Landesportal Saarland

Navigation und Service

Ministerium für Finanzen und Europa | Finanzen

Stabstelle Informationssicherheit und IT-Recht

Die Stabsstelle Informationssicherheitsmanagement und IT-Recht im Ministerium für Finanzen und Europa wurde zum 15.02.2016 eingerichtet und hat folgenden Aufgabenumfang:

  • Informationssicherheit in der Landesverwaltung
  • E-Government-Gesetzgebung

Der Leiter der Stabsstelle ist zugleich Landesbeauftragter für Informationssicherheit der Landesregierung (CISO). Er hat ein direktes Vortragsrecht beim CIO der Landesregierung und berichtet über die aktuellen Risiken, die Wirksamkeit der Umsetzung des Informationssicherheitsmanagements und von IT-Sicherheitsmaßnahmen in der Landesverwaltung, und schlägt ggf. einen Maßnahmenkatalog zu zum Umgang mit den identifizierten Risiken vor.

Informationssicherheit in der Landesverwaltung

Informationstechnik ist heute in keiner Organisation mehr wegzudenken. Viele Arbeitsprozesse sind bereits heute digitalisiert und andere werden bzw. müssen aus unterschiedlichen Gründen in Zukunft digitalisiert werden. Gleichzeitig steigt die Komplexität der Informationstechnik als auch der Grad der Vernetzung und die Abhängigkeit von IT-gestützten Verfahren ständig an. Dies macht es notwendig, dass der Sicherheit der Informationstechnik ein zunehmend höherer Stellenwert beigemessen wird. Eine wachsende Herausforderung ist hierbei die Sicherstellung der Verlässlichkeit der vernetzten, von unterschiedlichen Partnern betriebenen und auch genutzten Infrastrukturen, weil das „schwächste“ Glied die Sicherheit aller Beteiligten bestimmt.

Um für alle Beteiligten ein hohes Maß an Sicherheit zu erreichen, besteht das Ziel unter Berücksichtigung des Grundsatzes der Wirtschaftlichkeit ein einheitliches Mindestsicherheitsniveau in der Saarländischen Landesverwaltung zu etablieren.

Die Sicherheitsstrategie und die Organisation des Sicherheitsprozesses in der Landesverwaltung orientieren sich hierbei an den Zielen der Leitlinie zur Informationssicherheit in der öffentlichen Verwaltung, die durch den IT-Planungsrat von Bund und Ländern initial 2013 verabschiedet und 2018 überarbeitetwurde. Auf dieser Grundlage wurde wiederum 2016 die Leitlinie zur Informationssicherheit der Saarländischen Landesverwaltung verabschiedet.

Die Stabsstelle Informationssicherheitsmanagement und IT-Recht koordiniert, überwacht und unterstützt die Umsetzung der Leitlinie in den Ressorts, u.a.durch Umsetzung eines landesweiten Schulungs- und Sensibilisierungskonzepts für den Bereich Informationssicherheit, Erarbeitung und Bereitstellung von Sicherheitsrichtlinien und -standards im Kontext eines einheitlichen Informationssicherheitsmanagementsystems (ISMS) in der Landesverwaltung, und Koordinierung von IT-Sicherheitsmaßnahmen in der Landesverwaltung gemeinsam mit dem IT-Dienstleistungszentrum und dem IT-Innovationszentrum.

E-Government-Gesetzgebung

Am 15.12.2017 ist das unter Federführung der Stabsstelle für Informationssicherheitsmanagement und IT-Recht erarbeitete E-Government-Gesetz für das Saarland in Kraft getreten. Aus dem Gesetz ergeben sich eine Vielzahl an Umsetzungsaufgaben, die dazu dienen, die nachhaltige Digitalisierung der Verwaltung zu gewährleisten. Das Gesetz wurde zwischenzeitlich an die Belange der Datenschutzgrundverordnung angepasst sowie um eine Experimentierklausel und um die Anforderungen zur elektronischen Rechnungslegung gem. der EU-Richtlinie RL 2014/55/EU ergänzt. Aus diesem Gesetz sowie der Gesetzgebung des Bundes ergeben sich Folgeaufgaben zur praktischen Umsetzung.

 

Der Gesetzentwurf verfolgt im Wesentlichen drei Ziele:

  • Sicherstellung der Einheitlichkeit des Verwaltungshandelns im Saarland unter Berücksichtigung des am 31. Juli 2013 verkündeten E-Government-Gesetzes des Bundes
  • Schaffung eines rechtlichen Rahmens zur verbindlichen Vereinbarung von Standards, Strukturen und Verfahrensweisen für die Informations- und Kommunikationstechniken
  • Förderung der Verfahrensabwicklung und des Angebots von Dienstleistungen auf elektronischem Weg unter gleichzeitiger Optimierung der Geschäftsprozesse

Konkret handelt es sich hierbei bspw. um die Eröffnung weiterer elektronischer Zugangsmöglichkeiten zur Verwaltung, elektronische Bezahlmöglichkeiten, die flächendeckende Einführung der E-Akte, die Einsetzung des geplanten IT-Kooperationsrates und die im Gesetz geforderten Berichtspflichten gegenüber dem Landtag.

Als eine dieser Anforderungen ist gem. § 20 E-GovG SL dem Landtag zu berichten, in welchen Rechtsvorschriften des Landes die Anordnung der Schriftform bzw. des persönlichen Erscheinens durch eine elektronische Lösung ersetzt werden können. Resultierende Änderungsmöglichkeiten sollen – neben der Berichtslegung an den Landtag - über ein vorgesehenes Digitalisierungsgesetz in die einzelnen Rechtsvorschriften eingebracht werden.

 

Gemäß § 10 a E-GovG SL  und zur Umsetzung der EU-Richtlinie RL 2014/55/EU (E-Rechnungsrichtlinie) ist bis zum 18. April 2020 eine Verordnung über die elektronische Rechnungsstellung im öffentlichen Auftragswesen des Saarlandes (E-Rechnungsverordnung, E-RechVO) als detaillierte Ausführungsvorschrift zu erlassen.

CERT Saarland

Das CERT Saarland (CERT = Computer Emergency Response Team) ist zentrale Anlaufstelle in der Landesverwaltung für präventive und reaktive Maßnahmen in Bezug auf sicherheits- und verfügbarkeitsrelevante Vorfälle. Neben weiteren Aufgaben unterstützt das CERT Saarland die Arbeit der Stabsstelle Informationssicherheitsmanagement und IT-Recht in fachlichen und organisatorischen Belangen. Das CERT Saarland

  • fungiert als zentraler Ansprechpartner (SPOC – Single Point of Contact),
  • analysiert eingehende Vorfallmeldungen,
  • leitet daraus Empfehlungen ab,
  • zeigt Lösungen für Sicherheitsprobleme auf,
  • betreibt einen Warn- und Informationsdienst,
  • alarmiert bei akuten Gefährdungen und
  • unterstützt bei der Beseitigung von Sicherheitsrisiken.

Das CERT-Saarland wird in Zusammenarbeit mit dem Land Rheinland-Pfalz betrieben. Die Kopfstelle, der sog. SPoC, befindet sich im IT-Dienstleistungszentrum (IT-DLZ).

 

Informationssicherheitsgesetz

Zunehmend erfolgen Angriffe auf IT-Infrastrukturen von Behörden und Unternehmen, wie bspw. der Angriff auf den Bundestag, die Veröffentlichungen von 2,1 Mrd. Zugangsdaten zu Online-Konten und zu privaten Daten von Politikern, und die Schadsoftware-Kampagnen der jüngsten Vergangenheit (wie z.B. Emotet) zeigen.

Dies erfordert auch auf Seiten des Landes die stringente Umsetzung von präventiven und reaktiven Maßnahmen, um solche Angriffe abzuwehren, die Funktionsfähigkeit der Verwaltung sicherzustellen und die bei den Behörden gespeicherten Daten von Bürgerinnen, Bürgern, Unternehmen, Mitarbeiterinnen und Mitarbeitern zu schützen.

Nach einem Gutachten der Universität Hannover im Auftrag des IT-Planungsrates bedingen jedoch der Einsatz von sog. Angriffserkennungssystemen und die Nachverfolgung von Spuren teilweise Eingriffe in das Fernmeldegeheimnis des Artikels 10 GG und benötigen daher eine eigene Rechtsgrundlage. Diese wurde mit dem Informationssicherheitsgesetz vom 15. Mai 2019 geschaffen.

Das Gesetz ermächtigt das zentrale IT-Dienstleistungszentrum der Landesverwaltung für die mit dem Landesdatennetz verbundenen Systeme neben den etablierten Systemen wie z.B. Firewalls und Virenscannern weitergehende Maßnahmen durchzuführen, wie sie mit dem CISPA (Helmholtz-Zentrum für Informationssicherheit) und dem BSI zuvor abgestimmt wurden. Dies betrifft insbesondere die Überwachung des Netzverkehrs, die Abwehr und Nachverfolgung von Angriffen und die Auswertung dabei anfallender Daten. Da hierbei teilweise das allgemeine Persönlichkeitsrecht (Artikel 2 GG) oder das Fernmeldegeheimnis (Artikel 10 GG, Artikel 17 Verfassung des Saarlandes) berührt wird, wurde ein mehrstufiges Verfahren vorgesehen und vorab mit der Landesbeauftragten für Datenschutz und Informationsfreiheit auf deren Anforderungen hin abgestimmt.

Die gleichen Befugnisse wurden allen Behörden für ihre rein lokalen Netze ebenfalls eingeräumt.

Gleichzeitig enthält das Gesetz die umfassende Verpflichtung aller Behörden einschließlich der kommunalen Ebene zur Gewährleistung von Informationssicherheit durch angemessene technische und organisatorische Maßnahmen und zur Erstellung der hierzu erforderlichen Informationssicherheitskonzepte vorgegeben.

In Absprache mit den kommunalen Spitzenverbänden werden die Städte, Gemeinden und Kreise bei der Einführung von Informationssicherheitsmanagementsystemen und der Umsetzung von Informationssicherheitskonzepten mit Bedarfszuweisungen unterstützt.

Ansprechpartner

Karl-Heinz Lander
Leiter Stabstelle

Am Stadtgraben 6-8
66111 Saarbrücken