrat koordiniert die Zusammenarbeit von Bund und Ländern in Fragen der
Informationstechnik, beschließt fachunabhängige und fachübergreifende IT-Interoperabi
litäts- und IT-Sicherheitsstandards, steuert E-Government-Projekte im Rahmen der Natio
nalen E-Government-Strategie und beaufsichtigt das Verbindungsnetz der öffentlichen
Verwaltung. Damit sollen ein sicherer und reibungsloser Datenverkehr ermöglicht sowie
die Qualität und Effizienz der elektronischen Verwaltungsdienste gefestigt werden. Mitglie
der im IT-Planungsrat sind der Beauftragte des BSI (Staatssekretär im Bundesministerium
des Innern) und die in den Ländern jeweils Verantwortlichen für Informationstechnik (in
der Regel Staatssekretäre).
3.1.6. AG Informationssicherheit des
IT-Planungsrats
Die Arbeitsgruppe Informationssicherheit, in der der BfIS-Land Sachsen mit seinen Länder
kollegen seinen Platz hat, arbeitet dem IT-Planungsrat Expertisen und Stellungnahmen zu
Themen der Informationssicherheit zu.
Weitere Institutionen und Gremien, in denen der BfIS-Land sitzt bzw. zu denen er Kontakte
auf der Arbeitsebene pflegt, sind die UAG Cybersicherheit der IMK AG Cybersicherheit – in
ihr waren bis Ende 2014 Polizeibeamte aus der Abteilung 3 des SMI vertreten – und natür
lich die oberste Bundesbehörde im Bereich Informationssicherheit, das BSI.
3.2 Gremienbeschlüsse zur Informationssicherheit in
der sächsischen Landesverwaltung
Im Berichtszeitraum wurden in erster Linie durch die AG IS als dem koordinierenden Gre
mium für alle ressortübergreifenden Aspekte der Informationssicherheit wichtige Richt
linien und Maßnahmen zum Ausbau und zur Weiterentwicklung der IT-Sicherheit verab
schiedet und durch die anderen beteiligten Gremien bestätigt. Die weitreichendsten seien
folgt genannt.
3.2.1 Erhöhung der Sicherheit der
Internetseiten der Landesverwaltung
Unter der Aufgabe Sicherheitsmonitoring der Landesverwaltung ist die regelmäßige Über
prüfung des tatsächlich erreichten Informationssicherheitsniveaus in der Landesverwal
tung zu verstehen. Mögliche Maßnahmen sind Vor-Ort-Audits in den Ressorts und Be
hörden, aber vorrangig auch automatisierte bzw. teilautomatisierte Sicherheitsscans der
IT-Infrastruktur der Landesverwaltung. Mit Hilfe solcher Erhebungen, angereichert mit
Meldungen aus den Ressorts oder von externen Stellen kann dann ein realistisches Lage
bild der aktuellen Sicherheitslage in der Landesverwaltung erstellt werden. Dieses Lagebild
ist eine wichtige Grundlage für die Konzeption, Durchführung und Wirksamkeitsüberprü
fung von Maßnahmen zur Erhöhung der Informationssicherheit.
Der Freistaat Sachsen betreibt eine Vielzahl von Internetseiten und -diensten innerhalb
und auch außerhalb des SVN. Rund 1.000 dieser Angebote der Landesverwaltung Sach
sen sind aus dem Internet erreichbar. Insofern wurden im Berichtszeitraum 2014/15 meh
rere landesweite Schwachstellentests durchgeführt und ein entsprechender Lagebericht
zur Sicherheit der Internetseiten und –dienste der Landesverwaltung erarbeitet. Nach der
Vorstellung des Berichts wurde ein Bündel von Maßnahmen zur Verbesserung der Sicher
heitslage („Handlungsempfehlungen Verschlüsselung“) erarbeitet und abgestimmt. Zu den
Maßnahmen wurden jeweils konkrete Umsetzungstermine und Schritt-für-Schritt-Hand
lungsanleitungen vorgeschlagen. Nach Verabschiedung mehrerer entsprechender Be
schlüsse in AG IS und AK ITEG zu den einzelnen Maßnahmen, konnten laut neuen Erhe
bungen zur Sicherheitslage in der Landesverwaltung inzwischen deutliche Verbesserungen
erreicht werden.
Eine weitere Verbesserung der Sicherheitslage wird davon zu erwarten sein, dass die Inter
netseiten des Freistaates Sachsen in einen höheren Sicherheitsstandard wechseln sollen.
So stimmte der AK ITEG in einer Sitzung im ersten Quartal 2015 einstimmig dafür, alle
Internetpräsenzen der Staatsverwaltung in Zukunft ausschließlich über das Kommunikati
onsprotokoll HTTPS (HyperText Transfer Protocol Secure) anzubieten. Der Standard HTTPS
sorgt für die Verschlüsselung übertragener Inhalte und bietet damit deutlich mehr Sicher
heit als das Übertragungsprotokoll HTTP.
Durch den geplanten Wechsel zu HTTPS läuft der einzelne Nutzer einer Internetseite des
Freistaates Sachsen kaum noch Gefahr, dass die Kommunikation zwischen seinem Browser
und dem Server der Internetpräsenz belauscht wird. Zudem ist dieser Schutzmechanismus
technisch einfach nachzuvollziehen und weit verbreitet: Internetseiten, die durch HTTPS
geschützt sind, werden in allen gängigen Browsern automatisch markiert und dem Nutzer
angezeigt.
Die Umstellung auf HTTPS ist eine von 15 Handlungsempfehlungen eines Krypto-Teams
der AG IS zur Erhöhung der Informationssicherheit der Internetseiten der Landesverwal
tung, die auch Teil des Handlungsleitfaden zur Umsetzung des Sächsischen E-Government
Gesetzes sind. Seit der Verabschiedung der Handlungsempfehlungen Mitte 2014 wurde die
E-Mail-Verschlüsselung innerhalb der Ressorts um 41 %, zwischen den Ressorts um 24 %
und nach extern um 30 % (eingehend) und 5 % (ausgehend) erhöht. Zudem sind bereits
ein Drittel der Landesseiten mit HTTPS verschlüsselt. Insbesondere Angebote, die mit per
sönlichen Daten von Nutzern umgehen, laufen aus Datenschutzgründen bereits über das
Verschlüsselungsprotokoll HTTPS.
Der BfIS-Land führt weiterhin regelmäßig automatisierte Scans durch, um den Umset
zungsstand dieser Maßnahmen zu beobachten.
3.2.2 Ressortübergreifendes
Meldeverfahren
Die AG IS sieht die zentrale Erfassung wesentlicher Sicherheitsvorfälle innerhalb der Lan
desverwaltung als wichtige Grundlage vor allem für ein realistisches Lagebild zur Infor
mationssicherheit im Freistaat Sachsen als auch für die effektive und frühzeitige Warnung
sowie Unterstützung bei ressortübergreifenden Sicherheitsvorfällen.
Der Aufbau dieses ressortübergreifenden Meldeverfahrens soll in mehreren Stufen erfol
gen. Ziele sollen dabei ein möglichst geringer Meldeaufwand durch die automatisierte
Einbindung vorhandener Vorfallbearbeitungssysteme und Prozesse in den Ressorts sowie
eine möglichst hohe Verbindlichkeit durch die Erarbeitung einer entsprechenden Melde
verordnung durch die AG IS sein.
Die erste Stufe eines ressortübergreifenden Meldeverfahrens wurde Ende 2015 durch die
AG IS beschlossen. Hierbei soll in einem ersten Schritt bereits der Verdacht auf schwerwie
gende Ereignisse in den Ressorts und den nachgeordneten Geschäftsbereichen unverzüg
lich gemeldet werden. Die Meldung soll dabei mit Hilfe des über die Internetseite des SAX.
CERT bereitgestellten Meldeformulars an das Notfallteam erfolgen.
Soweit notwendig wird das SAX.CERT kurzfristige, anonymisierte Warnmeldungen an die
Mitglieder der AG IS verteilen und gemäß den vorhandenen Möglichkeiten unterstützen.
Zusätzlich werden alle gemeldeten Vorfälle durch das SAX.CERT monatlich anonymisiert
zusammengefasst und in Form eines Berichts im Rahmen der AG IS-Sitzung vorgestellt.
3.3 Technische Projekte für mehr
Informationssicherheit
Neben Gremienbeschlüssen, die technische Maßnahmen nach sich ziehen können (s.
3.2.1.), veranlasst der BfIS-Land auch technische Pilot-Projekte, um zentrale Bereiche wie
das SVN mit neuen Sicherheitsmaßnahmen zu ergänzen. Die IT-Systeme der Sächsischen
Landesverwaltung unterliegen schließlich nicht nur Bedrohungen aus dem Internet, son
dern können ebenso zum Ziel von Angriffen aus dem internen Netzwerk werden. Aus
gangspunkt solcher Angriffe sind typischerweise mit Schadsoftware befallene Rechner.
Aber auch unbemerkt in das Netzwerk vorgedrungene Angreifer oder Mitarbeiter, die sich
über geltende Sicherheitsbestimmungen hinwegsetzen, stellen Gefahrenquellen dar. Klas
sische Sicherheitsmaßnahmen, wie zentrale Firewalls und Antivirussysteme, können diese
Gefahrenquellen nicht oder nur sehr eingeschränkt ausschalten.
3.3.1. HoneySens
Ein innovatives technisches Pilotprojekt zur Informationssicherheit wurde vom BfIS-Land
in Zusammenarbeit mit der Professur für Datenschutz und Datensicherheit der Techni
schen Universität Dresden im Rahmen einer Diplomarbeit unter dem Titel „HoneySens“
entwickelt. Es sieht eine unter Berücksichtigung der Anforderungen des SVN gestaltete
Architektur vor, in der innerhalb gefährdeter Teilnetze platzierte Sensoren Informationen
über alle ankommenden verdächtigen Datenpakete aufzeichnen und an eine zentrale Ser
verkomponente zur Verarbeitung weiterleiten. Administratoren können anschließend mit
Hilfe einer komfortablen Web-Anwendung die aggregierten Daten auswerten und bei Be
darf entsprechende Gegenmaßnahmen einleiten.
Zur Erkennung potentieller Angriffe kommt auf den Sensoren Honey-pot-Software zum
Einsatz, deren Zweck die Simulation typischer Netzwerkdienste und zugehöriger Sicher
heitslücken ist. Je intensiver ein Eindringling mit diesen „Hackerfallen“ kommuniziert, desto
mehr Informationen können über dessen Motivation und Vorgehensweise gewonnen wer
den. Um ein möglichst umfassendes Bild über die Vorgänge innerhalb des Netzwerks zu
gewinnen, können die Sensoren auch weitere Datenpakete aufzeichnen. Eine Erkennungs
routine für die von Angreifern häufig zur Informationsgewinnung genutzten Portscans
erleichtert zudem die automatische Klassifikation der gesammelten Datenmengen.
Grundanforderungen an das System „HoneySens“ sind die spezifischen Gegebenheiten
des SVN und der Wunsch nach einer wartungsarmen, benutzerfreundlichen Lösung. Um
die Anforderungen genauer zu spezifizieren, wurde der zu erwartende Datenverkehr in
ausgewählten Teilnetzen der Landesverwaltung analysiert. Die dabei gewonnenen Daten
waren maßgebend für den Entwurf des autonomen Sensornetzwerks und die Auswahl
der eingesetzten Hardwareplattform. Bei der prototypischen Implementierung des Systems
wurde schließlich auf eine hohe Skalierbarkeit durch den Einsatz kostengünstiger Ein-Pla
tinen-Computer als Sensoren, Standardkonformität, leichte Installation und Wartbarkeit,
sowie die vollständig verschlüsselte Kommunikation zwischen allen beteiligten Kompo
nenten geachtet. Ein weiterer wichtiger Teilaspekt war zudem die transparente Integration
des Sensornetzwerkes in die derzeit bestehenden Strukturen der Landesverwaltung, um
den Betrieb der IT-Infrastruktur nicht zu beeinträchtigten.
Die Architektur des HoneySens-Netzwerks basiert auf einem zentralen Server, der über gesicherte Datenwege
(grüne Linien im Bild) von seinen Honeypot-Sensoren Informationen zu verdächtigem Datenverkehr in den
überwachten Teilnetzen (Wolkenstrukturen im Bild) erhält und zusammenführt.
Damit auch nicht im Bereich der Informationssicherheit geschulte Administratoren mit
dem System „HoneySens“ arbeiten können, wurde bei der Entwicklung des Prototyps viel
Wert auf eine leicht verständliche graphische Benutzeroberfläche gelegt. Die Web-Anwen
dung unterstützt deshalb die Benutzer sowohl bei allen anfallenden Arbeitsschritten, dar
unter die komfortable Integration zusätzlicher Sensoren und die Bereitstellung automati
scher Updates der Sensor-Software, als auch bei der Auswertung aller gesammelten Daten.
Eine flexible Benutzerverwaltung stellt zudem sicher, dass nur berechtigte Personen Zu
gang zum System besitzen. Techniken des „Responsive Web Design“ garantieren ferner,
dass die Benutzerschnittstelle auch auf Mobilgeräten wie Smartphones und Tablets ohne
Einschränkungen genutzt werden kann. Auch bei der Konzeption der zentralen Serverkom
ponente wurden Möglichkeiten zur unkomplizierten Installation berücksichtigt: Die Bereit
stellung der Software in Form von virtualisierbaren Containern assistiert beim flexiblen,
transparenten Betrieb der Anwendung und vereinfacht zukünftige Updates.
Die prototypische „HoneySens“-Implementierung wurde im Rahmen der Diplomarbeit in
einem mehrwöchigen Testzeitraum innerhalb des SVN und in einem Teilnetz der TU Dres
den erprobt und verbessert. In einem nächsten Schritt wollen die Kooperationspartner den
vorliegenden Prototyp für den Einsatz in komplexen Netzstrukturen weiterentwickeln und
dabei auch weitere potentielle Anwender einbinden. Hauptaugenmerk ist dabei die Unter
suchung und Bewertung der vielfältigen Anforderungen, die sich aus dem Einsatz inner
halb eines Verbunds aus zahlreichen heterogenen Teilnetzen ergeben. Abschließend sollen
die gewonnenen Erkenntnisse über sinnvolle Gestaltungs- und Anwendungsmöglichkeiten
eines solchen Sensornetzwerks nicht nur für die Erhöhung der Informationssicherheit in
Sachsen genutzt, sondern auch in die entsprechenden Gremien der Länder und des Bundes
eingebracht werden.
3.3.2. Identity-Leak-Checker
Die Gefährdung der Landesverwaltung im Bereich des Identitätsdiebstahls nimmt wegen
der verstärkten elektronischen Speicherung und Verarbeitung von Fachdaten im Freistaat
Sachsen, aber auch wegen der Professionalisierung und Automatisierung im Bereich der
Cyberkriminalität ständig zu. Im Ergebnis solcher Attacken, durch Nachlässigkeiten beim
Aussortieren von Hardwarespeichern oder auch durch Verlust mobiler Geräte können in
terne dienstliche Informationen in die Öffentlichkeit gelangen. Besonders gefährlich ist
dabei oft der Abfluss von Identitätsdaten in Form von Nutzernamen und zugehörigen
Passwörtern, da externe Angreifer so Zugriff auf das interne Netz der Landesverwaltung
erhalten können.
Der BfIS-Land hat deshalb im Berichtszeitraum die Erforschung von Grundlagen zum Auf
bau eines Warndienstes angestoßen, der beim Auftauchen von Identitätsdaten aus dem
Freistaat Sachsen im Internet kurzfristig eine entsprechende Warnmeldung an die zustän
digen Stellen in Sachsen generiert. So sollen einerseits kurzfristige Gegenmaßnahmen
wie z.B. Löschanträge bei den jeweiligen Providern ermöglicht, andererseits aber auch ein
Überblick über die aktuelle Gefährdungslage gewonnen werden.
Ein erster wichtiger Schritt in diese Richtung war die Umsetzung einer prototypischen
Lösung eines Warndienstes, der einen möglichst signifikanten Teil derjenigen Bereiche des
Internets überwacht, in denen Identitätsdaten von Beschäftigten des Freistaats Sachsen
gehandelt oder veröffentlicht werden könnten. In Absprache mit dem Hasso-Plattner-Ins
titut an der Universität Potsdam, das im Mai 2014 den Online-Dienst „Identity-Leak-Che
cker“ startete, wurden die im Rahmen dieses Dienstes entwickelten Funktionalitäten dem
Freistaat Sachsen zur Verfügung gestellt und diese zusammen anforderungsgerecht weiter
entwickelt.
Basis des „Identity-Leak-Checker“ ist ein Forschungsprojekt zur Verarbeitung großer Da
tenmengen mittels neuartiger, supercomputergestützter Datenbanktechnologien. Der
Dienst deckt bereits große Teile des vom Freistaat Sachsen gesuchten Leistungsspektrums
ab. Bisher konnte er weltweit schon über 182 Mio. gestohlene Identitätsdatensätze indi
zieren. In dem gemeinsamen Forschungsprojekt wird auf Basis des „Identity-Leak-Checker“
ein Dienst zur Aufdeckung und Warnung vor Identitätsdiebstählen, die Beschäftigte des
Freistaats Sachsen betreffen, durch das Hasso-Plattner-Institut umgesetzt.
3.3.3. APT-Erkennung
Die Teststellung eines Produkts zur Erkennung hochspezialisierter Cyberangriffe (Advanced
Persistent Threat, APT) auf das SVN lief im Zeitraum vom 13. Mai bis 12. Juni 2015 im
Rahmen von Sicherheitsmaßnahmen zu den G6/G7-Gipfeln in Sachsen. Im Unterschied zu
den vorhandenen Schutzprogrammen scannte das Produkt den kompletten E-Mail- und
Internetverkehr des SVN während des Testlaufs nicht nur auf Signaturen bekannter Bedro
hungen, sondern analysierte das Verhalten aller verdächtigen Programme und Dokumente
auf einem simulierten Arbeitsplatz automatisch auf bösartige Aktivitäten. Nach 4 Wochen
wurde das Testsystem planmäßig abgeschaltet. In diesem Zeitraum konnte mit Hilfe der
Teststellung nachgewiesen werden, dass signaturbasierte Scanverfahren keinen ausrei
chenden Schutz mehr gegen aktuelle Schadsoftware bieten und eine zusätzliche Über
wachung ausgehender Verbindungen auf Kontakte zu Schadsoftwareservern im Internet
notwendig ist. Die Schutzmaßnahmen innerhalb des SVN wurden und werden auf Basis der
gewonnenen Erkenntnisse weiter ausgebaut.
3.3.4. DDoS-Protection
Ebenfalls im Rahmen von Sicherheitsmaßnahmen zu den G6/G7-Gipfeln in Sachsen wur
de die Betriebsbereitschaft des SVN und der Internetseiten der Landesverwaltung durch
DDoS-Protection Dienstleistungen der TSI zusätzlich abgesichert. Einige Services davon
werden seit Mai 2015 dauerhaft für den Freistaat bereitgestellt. In erster Linie sollen da
mit Netz und Access-Bandbreite gegen volumenbasierte Attacken geschützt werden. DDoS
bezeichnet die Überlastung einer größeren Anzahl von Systemen der Informationstech
nik durch einen v.a. absichtlichen Angriff auf einen Server, einen Rechner oder andere
Komponenten eines Datennetzes. Solche mutwilligen DDoS-Angriffe werden mit speziellen
Programmen durchgeführt, die z.B. Computerwürmer auf nicht ausreichend geschützten
Rechnern installieren und dann versuchen weitere Rechner im Netzwerk zu infizieren, um
so ein Botnetz aufzubauen, welches mit vielen Rechnern zusammen selbst gut geschützte
Systeme durchdringen kann.
Im Falle eines vom Freistaat Sachsen gemeldeten Angriffs werden von der TSI geeignete
Gegenmaßnahmen ergriffen, soweit diese technisch möglich sind. Durch die Gegenmaß
nahmen wird versucht, den Angriff soweit abzumildern, dass der Internetzugang des Frei
staates Sachsen wieder erreichbar ist. Abhängig von der Art des Angriffs kann es aber wei
terhin zu einer Beeinträchtigung der betroffenen Dienste des Freistaates Sachsen kommen.
Die TSI wird in Abstimmung mit dem Ansprechpartner der Landesverwaltung die bestmög
liche Lösung (Abwehrmechanismen) ermitteln und anwenden. Hiermit soll erreicht werden,
dass die kundeneigenen Sicherheitsmechanismen wieder greifen können.
3.4. Stand der Informationssicherheit in den
Kommunen
Gastbeitrag von Thomas Weber, Direktor der Sächsischen Anstalt für kommunale
Datenverarbeitung (SAKD)
Die IT-Verfahren der Kommunen gewährleisten die internen Arbeitsabläufe der Verwaltung,
stellen Dienste für Bürger bereit und sind häufig auch Bestandteil ebenenübergreifender
Kommunikation mit dem Freistaat oder dem Bund. Alle drei Aspekte erfordern ein ange
messenes IT-Sicherheitsniveau, um die Verfügbarkeit der Dienste und die Vertraulichkeit
der Informationen zu gewährleisten.
3.4.1. Leitlinien- und
Informationssicherheits
Management-Prozesse
Verbindliche Richtlinien, die auf staatlicher Seite bereits seit 2011 in Form der „Verwaltungs
vorschrift der Sächsischen Staatsregierung zur Gewährleistung der Informationssicherheit
in der Landesverwaltung“ existieren, gibt es übergreifend für alle Kommunen in Sachsen
derzeit nicht. Der Versuch der kommunalen Bundesverbände, eine Sicherheitsleitlinie für
Verwaltungen des Bundes für den Einsatz bei ebenenübergreifenden Verfahren auch für
Kommunen für verbindlich erklären zu lassen, wurde vom IT-Planungsrat abgelehnt.
Da die Festlegung dieser Leitlinie auf die BSI-Grundschutzmethodik erhebliche Aufwände
für die Implementierung und die Umsetzung der erforderlichen Maßnahmen insb. in klei
nen Kommunalverwaltungen erwarten ließ, sprachen sich auch SAKD und die sächsischen
kommunalen Spitzenverbände gegen eine verbindliche Einführung dieser Leitlinie aus.
In Kenntnis der unbefriedigenden Situation im Bereich der kommunalen Informations-Si
cherheit (eine Umfrage im Jahr 2012 ergab, dass in weniger als 20 % der Kommunen ein
IT-Sicherheitsbeauftragter namentlich benannt war), entwickelte die SAKD eine Muster
leitlinie für die Herstellung von Informationssicherheit in Kommunalverwaltungen. Das
Hauptziel des Dokumentes besteht darin, dass sich die Behördenleitungen zur Informati
onssicherheit bekennen, Ressourcen dafür bereitstellen und einen kontinuierlichen Sicher
heitsprozess initiieren. Die Musterleitlinie orientiert sich an der Verwaltungsvorschrift der
Landesverwaltung, verzichtet aber bewusst auf jeden Bezug zur BSI-Grundschutzmetho
dik, um keine Einstiegshürden wegen zu hoher Aufwendungen zu errichten.
Nach Veröffentlichung der Leitlinie als Empfehlung des Fachausschusses der SAKD gemäß
§4 Abs. 3 SAKDG im Amtsblatt vom 2. August 2012 wurde das Dokument inzwischen von
mehr als 200 Kommunen von der Homepage der SAKD heruntergeladen und als Blaupause
für eine eigene Sicherheitsleitlinie verwendet.
Den gleichen Ansatz, das Thema als Leitungsverantwortung zu positionieren, verfolgte eine
Initiative der kommunalen Spitzenverbände auf Bundesebene und der VITAKO (Bundesar
beitsgruppe der kommunalen IT-Dienstleister). Die Arbeitsgruppe „Handreichung Informati
onssicherheitsleitlinie“ verfolgte das Ziel, praktikable Handlungsleitfäden für kommunale ini
tiale Sicherheitsdokumente zu erstellen, die sich an der für Bundes- und Landesverwaltungen
verbindlichen Leitlinie für IT-Sicherheit des IT-Planungsrates orientieren. Die SAKD arbeitete
in dieser Arbeitsgruppe mit und setzte Textvorschläge durch, die es auch kleinen Verwaltun
gen ohne benannten Sicherheitsbeauftragten ermöglichen, diese Handreichung einzusetzen.
Die Veröffentlichung erfolgte 2014 über die VITAKO und das „IT-SiBe-Forum“. Die nicht
öffentliche Plattform steht allen IT-Sicherheitsbeauftragten auf Länder- und Kommuna
lebene zum Informations- und Erfahrungsaustausch kostenfrei zur Verfügung, erfordert
aber eine individuelle Registrierung beim Deutschen Landkreistag (DLT).
3.4.2. Informationssicherheit
in der IT-Service-Beratung
Die beste Möglichkeit, das Thema IT-Sicherheit bei den Kommunen zu platzieren bieten
individuelle Beratungsgespräche. Die kostenfreie IT-Serviceberatung für kleine Kommu
nen hat sich als Dienstleistung der SAKD etabliert und bietet sich dafür an. Im Rahmen
dieses Programmes hat die SAKD bisher ca. 80 Kommunalverwaltungen vor Ort besucht
und zu unterschiedlichen Themen beraten. Ausgangspunkt für die meisten Anfragen sind
geplante Hardwareinvestitionen zum Ersatz überalterter Technik. Informationssicherheit
ist dabei fast nie der Anlass der Beratungsanfrage - wird aber von der SAKD bei allen
Gesprächen angesprochen. Das kennzeichnet das unzureichende Sicherheitsbewusstsein
in vielen kleinen Verwaltungen, die meist ohne eigenes IT-Personal auskommen müssen.
Falls überhaupt eine Benennung von Verantwortlichen erfolgt ist, liegen Datenschutz und
IT-Sicherheit meist in der Hand des gleichen Mitarbeiters, dem aber oft weder finanzielle
noch zeitliche Ressourcen dafür bereitgestellt werden. Nur die Erhöhung des Problembe
wusstseins in den Verwaltungsspitzen und bei allen Mitarbeitern kann hier zu Verbesserun
gen führen. Die seit 2013 jährlich vom BfIS-Land durchgeführte Awareness-Veranstaltung
„Infosic“, zu der sich regelmäßig auch viele kommunale Teilnehmer anmelden, ist dafür
eine gute Möglichkeit.
3.4.3. Erfahrungsaustausch und
Kommunikation
In großen Stadt- und Landkreisverwaltungen, in denen in der Regel hauptamtliche Si
cherheitsbeauftragte benannt sind, ist die Situation besser. Hier sind Sicherheitsprozesse
etabliert und entsprechende Ressourcen vorhanden. Mit der Arbeitsgruppe der IT-Sicher
heitsbeauftragten der Landkreise existiert auch ein Gremium, in dem sich die Landkreise zu
Sicherheitsthemen austauschen. Ursprünglich als AG zur Ertüchtigung der EU-Zahlstellen
der Landkreise für BSI-Grundschutz gegründet, beschäftigt sich die AG inzwischen mit
verschiedenen Sicherheitsthemen in den Landkreisverwaltungen. Die Gruppe tagt regel
mäßig unter Leitung des Sächsischen Landkreistages und lädt themenabhängig Vertreter
des BfIS-Land, der KDN GmbH oder der SAKD zu den Sitzungen ein.
Der Versuch, ein vergleichbares Gremium für kleinere Verwaltungen zu etablieren, war lei
der nicht von dauerhaftem Erfolg gekrönt. So wurde die 2012 gegründete Arbeitsgruppe
„IT-Sicherheit im KDN II“ im Jahr 2013 wieder eingestellt. Die AG hatte versucht, über ein
vereinfachtes Checklistenverfahren kleineren Verwaltungen, die am KDN angeschlossen
sind, eine Alternative zur BSI-Grundschutzvorgehensweise anzubieten.
In der Landesverwaltung werden Angelegenheiten der Informationssicherheit in einer
Arbeitsgruppe „IT-Sicherheit“ (AG IS) unter Leitung des BfIS-Land behandelt und voran
getrieben. Die SAKD ist als Mitglied ohne Stimmrecht der kommunale Vertreter und Sach
walter kommunaler Interessen in dieser Arbeitsgruppe. Während die Beschlüsse des Gre
miums für die Ressorts und Behörden der Landesverwaltung bindend sind, können sie für
Kommunalverwaltungen nur empfehlenden Charakter haben. Entsprechende Empfehlun
gen werden regelmäßig über den Newsletter der SAKD publiziert. Beispiele dafür sind die
Hinweise zur Verwendung sicherer Verschlüsselungsverfahren, die Umstellung von Mail
servern auf verschlüsselte Kommunikation oder die Mitnutzung von Diensten des Landes
zur Prüfung von Identitätsdiebstahl von Nutzeraccounts.
3.4.4. Informationssicherheit
und Datenschutz
Eine unmittelbare gesetzliche Vorgabe zur Erstellung und Umsetzung von IT-Sicherheitskon
zepten besteht für Kommunen erst seit Inkrafttreten des Sächsischen E-Government Geset
zes (SächsEGovG). Bereits seit langem verpflichtet jedoch das Sächsische Datenschutzgesetz
(SächsDSG) zur Einhaltung des Schutzes personenbezogener Daten. Das SächsDSG enthält
die Vorgaben zum Führen von Verfahrensverzeichnissen, bei denen die umgesetzten organi
satorischen und technischen Sicherheitsmaßnahmen konkret zu benennen sind.
Die SAKD bietet kleinen Kommunen die vertragliche Übernahme der Funktion eines (exter
nen) behördlichen Datenschutzbeauftragten. Bisher haben 20 Kommunen einen entspre
chenden Auftrag erteilt. Sie bekommen so direkte Hilfestellung bei der Implementierung
von Sicherheitsmaßnahmen. Das Leistungspaket umfasst neben der Erstellung der Ver
fahrensverzeichnisse Schulungsmaßnahmen für Mitarbeiter und Vorabkontrollen bei der
Einführung neuer Verfahren.
3.4.5. Das KDN als sicheres Netz
Als wesentliche sicherheitsrelevante Infrastrukturkomponente im kommunalen Umfeld
muss das Kommunale Datennetz (KDN) genannt werden. Durch seine Realisierung auf teil
weise exklusiver Infrastruktur, gesicherten Netzübergängen und weiteren Sicherheitsmaß
nahmen wie Online-Content-Scanning, Anti-Virus- und Anti-Spam-Lösungen, bietet es
schon per se ein höheres Sicherheitsniveau gegenüber einem Standard-Internetanschluss.
KDN GmbH und SAKD argumentieren deshalb bei allen Gelegenheiten für einen KDN-An
schluss; Zielstellung hier ist die Flächendeckung des KDN über alle Kommunen.
Seit Inkrafttreten des SächsEGovG, das die Kommunikation nur noch über gesicherte Net
ze vorgibt, besteht de facto für alle Kommunen ein Anschlusszwang an das KDN. Die im
Gesetz genannte alternative Schnittstelle mit vergleichbarer Sicherheit wurde bisher nicht
definiert. Trotzdem gibt es noch ca. 80 „KDN-Verweigerer“, die nur über einen direkten
Internetanschluss mit Landes- oder Bundesbehörden kommunizieren und damit eigentlich
einen Gesetzesverstoß begehen.
3.4.6. CERT-Leistungen für Kommunen
Nach Beschluss der AG IS stehen ausgewählte Leistungen des beim SID betriebenen SAX.
CERT, wie zum Beispiel der Message-Dienst, auch den Kommunen zur Verfügung. Die
technische Realisierung erfolgt über eine bei der SAKD gepflegte Verteilerliste. Von den
ca. 60 Kommunen, die sich bisher für diesen Dienst registriert haben, hat sich allerdings
inzwischen die Hälfte wieder abgemeldet, da die verteilten Meldungen für ihre jeweilige
Infrastruktur zu unspezifisch sind. Eine verbesserte Selektivität dieser Nachrichten kann al
lerdings nur über detaillierte Beschreibung der verwendeten Hard- und Software geleistet
werden. Diese für die Landesverwaltung angestrebte Lösung ist mit einer einzigen zent
ralen kommunalen Verteilerliste nicht realisierbar. Hier sind weitergehende Überlegungen
vonnöten.
Symbolbild für Datenströme, die geschützt durch eine Art Sicherheitsschleuse, in einen Serverraum gelangen.
3.4.7. Sicherheitstests Ebenfalls auf Beschluss der AG IS finden seit 2014 regelmäßige, anfangs unangekündigte
Tests der Webpräsenzen von Landes- und Kommunalverwaltungen unter Sicherheitsas
pekten statt. Kritische Ergebnisse für kommunale Websites wurden der SAKD mitgeteilt,
die daraufhin alle betroffenen Betreiber von Webservern und Diensten innerhalb des KDN
direkt kontaktiert hat. Die meisten kommunalen Webpräsenzen liegen jedoch bei Providern
im Internet, so dass hier nur die jeweilige Kommune selbst bei ihrem Dienstleister auf die
Verbesserung des Sicherheitsniveaus drängen kann.
Bei den in diesem Zusammenhang erfolgten Tests von Schul-Webpräsenzen sind die von
Sicherheitsproblemen betroffenen Schulen unter Verwendung der beim Sächsischen Kul
tusministerium vorliegenden Schuldatenbank einzeln angeschrieben worden. Neben einem
personalisierten Fehlerbericht wurden dabei auch Kontaktinformationen für Hilfe bei der
Problembewältigung übermittelt.
4. Informations- und Cybersicherheit durch
Sensibilisierungsmaßnahmen
Eines der schwächsten Glieder in der Sicherheitskette ist immer noch der
Mensch. Da die beste Technik und die durchdachtesten Sicherheitsvorkehrun-gen die Informations- und Cybersicherheit alleine nicht garantieren können,
solange der einzelne Nutzer Defizite im Umgang mit technischen Mitteln zeigt,
führt der Weg zu einer nachhaltigen Erhöhung der Informations- und Cybersi-cherheit nur über eine Sensibilisierung eines jeden Einzelnen.
Hauptaugenmerk sollte daher darin liegen, Defiziten wie fahrlässigem Handeln
oder mangelnden Kenntnissen entgegenzuwirken. Ein zentraler Baustein zu
mehr Sicherheit liegt in der Sensibilisierung vor Gefahren bei der alltäglichen
Nutzung von PC, Smartphone und Internet einerseits und in der Vermittlung
von Kompetenzen zur Gefahrenabwehr andererseits. Dazu zählen der bewusste
Umgang mit der IT, die Erlernung einfacher Regeln und die Anwendung verständlicher Sicherheitsmaßnahmen.
26 | 4. Informations- und Cybersicherheit durch Sensibilisierungsmaßnahmen
4.1. Ist-Stand Handlungsbedarf für
Sensibilisierungsmaßnahmen
Der Handlungsbedarf für Sensibilisierungsmaßnahmen zu den Themen Informations- und
Cybersicherheit im Freistaat Sachsen soll abgeleitet werden aus
a) einer Übersicht bisheriger Maßnahmen des BfIS-Land
b) einer Übersicht weiterer relevanter Initiativen und Aktionen von Staat, Wirtschaft
und Bürgern unter besonderer Berücksichtigung ihrer Wirkung auf den Freistaat
Sachsen sowie
c) einer aktuellen Zusammenfassung der zentralen Ergebnisse von repräsentativen Um
fragen zum Thema Cybersicherheit in der deutschen Bevölkerung und Befragungen
von Unternehmen
4.1.1. Bisherige Maßnahmen
des BfIS-Land
Mit der Großveranstaltung „Infosic“ organisierte der BfIS-Land in den Jahren 2012, 2013
und 2015 die größten Sensibilisierungsveranstaltungen für Informationssicherheit auf
Landesebene.
572 Menschen wurden gefragt
Diese basiert auf der Veranstaltungsreihe „Roadshow Informationssicherheit“, die ur
sprünglich von der Bundesakademie für öffentliche Verwaltung (BAköV) zusammen mit
dem BSI entwickelt worden war, um die Bediensteten des Bundes auf die Risiken beim
Einsatz der IT hinzuweisen und sie für den richtigen, sicherheitsbewussten Umgang mit
der IT zu sensibilisieren.
„Wie hat Ihnen die Veranstaltung insgesamt gefallen?
Nachdem sich der BfIS-Land der BAköV als Partner angeboten hatte, um die Veranstal
tungsreihe auch im Freistaat Sachsen den Landesbediensteten anzubieten, wurden im Jahr
2012 in Leipzig mit 600 Teilnehmern, im Jahr 2013 in Chemnitz mit 700 Teilnehmern und
im Jahr 2015 in Dresden mit insgesamt 1.800 Teilnehmern bei gleich zwei entsprechenden
Großveranstaltungen4 insgesamt bislang über 3.100 Bedienstete der sächsischen Landesund Kommunalverwaltung, sowie weiterer öffentlicher Einrichtungen und Institutionen
erreicht. Die sich sehr positiv entwickelnden Teilnehmerzahlen sind sicherlich auch Er
gebnis des kontinuierlichen Angebots einer solchen Veranstaltung. Die gesamte Veran
staltungsreihe wurde und wird dabei aus Projektmitteln des IT-Planungsrats unterstützt.
Nach der erfolgreichen Auftaktveranstaltung 2012 in Sachsen folgten die meisten anderen
Bundesländer mit ähnlichen Veranstaltungen.
4
Nachdem die erste Sensibilisierungsveranstaltung bereits nach drei Wochen ausgebucht war, wurde kurzfristig eine
zweite Veranstaltung organisiert, die ebenfalls weitere drei Wochen später ausgebucht war.
4. Informations- und Cybersicherheit durch Sensibilisierungsmaßnahmen | 27
In den bisherigen Veranstaltungen in Sachsen wurden in zwei jeweils 90 Minuten um
fassenden Blöcken mittels einer unterhaltsamen Mischung aus Vorträgen und Technikde
monstrationen („Live-Hacking“) folgende Themen behandelt:
❚
❚
❚
❚
❚
Gefährdungen durch die Nutzung der modernen Informationstechnik
Tücken der Internetnutzung
Mobilität mit Tücken
Der Mensch als Angriffsziel von Hackern
Digitale Identitäten
Beworben wurde die Veranstaltung mit Flyern, Plakaten und über zahlreiche weitere Kanäle
wie E-Mail-Verteiler, Zeitschriften, Intranet und einer zentralen Internetseite, über die auch
die Anmeldung koordiniert wurde. Um Behördenmitarbeitern aller großen sächsischen Ein
zugsgebiete die Teilnahme zu ermöglichen, wurden seit der zweiten Veranstaltung im Jahr
2013 zudem für die An- und Abreise Busse bereitgestellt.
INFOSIC 2015 – Die Hacker kommen! Aufgrund der hohen Nachfrage fanden gleich
zwei Sensibilisierungsveranstaltungen zur Informationssicherheit für Mitarbeiter der
Landesverwaltung am 10. und 11. September 2015 im Rundkino Dresden statt.
Als weitere Sensibilisierungsmaßnahmen für eine größere Öffentlichkeit ist die Veröffent
lichung von Informationsmaterial zu nennen. Hier wurden bislang v.a. Flyer zum Thema
„Informationssicherheit“ publiziert, die über die Arbeit des BfIS-Land sowie die Organisa
tion der Informationssicherheit in der Landesverwaltung informieren. 2012 wurde zudem
erstmals der Jahresbericht des BfIS-Land „Die Lage der Informationssicherheit in der Säch
sischen Landesverwaltung“ für das vorangegangene Kalenderjahr veröffentlicht.
4.1.2. Maßnahmen weiterer Akteure Neben dem BfIS-Land ist als weiterer Akteur für Sensibilisierungsmaßnahmen im Bereich
der Informationssicherheit die Fachhochschule für öffentliche Verwaltung und Rechts
pflege Meißen, Fortbildungszentrum des Freistaates Sachsen (FHSV-FoBiZ) zu nen
nen, die ihr Programm um Seminare zum Themenbereich Informationssicherheit erweitert
hat. So bot die FHSV-FoBiZ im Jahr 2015 folgende Seminare an:
❚ Konzepte, Methodik und Didaktik zur Durchführung von Awareness- und Sensibilisie
rungsmaßnahmen in Behörden
❚ Roadshow zur Informationssicherheit – Die Hacker kommen!
❚ Fortbildung zum Informations- / IT-Sicherheitsbeauftragten (Kompaktseminar)
❚ Informationssicherheit für Führungskräfte – Die Verantwortung trägt die Leitung,
nicht die IT
❚ Informationssicherheit – aktuelle Entwicklungen
❚ Sicherheit – Privatsphäre – Datenschutz im Web 2.0 – Was NSA so interessiert
❚ Daten- und Informationssicherheit bei Konfiguration und Einsatz mobiler IT
❚ Internetkriminalität: Malware, Phishing, Botnetze – Gefährdungen, Maßnahmen,
Richtlinien, Best Practices
❚ Ermittlung und Auswertung von Internetaktivitäten – Grundlagen und einfache
Auswertungen – Teil 1
❚ Ermittlung und Auswertung von Internetaktivitäten – Fortgeschrittene Techniken,
Auswertung von Angriffen – Teil 2
Die meisten dieser Seminare richten sich jedoch in erster Linie an Fach- und Führungs
kräfte, so dass sie als eine allgemeine Sensibilisierung für den „normalen“ Nutzer nicht in
Frage kommen.
Auch die sich in öffentlicher Trägerschaft befindliche Sächsische Verwaltungs- und Wirt
schaftsakademie bot zwei Seminare zum Thema Informationssicherheit im Jahr 2015 an:
❚ Informationssicherheitsmanagement - Struktur und Vorgehensweise bei der Informa
tionssicherheit
❚ Informationssicherheit und Datenschutz – Vertiefungsseminar
Diese Seminare richten sich jedoch nur an Führungskräfte ihrer Behörde bzw. mit Daten
schutzfragen befasste Mitarbeiter.
Weitere Schulungen für Fachkräfte (v.a. Bürgermeister), die im Rahmen der „AG Infor
mationssicherheit im Geschäftsbereich des SMI“ auf kommunaler Ebene über die SAKD
angedacht waren, konnten bisher nicht umgesetzt werden. Jedoch gibt es Kommunen, die
Informationsveranstaltungen in Eigenregie durchführen. So organisierte u.a. der Landkreis
Meißen 2014 für sich eine „Roadshow Informationssicherheit“, an der über 500 Mitarbeiter
teilnahmen. Auch der Landkreis Bautzen führte im Mai 2015 eine „Hacker-Veranstaltung“
zur Sensibilisierung von Mitarbeitern durch.
Das Thema Cybersicherheit, und damit die Ausweitung des Bereichs Informationssicherheit
auf die Bürger und die Wirtschaft, ist erst Anfang 2015 parallel mit der Neuzuschneidung
der Ressorts und dem damit verbundenen Wechsel des Referats zum SMI als Aufgabenge
biet des BfIS-Land dazugekommen. Das Thema wurde vormals durch Ref. 34 Technik der
Polizei betreut – mit Schwerpunkt auf die Aspekte von Cybercrime und ihrer polizeilichen
Verfolgung.
So hat das Landeskriminalamt Sachsen eine Veranstaltungskonzeption zu „Gefahren im
Umgang mit Neuen Medien“ mit den Bausteinen Elternabend sowie Fortbildung für pä
dagogische Fachkräfte erarbeitet; diese zielt auf den Einsatz bei Eltern und Lehrern von
Schülern ab Klassenstufe fünf .5 Schwerpunkte der Veranstaltungen sind:
❚
❚
❚
❚
❚
Jugendgefährdende Inhalte
Soziale Netzwerke
Handy/Smartphone
Gewaltformen (Cybermobbing, Happy-Slapping)
Handlungsempfehlungen
Zur Gewährleistung der landesweiten Umsetzung dieser Elternabende sowie der Lehrer
fortbildung werden seit dem Jahr 2011 mit Präventionsaufgaben betraute Polizeibeamte
auf der Grundlage einer Rahmenkonzeption durch das heutige Fortbildungszentrum Baut
zen fortgebildet.
Darüber hinaus finden landesweit Schülerveranstaltungen zum Thema „Umgang mit neu
en Medien“ statt. Hierbei variieren die Zielgruppen zwischen den Klassenstufen 6, 8 und
9. Zu den unterstützenden Begleitmaterialien im Unterricht zählen das Medienpaket „Ver
klickt“, welches in Kooperation der Polizeilichen Kriminalprävention der Länder und des
Bundes (ProPK) und dem BSI produziert wurde sowie der Film „Netzangriff“.
Für die Zielgruppe der Bevölkerung allgemein stehen Informationen zum Thema Compu
ter- und Internetkriminalität des ProPK zur Verfügung. Diese Materialien werden inter
essierten Bürgern direkt bereitgestellt bzw. im Rahmen von Präventionsveranstaltungen
durch die polizeilichen Beratungsstellen eingesetzt.
5
Es wird auf die Seite http://www.polizei.sachsen.de/de/23175.htm verwiesen.
Zudem wurde im Jahr 2010 durch die sächsische Polizei und dem Sächsischen Verband
für Sicherheit in der Wirtschaft e. V. mit Unterstützung des Landesamts für Verfassungs
schutz das auf die Bedarfe von klein- und mittelständischen Unternehmen ausgerichtete
ganzheitliche Präventionsangebot „Sicheres Unternehmen“ entwickelt. Ziel dessen ist es,
die Unternehmen für die Themen „Wirtschaftskriminalität“ und „Unternehmenssicherheit“
zu sensibilisieren sowie bestehende Sicherheitslücken in den Unternehmen zu erkennen
und zu beseitigen. Ein Schwerpunkt dieses kostenlosen Beratungsangebotes ist auch Cy
bercrime.
Neben der staatlichen Seite gibt es in Sachsen auch andere Akteure, die im Bereich der
Cybersicherheit die Bürger sensibilisieren. Dazu zählen allen voran die Verbraucherzent
rale Sachsen sowie auch der ChaosComputerClub. Die Verbraucherzentrale bietet dabei
auf ihrer Internetseite Broschüren zum Datenschutz und weitere Informationsangebote
an. Zudem führt sie regelmäßig Beratungsveranstaltungen durch: So gibt sie unter dem
Titel „Gefahren im Internet“ Tipps zum sicheren Online-Kauf, Spam-Mails, Phishing, sozia
len Netzwerken und Tauschbörsen-Abmahnungen. Auch der ChaosComputerClub Dresden
bietet regelmäßig spezielle Veranstaltungen an, hauptsächlich zu Verschlüsselungs- und
Sicherheitstechniken. Auch wenn hier für das Thema Cybersicherheit sensibilisiert wird,
richten sich die Veranstaltungen doch eher an eine technikaffine Zielgruppe.
Darüber hinaus werden einmal im Jahr koordiniert durch das Awareness Center „klicksafe“
des Verbunds Safer Internet DE im Rahmen eines „Safer Internet Day“ Veranstaltungen
angeboten. Im Jahr 2015 waren das in Sachsen:
❚
❚
❚
Verbraucherzentrale Dresden: „Missbrauchsfalle Internet: Die neuen Medien und
ihre Tücken“, ähnliche Veranstaltungen in Hoyerswerda, Torgau, Chemnitz, Bautzen,
Leipzig, Zwickau.
Dresden: Krypto-Party von der Casablanca Medienhaus gGmbH und dem CCC
Dresden
Leipzig: Krypto-Party vom Bündnis Privatsphäre Leipzig e.V.
Über Sachsen hinaus sind nach dem Motto „Viel hilft viel“ aktuell eine Vielzahl von Initia
tiven auf unterschiedlichen Ebenen zum Schutz der Bürgerinnen und Bürger im Internet
aktiv, beispielsweise Deutschland Sicher im Netz e.V. (www.sicher-im-netz.de), BSI für Bür
ger (www.bsi-fuer-buerger.de), die EU-Initiative für mehr Sicherheit im Netz „klicksafe.de“
(www.klicksafe.de) oder auch die Stiftung Datenschutz (https://stiftungdatenschutz.org).
4.1.3. Umfragen zu den Themen
Informations- und Cybersicherheit
Aktuelle Studien wie das Eurobarometer oder der DSiN Index 2014 belegen, dass es einer
seits eine große Kluft zwischen Anspruch und Wirklichkeit in der Sicherheitskompetenz
bei den einzelnen Nutzern gibt, andererseits zeigen sie, dass Sensibilisierungsmaßnahmen
für die reale Gefahrenlage und die Vermittlung von Kompetenzen zur Gefahrenabwehr
unverzichtbar sind.
In einer Eurobarometer-Umfrage zum Thema Cybersicherheit 6 aus dem Februar 2015
(1.532 Befragte in Deutschland) erkennen das z.T. auch die Nutzer selber: So fühlen sich
51 % der Befragten nicht gut über Risiken der Internet-Kriminalität informiert (plus 3 %
im Vergleich zum Jahr 2014). Dieses Unwissen und die gemachten Erfahrungen mit Inter
net-Kriminalität schüren Ängste. So sind z.B. 61 % der Befragten besorgt, Schadsoftware
auf dem heimischen PC zu finden, und 58 % fürchten sich davor, dass jemand ihre persön
lichen Daten missbraucht. Das fußt z.T. auf eigene Erfahrungen: so haben beispielsweise
54 % bereits Schadsoftware gefunden oder Betrug-E-Mails erhalten, die nach persönli
chen Zugangsdaten fragten (32 %).
Trotz der feststellbaren Uninformiertheit sehen sich jedoch 80 % in der Lage, sich selbst
ausreichend vor Internet-Kriminalität zu schützen. Die Diskrepanz zwischen Selbstwahr
nehmung und tatsächlicher Umsetzung beweisen jedoch folgende Zahlen: So haben le
diglich 73 % der Befragten angegeben ein Anti-Viren-Programm installiert zu haben, nur
63 % öffnen keine ihnen unbekannte E-Mails und nur 36 % ändern regelmäßig ihr Pass
wort. Zudem geben 54 % der Befragten an, die Preisgabe von persönlichen Daten auf
Webseiten zu vermeiden – ein Prozentsatz, der nicht mit den hohen Nutzerzahlen sozialer
Medien korrespondiert, bei denen regelmäßig persönliche Daten preisgegeben werden.
Auch der DSiN Index 7 2014 kommt zu dem Ergebnis einer auffälligen Diskrepanz zwischen
Kenntnis und tatsächlicher Umsetzung von Schutzmaßnahmen bei allen vier in der Stu
die identifizierten Nutzergruppen. Dazu zählen die sogenannten fatalistischen Nutzer, die
sehr häufig mit Sicherheitsvorfällen konfrontiert werden, ein hohes Gefährdungsempfin
den haben, daraus allerdings kaum Schutzvorkehrungen ableiten (16 % der Onliner). Die
nächste Gruppe sind die außenstehenden Nutzer, die geringe Kenntnisse und eine geringe
Internetaffinität aufweisen sowie kaum wirksame Schutzvorkehrungen treffen (10 % der
Onliner). Dritte Gruppe sind die gutgläubigen Nutzer (35 % der Onliner), die trotz gu
ter Kenntnis von Gefahren ein schwach ausgeprägtes Gefährdungsempfinden haben und
Schutzmaßnahmen nur selten einsetzen. Als letzte Gruppe benennt die Studie die sou
veränen Nutzer (40 % der Onliner), die sich aufgrund der intensiven Nutzung des Inter
nets überdurchschnittlich viel mit Schutzmaßnahmen auseinandersetzen, trotzdem aber
durchschnittlich häufig von Sicherheitsvorfällen betroffen sind.
Abhängig von der Gruppenzugehörigkeit schlägt die Studie deswegen auch unterschied
liche Sensibilisierungsmaßnahmen vor: Beim gutgläubigen Nutzer steht Sensibilisierung
im Vordergrund, dem fatalistischen Nutzer hingegen müssen die realen Wirkungen von
Schutzvorkehrungen verdeutlicht werden. Die außenstehenden Nutzer müssen derweil mit
Grundwissen und Umsetzungskompetenzen stärker vertraut gemacht werden. Souveräne
Nutzer schließlich gilt es auf den aktuellen Stand zu halten.
6
Special Eurobarometer 423 „Cyber Security“: Factsheet: Ergebnisse für Deutschland, Februar 2015.
7
DsiN Index 2014: Digitale Sicherheitslage der Verbraucher in Deutschland. Eine Studie von Deutschland sicher im
Netz e.V., Oktober 2014.
Dabei hängt die Anwendung des erworbenen Wissens davon ab, dass die vorgestellten
Sicherheitsmaßnahmen einfach zu handhaben sein sollten. Gerade bei anspruchsvolleren
Sicherheitsmaßnahmen kann der Grad der Kenntnis bereits über ihre Anwendbarkeit ent
scheiden. Sprich: Neben Wissen müssen Sensibilisierungsmaßnahmen auch die Umset
zungsbereitschaft erhöhen.
Doch nicht nur der Inhalt der Schulungen und Fortbildungen ist enorm wichtig, sondern
auch, dass sie überhaupt stattfinden. So werden die Bürger allgemein in ihrem beruflichen
Umfeld noch viel zu selten im Bereich der Informations- und Cybersicherheit informiert
respektive geschult. Laut DSiN Sicherheitsmonitor 2014 für den Mittelstand 8 verharren
Vorkehrungen für eine Sensibilisierung von Mitarbeitern auf relativ niedrigem Niveau mit
starken Defiziten bei organisatorischen Vorkehrungen. So bieten nur 28 % der privatwirt
schaftlichen Unternehmen regelmäßige Informationen und Schulungen zum sicherheits
bewussten Verhalten für ihre Mitarbeiter an. Insgesamt wird die Rolle der Mitarbeiter für
IT-Sicherheit im Unternehmen als zentraler Sicherheitsfaktor damit deutlich unterschätzt.
Dies kann enorme Sicherheitsrisiken im Unternehmen verursachen. Denn praktisch jeder
Mitarbeiter kommt in seiner täglichen Arbeit mit sensiblen Daten in Berührung. Von Seiten
der Unternehmen gibt es in der Aufklärungsarbeit hier bislang also wenig Unterstützung.
Fazit: Sowohl das bisher überschaubare Angebot an Sensibilisierungsmaßnahmen zur In
formationssicherheit bzw. Cybersicherheit in Sachsen als auch die durch die Umfragen
belegten Wissenslücken bei Bürgern als auch Unternehmen zeigen, dass es einen großen
Bedarf nach Maßnahmen zur Sensibilisierung und Kompetenzvermittlung in diesem Be
reich gibt.
Ausgebuchte Sensibilisierungsveranstaltungen zur IT-Sicherheit des BfIS-Land
wie im Jahr 2013 an der TU Chemnitz zeigen, dass es einen großen Bedarf zu
dem Thema gibt - nicht nur bei den Landesbediensteten.
8
DsiN-Sicherheitsmonitor Mittelstand 2014. Eine Studie von Deutschland sicher im Netz, 2014.
4.2. Maßnahmen: Sensibilisierung und
Kompetenzvermittlung
Um möglichst alle Zielgruppen zu erreichen und das über unterschiedliche Kommuni
kationsinstrumente, sind die dafür notwendigen Maßnahmen der Sensibilisierung und
Kompetenzvermittlung auf mehreren Ebenen und in Kooperation mit weiteren Akteuren
umzusetzen.
So bietet es sich nicht nur unter der Prämisse der Wirtschaftlichkeit an z.B. Publikationen
und weitere Informationsangebote von seriösen Akteuren wie dem BSI, der BAköV und
der EU-Behörde für Informationssicherheit, ENISA, zu nutzen und Synergien einzugehen.
4.2.1. Projekt: E-Learning
Die Vernetzung von IT-Systemen, das steigende Datenvolumen sowie kriminelle Angriffe
aus dem Internet stellen die Informationssicherheit in der öffentlichen Verwaltung vor
immer neue Aufgaben. Um diese Aufgaben bewältigen zu können, sind ein entsprechen
des Bewusstsein für Informationssicherheit sowie eine aktive Mitarbeit aller Beschäftigten
unverzichtbar. Aus diesem Grund sollen künftig die Beschäftigten der Sächsischen Staats
verwaltung systematisch mit der Thematik vertraut gemacht werden. Bei dem Projekt
„E-Learning“ handelt es sich um ein Anschubprojekt zur langfristigen Sensibilisierung und
Qualifizierung der Beschäftigten der sächsischen Landesverwaltung zum Thema Informa
tionssicherheit. Aufgrund der Dezentralität und zeitlichen Verfügbarkeiten der Zielgruppe
sollen in einem Lernangebot neben Präsenzveranstaltungen verstärkt E-Learning-Kompo
nenten, bspw. die Bereitstellung von Selbstlerneinheiten auf einer zentralen Lernplattform,
Berücksichtigung finden.
Im Rahmen eines Kooperationsvertrag mit der TU Dresden erforscht der Lehrstuhl für
Wirtschaftsinformatik der TU Dresden ein geeignetes Lernangebot unter dem Arbeitsti
tel „Informationssicherheit in der sächsischen Landesverwaltung“. Dabei werden zunächst
bestehende Angebote der BAköV hinsichtlich ihrer technischen und inhaltlichen Adaptier
barkeit überprüft. Zudem wird mit zusätzlicher Unterstützung der HTW Dresden und eines
studentischen Start-Ups ein passgenaues Marketing-Konzept entwickelt.
Die Ergebnisse des Anschubprojektes sind die Grundlage für die prototypische Umset
zung und Evaluierung der erarbeiteten Konzepte zur Umsetzung des mittel-/langfristigen
Anliegens. Dies wäre in einem Anschlussprojekt umzusetzen. Ziel ist einerseits eine E-Le
arning-Plattform, die ähnlich der erfolgreichen Veranstaltungsreihe „Die Hacker kommen“
zu Fragen der Informationssicherheit sensibilisiert, und andererseits ein Marketingkonzept
zum Thema Informationssicherheit, insbesondere E-Learning.
4.2.2. Informations- und
Netzwerkveranstaltungen im Rahmen
des Cyber Security Month der EU
Der BfIS-Land hat sich im Oktober 2015 erstmals am „European Cyber Security Month“
beteiligt. Mittels Informations- und Sensibilisierungsveranstaltungen sowie Medieninfor
mationen wurde im Rahmen der Kampagne #CyberSecMonth der ENISA (European Union
Agency for Network and Information Security), auf sächsische Themen aufmerksam ge
macht. Nach unserer Kenntnis nahm damit zum ersten Mal ein Bundesland an der Kam
pagne teil.
Vor Beginn des „European Cyber Security Month“ wurde in einer Medieninformation über
die Kampagne #CyberSecMonth und die Aktivitäten des Freistaates Sachsen informiert. In
der letzten Oktoberwoche wurde dann eine Veranstaltung ausgerichtet:
Am 27. Oktober wurde im Rahmen der etablierten Veranstaltungsreihe „IT-Security Stamm
tisch“ des Netzwerkes „Silicon Saxony e.V.“ zusammen mit Partnern wie T-Systems Multi
media Solutions und der TU Dresden behördliche Aktivitäten und Initiativen im Bereich der
Informations- und Cybersicherheit vorgestellt. Bei der Veranstaltung im Hans-Nadler-Saal
des Residenzschloss Dresden hielt der BfIS-Land einen Vortrag über seine Arbeit. Zudem
wurde das Projekt „HoneySens“ präsentiert.
IT Security Stammtisch im Rahmen des „European Cyber Security Month“ am 27.10.2015 im Hans-Nadler-Saal des
Residenzschloss Dresden zum Thema „Digitales Sachsen und IT-Sicherheit in der Verwaltung“.
5. Cybersicherheit für Bürger und Wirtschaft
Das Internet stellt für Bürger und Wirtschaft mittlerweile eine unentbehrliche
Ressource dar. Auf Seiten des Bürgers als Grundlage vielfältiger Wege der Kommunikation, Information, Unterhaltung. Für die Wirtschaft als allgegenwärtige
Werbe- und Handelsplattform und auch als Grundlage der Zusammenarbeit von
Firmen untereinander.
Die Nutzung des Internets durch den Bürger hat sich in den letzten Jahren stark
verändert. Waren noch vor Jahren der normale Desktopcomputer oder der Lap-top die primären Zugangswege, so ist es heute das Tablet und das Smartphone.
War es früher üblich, das Internet bei Bedarf zu nutzen, z.B. um im Web zu sur-fen oder E-Mails abzurufen, so ist der Nutzer heute rund um die Uhr verbunden,
also „always on“. In der Konsequenz arbeiten viele Kommunikationsangebote
nach dem „Push“-Verfahren: Informationen werden auf das Geräte des Nutzers
gesendet, sie müssen nicht mehr aktiv abgeholt werden.
36 | 5. Cybersicherheit für Bürger und Wirtschaft
Diese tiefe Verbindung des täglichen Lebens mit dem Internet bietet viele Vorteile und An
nehmlichkeiten, sie birgt aber auch Risiken. Für den normalen Nutzer des Internets stehen
dabei die kriminellen Aktivitäten von Hackern im Vordergrund. Ziel dieser Cyberkriminellen
ist es, solche Informationen und Daten zu erlangen, die sich in irgendeiner Form in Geld
umsetzen lassen. In diesem Feld der Kriminalität werden eine ganze Reihe von Methoden
verfolgt. Sie reichen vom Abhören von Passworten mithilfe sogenannter „Keylogger“ über
den Eingriff in die Kommunikation mit der Bank beim Onlinebanking bis hin zur Erpressung
beispielsweise durch Verschlüsselung von Festplatten und deren Entschlüsselung gegen
ein Lösegeld. Aber auch die immer breitere Nutzung sozialer Netze wie Facebook oder
Google+ bringt Risiken. Die damit verbundene, weite Verbreitung von persönlichen Infor
mationen, wie zum Beispiel Urlaubsfotos, dient mittlerweile als Mittel der Ausforschung
lohnender Einbruchsziele, und im zwischenmenschlichen Bereich kommt es immer wieder
zum sogenannten Cybermobbing. Letzteres fokussiert hauptsächlich auf junge und jüngste
Internetnutzer.
All diesen Risiken kann nicht vollständig entgangen werden. Aber es ist möglich, die eigene
„Angriffsfläche“ auf das notwendige Minimum zu reduzieren. Es kann und darf nicht die
Aufgabe des Staates sein, seine Bürger zu schützen, denn umfassende Schutzmaßnahmen
sind immer mit einem spürbaren Eingriff in die Kommunikation und damit in die informa
tionelle Selbstbestimmung verbunden. Daher ist es erforderlich, dass sich die Nutzer des
Internets der Risiken bewusst sind und ihre eigenen Schutzmöglichkeiten kennen. Diese
Sensibilisierung kann aber sehr wohl durch den Staat befördert werden. Das sächsische
Staatsministerium des Innern plant daher, wie schon erfolgreich für die Mitarbeiter der
Landes- und Kommunalverwaltungen in den Jahren 2012, 2013 und 2015 praktiziert,
Sensibilisierungsveranstaltungen für die Bürger des Freistaats Sachsen anzubieten und so
mehr Bewusstsein für Sicherheit und das eigene Handeln im Internet zu befördern.
Aber auch für die Firmen in Sachsen ist besondere Vorsicht geboten. Eine Vielzahl der
kleinen und mittleren Unternehmen in Sachsen sind in hohem Maß innovativ. Gerade diese
Innovationsfähigkeit macht sie aber gleichzeitig zu begehrten Zielen der Industriespiona
ge. Kaum eine Entwicklung ist heute ohne den Einsatz von Computern denkbar, sei es im
Maschinenbau, der Elektrotechnik oder anderen Bereichen. Dabei kommen praktisch immer
auch firmeninterne Netzwerke zum Einsatz, die ihrerseits mit dem Internet verbunden sind.
Die in solchen Netzen zusammengeschlossenen PCs und Server enthalten oft die „Kronju
welen“ von Unternehmen, deren Verlust oft zu massiven, wirtschaftlichen Problemen bis
hin zur Insolvenz führen kann. Immerhin ist es deutlich einfacher, Plagiate aus CAD-Unter
lagen zu erstellen als die Originale mühsam zu vermessen.
Seitdem Hackerangriffe mittlerweile als Dienstleistung angeboten werden, Stichwort „Cy
bercrime as a Service“, muss auf Seiten des „Kunden“ solcher Dienstleistungen kein eigenes
Know-how zum Hacking vorhanden sein. Es genügt, das Angriffsziel und den Angriffs
zweck zu definieren und dann den geforderten Preis zu bezahlen. Der Rest ist dann eine
„Dienstleistung“. Diese Dienstleistungen sind vielfältig. Es werden alle Angriffe vom Aus
spionieren über Datenverfälschung bis hin zur nachhaltigen Störung der IT-Systeme des
Zieles (DDoS-Angriff) auf diesem internationalen Markt angeboten.
5. Cybersicherheit für Bürger und Wirtschaft | 37
Eine aktuelle Studie des Bundesverbandes Informationswirtschaft, Telekommunikation und
neue Medien e. V. (BITKOM) 9 zeigt, dass 51 % der Unternehmen in den letzten zwei Jahren
Opfer von Wirtschaftsspionage, Sabotage und Datendiebstahl waren. Der dabei entstan
dene Schaden von rund 51 Milliarden Euro pro Jahr entspricht mittlerweile 1,75 % vom
jährlichen Bruttoinlandsprodukt. Trotzdem verfügen immer noch 51 % der Unternehmen
nicht über ein adäquates Notfallmanagement, welches Schäden eingrenzt oder die Be
triebsstabilität gewährleistet! Und so beschreibt es auch der BITKOM als „bedenklich, dass
sich nur jedes fünfte Unternehmen (20 %) an staatliche Stellen wendet.“ 10
Es gilt also für Unternehmen vorzusorgen und die eigenen IT-Systeme zu schützen. Es
ist in hohem Maße leichtsinnig, sich auf die Sicherheit der normalen, handelsüblichen
Zugangsgeräte für das Internet, den Routern, zu verlassen. Vielmehr muss im Sinne einer
realistischen Risikoabschätzung ein Maß an Sicherheit zu vertretbaren Kosten gefunden
werden. Auch hier wird das Sächsische Staatsministerium des Innern spezielle Sensibilisie
rungsmaßnahmen für kleine und mittlere Unternehmen anbieten.
Nicht zuletzt wird das gerade erst im Juli 2015 vom Bundestag verabschiedete IT-Si
cherheitsgesetz neue regulatorische Standards und Impulse für die Cybersicherheit von
Unternehmen bringen. Schließlich ist es Ziel dieses Bundesgesetzes, dass die Betreiber
besonders gefährdeter sogenannter kritischer Infrastrukturen (KRITIS) ihre Netze besser
vor Hacker-Angriffen schützen. So sollen neben dann verpflichtenden Meldungen von
IT-Sicherheitsvorfällen auch Mindeststandards für die IT-Sicherheit festgelegt werden. Die
Betreiber der KRITIS (Energie, Informationstechnik und Telekommunikation, Transport und
Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen) haben
diese Standards selbst zu entwickeln und vom BSI genehmigen lassen.
Offen hält das IT-Sicherheitsgesetz jedoch, welche Unternehmen konkret als KRITIS gelten.
Dies wird vielmehr in Rechtsverordnungen geregelt. Ein den Ländern im Februar dieses
Jahres vorgelegter Entwurf einer Rechtsverordnung für die ersten vier KRITIS-Bereiche
Energie, ITK, Wasser und Ernährung zeigt dabei, dass die vom Bundesgesetzgeber fest
gelegten Schwellenwerte, ab wann ein Unternehmen zu den KRITIS zu zählen ist, nicht
immer identisch mit der Sicht des Landes sein müssen. In diesem Zusammenhang hätte
der Freistaat Sachsen eine tiefergreifendere Beteiligung der Länder im Vorfeld des Entwurfs
erwartet. Immerhin werden etwaige Sicherheitsvorfälle von KRITIS-Betreibern, v.a. wenn
in kommunaler Hand, unmittelbare Auswirkungen auf das Verwaltungshandeln auf der
Landesebene haben.
Der Abstimmungsbedarf zwischen Bund und Ländern sowie die möglichen und absehbaren
Auswirkungen des Gesetzes auf die Unternehmen zeigen: In den nächsten Jahren wird das
IT-Sicherheitsgesetz mit hoher Wahrscheinlichkeit neue Impulse setzen, die mehr als die
Cybersicherheit in der Wirtschaft betreffen.
9
10
Spionage, Sabotage und Datendiebstahl –Wirtschaftsschutz im digitalen Zeitalter, BITKOM 2015.
s.o., S. 24.
38 | 5. Cybersicherheit für Bürger und Wirtschaft
6. Zusammenfassung
und Ausblick
Im vorliegenden Bericht wurden die vielfältigen Risiken bei der immer weiteren
Durchdringung der Verwaltung, des täglichen Lebens und der Wirtschaft durch
IT beleuchtet. Es muss konstatiert werden, dass die Abmilderung der Risiken
immer ein Spiel von Hase und Igel darstellt. Dabei ist der Verteidiger immer in
der Position des Hasen, denn wir können auf Bedrohungen immer nur reagieren.
Allerdings gibt es Wege, die Angriffsmöglichkeiten spürbar zu reduzieren. Denn
Angriffe werden in praktisch allen Fällen auf fehlerhafte Software ausgeführt
und eben hier liegt ein ganz wesentlicher Hebel für mehr Sicherheit.
Auf eben diesem Gebiet ist der Freistaat Sachsen deshalb auch aktiv. Mit dem
im Rahmen des Projekts „Sachsen Digital“ ins Auge gefassten Softwareinstituts
wird unter anderem genau dieses Ziel verfolgt. Gerade das sich immer weiter
verbreitenden Internet der Dinge wird hier ein dankbarer Abnehmer sein. Aber
auch alles rund um das Thema Industrie 4.0 kann nur dann zuverlässig funk-tionieren, wenn die Software als Schlüsselelement deutlich sicherer als heute
wird.
Aber auch in der sächsischen Landesverwaltung wird aktiv daran gearbeitet,
die Sicherheit der informationstechnischen Systeme weiter zu verbessern und
auch die organisatorischen Strukturen der Informationssicherheit zu verbes-sern. Denn die bisherige Durchdringung der Verwaltung mit Informationstech-nik wird weiter fortschreiten und auch die Bedrohungen aus dem Cyberraum
für die Verwaltungen nehmen stetig zu. Hier muss Sachsen gerüstet sein.
6. Zusammenfassung und Ausblick | 39
Abkürzungsverzeichnis:
AG IS
Arbeitsgruppe Informationssicherheit
AK ITEG
Arbeitskreis IT und E-Government
AK SVN
Arbeitskreis Sächsisches Verwaltungsnetz
BAköV
Bundesakademie der öffentlichen Verwaltung
BfIS
Beauftragter für Informationssicherheit
BfIS-Land
Beauftragter für Informationssicherheit des Landes
BSI
Bundesamt für Sicherheit in der Informationstechnik
DDoS
Distributed Denial of Service (Verteilte Dienstblockade)
ENISA
European Union Agency for Network and Information Security
http
Hypertext Transfer Protocol (Hypertext-Übertragungsprotokoll)
HTTPS
Hypertext Transfer Protocol Secure
(sicheres Hypertext-Übertragungsprotokoll)
KDN
Kommunales Datennetz
LA ITEG
Lenkungsausschuss IT und E-Government
ProPK
Polizeiliche Kriminalprävention der Länder und des Bundes
SächsDSG
Sächsisches Datenschutzgesetz
SächsEGovG
Sächsisches E-Government Gesetz
SAKD
Sächsische Anstalt für kommunale Datenverarbeitung
SAX.CERT
Computer Emergency Response Team
(Computer Notfallteam) Freistaat Sachsen
SID
Staatsbetrieb Informatik Dienstleistungen
SMI
Sächsisches Staatsministerium des Innern
SVN
Sächsisches Verwaltungsnetz
TSI
T-Systems International
VwV
Verwaltungsvorschrift
Abkürzungsverzeichnis | 41
Herausgeber: Sächsisches Staatsministerium des Innern
Redaktion: Referat 65 „Informationssicherheit in der Landesverwaltung, Cybersicherheit“
Gestaltung und Satz: Haus E alltag & anders, Chemnitz
Druck: Druckerei Oskar Görner, Chemnitz
Redaktionsschluss: Februar 2016
Bezug:
Diese Druckschrift kann kostenfrei bezogen werden bei:
Zentraler Broschürenversand der Sächsischen Staatsregierung
Hammerweg 30, 01127 Dresden
Telefon: +49 351 210367172
Telefax: +49 351 2103681
E-Mail: [email protected]
www.publikationen.sachsen.de
Verteilerhinweis
Diese Informationsschrift wird von der Sächsischen Staatsregierung im Rahmen ihrer verfas
sungsmäßigen Verpflichtung zur Information der Öffentlichkeit herausgegeben. Sie darf we
der von Parteien noch von deren Kandidaten oder Helfern im Zeitraum von sechs Monaten
vor einer Wahl zum Zwecke der Wahlwerbung verwendet werden. Dies gilt für alle Wahlen.
Missbräuchlich ist insbesondere die Verteilung auf Wahlveranstaltungen, an Informations
ständen der Parteien sowie das Einlegen, Aufdrucken oder Aufkleben parteipolitischer Infor
mationen oder Werbemittel. Untersagt ist auch die Weitergabe an Dritte zur Verwendung bei
der Wahlwerbung.
Auch ohne zeitlichen Bezug zu einer bevorstehenden Wahl darf die vorliegende Druckschrift
nicht so verwendet werden, dass dies als Parteinahme des Herausgebers zu Gunsten einzel
ner politischer Gruppen verstanden werden könnte.
Diese Beschränkungen gelten unabhängig vom Vertriebsweg, also unabhängig davon, auf
welchem Wege und in welcher Anzahl diese Informationsschrift dem Empfänger zugegan
gen ist. Erlaubt ist jedoch den Parteien, diese Informationsschrift zur Unterrichtung ihrer
Mitglieder zu verwenden.
Copyright
Diese Veröffentlichung ist urheberrechtlich geschützt. Alle Rechte, auch die des Nachdruckes
von Auszügen und der fotomechanischen Wiedergabe, sind dem Herausgeber vorbehalten.

Informations- und Cybersicherheit in Sachsen

Transcrição

Documentos relacionados

Freistaat Sachsen Ausschreibung Blatt Nr. 1

PDF direkt öffnen - MdL Dr. Jana Pinka

Experten beraten bei E

Sächsischer Personalrätepreis des DGB

Auf ins Abenteuer – Kinder- und Jugendreisen nach Sachsen

Landesfeuerwehrschule Sachsen

Mitglied werden - Kfz

Anlage A2c - Kassenärztliche Vereinigung Sachsen

News als PDF - ADAC Sachsen Leistungszentrum

Sächsischer Abend mit Lesung