Informationssicherheits- und Datenschutzmanagement, IT-Recht

Das Referat D/6 – „Informationssicherheits- und Datenschutzmanagement, IT-Recht“ im Ministerium für Wirtschaft, Innovation, Digitales und Energie ist aus der Stabsstelle „Informationssicherheitsmanagement und IT-Recht“ entstanden, welche zum 15.02.2016 vom Ministerium der Finanzen und für Wissenschaft eingerichtet wurde. Das Referat D/6 hat folgenden Aufgabenumfang::

• Informationssicherheit in der Landesverwaltung
• E-Government-Gesetzgebung

Der Leiter des Referates D/6 ist zugleich Landesbeauftragter für Informationssicherheit (CISO). Er hat ein direktes Vortragsrecht bei der CIO der Landesregierung und berichtet über die aktuellen Risiken, die Wirksamkeit der Umsetzung des Informationssicherheitsmanagements und von IT-Sicherheitsmaßnahmen in der Landesverwaltung, und schlägt ggf. einen Maßnahmenkatalog zum Umgang mit den identifizierten Risiken vor.

Informationssicherheit in der Landesverwaltung

Informationstechnik ist heute in keiner Organisation mehr wegzudenken. Viele Arbeitsprozesse sind bereits heute digitalisiert und andere werden bzw. müssen aus unterschiedlichen Gründen in Zukunft digitalisiert werden. Gleichzeitig steigt die Komplexität der Informationstechnik als auch der Grad der Vernetzung und somit die Abhängigkeit von IT-gestützten Verfahren ständig an. Dies macht es notwendig, dass der Sicherheit der Informationstechnik ein zunehmend höherer Stellenwert beigemessen wird. Eine wachsende Herausforderung ist hierbei die Sicherstellung der Verlässlichkeit der vernetzten, von unterschiedlichen Partnern betriebenen und auch genutzten Infrastrukturen, weil das „schwächste Glied“ die Sicherheit aller Beteiligten bestimmt.

Um für alle Beteiligten ein hohes Maß an Sicherheit zu erreichen, besteht das Ziel - unter Berücksichtigung des Grundsatzes der Wirtschaftlichkeit - ein einheitliches Mindestsicherheitsniveau in der saarländischen Landesverwaltung zu etablieren.

Die Sicherheitsstrategie und die Organisation des Sicherheitsprozesses in der Landesverwaltung orientieren sich hierbei an den Zielen der Leitlinie zur Informationssicherheit in der öffentlichen Verwaltung, die durch den IT-Planungsrat von Bund und Ländern initial 2013 verabschiedet und 2018 überarbeitet wurde. Auf dieser Grundlage wurde wiederum 2016 die Leitlinie zur Informationssicherheit der saarländischen Landesverwaltung verabschiedet.

Das Referat D/6 koordiniert, überwacht und unterstützt die Umsetzung der Leitlinie in den Ressorts, u.a. durch Umsetzung eines landesweiten Schulungs- und Sensibilisierungskonzepts für den Bereich Informationssicherheit, die Erarbeitung und Bereitstellung von Sicherheitsrichtlinien und -standards im Kontext eines einheitlichen Informationssicherheitsmanagementsystems (ISMS) in der Landesverwaltung und die Koordinierung von IT-Sicherheitsmaßnahmen in der Landesverwaltung gemeinsam mit dem IT-Dienstleistungszentrum.

E-Government-Gesetzgebung

Am 15.12.2017 ist das unter Federführung der ehemaligen Stabsstelle für Informationssicherheitsmanagement und IT-Recht erarbeitete E-Government-Gesetz für das Saarland in Kraft getreten. Aus dem Gesetz ergeben sich eine Vielzahl an Umsetzungsaufgaben, die dazu dienen, die nachhaltige Digitalisierung der Verwaltung zu gewährleisten. Das Gesetz wurde zwischenzeitlich an die Belange der Datenschutzgrundverordnung angepasst sowie um eine Experimentierklausel und um die Anforderungen zur elektronischen Rechnungslegung gem. der EU-Richtlinie RL 2014/55/EU ergänzt. Aus diesem Gesetz sowie der Gesetzgebung des Bundes ergeben sich Folgeaufgaben zur praktischen Umsetzung.

Der Gesetzentwurf verfolgt im Wesentlichen drei Ziele:

• Sicherstellung der Einheitlichkeit des Verwaltungshandelns im Saarland unter Berücksichtigung des am 31. Juli 2013 verkündeten E-Government-Gesetzes des Bundes
• Schaffung eines rechtlichen Rahmens zur verbindlichen Vereinbarung von Standards, Strukturen und Verfahrensweisen für die Informations- und Kommunikationstechniken
• Förderung der Verfahrensabwicklung und des Angebots von Dienstleistungen auf elektronischem Weg unter gleichzeitiger Optimierung der Geschäftsprozesse

Als eine dieser Anforderungen ist gem. § 26 E-GovG SL dem Landtag zu berichten, in welchen Rechtsvorschriften des Landes die Anordnung der Schriftform bzw. des persönlichen Erscheinens durch eine elektronische Lösung ersetzt werden kann. Dem ist die Landesregierung im Januar 2021 nachgekommen. Im Rahmen des Saarländischen Digitalisierungsgesetzes (SDigG) wurden im Dezember 2021 rund 1.000 Schriftformerfordernisse in insgesamt 270 Gesetzen und Rechtsverordnungen des Landes abgebaut. Neben schriftlichen Verfahren werden darin alternativ auch einfache digitale Kommunikationsformen ermöglicht.

Gemäß § 10 a E-GovG SL und zur Umsetzung der EU-Richtlinie RL 2014/55/EU (E-Rechnungsrichtlinie) wurde im Juli 2020 eine Verordnung über die elektronische Rechnungsstellung im öffentlichen Auftragswesen des Saarlandes (E-Rechnungsverordnung, E-RechVO) erlassen.

CERT Saarland

Das CERT Saarland (CERT = Computer Emergency Response Team) ist zentrale Anlaufstelle in der Landesverwaltung für präventive und reaktive Maßnahmen in Bezug auf sicherheits- und verfügbarkeitsrelevante Vorfälle. Neben weiteren Aufgaben unterstützt das CERT Saarland die Arbeit des Referates D/6 in fachlichen und organisatorischen Belangen.

Das CERT Saarland

• fungiert als zentraler Ansprechpartner (SPOC – Single Point of Contact),
• analysiert eingehende Vorfallmeldungen,
• leitet daraus Empfehlungen ab,
• zeigt Lösungen für Sicherheitsprobleme auf,
• betreibt einen Warn- und Informationsdienst,
• alarmiert bei akuten Gefährdungen und
• unterstützt bei der Beseitigung von Sicherheitsrisiken.

Das CERT-Saarland wird in Zusammenarbeit mit dem Land Rheinland-Pfalz betrieben. Die Kopfstelle, der sog. SPOC, befindet sich im IT-Dienstleistungszentrum (IT-DLZ).

Informationssicherheitsgesetz (IT-Sicherheitsgesetz 2.0)

Zunehmend erfolgen Angriffe auf IT-Infrastrukturen von Behörden und Unternehmen, wie bspw. der Angriff auf den Bundestag, die Veröffentlichungen von 2,1 Mrd. Zugangsdaten zu Online-Konten und zu privaten Daten von Politikern, und die Schadsoftware-Kampagnen der jüngsten Vergangenheit (wie z.B. Emotet, Log4j) zeigen.

Dies erfordert auch auf Seiten des Landes die stringente Umsetzung von präventiven und reaktiven Maßnahmen, um solche Angriffe abzuwehren, die Funktionsfähigkeit der Verwaltung sicherzustellen und die bei den Behörden gespeicherten Daten von Bürgerinnen und Bürgern, Unternehmen und Mitarbeitenden zu schützen.

Nach einem Gutachten der Universität Hannover im Auftrag des IT-Planungsrates bedingen jedoch der Einsatz von sog. Angriffserkennungssystemen und die Nachverfolgung von Spuren teilweise Eingriffe in das Fernmeldegeheimnis des Artikels 10 GG und benötigen daher eine eigene Rechtsgrundlage. Diese wurde mit dem Informationssicherheitsgesetz vom 15. Mai 2019 geschaffen. Durch das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) am 7. Mai 2021 wurde der Anwendungsbereich der KRITIS-Regulierung in Deutschland aus dem Jahr 2015 erheblich erweitert, in dem es zusätzliche Pflichten, höhere Anforderungen an die Cybersicherheit und mehr Befugnisse für den Staat und die Regulierungsbehörden für eine größere Gruppe von Betreibern bringt. Auch wurden durch das IT-Sicherheitsgesetz 2.0 bereits jetzt einige Änderungen der neuen EU NIS2UmsuCG in Kraft treten. Dies umfasst beispielsweise angepasste Sektoren, mehr Informations- und Kooperationspflichten sowie eine höhere Anzahl von Betreibern (ca. 30.000 Unternehmen).

Das IT-Sicherheitsgesetz ermächtigt das zentrale IT-Dienstleistungszentrum der Landesverwaltung - für die mit dem Landesdatennetz verbundenen Systeme - neben den etablierten Systemen wie z.B. Firewalls und Virenscannern weitergehende Maßnahmen durchzuführen, wie sie mit dem CISPA (Helmholtz-Zentrum für Informationssicherheit) und dem BSI (Bundesamt für Sicherheit in der Informationstechnik) zuvor abgestimmt wurden. Dies betrifft insbesondere die Überwachung des Netzverkehrs, die Abwehr und Nachverfolgung von Angriffen und die Auswertung dabei anfallender Daten. Da hierbei teilweise das allgemeine Persönlichkeitsrecht (Artikel 2 GG iVm. Art. 1 GG) oder das Fernmeldegeheimnis (Artikel 10 GG, Artikel 17 Verfassung des Saarlandes) berührt wird, wurde ein mehrstufiges Verfahren vorgesehen und vorab mit der Landesbeauftragten für Datenschutz und Informationsfreiheit auf deren Anforderungen hin abgestimmt.

Die gleichen Befugnisse wurden allen Behörden für ihre rein lokalen Netze ebenfalls eingeräumt.

Gleichzeitig enthält das Gesetz die umfassende Verpflichtung aller Behörden (einschließlich der kommunalen Ebene) zur Gewährleistung von Informationssicherheit durch angemessene technische und organisatorische Maßnahmen und zur Erstellung der hierzu erforderlichen Informationssicherheitskonzepte.

In Absprache mit den kommunalen Spitzenverbänden werden die Städte, Gemeinden und Kreise bei der Einführung von Informationssicherheitsmanagementsystemen und der Umsetzung von Informationssicherheitskonzepten mit Bedarfszuweisungen unterstützt. Die Antragsfrist ist Ende 2022 abgelaufen und derzeit erfolgt die kommunale Umsetzung und Zertifizierung im Rahmen des Bewilligungszeitraums bis Ende 2024.

Ansprechpartner