2. Strategisches Ziel: Informations-
und Cybersicherheit gewährleisten

28
Informations- und Cybersicherheit gewährleisten
2. Strategisches Ziel: Informations-
und Cybersicherheit gewährleisten
Die Menschen nutzen heutzutage ganz selbstverständlich
zahlreiche Anwendungen auf ihren digitalen Endgeräten
und verbinden ihre Gebrauchsgegenstände zunehmend
mit dem Internet. Die Unternehmen produzieren nicht nur
immer mehr vernetzte Gebrauchsgegenstände, sondern
setzen auch bei ihrer internen Organisation auf eine neue
Dimension der Vernetzung, die ihren Ausdruck im Schlag-
wort „Wirtschaft 4.0“ findet. Und schließlich verwendet
auch die öffentliche Verwaltung zunehmend auf Informa-
tionstechnik (IT) gestützte Verfahren.
Aufgrund der zunehmenden digitalen Vernetzung aller Le-
bensbereiche gewinnt die Informations- und Cybersicher-
heit immens an Bedeutung. Ziel des Freistaates Sachsen ist
es, den Ursachen für Sicherheitsvorfälle entgegenzuwirken
und die Risiken durch angemessene Maßnahmen auf ein
tragbares Maß zu reduzieren. Grundlage dafür ist in Sach-
sen ab Sommer 2019 das Sächsische Informationssicher-
heitsgesetz (SächsISichG). Um in der IT der öffentlichen
Verwaltung mit ihren ständigen technischen Weiterent-
wicklungen einen Zustand der Informationssicherheit zu
gewährleisten, werden beständig personelle und finanzielle
Ressourcen benötigt und zwar nicht nur in der IT selbst.
Insbesondere organisatorische und auch bauliche Rahmen-
bedingungen müssen zielgerichtet mitgestaltet werden.
Informationssicherheit und deren Wahrnehmung ist nicht
an einer bestimmten Stelle in einer Organisation angesie-
delt. Da von jedem Computer, der Daten verarbeitet, po-
tenziell die Informationssicherheit gefährdet werden kann,
liegt die Verantwortung zur Gewährleistung der Informa-
tionssicherheit schlussendlich auch bei jeder Mitarbeiterin
und jedem Mitarbeiter selbst. Insbesondere wenn perso-
nenbezogene Daten verarbeitet werden, geht es neben der
Informationssicherheit auch um den Datenschutz. Diese
beiden Kernaspekte gilt es bei der Planung, Einführung,
Nutzung und der Aussonderung von IT stets zu berück-
sichtigen.
Die öffentliche Verwaltung des Freistaates Sachsen hat
für ihren Bereich mit der Inkraftsetzung des Sächsischen
E-Government-Gesetzes (SächsEGovG) im Jahr 2014 die
Grundlagen für das eigene Handeln geschaffen und wird
diese mit der geplanten Novellierung des SächsEGovG
im Sommer 2019 an die sich ändernden Rahmenbedin-
gungen anpassen. So bestimmt das Gesetz zum Beispiel
das Serviceportal Amt24 als sächsisches Online-Verwal-
tungsportal im deutschlandweiten Portalverbund nach
dem bundesweit gültigen Onlinezugangsgesetz (OZG) und
verpflichtet die Verwaltung, den Bürgerinnen und Bürgern
eine sichere elektronische Kommunikation anzubieten so-
wie Datenschutz- und Informationssicherheitskonzepte für
die IT-Verfahren der Verwaltung zu erstellen.
Auch die Unternehmen in Sachsen sollen im Cyberraum
sicher sein. Deswegen fördert der Freistaat den Ausbau des
Informationsschutzes finanziell und arbeitet vor allem mit
kleinen und mittleren Unternehmen in Projekten zur Erhö-
hung der Informationssicherheit zusammen, damit sächsi-
sches Knowhow nicht in die Hände von Cyberkriminellen
gerät. Für den Freistaat Sachsen von hoher strategischer
Bedeutung ist daneben auch der Schutz der Betreiber kri-
tischer Infrastrukturen (KRITIS), zum Beispiel Wasserwerke
oder Krankenhäuser. Da die IT für die Daseinsvorsorge eine
hohe Bedeutung hat, müssen geeignete Rahmenbedingun-
gen und Maßnahmen zur übergreifenden Förderung der
Informationssicherheit abgestimmt, etabliert und konti-
nuierlich weiterentwickelt werden. Grundlage dafür ist in
erster Linie das IT-Sicherheitsgesetz des Bundes.

Informations- und Cybersicherheit gewährleisten
29
Schwerpunktbetrachtung: Informations- und Cy-
bersicherheitseinrichtungen im Freistaat Sachsen
Cybercrime Competence Center Sachsen (SN4C)
des Landeskriminalamtes Sachsen mit der Zent-
ralen Ansprechstelle Cybercrime (ZAC) für Unter-
nehmen, Behörden und Verbände des Freistaates
Sachsen
Zentralstelle Cybercrime Sachsen (ZCS) der Gene-
ralstaatsanwaltschaft Dresden
Lernlabore für IT-Sicherheit der Fraunhofer Gesell-
schaft an den Hochschulen Zittau/Görlitz sowie
Mittweida zur Qualifikation von Fachleuten aus
Wirtschaft und Behörden
Beauftragter für Informationssicherheit des
Landes (BfIS) als zentrale Instanz für die strategi-
schen und koordinierenden Belange der Informati-
onssicherheit in der Staatsverwaltung
Computer Emergency Response Team für die Lan-
desverwaltung Sachsen (SAX.CERT) beim Staats-
betrieb Sächsische Informatik Dienste (SID)
Operative Ziele
2
2
Neben „Sachsen Digital“ trägt der Masterplan „Digitale Verwaltung Sachsen“ als weiterer strategischer Ansatz der Sächsischen Staatsregierung zur
Erreichung der operativen Ziele bei.
Den Schutz der IT-Systeme, Anwendungen und
damit verbundener Datenbestände des Freistaates
Sachsen ausbauen, zum Beispiel mit dem Projekt
HoneySense
Personalkapazitäten des Freistaates Sachsen im
Bereich Informations- und Cybersicherheit sowie
zur Bekämpfung von Cyberkriminalität verstärken
Die Bevölkerung, Unternehmen und Angehörige
der öffentlichen Verwaltung für Informations-
und Cybersicherheit durch Informationsangebote
und Veranstaltungen sensibilisieren, zum Beispiel
mit der Roadshow „Die Hacker kommen“
Kinder und Jugendliche in den Schulen zu Infor-
mations- und Cybersicherheit sensibilisieren
Kleine und mittlere Unternehmen bei Maß-
nahmen zur IT Sicherheit unterstützen
Jährlich mindestens 3.000 Angehörige von Be-
hörden des Freistaates Sachsen im Bereich Infor-
mations- und Cybersicherheit fortbilden

image
30
Informations- und Cybersicherheit gewährleisten
2.1. Handlungsfeld: Sicherheit in der öffentlichen Verwaltung
Der Freistaat Sachsen will bei der Informations- und Cy-
bersicherheit bezogen auf seine Verwaltungen als Vorbild
für andere gesellschaftliche Bereiche vorangehen. Dazu
gehört es unter anderem, die eigenen Mitarbeiterinnen
und Mitarbeiter sowie Leitungsebenen ausreichend für das
Thema zu sensibilisieren, bei der internen und externen
Kommunikation sowie der Verarbeitung von Daten hohen
Sicherheitsstandards zu entsprechen und geeignete Orga-
nisationsstrukturen aufzubauen sowie zu etablieren. Mit
der Verwaltungsvorschrift zur Gewährleistung der Infor-
mationssicherheit in der Landesverwaltung (VwV IS) wur-
den bereits 2011 die Grundelemente für den Aufbau einer
leistungsfähigen Organisation der Informationssicherheit
in der Landesverwaltung geschaffen und sollen mit dem
Sächsischen Informationssicherheitsgesetz (SächsISichG)
im Sommer 2019 fortentwickelt werden:
1)
der Beauftragte für Informationssicherheit des Landes
(BfIS Land) als zentrale Sicherheitsinstanz,
2)
die Arbeitsgruppe Informationssicherheit (AG IS) als
Plattform der ressortübergreifenden Zusammenarbeit,
3)
die Beauftragten für Informationssicherheit (BfIS) der
Ressorts, der Polizei und des Staatsbetriebs Sächsische
Informatik Dienste (SID) und
4)
das Sicherheitsnotfallteam („Computer Emergency Res-
ponse Team“ – SAX.CERT) im SID.
Auf Basis dieser Organisationsstruktur werden die Vorga-
ben und Maßnahmen zur Informationssicherheit im Frei-
staat Sachsen abgestimmt und ausgebaut. Ziel ist es, die
Informationssicherheit in den staatlichen und nichtstaatli-
chen Stellen im Freistaat Sachsen zu erhöhen und Gefah-
ren für ihre informationstechnischen Systeme abzuwehren.
Dafür sind kontinuierliche Anstrengungen notwendig, die
beständig personelle und finanzielle Ressourcen binden.

image
Informations- und Cybersicherheit gewährleisten
31
2.2. Handlungsfeld: Sicherheit für
Bürger und Unternehmen
Damit sowohl die Bürgerinnen und Bürger als private Nut-
zer von IT als auch Unternehmen die Potenziale der Digitali-
sierung vollständig ausschöpfen können, müssen sie besser
als bislang über Risiken, Gefahren und Sicherheitsmaßnah-
men informiert sein. Der zentrale Sicherheitsfaktor für die
IT ist nicht eine technische Lösung, sondern der Mensch in
seinem Umgang mit der Technik. Das Hauptaugenmerk des
Freistaates liegt daher darauf, Wissensdefiziten und daraus
resultierendem fahrlässigen Handeln entgegenzuwirken.
Die Landesverwaltung hat dabei je nach Zuständigkeits-
bereich der jeweiligen Behörde die Möglichkeit, in einem
geeigneten Rahmen bestimmte Zielgruppen aus der allge-
meinen Öffentlichkeit mit spezifischen Maßnahmen für das
Thema Cybersicherheit zu sensibilisieren. Informations-
veranstaltungen, Schulungen und Fortbildungen für alle
Altersgruppen der Bevölkerung sind im Sinne staatlichen
Handelns unverzichtbar und unter anderem in den Berei-
chen Verbraucherschutz, schul- und ausbildungsergänzen-
der Unterricht sowie berufsbegleitendes und lebenslanges
Lernen denkbar.
Unternehmen sind grundsätzlich selbst für die Verbes-
serung der eigenen IT-Sicherheit verantwortlich. Jedoch
stellt diese Aufgabe insbesondere für kleine und mittlere
Unternehmen eine große Herausforderung dar. Der Frei-
staat Sachsen bietet ihnen daher bei entsprechenden Pro-
jekten Unterstützung an (Handlungsfeld 4.2). Im Bereich
der kritischen Infrastrukturen (KRITIS) hat die IT-Sicherheit
von Unternehmen, wie beispielsweise von Wasser- und
Stromversorgern, neben der wirtschaftlichen auch eine
hohe strategische Bedeutung für den Freistaat Sachsen.
Hier setzen Maßnahmen direkt bei den Leitungsebenen
der Unternehmen an und gehen weit darüber hinaus. So
müssen zum Beispiel gemeinsame Strukturen für die Über-
wachung der IT-Sicherheit und für etwaige Notfallmaß-
nahmen geschaffen werden. Daher ist es das Ziel der Lan-
desverwaltung, mit Institutionen und Einrichtungen, die zu
den KRITIS gezählt werden, eng zusammenzuarbeiten.
Informations- und Cybersicherheit gewährleisten
31

32
Informations- und Cybersicherheit gewährleisten
2.3. Handlungsfeld: Bekämpfung der Cyberkriminalität
Die Angriffe auf die Integrität und Sicherheit von Daten-
systemen bergen ein sehr hohes Gefahrenpotenzial für die
Funktionsfähigkeit von Staat, Wirtschaft und Gesellschaft.
Die Straftaten im Bereich der Cyberkriminalität werden
weiter ansteigen und eine Vielzahl von Deliktbereichen
umfassen. Die Cyberkriminalität nimmt dabei Ausmaße an,
die weit über die amtlich registrierten Fälle hinausgehen.
Nach Erkenntnissen des Landeskriminalamtes (LKA) wird
im Bereich Cyberkriminalität nur ein geringer Anteil der
Straftaten angezeigt. Dennoch steigt die Zahl der ange-
zeigten Straftaten im Bereich Cyberkriminalität bislang
immer weiter an.
Das Internet als Tatort bietet eine Vielzahl von Tatgelegen-
heiten, bleibt auf Dauer nur begrenzt kontrollierbar und
kennt keine Staats- und Verwaltungsgrenzen. Cyberkrimi-
nelle nutzen stets die neuen technischen Entwicklungen,
unterlaufen permanent technische Sicherheitsvorkehrun-
gen und erschweren so Ermittlungen und Beweissicherun-
gen. Die Täter bleiben zudem regelmäßig anonym, agieren
schnell und oft arbeitsteilig. Dennoch muss das Strafver-
folgungsmonopol des Staates durchsetzbar bleiben. Die
mit der Digitalisierung einhergehende Verlagerung der Kri-
minalität ins Internet muss durch geeignete Verfolgungs-
maßnahmen von staatlicher Seite aus bekämpft werden.
Aufgrund des rasanten technologischen Wandels bindet
die Bekämpfung der Cyberkriminalität zunehmend Fortbil-
dungsressourcen. Methoden der Ermittlungs- und Beweis-
führung müssen dem technologischen Fortschritt entspre-
chen und sind kostenintensiv. Nationale und internationale
polizeiliche Zusammenarbeit sowie die Kooperation mit
Wirtschaft, Forschung und Wissenschaft sind zu intensi-
vieren.