Datum: 06. März 2018

IT-Sicherheit für Landesnetze erhöhen: Vorhaben bleibt Wunschtraum ohne rechtlich verbindliche Sicherheitsstandards auch für Kommunen

(2018-66) Zur Ankündigung von Innenminister Prof. Dr. Roland Wöller (CDU), demnächst ein Gesetz zur IT-Sicherheit vorzulegen und damit die Voraussetzungen für einen besseren Schutz der Landesnetze vor Angriffen zu schaffen, erklärt Valentin Lippmann, innenpolitischer Sprecher der Fraktion BÜNDNIS 90/DIE GRÜNEN im Sächsischen Landtag:

„Offenbar braucht es einen schwerwiegenden Angriff auf die Sicherheit staatlicher Netze, damit die im Freistaat Sachsen zuständigen Stellen für IT-Sicherheit aus dem Tiefschlaf erwachen. Wenn sich dabei herausstellt, dass die wenigen Mitarbeiter des Computer-Notfallteams (SAX.CERT) keine ausreichenden Befugnisse besitzen, Angriffe auf das Sächsische Verwaltungsnetz wirksam abzuwehren, ist das besonders ärgerlich. Völlig unverständlich ist zudem, warum es bislang kein umfassendes Lagebild zur IT-Sicherheit gibt. Die Staatsregierung scheint gehofft zu haben, dass sie keine Angriffe treffen.“

„Umso wichtiger ist das angekündigte Informationssicherheitsgesetz, das dem Staatsbetrieb Sächsische Informatik Dienste (SID) erweiterte Befugnisse einräumen soll. Ich fordere den Innenminister nochmals auf, mit diesem Gesetz rechtlich verbindliche Sicherheitsstandards − auch für die Kommunen − festzulegen. Ein gemeinsam genutztes Verwaltungsnetz ist so lange nicht sicher, wie nicht alle Nutzer die Grundstandards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erfüllen. Laut Auskunft eines Vertreters des Sächsischen Städte- und Gemeindetags in einer Anhörung im November 2017 können sich diese Standards derzeit nur 13 von rund 430 Kommunen in Sachsen leisten.“

„Wir fordern zudem eine umfassende Meldepflicht über schwere Angriffe gegenüber dem Datenschutzbeauftragten, anderen Behörden, dem Landtag und der Öffentlichkeit. Die von Innenminister Wöller erwähnte Reaktionszeit von 99 Tagen ist ja wohl ein schlechter Witz. Nur bei schneller Information können wirksame Maßnahmen zum (Eigen-)Schutz getroffen werden.“

„Auch unsere Forderung nach sofortiger Schließung aller bekannten Sicherheitslücken erneuere ich. Wenn der Freistaat Kenntnis von bekannten Sicherheitslücken hat, darf er diese nicht für eigene Überwachungsmaßnahmen etwa durch Einsatz eines sog. Staatstrojaners nutzen. Die Mittel von Kriminellen dürfen nicht solche des Staates werden.“

Weitere Informationen:
» Pressemitteilung vom 2. März 2018 mit Verweis auf Kleine Anfrage » Protokoll der Anhörung zum Bericht über die Evaluierung des Sächsischen E-Government-Gesetzes (SächsEGovG) vom 30.11.2017 (Zitat SSG, S.28)