Informations- und Cybersicherheit in Sachsen. Jahresbericht des Beauftragten für Informationssicherheit des Landes 2014/2015

Transkript

1 Informations- und Cybersicherheit in Sachsen Jahresbericht des Beauftragten für Informationssicherheit des Landes 2014/2015

2 Inhaltsverzeichnis Vorwort Begriffsdefinition Informationssicherheit / Cybersicherheit Bedrohungslage Weltweit Industrie 4.0 und Internet der Dinge Deutschland Sachsen SVN Informationssicherheit in der öffentlichen sächsischen Verwaltung Organisatorische Strukturen der Informationssicherheit AG Informationssicherheit AK IT und E-Government IT Kooperationsrat AK SVN IT-Planungsrat AG Informationssicherheit des IT-Planungsrats Gremienbeschlüsse zur Informationssicherheit in der sächsischen Landesverwaltung Erhöhung der Sicherheit der Internetseiten der Landesverwaltung Ressortübergreifendes Meldeverfahren Technische Projekte für mehr Informationssicherheit HoneySens Identity-Leak-Checker APT-Erkennung DDoS-Protection Stand der Informationssicherheit in den Kommunen Leitlinien- und Informationssicherheits-Management-Prozesse Informationssicherheit in der IT-Service-Beratung Erfahrungsaustausch und Kommunikation Informationssicherheit und Datenschutz Das KDN als sicheres Netz CERT-Leistungen für Kommunen Sicherheitstests Informations- und Cybersicherheit durch Sensibilisierungsmaßnahmen Ist-Stand Handlungsbedarf für Sensibilisierungsmaßnahmen Bisherige Maßnahmen des Beauftragten für Informationssicherheit Maßnahmen weiterer Akteure Ergebnisse von repräsentativen Umfragen zu den Themen Informationssicherheit und Cybersicherheit Maßnahmen: Sensibilisierung und Kompetenzvermittlung Projekt: E-Learning Informations- und Netzwerkveranstaltungen im Rahmen des Cyber Security Month der EU Cybersicherheit für Bürger und Wirtschaft Zusammenfassung und Ausblick Abkürzungsverzeichnis... 41

3 Vorwort So wie das Internet aus dem Leben der Bürger nicht mehr wegzudenken ist, setzt auch die Verwaltung IT-basierte Lösungen ein, um Vorgänge effektiv und schnell zu bearbeiten. Zudem stellen die Behörden im Freistaat Sachsen den Bürgern zunehmend elektronische Angebote im Internet zur Verfügung. Die neuen Kommunikations- und Datenwege haben viele Vorteile, bergen aber auch Risiken in sich, denn die digitale Technik ist vor Missbrauch nicht einhundertprozentig zu schützen. Daher bedarf es fortwährender Anstrengungen in der Landesverwaltung, Daten und Kommunikationswege so hinreichend zu schützen, dass sie den potenziellen und sich immer weiter entwickelnden Angriffen von außen z.b. durch Hacker Stand halten. Der Freistaat Sachsen ist hierbei gut aufgestellt und verfügt über eine schlagkräftige CIO-Organisation, die zusammen mit weiteren Gremien wie der ressortübergreifenden Arbeitsgruppe Informationssicherheit Maßnahmen zur IT-Sicherheit beständig ausbaut und weiter entwickelt. Dem Beauftragten für Informationssicherheit des Landes obliegt hierbei die verantwortungsvolle Aufgabe, die Entwicklung der IT- Sicherheit in der Landesverwaltung strategisch zu steuern und hierbei immer wieder neuen technischen Lösungen zur Einführung zu verhelfen, die dem Schutz der Informationssicherheit dienen. Die Zusammenarbeit zwischen Gremien und Ressorts und das gemeinsame Erarbeiten von Sicherheitslösungen funktioniert auch deshalb so gut, weil der Freistaat frühzeitig die Bedeutung der Informationssicherheit auch gesetzlich verankert hat, und zwar in der Verwaltungsvorschrift Informationssicherheit im September 2011 und schließlich im Sächsischen E-Government-Gesetz, das im August 2014 in Kraft getreten ist. Auch auf Bundesebene erfährt das Thema Informationssicherheit eine große Beachtung: Im März 2013 hat der IT-Planungsrat die Leitlinie Informationssicherheit für die öffentliche Verwaltung verabschiedet und damit zwischen Bund und Ländern auch ein verbindliches Mindestsicherheitsniveau der IT-gestützten Ebenen übergreifenden Zusammenarbeit in der Verwaltung vereinbart. Der vorliegende Jahresbericht des Beauftragten für Informationssicherheit des Landes zeigt, mit welchen Strukturen und Maßnahmen die IT des Freistaates Sachsen gegen Angriffe von außen gehärtet werden und welche Anstrengungen darüber hinaus unternommen wurden, die Online-Kommunikation mit Bürgern und Unternehmen bestmöglich zu sichern. All die Beispiele und Maßnahmen zeigen dabei deutlich: Informationssicherheit genießt in Sachsen hohe Priorität. Dr. Michael Wilhelm Staatssekretär und CIO des Freistaates Sachsen Vorwort 1

4 Einführung: Informationssicherheit in Sachsen War vor dreißig Jahren der Begriff Informationstechnik noch etwas für Spezialisten, so ist er mittlerweile Bestandteil unseres täglichen Lebens geworden. Dies spiegelt sich zum einen in den allgegenwärtigen Smartphones, Laptops und PCs, zum anderen aber auch vielfach unsichtbar in Produkten für das tägliche Lebens wider. So bilden heute die IT-Komponenten in einem normalen Fahrzeug der gehobenen Mittelklasse die Komplexität eines kleineren Rechenzentrums der 80er Jahre ab. All diese technischen Geräte kommunizieren mit- und untereinander, in aller Regel über das Internet aber auch über eine Vielzahl anderer Netzwerke wie Bluetooth, ZigBee und so weiter. Die Kommunikation der Menschen aber auch der Dinge selbst, also dem Internet der Dinge von der intelligenten Zahnbürste bis hin zum Oberklasseauto, suchen und finden Plattformen für die Interaktion im Internet. Für die Menschen sind dies heute die sozialen Netzwerke wie Facebook, Twitter oder WhatsApp, für die Maschinen die Maschinen-Clouds, über die Daten aggregiert und ausgewertet werden. Die Informationstechnik ist überall. Parallel zu dieser Entwicklung hat sich aber auch eine Szene für den Missbrauch der Möglichkeiten der Informationstechnik herausgebildet. Die Anfänge waren noch von Neugier und dem Motto weil ich es kann! geprägt. Das hat sich geändert: Heute werden die Systeme und Netze aus wirtschaftlichen Gründen, mittlerweile aber auch aus politischen Gründen angegriffen. Die Art und Weise dieser Angriffe stellt sich je nach Ziel unterschiedlich dar. Werden Normalbürger in der Breite und mit automatisierten Verfahren angegriffen, so werden einzelne Prominente oder auch Firmen und Verwaltungen oft gezielt und mit passgenauen Methoden manuell ins Visier genommen. Es hat sich hier eine eigene Industrie für die Entwicklung, die Vermarktung und den Einsatz von Angriffsverfahren herausgebildet, die Züge organisierter Kriminalität trägt. Die sächsische Staatsregierung hat vor sich diesem Hintergrund im Sommer 2011 entschlossen, das Thema der strategischen Informationssicherheit in einer eigenen, spezialisierten Organisationseinheit zu bündeln und dadurch die Kräfte der einzelnen Ressorts besser zu koordinieren und wirksam werden zu lassen. Zusammen mit den im Computer Emergency Response Team (CERT) im Staatsbetrieb Sächsische Informatik Dienste (SID) vorhandenen Ressourcen soll sich so ein insgesamt höheres Niveau der Sicherheit der informationstechnischen Systeme aller Nutzer in der Landesverwaltung einstellen. Im Jahr 2013 konnten die Verhandlungen im IT-Planungsrat zwischen 2 Einführung: Informationssicherheit in Sachsen

5 den Ländern und dem Bund zu einer Leitlinie Informationssicherheit abgeschlossen werden, in der sich erstmals Bund und Länder zu einem gemeinsamen Vorgehen rund um die Informationssicherheit verpflichten. Diese Bündelung ist auch notwendig: Der Internetzugang des Sächsischen Verwaltungsnetzes verzeichnet monatlich hunderte Angriffsversuche. Die s, die an die Landesverwaltung gerichtet sind, bestehen zu 95 % aus sogenanntem Spam, also unerwünschten s. Aus den verbleibenden 5 % werden noch hunderte mit schädlichen Anhängen herausgefiltert. Parallel dazu gab und gibt es eine Reihe von versuchten Angriffen auf die Internetangebote der Landesverwaltung. Wie imminent die Bedrohung aus dem Internet ist, zeigt der erfolgreiche Angriff auf den Deutschen Bundestag. Die nicht nur materiellen Folgen dieses Angriffs sind derzeit noch gar nicht endgültig absehbar. Die Bedrohung ist also auch für die sächsische Landesverwaltung real. Der Schutz der informationstechnischen Systeme ist unverzichtbar. Es hat sich ein Hase und Igel - Spiel entwickelt mit sich immer weiter verfeinernden Angriffsmethoden und einer sich daraus ergebenden Notwendigkeit immer komplexerer Schutzmechanismen. Mit dem vorliegenden Jahresbericht des Beauftragten für Informationssicherheit des Landes sollen Mitarbeiter der sächsischen Landes- und Kommunalverwaltungen sowie Bürger und Wirtschaft gleichermaßen über den Stand der Informations- und Cybersicherheit im Freistaat Sachsen, die damit verbundenen Herausforderungen und die Arbeit des Beauftragten für Informationssicherheit des Landes informiert werden. Karl Otto Feger Beauftragter für die Informationssicherheit des Landes Einführung: Informationssicherheit in Sachsen 3

6 1. Begriffsdefinition Informationssicherheit/ Cybersicherheit Der Begriff Informationssicherheit in der Landesverwaltung hat in den letzten Jahren mehr und mehr den bisherigen Begriff IT-Sicherheit verdrängt. - Hintergrund dafür ist die Erkenntnis, dass jegliche Form der Information einen Wert an sich darstellt, nicht nur die informationstechnisch bearbeitete und ge- - speicherte. Vor diesem Hintergrund definierte das Bundesamt für Sicherheit in der Infor - mationstechnik im Standard BSI : Informationssicherheit hat als Ziel den Schutz von Informationen jeglicher Art und Herkunft. Dabei können Informationen sowohl auf Papier, in Rechnersystemen oder auch in den Köpfen der Nutzer gespeichert sein. IT- Sicherheit beschäftigt sich an erster Stelle mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. In der VwV Informationssicherheit 2 hat sich der Freistaat Sachsen für eine etwas andere Definition des Begriffs entschieden: Informationssicherheit bezeichnet einen Zustand, in dem die Risiken für die Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und IT durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind. Die Informationssicherheit umfasst neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten auch die Sicherheit von nicht elektronisch verarbeiteten und gespeicherten Daten und Informationen Verwaltungsvorschrift der Sächsischen Staatsregierung zur Gewährleistung der Informationssicherheit in der Landesverwaltung; siehe Begriffsdefinition Informationssicherheit/Cybersicherheit

7 Symbolbild für den Datenverkehr rund um den Globus, aus dem sich Gefahren für alle Nutzer ergeben können. Mit dieser Definition wird verdeutlicht, dass der Freistaat Sachsen bei der Betrachtung der Sicherheit mehr als nur die IT-Systeme im engeren Sinn ins Auge gefasst hat. Beispielsweise ist das Ziel der Verfügbarkeit nicht allein durch entsprechend dimensionierte IT-Systeme erreichbar. Vielmehr müssen auch flankierende bauliche und personelle Maßnahmen für die Zielerreichung ergriffen werden. Die Hochwasserereignisse in den Jahren 2002 und 2013 führten dies vor Augen, und die sich immer mehr verschärfende Bedrohung aus dem Internet unterstreicht es. Es ist daher erforderlich, die Informationssicherheit in der Landesverwaltung als ganzheitliche und gemeinsame Aufgabe aller betroffenen Akteure zu begreifen. Daher wurde seitens der Sächsischen Staatsregierung im September 2011 mit der VwV Informationssicherheit die Plattform geschaffen, die vielen anstehenden ressortübergreifenden Aufgaben anzugehen. In Ergänzung und Abgrenzung dazu beschreibt der Begriff Cybersicherheit die Informationssicherheit bei Bürgern und Wirtschaft. Dieses Themenfeld wird seit Anfang 2015 neu im Sächsischen Staatsministerium des Innern durch den BfIS-Land verantwortet. 1. Begriffsdefinition Informationssicherheit/Cybersicherheit 5

8 2. Bedrohungslage Im Berichtszeitraum 2014/15 zeigen Beispiele aus aller Welt wie auch aus der Öffentlichen Verwaltung in Deutschland, dass im wachsenden Maß aus bislang oft nur diffus wahrgenommenen Risiken für die IT-Sicherheit erhebliche reale Bedrohungen werden können. Das beschreiben auch die jährlich erscheinenden Berichte des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit in Deutschland 3. Im Folgenden sind beispielhaft einige Beispiele für schwerwiegende Sicherheitsvorfälle genannt. 3 Die Lage der IT-Sicherheit in Deutschland 2015, Bundesamt für Sicherheit in der Informationstechnik, pdf;jsessionid=e8b9233ed0e7cbfeff0b23d95a5ff28a.2_cid359? blob=publicationfile&v= Bedrohungslage

9 2.1. Weltweit Beispielhaft für einen Cyberangriff mit politischer Motivation war der Angriff auf einen französischen Fernsehsender im April Dabei gelang es vorgeblich islamistischen Hackern ( Cyber-Kalifat ) sowohl die Konten des Senders auf sozialen Netzen zu übernehmen und zu missbrauchen als auch den Sendebetrieb über Stunden zu unterbinden. Gerade letzteres ist überraschend, da es eigentlich nicht möglich sein sollte, die Steuerungsanlagen des Senders über die Redaktionsnetze zu erreichen. Gerade das schien aber im vorliegenden Fall passiert zu sein. Darüber hinaus müssen die Angreifer über sehr genaue Kenntnis der technischen Anlagen des Fernsehsenders verfügt haben, um einen derartigen Schaden anzurichten. Daher wurde darüber spekuliert, ob es sich hier um eine Auftragsarbeit im Sinne eines Outsourcing-Modells Cybercrime-as-a-Service handelt. Dass solche Dienstleistungen heute durchaus einkaufbar sind, ist schon länger bekannt. So führten denn auch die Spuren der Ermittler wenige Wochen nach dem Cyber-Angriff nach Osteuropa zu einer Gruppe russischer Hacker, die auch mit Angriffen auf die Informationssysteme der US-Regierung und NATO in Verbindung gebracht werden. Einen anderen sensiblen Bereich stellt der Angriff auf einen italienischen Hersteller von Überwachungssoftware im Juli 2015 dar. Dabei erbeuteten die Angreifer die komplette Datenstruktur inklusive aller internen s, Dokumente und Software-Quellcodes der umstrittenen Sicherheitsfirma und veröffentlichten diese im Netz. Zudem hatten sie zeitweilig den Web-Server und das offzielle Twitter-Konto des Unternehmens unter Kontrolle und berichteten darüber über ihre Aktion, die in erster Linie dazu diente, die Geschäftspraktiken und - Beziehungen des Unternehmens aufzudecken. Da die Angreifer auch eine Tabelle mit Passwörtern von Firmenmitarbeitern ins Internet stellten, die einfach zu knackende Passwörter wie PassW0rd und Pa$$w0rd verwendeten, kann davon ausgegangen werden, dass die Hacker-Attacke diese Schwachstelle der Sicherheitsspezialisten ausgenutzt haben dürfte, um im großen Stil die Daten abzugreifen. Dass es solche einfachen und gleichermaßen schwerwiegenden Verhaltensfehler im Umgang mit der IT selbst bei Mitarbeitern einer Sicherheitsfirma gibt, ist erstaunlich und zeigt, dass die Sensibilisierung von Mitarbeitern keinen Wirtschaftszweig ausklammern sollte. Ebenfalls im Juli 2015 wurde ein Cyberangriff auf die Personalverwaltung der US-Regierung bekannt. Hierbei erbeuteten Hacker, die vermutlich aus China stammen, Daten von rund 26 Millionen US-Bürgern. Aufgrund der Masse an abgegriffenen Datensätzen, zu denen Adressen, Sozialversicherungsnummern, Geburts-, Telefon- und Gesundheitsdaten sowie Informationen zu Finanzen, krimineller Vergangenheit und teils auch Fingerabdrücke gehören, ist dieser Hackerangriff sicherlich einer der bislang größten Datendiebstähle im Cyberraum in der Geschichte der Vereinigten Staaten. Die in zwei Wellen stattgefundenen Angriffe ereigneten sich dabei bereits im Vorjahr und sollen vom chinesischen Staat in Auftrag gegeben worden sein. Offenbar soll die Personalverwaltung der US-Regierung bereits seit dem Jahr 2007 von Schwachstellen in ihrem Netzwerk gewusst haben. 2. Bedrohungslage 7

10 2.2. Industrie 4.0 und Internet der Dinge Die Cybersicherheit in Unternehmen ist von hoher strategischer und ökonomischer Bedeutung sowohl für das Funktionieren von IT-basierten bzw. mit IT vernetzten Industrieprozessen (Industrie 4.0) als auch für die Sicherheit der Konsumenten, die Produkte oder Dienstleistungen von vernetzten Geräten nutzen (Internet der Dinge). Dass Defizite im Bereich der IT-Sicherheit für Unternehmen und Konsumenten gleichermaßen schwerwiegende Folgen haben können, beweisen allein die im Berichtszeitraum aufgedeckten Sicherheitslücken bei vernetzten Automobilen. Schwerwiegendster Fall war dabei die gezielte Manipulation eines Fahrzeugs, die Sicherheitsexperten in den USA im Juli 2015 nachgewiesen hatten. Hierbei war es gelungen, aus der Ferne über eine Sicherheitslücke im Unterhaltungssystem des Wagens, das mit dem Internet verbunden ist, bis zur Steuerung des Autos vorzudringen. Die IT-Spezialisten konnten demnach die Bremsen, Geschwindigkeit, Klimaanlage und das Radio des Fahrzeugs fernsteuern. Der Zugang geschah über eine GSM-Schnittstelle im Wagen, die bei Autos für den amerikanischen Markt verbaut wurde. Nach der Veröffentlichung dieser gravierenden Sicherheitslücke rief der Autobauer in den USA 1,4 Millionen Autos wegen mangelndem Schutz vor Hackerangriffen zurück. Ein entsprechendes Sicherheits-Update hatte der Hersteller zwar bereits im Internet veröffentlicht, jedoch muss es über einen USB-Stick ins Auto-System gespielt werden, so dass dieser Softwarefehler für den Hersteller direkte negative finanzielle Konsequenzen neben Auswirkungen für seine Reputation hat. Hätten die Hacker kriminelle Absichten verfolgt, hätte in diesem Fall sogar das Leben der Autofahrer in Gefahr geraten können Deutschland In Deutschland wurde gleich Anfang des Jahres 2015 die Bundesverwaltung auf höchster Ebene Opfer eines Cyberangriffs. Am 7. Januar kam es zum Ausfall der Erreichbarkeit der Webseiten und Wenig später war zusätzlich die Webseite des Auswärtigen Amtes zeitweise nicht zu erreichen. Die betroffenen Webseiten werden außerhalb der Netze der Bundesverwaltung betrieben. Auslösendes Moment war ein DDoS-Angriff (technische Erklärung, s ), zu dem sich die politisch motivierte Gruppierung Cyber- Berkut bekannte. Anlass für den Angriff sei der Besuch des Ukrainischen Ministerpräsidenten im Bundeskanzleramt gewesen. Die Tätergruppe ist nach Erkenntnissen des BSI Lagezentrums bereits mehrfach mit ähnlichen Angriffen (NATO-Webseiten etc.) in Erscheinung getreten. Bei dem Angriff handelte es sich um verschiedene, vom Angreifer aktiv variierte technische DDoS Angriffsformen mit einer signifikanten Bandbreite, die die Internetanbindung überlasteten. Zeitweilig waren an dem Angriff tausende weltweit verteilter Botnetz-Clients beteiligt. Nach sofort ergriffenen Maßnahmen wurden die Seiten zwar schnell wiederhergestellt, aber die Angreifer reagierten auf die Gegenmaßnahmen und variierten die DDoS-Angriffe noch weit bis in den nächsten Tag, was vermuten lässt, dass die Angreifer über einen direkten Zugriff auf die Infrastruktur eines Botnetzes oder einen intensiven Kontakt zu einem Botnetz-Betreiber verfügten Bedrohungslage

11 Als Gegenstück zu einem Angriff mit hohem Volumen wie dem oben beschriebenen DDoS-Angriff kann hingegen der Cyber-Angriff auf eine Mitarbeiterin des Bundeskanzleramts mittels des Trojaners Regin angesehen werden, der im Februar an die Öffentlichkeit gelangte. Untersuchungen des privaten Laptops der Referatsleiterin hatten ergeben, dass bereits im Jahr 2012 diese hochspezialisierte Spionagesoftware eingeschleust worden sei. Die Schadsoftware blieb demnach mehr als zwei Jahre lang unbemerkt. Die ausgefeilte Cyberwaffe war auch bei Attacken gegen die EU-Kommission, eine belgische Telekommunikationsfirma sowie gegen Ziele in mindestens 14 weiteren Ländern im Einsatz vorwiegend gegen Regierungen, Energieversorger und Airlines. Ein aus dem Snowden-Archiv veröffentlichter Teil eines Schadcodes gilt als Bestandteil der Schadsoftware Regin, was auf einen Angriff der Nachrichtendienste der sogenannten Five-Eyes-Staaten (USA, Großbritannien, Kanada, Australien, Neuseeland) zurückschließen lässt. Eine Überprüfung des Dienstrechners der Mitarbeiterin ergab allerdings keine Hinweise auf eine Verbreitung im Bundeskanzleramt. Die Frau hatte s zwischen ihrem privaten und ihrem dienstlichen Account verschickt. Als Super-GAU in den letzten 12 Monaten muss jedoch die Entdeckung von Hackern im IT-Netz des Bundestages gewertet werden. Anfang Mai 2015 sollen sie über Schadsoftware in das Netz des Bundestages eingedrungen sein und dann die dortigen Ressourcen (Server, andere PC s) ausgeforscht und auch übernommen habe. Bestätigt wurden auch vereinzelte zeitweise Datenabflüsse. Seit dem Vorfall wurde nur so viel bekannt, dass zumindest das BSI, möglicherweise aber auch BND und Verfassungsschutz aktiv wurden, Gegenmaßnahmen einzuleiten. Dabei befinden sich die Behörden als Teil der Exekutive in einem Spannungsfeld zum Bundestag, deren Abgeordnete als Teil der Legislative sich gegen tiefgreifende Eingriffe verwehren. Im Rahmen der Gegenmaßnahmen wurde u.a. der Zugang aus dem Parlaments-Netz zu Webseiten gesperrt, um zu verhindern, dass sich weitere Rechner mit Schadsoftware wie Trojanern infizieren. Diese Quarantäne-Liste, die mehrere zehntausend Einträge enthalten soll, stellte das BSI zur Verfügung. Wie im Fall des DDoS-Angriffs auf Webseiten der Bundesregierung sollen die Hacker aus dem Osten Europas stammen. Zu den angewendeten Methoden der Hacker und ihren Hintergründen ist bisher jedoch nichts Belastbares verlautbart worden. Neben den Angriffen auf Bundesbehörden soll jedoch auch eine Attacke auf anderer Behörden-Ebene genannt sein, da die Auswirkungen hier auch unmittelbar die behördliche Arbeit mit dem Bürger betrafen: So mussten im Juni 2015 die KFZ-Zulassungsstellen zweier Bundesländer nach einem Cyberangriff ungefähr einen Werktag ihre Arbeit einstellen. Betroffen waren insgesamt 62 Zulassungsstellen. Aus Sicherheitsgründen hatte der kommunale IT-Dienstleister in den betroffenen Rechenzentren alle Server vom Netz genommen. Die Hacker waren über eine Lücke in der Software des öffentlich zugänglichen Internetmoduls Kfz-Wunschkennzeichen in das Behördennetz eingedrungen. 2. Bedrohungslage 9

12 2.4. Sachsen Politische Motivation ist nicht nur ein vielfach beobachtetes Tatmotiv für Cyberangriffe auf internationaler und nationaler Ebene, sondern auch im Freistaat Sachsen. So wurde eine Partei in Sachsen kurz nach der Landtagswahl im September 2014 Opfer eines Hacks, bei dem Daten ihrer Mitglieder aus Sachsen abgegriffen und nachgehend veröffentlicht wurden. Dazu gehörten Name, Anschrift, -Adresse, Geburtsdatum, Telefonnummern wie auch gescannte Mitgliedsanträge und interne Strategiepapiere der Partei. Hinter der Attacke stand eine Hackergruppe aus Österreich, die sich zum Netzaktivistenverbund Anonymous zählt. Als Einfallstor für den Angriff wurden schlecht konfigurierte Webserver und nicht ausreichend sichere Internetseiten genannt. Der Angriff zeigt, dass zur Verringerung der Gefahr von Identitätsdiebstählen eine ausreichende Absicherung von Internetseiten und -diensten sowie eine Verschlüsselung von Identitätsdaten dringend geboten ist. Der Einsatz von Verschlüsselungsfunktionen auch auf nicht besonders schützenswerten Internetseiten ist auch über Sicherheitsaspekte hinaus ein gewinnbringender Standard im Internet. So setzt der Internetkonzern Google etwa standardmäßig eine verschlüsselte Suche ein und zeigt verschlüsselte Seiten in seiner Trefferanzeige priorisiert an. Ein typisch räuberisches Motiv lag einem Datenklau zugrunde, der sich über drei Jahre unbemerkt in einem Leipziger Gastronomiebetrieb abspielte. Durch einen Virus im System wurden die Daten hunderter Kreditkartenbesitzer geklaut, dann auf neue Plastikkarten aufgespielt und diese unter die Leute gebracht. Insgesamt 464 Kreditkarteninhaber meldeten sich beim Anbieter Visa, nachdem Sie Einkäufe abgebucht bekommen hatten, die sie gar nicht getätigt hatten. Das Kreditkartensystem des Leipziger Lokals könnte durch einen Virus von außen durch Hacker oder aber auch durch einen gezielt eingesetzten USB-Stick kompromittiert worden sein. Untersuchungen ergaben, dass die Daten nach Rumänien, Russland, in die Ukraine und Weißrussland versendet wurden. Da sich allerdings keine Identität der Täter ermitteln ließ, wurde das Ermittlungsverfahren von der Staatsanwaltschaft Leipzig ergebnislos eingestellt. Das Leipziger Lokal musste für sein System die gesamte Hardware neu kaufen und akzeptiert seit dem Vorfall keine Kreditkarten mehr als Zahlungsmittel. Nicht eine Sicherheitslücke, sondern infrastrukturell bedingte Kapazitätsgrenzen wollte ein weiterer politisch motivierter Cyberangriff bei der sächsischen Polizei ausnutzen. Im Dezember 2014 wurde kurz nach dem Bekanntwerden einer bundesweiten, von der Generalstaatsanwaltschaft Dresden angeordneten Durchsuchungsaktion im Umfeld des illegalen Filmportals kinox.to ein versuchter Überlastungsangriff (DDoS) mit über Paketen/Minute auf die Webseite der sächsischen Polizei gestartet. Aufgrund der geringen normalen Seitennutzung zur Angriffszeit (Feiertag, nachts) gab es keine schädlichen Auswirkungen auf den Betrieb. Der Angriff erinnert an die DDoS-Attacke im April 2012 nach der Verurteilung des Betreibers des inzwischen abgeschalteten illegalen Filmportals kino.to. Damals waren zahlreiche Seiten der Justiz - auch in Sachsen - stundenlang nicht erreichbar Bedrohungslage

13 2.5. SVN Dass auch die Landesverwaltung Sachsen Ziel von Angriffen ist, verdeutlichen die Zahlen zur Sicherheitslage des Sächsischen Verwaltungsnetzes (SVN). Danach konnten im Jahr 2015 knapp 900 Angriffe auf das SVN abgewehrt werden. Außerdem wurden fast 53 Mio. Spam- s aus dem Internet durch die Kopfstelle des SVN abgewiesen. In den aus dem Internet und internen Netzen eingehenden fast 53 Mio. s wurden über Viren gefunden und entfernt. Auch im eingehenden Internetverkehr konnten mehr als Schadprogramme entdeckt und unschädlich gemacht werden. Allerdings sind auf das SVN im abgeschlossenen Kalenderjahr 2015 vom SID keine erfolgreichen externen Angriffe registriert worden, die sich als Ereignisse mit direkten und/oder indirekten Auswirkungen auf die Informationssicherheit, also die Verletzung der Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, klassifizieren lassen. Auch in den Datennetzen im Geschäftsbereich der Ressorts sowie der Polizei wurden in diesem Zeitraum keine Einbrüche mit einem damit verbundenen gezielten Datenabfluss und / oder Manipulationen festgestellt. Angenommene Mails aus dem Internet 2011 bis 2015 Menge der Schadprogramme 2011 bis Angenommene Mails insgesamt Mails unmarkiert Mails als Spam markiert Schadprogramme in Mails Schadprogramme Web 2. Bedrohungslage 11

14 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung Die immer stärkere Durchdringung aller Bereiche mit Informationstechnik führt zu neuen Möglichkeiten der verwaltungsübergreifenden Zusammenarbeit. Mit Hilfe der neuen Technologien werden mehr und mehr Verwaltungsdaten elekt- ronisch zwischen Bund, Ländern und Kommunen ausgetauscht, die bisher noch per Post oder Kurier übermittelt werden mussten. Hier reicht es nicht mehr, dass jede Behörde für sich gesonderte Sicherheitsregeln definiert; einheitliche Informationssicherheitsstandards sind zu schaffen, die für alle am Datenaus- tausch Beteiligten verbindlich gelten müssen. Der Freistaat Sachsen setzt im Bereich Informationssicherheit wie die meisten Bundesländer auf die Standards des Bundesamtes für Sicherheit in der Informationstechnik. Sachsen war aktiv an der Erarbeitung der im März 2013 in Kraft gesetzten Informationssicherheitsleitlinie für Bund und Länder sowie am Aufbau des länderübergreifenden Verwaltungs-CERT-Verbundes beteiligt. Als Mitglied der Arbeitsgruppe Informationssicherheit des IT-Planungsrates wird der Freistaat Sachsen auf diesem Gebiet auch weiterhin eng mit den anderen Ländern und dem Bund zusammenarbeiten. Die Abstimmung mit den Kommunen des Freistaats Sachsen ist durch einen ständigen kommunalen Vertreter in der regelmä-ßig tagenden sächsischen Arbeitsgruppe Informationssicherheit gewährleistet Informationssicherheit in der öffentlichen sächsischen Verwaltung

15 3.1. Organisatorische Strukturen der Informationssicherheit a) In Sachsen Mit der Verabschiedung der VwV Informationssicherheit im September 2011 als verbind liche Leitlinie für die Landesverwaltung Sachsen wurde eine wichtige Grundlage für den Aufbau einer leistungsfähigen Organisation der Informationssicherheit geschaffen. Sie enthält vier Grundelemente: den BfIS-Land als zentrale Sicherheitsinstanz, die Arbeitsgruppe Informationssicherheit (AG IS) als Plattform der ressortübergrei fenden Zusammenarbeit, BfIS-Land der Ressorts, der Polizei und des SID und das Sicherheitsnotfallteam ( Computer Emergency Response Team - SAX.CERT) im SID. Auf Basis dieser Organisationsstruktur werden die Vorgaben und Maßnahmen zur Informationssicherheit im Freistaat Sachsen abgestimmt und ausgebaut AG Informationssicherheit Die AG IS stellt das koordinierende Gremium für alle ressortübergreifenden Aspekte der Informationssicherheit dar. Ihr gehören der BfIS-Land als ihr Vorsitzender sowie die BfIS der Staatskanzlei und Staatsministerien (Ressorts), der Polizei und des SID als stimmberechtigte Mitglieder an. Als Mitglieder ohne Stimmrecht sitzen je ein Vertreter des SAX.CERT, der Verwaltung des Sächsischen Landtags, des Sächsischen Rechnungshofes und des Sächsischen Datenschutzbeauftragten sowie der Vorsitzende des Arbeitskreis Sächsisches Verwaltungsnetz (AK SVN) und ein gemeinsamer Vertreter der sächsischen Kommunen in der AG IS. Zu den Aufgaben der AG IS gehört u.a. die Weiterentwicklung der Leitlinie für Informationssicherheit des Freistaates Sachsen zu initiieren sowie auf die Anwendung einheitlicher Lösungen für IT-Verfahren zur Erhöhung der Informationssicherheit hinzuwirken. Für die ressortübergreifende Zusammenarbeit beschließt die AG IS Empfehlungen insbesondere über Leit- und Richtlinien der Informationssicherheit als auch über den Einsatz von Produkten, um das in den Leit- und Richtlinien definierte Informationssicherheitsniveau zu erreichen bzw. zu erhöhen. Die von der AG IS getroffenen Empfehlungen werden dem Arbeitskreis für IT und E-Government (AK ITEG) zur Beschlussfassung vorgelegt. Zudem berät die AG IS dieses Gremium wie auch den Lenkungsausschuss für IT und E-Government (LA ITEG) zu Fragen der Informationssicherheit. 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung 13

16 AK IT und E-Government Der BfIS-Land ist als Mitglied ohne Stimmrecht im Arbeitskreis IT und E-Government (AK ITEG) vertreten, welches als Abstimmungs- und Informationsgremium der Staatsverwaltung für Strategie, Planung und Nutzung der IT und des E-Governments in der Staatsverwaltung fungiert. Der AK ITEG ist dabei Teil einer CIO-Organisation bestehend aus dem LA ITEG unter Vorsitz des Beauftragten für Informationstechnologie des Freistaates Sachsen (Chief Information Offcer CIO, Staatssekretär Dr. Wilhelm), der in diesem Bereich die strategischen Grundsatzentscheidungen verantwortet, und der Abteilung 6 des Sächsischen Staatsministerium des Innern (SMI), die diese ressortübergreifenden Strategien für IT und E-Government erarbeitet und umsetzt. Die Koordinatoren für IT und E-Government der Ressorts und der Staatskanzlei, die neben dem Abteilungsleiter 6 des SMI die stimmberechtigten Mitglieder im AK ITEG sind, werden über dieses Gremium in die Erarbeitung der Strategie eingebunden. Sie tragen besondere Verantwortung bei der Umsetzung der strategischen Vorgaben in ihrem Ressort. Daneben beschließt der AK ITEG bezüglich der ressortübergreifenden Zusammenarbeit weitere Empfehlungen, u.a. über IT und E-Government-Standards, Informationssicherheit und IT-Beschaffung, strategische Marketing- und Kommunikationsmaßnahmen im E-Government als auch Aufgabenschwerpunkte des SID. Zudem initiiert das Gremium ressortübergreifende IT- und E-Government-Projekte, wirkt auf die Anwendung einheitlicher Lösungen für IT-Verfahren hin und fördert allgemein den Erfahrungs- und Informationsaustausch auf dem Gebiet der IT innerhalb der öffentlichen Verwaltung sowie mit Wirtschaft und Wissenschaft IT Kooperationsrat Der Sächsische IT-Kooperationsrat ist das gemeinsame Abstimmungs-, Beratungs- und Beschlussgremium für die Zusammenarbeit von Freistaat und Kommunen beim Ausbau von IT und E-Government in Sachsen. Darüber hinaus werden die im IT-Planungsrat behandelten Themen und seine Beschlüsse erörtert, soweit kommunale Belange berührt sind. Ziel dieser Kooperation ist insbesondere die Einführung elektronischer, verwaltungsebenenübergreifend interoperabler und sicherer Verwaltungsprozesse. Neben dem BfIS-Land gehören dem Gremium der CIO des Freistaates (als sein Vorsitzender), die Leiterin der Abteilung 3 der Staatskanzlei, der Leiter der Abteilung 2 des SMI, der Geschäftsführer des Sächsischen Städte- und Gemeindetages, das Geschäftsführende Präsidialmitglied des Sächsischen Landkreistages und der Direktor der Sächsischen Anstalt für Kommunale Datenverarbeitung als stimmberechtigte Mitglieder an Informationssicherheit in der öffentlichen sächsischen Verwaltung

17 AK SVN Als Mitglied ohne Stimmrecht gehört der BfIS-Land dem AK SVN an; dem Abstimmungsund Informationsgremium der Landesverwaltung für Strategie, Planung und Nutzung des Sächsischen Verwaltungsnetzes (SVN), das die Netzwerkinfrastruktur der Behörden und Einrichtungen des Freistaates Sachsen umfasst. Dieses Gremium ist dem AK ITEG nachgestellt und befasst sich mit den spezifischen Fragen der gemeinsamen Netzwerkinfrastruktur sowie deren Weiterentwicklung. Bezüglich der gemeinsamen Netzwerkinfrastruktur beschließt der AK SVN Empfehlungen, u.a. über die Strategie bezüglich Netzwerkinfrastruktur als auch die Netzwerk-Standards für das SVN sowie Standards für die Umsetzung von Infrastruktur- Projekten. Zudem initiiert der AK SVN zentrale und ressortübergreifende Netzinfrastruktur-Projekte und wirkt auf die Anwendung einheitlicher Lösungen für Netzinfrastruktur-Verfahren und damit des SVN hin. Stimmberechtigte Mitglieder des AK SVN sind die SVN-Verantwortlichen der Ressorts. b) Beteiligung auf Bundesebene Die Föderalismuskommission II hat im Jahr 2009 mit Artikel 91c Grundgesetz die Grundlage für eine verbindliche IT-Koordinierung von Bund und Ländern geschaffen. Durch diese Grundgesetzänderung hielt die Informationstechnik erstmals Einzug in die Deutsche Verfassung IT-Planungsrat Der IT-Planungsrat ist das zentrale Gremium für die föderale Zusammenarbeit in der Informationstechnik. Seinen rechtlichen Rahmen und das Aufgabenfeld definiert der Staatsvertrag zur Ausgestaltung von Artikel 91c Grundgesetz, der am 1. April 2010 in Kraft trat. Der IT-Planungsrat koordiniert die Zusammenarbeit von Bund und Ländern in Fragen der Informationstechnik, beschließt fachunabhängige und fachübergreifende IT-Interoperabilitäts- und IT-Sicherheitsstandards, steuert E-Government-Projekte im Rahmen der Nationalen E-Government-Strategie und beaufsichtigt das Verbindungsnetz der öffentlichen Verwaltung. Damit sollen ein sicherer und reibungsloser Datenverkehr ermöglicht sowie die Qualität und Effzienz der elektronischen Verwaltungsdienste gefestigt werden. Mitglieder im IT-Planungsrat sind der Beauftragte des BSI (Staatssekretär im Bundesministerium des Innern) und die in den Ländern jeweils Verantwortlichen für Informationstechnik (in der Regel Staatssekretäre) AG Informationssicherheit des IT-Planungsrats Die Arbeitsgruppe Informationssicherheit, in der der BfIS-Land Sachsen mit seinen Länderkollegen seinen Platz hat, arbeitet dem IT-Planungsrat Expertisen und Stellungnahmen zu Themen der Informationssicherheit zu. Weitere Institutionen und Gremien, in denen der BfIS-Land sitzt bzw. zu denen er Kontakte auf der Arbeitsebene pflegt, sind die UAG Cybersicherheit der IMK AG Cybersicherheit in ihr waren bis Ende 2014 Polizeibeamte aus der Abteilung 3 des SMI vertreten und natürlich die oberste Bundesbehörde im Bereich Informationssicherheit, das BSI. 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung 15

18 3.2 Gremienbeschlüsse zur Informationssicherheit in der sächsischen Landesverwaltung Im Berichtszeitraum wurden in erster Linie durch die AG IS als dem koordinierenden Gremium für alle ressortübergreifenden Aspekte der Informationssicherheit wichtige Richtlinien und Maßnahmen zum Ausbau und zur Weiterentwicklung der IT-Sicherheit verabschiedet und durch die anderen beteiligten Gremien bestätigt. Die weitreichendsten seien folgt genannt Erhöhung der Sicherheit der Internetseiten der Landesverwaltung Unter der Aufgabe Sicherheitsmonitoring der Landesverwaltung ist die regelmäßige Überprüfung des tatsächlich erreichten Informationssicherheitsniveaus in der Landesverwaltung zu verstehen. Mögliche Maßnahmen sind Vor-Ort-Audits in den Ressorts und Behörden, aber vorrangig auch automatisierte bzw. teilautomatisierte Sicherheitsscans der IT-Infrastruktur der Landesverwaltung. Mit Hilfe solcher Erhebungen, angereichert mit Meldungen aus den Ressorts oder von externen Stellen kann dann ein realistisches Lagebild der aktuellen Sicherheitslage in der Landesverwaltung erstellt werden. Dieses Lagebild ist eine wichtige Grundlage für die Konzeption, Durchführung und Wirksamkeitsüberprüfung von Maßnahmen zur Erhöhung der Informationssicherheit. Der Freistaat Sachsen betreibt eine Vielzahl von Internetseiten und -diensten innerhalb und auch außerhalb des SVN. Rund dieser Angebote der Landesverwaltung Sachsen sind aus dem Internet erreichbar. Insofern wurden im Berichtszeitraum 2014/15 mehrere landesweite Schwachstellentests durchgeführt und ein entsprechender Lagebericht zur Sicherheit der Internetseiten und dienste der Landesverwaltung erarbeitet. Nach der Vorstellung des Berichts wurde ein Bündel von Maßnahmen zur Verbesserung der Sicherheitslage ( Handlungsempfehlungen Verschlüsselung ) erarbeitet und abgestimmt. Zu den Maßnahmen wurden jeweils konkrete Umsetzungstermine und Schritt-für-Schritt-Handlungsanleitungen vorgeschlagen. Nach Verabschiedung mehrerer entsprechender Beschlüsse in AG IS und AK ITEG zu den einzelnen Maßnahmen, konnten laut neuen Erhebungen zur Sicherheitslage in der Landesverwaltung inzwischen deutliche Verbesserungen erreicht werden. Eine weitere Verbesserung der Sicherheitslage wird davon zu erwarten sein, dass die Internetseiten des Freistaates Sachsen in einen höheren Sicherheitsstandard wechseln sollen. So stimmte der AK ITEG in einer Sitzung im ersten Quartal 2015 einstimmig dafür, alle Internetpräsenzen der Staatsverwaltung in Zukunft ausschließlich über das Kommunikationsprotokoll HTTPS (HyperText Transfer Protocol Secure) anzubieten. Der Standard HTTPS sorgt für die Verschlüsselung übertragener Inhalte und bietet damit deutlich mehr Sicherheit als das Übertragungsprotokoll HTTP. Durch den geplanten Wechsel zu HTTPS läuft der einzelne Nutzer einer Internetseite des Freistaates Sachsen kaum noch Gefahr, dass die Kommunikation zwischen seinem Browser und dem Server der Internetpräsenz belauscht wird. Zudem ist dieser Schutzmechanismus technisch einfach nachzuvollziehen und weit verbreitet: Internetseiten, die durch HTTPS geschützt sind, werden in allen gängigen Browsern automatisch markiert und dem Nutzer angezeigt Informationssicherheit in der öffentlichen sächsischen Verwaltung

19 Die Umstellung auf HTTPS ist eine von 15 Handlungsempfehlungen eines Krypto-Teams der AG IS zur Erhöhung der Informationssicherheit der Internetseiten der Landesverwaltung, die auch Teil des Handlungsleitfaden zur Umsetzung des Sächsischen E-Government Gesetzes sind. Seit der Verabschiedung der Handlungsempfehlungen Mitte 2014 wurde die -Verschlüsselung innerhalb der Ressorts um 41 %, zwischen den Ressorts um 24 % und nach extern um 30 % (eingehend) und 5 % (ausgehend) erhöht. Zudem sind bereits ein Drittel der Landesseiten mit HTTPS verschlüsselt. Insbesondere Angebote, die mit persönlichen Daten von Nutzern umgehen, laufen aus Datenschutzgründen bereits über das Verschlüsselungsprotokoll HTTPS. Der BfIS-Land führt weiterhin regelmäßig automatisierte Scans durch, um den Umsetzungsstand dieser Maßnahmen zu beobachten Ressortübergreifendes Meldeverfahren Die AG IS sieht die zentrale Erfassung wesentlicher Sicherheitsvorfälle innerhalb der Landesverwaltung als wichtige Grundlage vor allem für ein realistisches Lagebild zur Informationssicherheit im Freistaat Sachsen als auch für die effektive und frühzeitige Warnung sowie Unterstützung bei ressortübergreifenden Sicherheitsvorfällen. Der Aufbau dieses ressortübergreifenden Meldeverfahrens soll in mehreren Stufen erfolgen. Ziele sollen dabei ein möglichst geringer Meldeaufwand durch die automatisierte Einbindung vorhandener Vorfallbearbeitungssysteme und Prozesse in den Ressorts sowie eine möglichst hohe Verbindlichkeit durch die Erarbeitung einer entsprechenden Meldeverordnung durch die AG IS sein. Die erste Stufe eines ressortübergreifenden Meldeverfahrens wurde Ende 2015 durch die AG IS beschlossen. Hierbei soll in einem ersten Schritt bereits der Verdacht auf schwerwiegende Ereignisse in den Ressorts und den nachgeordneten Geschäftsbereichen unverzüglich gemeldet werden. Die Meldung soll dabei mit Hilfe des über die Internetseite des SAX. CERT bereitgestellten Meldeformulars an das Notfallteam erfolgen. Soweit notwendig wird das SAX.CERT kurzfristige, anonymisierte Warnmeldungen an die Mitglieder der AG IS verteilen und gemäß den vorhandenen Möglichkeiten unterstützen. Zusätzlich werden alle gemeldeten Vorfälle durch das SAX.CERT monatlich anonymisiert zusammengefasst und in Form eines Berichts im Rahmen der AG IS-Sitzung vorgestellt. 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung 17

20 3.3 Technische Projekte für mehr Informationssicherheit Neben Gremienbeschlüssen, die technische Maßnahmen nach sich ziehen können (s ), veranlasst der BfIS-Land auch technische Pilot-Projekte, um zentrale Bereiche wie das SVN mit neuen Sicherheitsmaßnahmen zu ergänzen. Die IT-Systeme der Sächsischen Landesverwaltung unterliegen schließlich nicht nur Bedrohungen aus dem Internet, sondern können ebenso zum Ziel von Angriffen aus dem internen Netzwerk werden. Ausgangspunkt solcher Angriffe sind typischerweise mit Schadsoftware befallene Rechner. Aber auch unbemerkt in das Netzwerk vorgedrungene Angreifer oder Mitarbeiter, die sich über geltende Sicherheitsbestimmungen hinwegsetzen, stellen Gefahrenquellen dar. Klassische Sicherheitsmaßnahmen, wie zentrale Firewalls und Antivirussysteme, können diese Gefahrenquellen nicht oder nur sehr eingeschränkt ausschalten HoneySens Ein innovatives technisches Pilotprojekt zur Informationssicherheit wurde vom BfIS-Land in Zusammenarbeit mit der Professur für Datenschutz und Datensicherheit der Technischen Universität Dresden im Rahmen einer Diplomarbeit unter dem Titel HoneySens entwickelt. Es sieht eine unter Berücksichtigung der Anforderungen des SVN gestaltete Architektur vor, in der innerhalb gefährdeter Teilnetze platzierte Sensoren Informationen über alle ankommenden verdächtigen Datenpakete aufzeichnen und an eine zentrale Serverkomponente zur Verarbeitung weiterleiten. Administratoren können anschließend mit Hilfe einer komfortablen Web-Anwendung die aggregierten Daten auswerten und bei Bedarf entsprechende Gegenmaßnahmen einleiten. Zur Erkennung potentieller Angriffe kommt auf den Sensoren Honey-pot-Software zum Einsatz, deren Zweck die Simulation typischer Netzwerkdienste und zugehöriger Sicherheitslücken ist. Je intensiver ein Eindringling mit diesen Hackerfallen kommuniziert, desto mehr Informationen können über dessen Motivation und Vorgehensweise gewonnen werden. Um ein möglichst umfassendes Bild über die Vorgänge innerhalb des Netzwerks zu gewinnen, können die Sensoren auch weitere Datenpakete aufzeichnen. Eine Erkennungsroutine für die von Angreifern häufig zur Informationsgewinnung genutzten Portscans erleichtert zudem die automatische Klassifikation der gesammelten Datenmengen. Grundanforderungen an das System HoneySens sind die spezifischen Gegebenheiten des SVN und der Wunsch nach einer wartungsarmen, benutzerfreundlichen Lösung. Um die Anforderungen genauer zu spezifizieren, wurde der zu erwartende Datenverkehr in ausgewählten Teilnetzen der Landesverwaltung analysiert. Die dabei gewonnenen Daten waren maßgebend für den Entwurf des autonomen Sensornetzwerks und die Auswahl der eingesetzten Hardwareplattform. Bei der prototypischen Implementierung des Systems wurde schließlich auf eine hohe Skalierbarkeit durch den Einsatz kostengünstiger Ein-Platinen-Computer als Sensoren, Standardkonformität, leichte Installation und Wartbarkeit, sowie die vollständig verschlüsselte Kommunikation zwischen allen beteiligten Komponenten geachtet. Ein weiterer wichtiger Teilaspekt war zudem die transparente Integration des Sensornetzwerkes in die derzeit bestehenden Strukturen der Landesverwaltung, um den Betrieb der IT-Infrastruktur nicht zu beeinträchtigten Informationssicherheit in der öffentlichen sächsischen Verwaltung

21 Die Architektur des HoneySens-Netzwerks basiert auf einem zentralen Server, der über gesicherte Datenwege (grüne Linien im Bild) von seinen Honeypot-Sensoren Informationen zu verdächtigem Datenverkehr in den überwachten Teilnetzen (Wolkenstrukturen im Bild) erhält und zusammenführt. Damit auch nicht im Bereich der Informationssicherheit geschulte Administratoren mit dem System HoneySens arbeiten können, wurde bei der Entwicklung des Prototyps viel Wert auf eine leicht verständliche graphische Benutzeroberfläche gelegt. Die Web-Anwendung unterstützt deshalb die Benutzer sowohl bei allen anfallenden Arbeitsschritten, darunter die komfortable Integration zusätzlicher Sensoren und die Bereitstellung automatischer Updates der Sensor-Software, als auch bei der Auswertung aller gesammelten Daten. Eine flexible Benutzerverwaltung stellt zudem sicher, dass nur berechtigte Personen Zugang zum System besitzen. Techniken des Responsive Web Design garantieren ferner, dass die Benutzerschnittstelle auch auf Mobilgeräten wie Smartphones und Tablets ohne Einschränkungen genutzt werden kann. Auch bei der Konzeption der zentralen Serverkomponente wurden Möglichkeiten zur unkomplizierten Installation berücksichtigt: Die Bereitstellung der Software in Form von virtualisierbaren Containern assistiert beim flexiblen, transparenten Betrieb der Anwendung und vereinfacht zukünftige Updates. Die prototypische HoneySens -Implementierung wurde im Rahmen der Diplomarbeit in einem mehrwöchigen Testzeitraum innerhalb des SVN und in einem Teilnetz der TU Dresden erprobt und verbessert. In einem nächsten Schritt wollen die Kooperationspartner den vorliegenden Prototyp für den Einsatz in komplexen Netzstrukturen weiterentwickeln und dabei auch weitere potentielle Anwender einbinden. Hauptaugenmerk ist dabei die Untersuchung und Bewertung der vielfältigen Anforderungen, die sich aus dem Einsatz innerhalb eines Verbunds aus zahlreichen heterogenen Teilnetzen ergeben. Abschließend sollen die gewonnenen Erkenntnisse über sinnvolle Gestaltungs- und Anwendungsmöglichkeiten eines solchen Sensornetzwerks nicht nur für die Erhöhung der Informationssicherheit in Sachsen genutzt, sondern auch in die entsprechenden Gremien der Länder und des Bundes eingebracht werden. 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung 19

22 Identity-Leak-Checker Die Gefährdung der Landesverwaltung im Bereich des Identitätsdiebstahls nimmt wegen der verstärkten elektronischen Speicherung und Verarbeitung von Fachdaten im Freistaat Sachsen, aber auch wegen der Professionalisierung und Automatisierung im Bereich der Cyberkriminalität ständig zu. Im Ergebnis solcher Attacken, durch Nachlässigkeiten beim Aussortieren von Hardwarespeichern oder auch durch Verlust mobiler Geräte können interne dienstliche Informationen in die Öffentlichkeit gelangen. Besonders gefährlich ist dabei oft der Abfluss von Identitätsdaten in Form von Nutzernamen und zugehörigen Passwörtern, da externe Angreifer so Zugriff auf das interne Netz der Landesverwaltung erhalten können. Der BfIS-Land hat deshalb im Berichtszeitraum die Erforschung von Grundlagen zum Aufbau eines Warndienstes angestoßen, der beim Auftauchen von Identitätsdaten aus dem Freistaat Sachsen im Internet kurzfristig eine entsprechende Warnmeldung an die zuständigen Stellen in Sachsen generiert. So sollen einerseits kurzfristige Gegenmaßnahmen wie z.b. Löschanträge bei den jeweiligen Providern ermöglicht, andererseits aber auch ein Überblick über die aktuelle Gefährdungslage gewonnen werden. Ein erster wichtiger Schritt in diese Richtung war die Umsetzung einer prototypischen Lösung eines Warndienstes, der einen möglichst signifikanten Teil derjenigen Bereiche des Internets überwacht, in denen Identitätsdaten von Beschäftigten des Freistaats Sachsen gehandelt oder veröffentlicht werden könnten. In Absprache mit dem Hasso-Plattner-Institut an der Universität Potsdam, das im Mai 2014 den Online-Dienst Identity-Leak-Checker startete, wurden die im Rahmen dieses Dienstes entwickelten Funktionalitäten dem Freistaat Sachsen zur Verfügung gestellt und diese zusammen anforderungsgerecht weiter entwickelt. Basis des Identity-Leak-Checker ist ein Forschungsprojekt zur Verarbeitung großer Datenmengen mittels neuartiger, supercomputergestützter Datenbanktechnologien. Der Dienst deckt bereits große Teile des vom Freistaat Sachsen gesuchten Leistungsspektrums ab. Bisher konnte er weltweit schon über 182 Mio. gestohlene Identitätsdatensätze indizieren. In dem gemeinsamen Forschungsprojekt wird auf Basis des Identity-Leak-Checker ein Dienst zur Aufdeckung und Warnung vor Identitätsdiebstählen, die Beschäftigte des Freistaats Sachsen betreffen, durch das Hasso-Plattner-Institut umgesetzt Informationssicherheit in der öffentlichen sächsischen Verwaltung

23 APT-Erkennung Die Teststellung eines Produkts zur Erkennung hochspezialisierter Cyberangriffe (Advanced Persistent Threat, APT) auf das SVN lief im Zeitraum vom 13. Mai bis 12. Juni 2015 im Rahmen von Sicherheitsmaßnahmen zu den G6/G7-Gipfeln in Sachsen. Im Unterschied zu den vorhandenen Schutzprogrammen scannte das Produkt den kompletten - und Internetverkehr des SVN während des Testlaufs nicht nur auf Signaturen bekannter Bedrohungen, sondern analysierte das Verhalten aller verdächtigen Programme und Dokumente auf einem simulierten Arbeitsplatz automatisch auf bösartige Aktivitäten. Nach 4 Wochen wurde das Testsystem planmäßig abgeschaltet. In diesem Zeitraum konnte mit Hilfe der Teststellung nachgewiesen werden, dass signaturbasierte Scanverfahren keinen ausreichenden Schutz mehr gegen aktuelle Schadsoftware bieten und eine zusätzliche Überwachung ausgehender Verbindungen auf Kontakte zu Schadsoftwareservern im Internet notwendig ist. Die Schutzmaßnahmen innerhalb des SVN wurden und werden auf Basis der gewonnenen Erkenntnisse weiter ausgebaut DDoS-Protection Ebenfalls im Rahmen von Sicherheitsmaßnahmen zu den G6/G7-Gipfeln in Sachsen wurde die Betriebsbereitschaft des SVN und der Internetseiten der Landesverwaltung durch DDoS-Protection Dienstleistungen der TSI zusätzlich abgesichert. Einige Services davon werden seit Mai 2015 dauerhaft für den Freistaat bereitgestellt. In erster Linie sollen damit Netz und Access-Bandbreite gegen volumenbasierte Attacken geschützt werden. DDoS bezeichnet die Überlastung einer größeren Anzahl von Systemen der Informationstechnik durch einen v.a. absichtlichen Angriff auf einen Server, einen Rechner oder andere Komponenten eines Datennetzes. Solche mutwilligen DDoS-Angriffe werden mit speziellen Programmen durchgeführt, die z.b. Computerwürmer auf nicht ausreichend geschützten Rechnern installieren und dann versuchen weitere Rechner im Netzwerk zu infizieren, um so ein Botnetz aufzubauen, welches mit vielen Rechnern zusammen selbst gut geschützte Systeme durchdringen kann. Im Falle eines vom Freistaat Sachsen gemeldeten Angriffs werden von der TSI geeignete Gegenmaßnahmen ergriffen, soweit diese technisch möglich sind. Durch die Gegenmaßnahmen wird versucht, den Angriff soweit abzumildern, dass der Internetzugang des Freistaates Sachsen wieder erreichbar ist. Abhängig von der Art des Angriffs kann es aber weiterhin zu einer Beeinträchtigung der betroffenen Dienste des Freistaates Sachsen kommen. Die TSI wird in Abstimmung mit dem Ansprechpartner der Landesverwaltung die bestmögliche Lösung (Abwehrmechanismen) ermitteln und anwenden. Hiermit soll erreicht werden, dass die kundeneigenen Sicherheitsmechanismen wieder greifen können. 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung 21

24 3.4. Stand der Informationssicherheit in den Kommunen Gastbeitrag von Thomas Weber, Direktor der Sächsischen Anstalt für kommunale Datenverarbeitung (SAKD) Die IT-Verfahren der Kommunen gewährleisten die internen Arbeitsabläufe der Verwaltung, stellen Dienste für Bürger bereit und sind häufig auch Bestandteil ebenenübergreifender Kommunikation mit dem Freistaat oder dem Bund. Alle drei Aspekte erfordern ein angemessenes IT-Sicherheitsniveau, um die Verfügbarkeit der Dienste und die Vertraulichkeit der Informationen zu gewährleisten Leitlinien- und Informationssicherheits Management-Prozesse Verbindliche Richtlinien, die auf staatlicher Seite bereits seit 2011 in Form der Verwaltungsvorschrift der Sächsischen Staatsregierung zur Gewährleistung der Informationssicherheit in der Landesverwaltung existieren, gibt es übergreifend für alle Kommunen in Sachsen derzeit nicht. Der Versuch der kommunalen Bundesverbände, eine Sicherheitsleitlinie für Verwaltungen des Bundes für den Einsatz bei ebenenübergreifenden Verfahren auch für Kommunen für verbindlich erklären zu lassen, wurde vom IT-Planungsrat abgelehnt. Da die Festlegung dieser Leitlinie auf die BSI-Grundschutzmethodik erhebliche Aufwände für die Implementierung und die Umsetzung der erforderlichen Maßnahmen insb. in kleinen Kommunalverwaltungen erwarten ließ, sprachen sich auch SAKD und die sächsischen kommunalen Spitzenverbände gegen eine verbindliche Einführung dieser Leitlinie aus. In Kenntnis der unbefriedigenden Situation im Bereich der kommunalen Informations-Sicherheit (eine Umfrage im Jahr 2012 ergab, dass in weniger als 20 % der Kommunen ein IT-Sicherheitsbeauftragter namentlich benannt war), entwickelte die SAKD eine Musterleitlinie für die Herstellung von Informationssicherheit in Kommunalverwaltungen. Das Hauptziel des Dokumentes besteht darin, dass sich die Behördenleitungen zur Informationssicherheit bekennen, Ressourcen dafür bereitstellen und einen kontinuierlichen Sicherheitsprozess initiieren. Die Musterleitlinie orientiert sich an der Verwaltungsvorschrift der Landesverwaltung, verzichtet aber bewusst auf jeden Bezug zur BSI-Grundschutzmethodik, um keine Einstiegshürden wegen zu hoher Aufwendungen zu errichten. Nach Veröffentlichung der Leitlinie als Empfehlung des Fachausschusses der SAKD gemäß 4 Abs. 3 SAKDG im Amtsblatt vom 2. August 2012 wurde das Dokument inzwischen von mehr als 200 Kommunen von der Homepage der SAKD heruntergeladen und als Blaupause für eine eigene Sicherheitsleitlinie verwendet. Den gleichen Ansatz, das Thema als Leitungsverantwortung zu positionieren, verfolgte eine Initiative der kommunalen Spitzenverbände auf Bundesebene und der VITAKO (Bundesarbeitsgruppe der kommunalen IT-Dienstleister). Die Arbeitsgruppe Handreichung Informationssicherheitsleitlinie verfolgte das Ziel, praktikable Handlungsleitfäden für kommunale initiale Sicherheitsdokumente zu erstellen, die sich an der für Bundes- und Landesverwaltungen verbindlichen Leitlinie für IT-Sicherheit des IT-Planungsrates orientieren. Die SAKD arbeitete in dieser Arbeitsgruppe mit und setzte Textvorschläge durch, die es auch kleinen Verwaltungen ohne benannten Sicherheitsbeauftragten ermöglichen, diese Handreichung einzusetzen Informationssicherheit in der öffentlichen sächsischen Verwaltung

25 Die Veröffentlichung erfolgte 2014 über die VITAKO und das IT-SiBe-Forum. Die nicht öffentliche Plattform steht allen IT-Sicherheitsbeauftragten auf Länder- und Kommunalebene zum Informations- und Erfahrungsaustausch kostenfrei zur Verfügung, erfordert aber eine individuelle Registrierung beim Deutschen Landkreistag (DLT) Informationssicherheit in der IT-Service-Beratung Die beste Möglichkeit, das Thema IT-Sicherheit bei den Kommunen zu platzieren bieten individuelle Beratungsgespräche. Die kostenfreie IT-Serviceberatung für kleine Kommunen hat sich als Dienstleistung der SAKD etabliert und bietet sich dafür an. Im Rahmen dieses Programmes hat die SAKD bisher ca. 80 Kommunalverwaltungen vor Ort besucht und zu unterschiedlichen Themen beraten. Ausgangspunkt für die meisten Anfragen sind geplante Hardwareinvestitionen zum Ersatz überalterter Technik. Informationssicherheit ist dabei fast nie der Anlass der Beratungsanfrage - wird aber von der SAKD bei allen Gesprächen angesprochen. Das kennzeichnet das unzureichende Sicherheitsbewusstsein in vielen kleinen Verwaltungen, die meist ohne eigenes IT-Personal auskommen müssen. Falls überhaupt eine Benennung von Verantwortlichen erfolgt ist, liegen Datenschutz und IT-Sicherheit meist in der Hand des gleichen Mitarbeiters, dem aber oft weder finanzielle noch zeitliche Ressourcen dafür bereitgestellt werden. Nur die Erhöhung des Problembewusstseins in den Verwaltungsspitzen und bei allen Mitarbeitern kann hier zu Verbesserungen führen. Die seit 2013 jährlich vom BfIS-Land durchgeführte Awareness-Veranstaltung Infosic, zu der sich regelmäßig auch viele kommunale Teilnehmer anmelden, ist dafür eine gute Möglichkeit Erfahrungsaustausch und Kommunikation In großen Stadt- und Landkreisverwaltungen, in denen in der Regel hauptamtliche Sicherheitsbeauftragte benannt sind, ist die Situation besser. Hier sind Sicherheitsprozesse etabliert und entsprechende Ressourcen vorhanden. Mit der Arbeitsgruppe der IT-Sicherheitsbeauftragten der Landkreise existiert auch ein Gremium, in dem sich die Landkreise zu Sicherheitsthemen austauschen. Ursprünglich als AG zur Ertüchtigung der EU-Zahlstellen der Landkreise für BSI-Grundschutz gegründet, beschäftigt sich die AG inzwischen mit verschiedenen Sicherheitsthemen in den Landkreisverwaltungen. Die Gruppe tagt regelmäßig unter Leitung des Sächsischen Landkreistages und lädt themenabhängig Vertreter des BfIS-Land, der KDN GmbH oder der SAKD zu den Sitzungen ein. Der Versuch, ein vergleichbares Gremium für kleinere Verwaltungen zu etablieren, war leider nicht von dauerhaftem Erfolg gekrönt. So wurde die 2012 gegründete Arbeitsgruppe IT-Sicherheit im KDN II im Jahr 2013 wieder eingestellt. Die AG hatte versucht, über ein vereinfachtes Checklistenverfahren kleineren Verwaltungen, die am KDN angeschlossen sind, eine Alternative zur BSI-Grundschutzvorgehensweise anzubieten. In der Landesverwaltung werden Angelegenheiten der Informationssicherheit in einer Arbeitsgruppe IT-Sicherheit (AG IS) unter Leitung des BfIS-Land behandelt und voran getrieben. Die SAKD ist als Mitglied ohne Stimmrecht der kommunale Vertreter und Sachwalter kommunaler Interessen in dieser Arbeitsgruppe. Während die Beschlüsse des Gremiums für die Ressorts und Behörden der Landesverwaltung bindend sind, können sie für Kommunalverwaltungen nur empfehlenden Charakter haben. Entsprechende Empfehlungen werden regelmäßig über den Newsletter der SAKD publiziert. Beispiele dafür sind die 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung 23

26 Hinweise zur Verwendung sicherer Verschlüsselungsverfahren, die Umstellung von Mailservern auf verschlüsselte Kommunikation oder die Mitnutzung von Diensten des Landes zur Prüfung von Identitätsdiebstahl von Nutzeraccounts Informationssicherheit und Datenschutz Eine unmittelbare gesetzliche Vorgabe zur Erstellung und Umsetzung von IT-Sicherheitskonzepten besteht für Kommunen erst seit Inkrafttreten des Sächsischen E-Government Gesetzes (SächsEGovG). Bereits seit langem verpflichtet jedoch das Sächsische Datenschutzgesetz (SächsDSG) zur Einhaltung des Schutzes personenbezogener Daten. Das SächsDSG enthält die Vorgaben zum Führen von Verfahrensverzeichnissen, bei denen die umgesetzten organisatorischen und technischen Sicherheitsmaßnahmen konkret zu benennen sind. Die SAKD bietet kleinen Kommunen die vertragliche Übernahme der Funktion eines (externen) behördlichen Datenschutzbeauftragten. Bisher haben 20 Kommunen einen entsprechenden Auftrag erteilt. Sie bekommen so direkte Hilfestellung bei der Implementierung von Sicherheitsmaßnahmen. Das Leistungspaket umfasst neben der Erstellung der Verfahrensverzeichnisse Schulungsmaßnahmen für Mitarbeiter und Vorabkontrollen bei der Einführung neuer Verfahren Das KDN als sicheres Netz Als wesentliche sicherheitsrelevante Infrastrukturkomponente im kommunalen Umfeld muss das Kommunale Datennetz (KDN) genannt werden. Durch seine Realisierung auf teilweise exklusiver Infrastruktur, gesicherten Netzübergängen und weiteren Sicherheitsmaßnahmen wie Online-Content-Scanning, Anti-Virus- und Anti-Spam-Lösungen, bietet es schon per se ein höheres Sicherheitsniveau gegenüber einem Standard-Internetanschluss. KDN GmbH und SAKD argumentieren deshalb bei allen Gelegenheiten für einen KDN-Anschluss; Zielstellung hier ist die Flächendeckung des KDN über alle Kommunen. Seit Inkrafttreten des SächsEGovG, das die Kommunikation nur noch über gesicherte Netze vorgibt, besteht de facto für alle Kommunen ein Anschlusszwang an das KDN. Die im Gesetz genannte alternative Schnittstelle mit vergleichbarer Sicherheit wurde bisher nicht definiert. Trotzdem gibt es noch ca. 80 KDN-Verweigerer, die nur über einen direkten Internetanschluss mit Landes- oder Bundesbehörden kommunizieren und damit eigentlich einen Gesetzesverstoß begehen CERT-Leistungen für Kommunen Nach Beschluss der AG IS stehen ausgewählte Leistungen des beim SID betriebenen SAX. CERT, wie zum Beispiel der Message-Dienst, auch den Kommunen zur Verfügung. Die technische Realisierung erfolgt über eine bei der SAKD gepflegte Verteilerliste. Von den ca. 60 Kommunen, die sich bisher für diesen Dienst registriert haben, hat sich allerdings inzwischen die Hälfte wieder abgemeldet, da die verteilten Meldungen für ihre jeweilige Infrastruktur zu unspezifisch sind. Eine verbesserte Selektivität dieser Nachrichten kann allerdings nur über detaillierte Beschreibung der verwendeten Hard- und Software geleistet werden. Diese für die Landesverwaltung angestrebte Lösung ist mit einer einzigen zentralen kommunalen Verteilerliste nicht realisierbar. Hier sind weitergehende Überlegungen vonnöten Informationssicherheit in der öffentlichen sächsischen Verwaltung

27 Symbolbild für Datenströme, die geschützt durch eine Art Sicherheitsschleuse, in einen Serverraum gelangen Sicherheitstests Ebenfalls auf Beschluss der AG IS finden seit 2014 regelmäßige, anfangs unangekündigte Tests der Webpräsenzen von Landes- und Kommunalverwaltungen unter Sicherheitsaspekten statt. Kritische Ergebnisse für kommunale Websites wurden der SAKD mitgeteilt, die daraufhin alle betroffenen Betreiber von Webservern und Diensten innerhalb des KDN direkt kontaktiert hat. Die meisten kommunalen Webpräsenzen liegen jedoch bei Providern im Internet, so dass hier nur die jeweilige Kommune selbst bei ihrem Dienstleister auf die Verbesserung des Sicherheitsniveaus drängen kann. Bei den in diesem Zusammenhang erfolgten Tests von Schul-Webpräsenzen sind die von Sicherheitsproblemen betroffenen Schulen unter Verwendung der beim Sächsischen Kultusministerium vorliegenden Schuldatenbank einzeln angeschrieben worden. Neben einem personalisierten Fehlerbericht wurden dabei auch Kontaktinformationen für Hilfe bei der Problembewältigung übermittelt. 3. Informationssicherheit in der öffentlichen sächsischen Verwaltung 25

28 4. Informations- und Cybersicherheit durch Sensibilisierungsmaßnahmen Eines der schwächsten Glieder in der Sicherheitskette ist immer noch der Mensch. Da die beste Technik und die durchdachtesten Sicherheitsvorkehrun - gen die Informations- und Cybersicherheit alleine nicht garantieren können, solange der einzelne Nutzer Defizite im Umgang mit technischen Mitteln zeigt, führt der Weg zu einer nachhaltigen Erhöhung der Informations- und Cybersi- - cherheit nur über eine Sensibilisierung eines jeden Einzelnen. Hauptaugenmerk sollte daher darin liegen, Defiziten wie fahrlässigem Handeln oder mangelnden Kenntnissen entgegenzuwirken. Ein zentraler Baustein zu mehr Sicherheit liegt in der Sensibilisierung vor Gefahren bei der alltäglichen Nutzung von PC, Smartphone und Internet einerseits und in der Vermittlung von Kompetenzen zur Gefahrenabwehr andererseits. Dazu zählen der bewusste Umgang mit der IT, die Erlernung einfacher Regeln und die Anwendung ver- - ständlicher Sicherheitsmaßnahmen Informations- und Cybersicherheit durch Sensibilisierungsmaßnahmen

29 4.1. Ist-Stand Handlungsbedarf für Sensibilisierungsmaßnahmen Der Handlungsbedarf für Sensibilisierungsmaßnahmen zu den Themen Informations- und Cybersicherheit im Freistaat Sachsen soll abgeleitet werden aus a) einer Übersicht bisheriger Maßnahmen des BfIS-Land b) einer Übersicht weiterer relevanter Initiativen und Aktionen von Staat, Wirtschaft und Bürgern unter besonderer Berücksichtigung ihrer Wirkung auf den Freistaat Sachsen sowie c) einer aktuellen Zusammenfassung der zentralen Ergebnisse von repräsentativen Umfragen zum Thema Cybersicherheit in der deutschen Bevölkerung und Befragungen von Unternehmen Bisherige Maßnahmen des BfIS-Land 572 Menschen wurden gefragt Wie hat Ihnen die Veranstaltung insgesamt gefallen? Mit der Großveranstaltung Infosic organisierte der BfIS-Land in den Jahren 2012, 2013 und 2015 die größten Sensibilisierungsveranstaltungen für Informationssicherheit auf Landesebene. Diese basiert auf der Veranstaltungsreihe Roadshow Informationssicherheit, die ursprünglich von der Bundesakademie für öffentliche Verwaltung (BAköV) zusammen mit dem BSI entwickelt worden war, um die Bediensteten des Bundes auf die Risiken beim Einsatz der IT hinzuweisen und sie für den richtigen, sicherheitsbewussten Umgang mit der IT zu sensibilisieren. Nachdem sich der BfIS-Land der BAköV als Partner angeboten hatte, um die Veranstaltungsreihe auch im Freistaat Sachsen den Landesbediensteten anzubieten, wurden im Jahr 2012 in Leipzig mit 600 Teilnehmern, im Jahr 2013 in Chemnitz mit 700 Teilnehmern und im Jahr 2015 in Dresden mit insgesamt Teilnehmern bei gleich zwei entsprechenden Großveranstaltungen 4 insgesamt bislang über Bedienstete der sächsischen Landesund Kommunalverwaltung, sowie weiterer öffentlicher Einrichtungen und Institutionen erreicht. Die sich sehr positiv entwickelnden Teilnehmerzahlen sind sicherlich auch Ergebnis des kontinuierlichen Angebots einer solchen Veranstaltung. Die gesamte Veranstaltungsreihe wurde und wird dabei aus Projektmitteln des IT-Planungsrats unterstützt. Nach der erfolgreichen Auftaktveranstaltung 2012 in Sachsen folgten die meisten anderen Bundesländer mit ähnlichen Veranstaltungen. 4 Nachdem die erste Sensibilisierungsveranstaltung bereits nach drei Wochen ausgebucht war, wurde kurzfristig eine zweite Veranstaltung organisiert, die ebenfalls weitere drei Wochen später ausgebucht war. 4. Informations- und Cybersicherheit durch Sensibilisierungsmaßnahmen 27