IT-Sicherheit Land will sich besser vor Cyber-Attacken schützen
Saarbrücken · Ein Gesetzentwurf sieht unter anderem vor, dass der gesamte Netzverkehr der Landesverwaltung permanent überwacht wird.
Vor ein paar Jahren tauchten im Darknet Passwörter von Mitarbeitern der saarländischen Landesverwaltung auf. Ein Schaden sei dadurch nicht entstanden, sagt Finanzstaatssekretär Ulli Meyer (CDU), der auch „Chief Information Officer“ der Landesregierung ist. Die Mitarbeiter hatten ihre Passwörter in der Zwischenzeit ohnehin mehrmals geändert. Doch der Vorfall zeigt: Behörden, Privatleute, so gut wie jeder, ist permanent dem Risiko eines Hackerangriffs ausgesetzt. Die Landesregierung will ihre Verwaltung und die Daten von Bürgern besser schützen und hat nun einen Entwurf für ein Informationssicherheitsgesetz vorgelegt, der gemeinsam mit dem Helmholtzzentrum für Informationssicherheit CISPA und dem Unabhängigen Datenschutzzentrum erarbeitet wurde.
Das Zentrale IT-Dienstleistungszentrum soll zusätzliche Kompetenzen erhalten. Um Cyberangriffe zu verhindern, soll der Netzverkehr permanent ausgewertet und im Verdachtsfall an die Strafverfolgungs- und Sicherheitsbehörden weitergeleitet werden – ein Drahtseilakt zwischen IT-Sicherheit und den Grundrechten des Einzelnen. Meyer betont: „Es werden keine Inhalte, sondern nur Protokolldaten ausgewertet. Und nur bei Auffälligkeiten schaut man genauer hin.“
Gleichzeitig soll das Gesetz alle Behörden, auch in den Kommunen, verpflichten, Sicherheitskonzepte zu erstellen und Informationssicherheitsmanagement-Systeme einzuführen. Damit habe das Saarland eine Vorreiterrolle, sagt Meyer. „Einen derart umfassenden Ansatz hat außer Bayern – und dort auch erst ab 2020 – kein anderes Bundesland.“ Ein Problem sei, dass vor allem kleinere Kommunen in die „Vergeblichkeitsfalle“ tappen, so Meyer. „Dort besteht das Risiko, dass die Verantwortlichen sagen, wir schaffen es ohnehin nicht, für 100-prozentige IT-Sicherheit zu sorgen, also lassen wir es lieber ganz.“ Um das zu verhindern, will das Land Städte, Gemeinden und Kreise mit Bedarfszuweisungen unterstützen, wenn sie entsprechende Systeme einführen.
Bereits 2016 wurde ein Zentrales IT-Dienstleistungszentrum gegründet, das die IT-Aufgaben der Landesverwaltung bündeln soll. „Die Übertragung aus den einzelnen Ressorts läuft im Moment noch“, sagt Meyer. Am Ende soll es ein gemeinsames Verwaltungsnetz, das Saarlandnetz, mit einheitlicher Software geben. „Früher hatte jedes Ressort eine eigene Software und es war schwierig, sie auf dem neuesten Stand zu halten“, so Meyer. In Zukunft sollen Updates zentral erfolgen. Dennoch seien die Netze von Land, Kommunen und Polizei logisch getrennt. „Das Land kann nicht die E-Mails etwa der Gemeinde Namborn einsehen und umgekehrt.“
Innerhalb von zwei bis drei Jahren sollen zudem sämtliche Landesbeschäftigten geschult werden. Denn: „Was nützt die beste Technik, wenn der Mitarbeiter die falschen Klicks macht?“, so Karl-Heinz Lander, Landesbeauftragter für Informationssicherheit. Welche Kosten mit dem neuen Gesetz verbunden sind, sei schwer zu beziffern, sagt Lander. Zumal IT-Sicherheit ein permanenter Prozess sei und IT-Systeme immer wieder auf den neuesten Stand gebracht werden müssen.
Der Ministerrat hat den Entwurf abgesegnet, nun muss sich der Landtag damit befassen.
