Gesetzgebung

Staatsregierung: Gesetzentwurf zur Errichtung des Landesamts für Sicherheit in der Informationstechnik

11. Juli 2017
von BayRVR Redaktion
12 Minuten Lesezeit

Die Staatsregierung hat o.g. Gesetzentwurf eingebracht (LT-Drs. 17/17726 v. 11.07.2017). Hiernach soll ein „Landesamt für Sicherheit in der Informationstechnik“ errichtet werden. Hierzu wird insbesondere das BayEGovG geändert, das in 3 Teile unterteilt wird und in Teil 2 („Sicherheit in der Informationstechnik“) die entsprechenden Vorgaben enthält. Teil 2 ist wiederum in 3 Kapitel unterteilt: „Allgemeine Vorschriften“ in Art. 9-11, „Befugnisse“ in Art. 12-15 und „Datenschutz“ in Art. 16 und 17. Durch die Neunummerierung des BayEGovG müssen im BayEUG und in der BayBITV Verweise angepasst werden.

Dienstsitz des LSI ist Nürnberg, Außenstellen werden in Würzburg und Neustadt a.d. Saale bestehen.

Grund für die Gesetzesinitiative

Eine effektive Abwehr von Cybergefahren könne von einzelnen Behörden kaum noch geleistet werden, so der Gesetzentwurf.

Der Gesetzentwurf spricht von täglich ca. 40.000 Angriffen auf das Bayerische Behördennetz. Ein großer Teil der gegenwärtigen Cyberattacken sei semiprofessionellen Einzeltätern und Gruppen zuzuschreiben, die ihre Angriffswerkzeuge im Rahmen krimineller Dienstleistungen im Internet („crime as a service“) erworben hätten; damit ließen sich fortgeschrittene Cyberangriffe konzipieren und durchführen. Aber auch professionelle kriminelle Organisationen und ausländische staatliche Institutionen nennt der Gesetzentwurf als Bedrohung.

Dabei werden die Angriffe laut Gesetzentwurf immer komplexer und können sich über Monate erstrecken (sog. Advanced Persistent Threats). In dem Wissen, dass es absolute Sicherheit für IT-Systeme nicht geben könne, ändere sich der methodische Ansatz, so der Gesetzentwurf weiter. Neben Prävention setzten IT-Sicherheitsexperten verstärkt auf Detektion und Reaktion. Dabei werde das Verhalten eines entdeckten Angreifers, der erfolgreich in das Netz eingedrungen ist, über einen gewissen Zeitraum beobachtet (Profiling); um seine Funktionsweise zu verstehen, dürfe er zunächst (in gewissem Umfang) seiner bestimmten Tätigkeit nachgehen; erst wenn es zu einem Datenabfluss mit Kritikalität komme, werde gegen den Angreifer vorgegangen. Aus den gewonnenen Erkenntnissen würden Abwehrsysteme neu konfiguriert und Fachleute lernten die komplexe Gesamtstruktur des Angriffs kennen. Hierdurch würden wertvolle Erfahrungen für zukünftige Angriffe gesammelt.

Die notwendigen Abwehr- und Sicherungsmaßnahmen können von den einzelnen Behörden kaum noch geleistet werden. Die Bündelung von Kompetenzen an einer zentralen Stelle, dem Landesamt für Sicherheit in der Informationstechnik (LSI), soll hier Abhilfe schaffen.

Aufgaben des LSI

Aufgaben des LSI werden laut Gesetzentwurf sein:

  • die Abwehr von Gefahren für die Sicherheit der Informationstechnik der Staatsverwaltung, insbesondere des Bayerischen Behördennetzes;
  • die Sammlung, Auswertung und Analyse der neuesten Angriffsmethoden und Schadprogramme, um staatliche IT besser zu schützen und Aufklärungsarbeit für die kommunale IT zu leisten;
  • die Unterstützung von Behörden bei der Erstellung und Fortschreibung von IT-Sicherheitskonzepten;
  • die Prüfung und Bewertung der Sicherheit von Hard- und Software sowie IT-Sicherheitskonzepten;
  • die Überprüfung der Konformität von IT-Systemen der Staatsverwaltung mit den sicherheitstechnischen Anforderungen;
  • die Entwicklung von Mindeststandards für die IT-Sicherheit, insbesondere die Fortschreibung der bayerischen IT-Sicherheitsrichtlinien;
  • die Unterstützung, Beratung und Warnung von staatlichen und kommunalen Stellen und öffentlichen Unternehmen über Sicherheitsbedrohungen und -vorkehrungen;
  • die Unterstützung der Polizeien, Strafverfolgungsbehörden und des Verfassungsschutzes, wenn die Sicherheit der Informationstechnik oder die öffentliche Sicherheit durch Einsatz von Informationstechnik bedroht ist;
  • die Zusammenarbeit mit Bund und Ländern und Vertretung in Gremien zur IT-Sicherheit wie dem Deutschen CERT-Verbund.

Das LSI soll als zentrale Meldestelle alle sicherheitsrelevanten Vorfälle bei den Behörden sammeln und auswerten. Im Gegenzug werden die Behörden unverzüglich über neue Bedrohungen gewarnt. Die Behörden werden verpflichtet, IT-Sicherheitsvorfälle zu melden um schnelle Reaktionszeiten zu gewährleisten. Darüber hinaus ist es die zentrale Kontaktstelle des Freistaates Bayern im Bereich der Kritischen Infrastrukturen. Das LSI nimmt die Meldungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) entgegen und gibt sie gegebenenfalls entsprechend aufbereitet an die zuständigen Aufsichtsbehörden weiter.

Für die Kommunikationstechnik des Landtags, der Gerichte, des Obersten Rechnungshofs und des Landesbeauftragten für den Datenschutz ist das Landesamt nur zuständig, soweit sie an das Behördennetz angeschlossen sind oder Dienste i.S.d. Art. 8 Abs. 2 und 3 BayEGovG n.F. (derzeit: Art. 9 Abs. 2 und 3 BayEGovG) nutzen. Hinsichtlich der damit betroffenen Gewaltenteilungs-Problematik führt die Gesetzesbegründung aus:

„Zur Achtung der Gewaltenteilung ist das LSI nicht für die Kommunikationstechnik von Judikative, Legislative, des Obersten Rechnungshofs und des Landesbeauftragten für den Datenschutz zuständig. Allerdings steht die Gewaltenteilung im Interessenwiderstreit mit der Notwendigkeit der Absicherung des Behördennetzes. Aus diesem Grund ist das LSI wiederum zuständig, soweit diese Stellen am Behördennetz angeschlossen sind oder elektronische Verwaltungsinfrastrukturen bzw. zentrale Dienste i.S.d. Art. 8 BayEGovG nutzen. Dies ist gerechtfertigt, da der Anschluss an das Bayerische Behördennetz auf freiwilliger Basis erfolgt. Wer das erhöhte Sicherheitsniveau des Behördennetzes in Anspruch nehmen möchte, muss sich – zum Schutze aller – dem dort geltenden Sicherheitsdekret unterwerfen.

Soweit die Kommunikationstechnik von Judikative, Legislative, dem Obersten Rechnungshof und dem Landesbeauftragten für den Datenschutz ausschließlich in eigener Zuständigkeit betrieben wird, bleibt diese dem Zugriff des LSI verwehrt.“

Neben den staatlichen Behörden kann das LSI auch Warnungen vor Sicherheitslücken, Schadprogrammen oder erfolgten Hacking-Attacken an kommunale Stellen oder öffentliche Unternehmen ausgeben. Dabei hat es jedoch die Interessen der betroffenen Hersteller zu wahren. Falls die Informationen auch Bürgern oder privaten Unternehmen dienlich sein können, so ist darüber hinaus eine Veröffentlichung denkbar.

Um diese Aufgaben erfüllen zu können, soll die Behörde mit Fachpersonal aus der IT-Sicherheit sowie modernster Hard- und Software ausgerüstet werden. Das bestehende Bayern-CERT (Computer Emergency Response Team) am Landesamt für Finanzen soll in das LSI integriert werden.

Aufgabenabgrenzung zu StA, Polizei und Verfassungsschutz

Von den Aufgaben des LSI abzugrenzen sind die Aufgaben der Staatsanwaltschaft, der Polizei und des Verfassungsschutzes, insbesondere die Aufgaben der bei der Generalstaatsanwaltschaft Bamberg angesiedelten Zentralstelle Cybercrime Bayern, des Kompetenzzentrums Cybercrime am Landeskriminalamt und des Cyber-Allianz-Zentrums am Landesamt für Verfassungsschutz. Das LSI ist kein Ermittlungsorgan, sondern unterstützt diese bei der Strafverfolgung durch eine Datenübermittlung von Amts wegen und im Rahmen von Amtshilfeersuchen. Zur Vermeidung von Reibungsverlusten durch Schnittstellen und zur Erzielung von Synergieeffekten seien regelmäßige Absprachen und ein zielgerichteter Informationsaustauch auf operativer Ebene unabdingbar, so der Gesetzentwurf. Bestehe auf Seiten der Staatsanwaltschaft die Möglichkeit zum Informationsaustausch bereits nach § 17 Nr. 3 EGGVG, so müsse für das LSI eine normative Regelung geschaffen werden, so der Gesetzentwurf weiter.

Die Unterstützung und Beratung von Unternehmen aus der freien Wirtschaft soll auf Grund der fachlichen Überschneidung zur Wirtschaftsspionage weiter im Landesamt für Verfassungsschutz verbleiben.

Kommunales 

Alle, auch nicht an das Behördennetz angeschlossene Kommunen, können sich Beratung und Unterstützung durch das LSI einholen. Für die Leistungen werden unter Umständen Entgelte erhoben.

Es besteht eine Meldepflicht für Sicherheitsvorfälle oder andere relevante Ereignisse, wobei die Kommunen im Gegenzug sofort Meldungen über Gefahren erhalten. Die Erfüllung der Meldepflicht sei mit nur marginalen Aufwänden verbunden, so der Gesetzentwurf.

Das LSI kann technische Anforderungen vorgeben, an die sich die Kommunen halten müssen, soweit sie an das Behördennetz angeschlossen sind. Dies dient letztlich einem einheitlichen Sicherheitsniveau. Die Erfüllung der technischen Anforderungen des LSI werde in der Regel keine zusätzlichen Kosten auslösen, so die Gesetzesbegründung. Die an das Behördennetz angeschlossenen Kommunen müssten bereits jetzt informationssicherheitstechnische Vorgaben erfüllen, um einen Zugang zum Behördennetz zu erhalten. 

Das LSI unterstützt die Kommunen bei der Erstellung ihrer IT-Sicherheitskonzepte, wozu sie gem. Art. 11 Abs. 1 Satz 2 BayEGovG n.F. (Art. 8 Abs. 1 Satz 2 BayEGovG derzeitige Fassung) i.V.m. Art. 19 Abs. 2 Satz 2 Nr. 3 BayEGovG n.F. ab 01.01.2019 verpflichtet sind. Das ursprünglich zum 01.01.2018 geplante Inkrafttreten der Verpflichtung hätte einen Großteil der Kommunen, insbesondere die über 1.500 bayerischen Gemeinden mit weniger als 5.000 Einwohnern, vor Umsetzungsprobleme gestellt, da die für die Implementierung erforderlichen IT-Berater können auf Grund der aktuellen Marktlage so kurzfristig nicht hätten beauftragt werden können, so die Gesetzesbegründung.

Eine Ausgleichspflicht nach dem Konnexitätsprinzip ergebe sich aus den Regelungen grundsätzlich nicht, so die Gesetzesbegründung weiter; einen Sonderfall stellten jedoch die Landratsämter mit ihrer Doppelfunktion als staatliche und kommunale Stelle da; müssten sie für die Erreichung der technischen Anforderungen des LSI Investitionen tätigen, so sei u.U. das Konnexitätsprinzip berührt. 

Rechtsgrundlagen

Für die aufgelisteten Aufgaben des LSI sind Rechtsgrundlagen erforderlich. Insbesondere der Schutz des Bayerischen Behördennetzes bedürfe einer umfangreichen Analyse des Datenverkehrs an den Übergängen zum Internet; anders könne keine hinreichende Sicherheit des Netzes erreicht werden, so die Gesetzesbegründung. Dabei müssten Verkehrs-, Bestands- und Inhaltsdaten automatisiert nach Angriffen durchsucht werden.

Allerdings unterliege eine entsprechende Regelung wegen der mit ihr verbundenen Grundrechtseingriffe strengen Anforderungen. Sie sei auf das absolut Notwendige zu beschränken, so der Gesetzentwurf. Auch hinsichtlich der Datensicherheit müsse ein hoher Standard verbindlich vorgegeben werden. Eine umfangreiche datenschutzrechtliche Vorschrift, die die Vorgaben des BVerfG und des BGH erfülle, sei hierfür unerlässlich.

Dementsprechend sieht der Gesetzentwurf in Kapitel 3 („Datenschutz“) umfangreiche Regelungen im Hinblick auf die Datenspeicherung und -auswertung (Art. 16) sowie die Datenübermittlung (Art. 17) vor. Da Art. 16 Bezug auf Art. 12 nimmt, werden die Vorschriften im Folgenden wiedergegeben:

Art. 12 Abwehr von Gefahren für die Informationstechnik

(1) 1Das Landesamt kann zur Erfüllung seiner Aufgaben gegenüber staatlichen und an das Behördennetz angeschlossenen Stellen die nötigen Anordnungen treffen oder Maßnahmen ergreifen, um Gefahren für die Informationstechnik etwa durch Schadprogramme oder programmtechnische Sicherheitslücken, unbefugte Datennutzung oder unbefugte Datenverarbeitung durch Dritte zu erkennen und abzuwehren. 2Das umfasst insbesondere auch die dazu nötige Datennutzung und -verarbeitung. 3Die Sätze 1 und 2 gelten nicht für die vom Behördennetz getrennte Informationstechnik des Landesamts für Verfassungsschutz.

(2) Das Landesamt kann hierzu, soweit dies erforderlich ist,

1. Protokolldaten, die beim Betrieb von Informationstechnik des Landes oder der an das Behördennetz angeschlossene Stellen anfallen, erheben und automatisiert auswerten,
2. die an den Schnittstellen zwischen dem Behördennetz und anderen Netzen anfallenden Daten erheben und automatisiert auswerten.

Art. 16 Datenspeicherung und -auswertung

(1) 1Sofern nicht die nachfolgenden Absätze eine weitere Verwendung gestatten, muss eine automatisierte Auswertung der Daten durch das Landesamt unverzüglich erfolgen und müssen die Daten nach erfolgtem Abgleich sofort und spurlos gelöscht werden. 2Daten, die weder dem Fernmeldegeheimnis unterliegen noch Personenbezug aufweisen, sind von den Verwendungsbeschränkungen dieser Vorschrift ausgenommen.

(2) 1Protokolldaten nach Art. 12 Abs. 2 dürfen über den für die automatisierte Auswertung erforderlichen Zeitraum hinaus, längstens jedoch für drei Monate, gespeichert werden, soweit tatsächliche Anhaltspunkte bestehen, dass die Daten erforderlich sein können

1. für den Fall der Bestätigung eines Verdachts nach Abs. 4 Satz 1 Nr. 2 zur Abwehr von Gefahren für die Informationstechnik oder
2. zur Verhütung, Unterbindung oder Verfolgung damit zusammenhängender Straftaten.

2Die Daten sind im Gebiet der Europäischen Union zu speichern. 3Durch organisatorische und technische Maßnahmen nach dem Stand der Technik ist sicherzustellen, dass eine Auswertung der nach diesem Absatz gespeicherten Daten nur automatisiert erfolgt. 4Die Daten sind zu pseudonymisieren, soweit dies automatisiert möglich ist. 5Soweit hierzu die Wiederherstellung des Personenbezugs pseudonymisierter Daten erforderlich ist, muss diese durch die Behördenleitung angeordnet werden. 6Die Entscheidung ist zu dokumentieren. 7Eine nicht automatisierte Auswertung oder eine personenbezogene Verwendung ist nur nach Maßgabe der nachfolgenden Absätze zulässig.

(3) 1Für die Datenverarbeitung von Inhaltsdaten gilt Abs. 2 mit der Maßgabe, dass eine Speicherung für höchstens zwei Monate zulässig ist, die Speicherung und Auswertung von der Behördenleitung und einem weiteren Bediensteten des Landesamts mit der Befähigung zum Richteramt angeordnet sind und dies zum Schutz der technischen Systeme unerlässlich ist. 2Die Anordnung gilt längstens für zwei Monate; sie kann verlängert werden.

(4) 1Eine über die Abs. 2 und 3 hinausgehende Verarbeitung und Nutzung der Protokoll- und Inhaltsdaten ist nur zulässig,

1. wenn bestimmte Tatsachen den Verdacht begründen, dass die Daten Gefahren für die Informationstechnik, etwa durch Schadprogramme oder programmtechnische Sicherheitslücken, unbefugte Datennutzung oder unbefugte Datenverarbeitung, enthalten oder Hinweise auf solche Gefahren geben können und soweit die Datenverarbeitung erforderlich ist, um den Verdacht zu bestätigen oder zu widerlegen,
2. wenn sich der Verdacht nach Nr. 1 bestätigt und soweit dies zur Abwehr von Gefahren für die Informationstechnik erforderlich ist oder
3. wenn bei einer Verarbeitung oder Nutzung der Daten ein nach Art. 17 Abs. 2 zu übermittelndes Datum festgestellt wird.

2Werden Daten, welche die richterliche Unabhängigkeit berühren, nach diesem Absatz verarbeitet, ist der jeweils zuständigen obersten Dienstbehörde unverzüglich zu berichten. 3Berührt die Datenverarbeitung die Aufgabenwahrnehmung anderer unabhängiger Stellen oder ein Berufs- oder besonderes Amtsgeheimnis, ist die betroffene Stelle unverzüglich zu unterrichten. 4Die jeweiligen Stellen nach den Sätzen 2 und 3 können vom Landesamt Auskunft über die Verarbeitung von Daten nach diesem Absatz verlangen.

(5) 1Soweit möglich, ist bei der Datenverarbeitung technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden. 2Werden Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt, dürfen diese nicht verwendet werden und sind unverzüglich zu löschen; die Tatsache ihrer Erlangung und Löschung ist zu dokumentieren. 3Dies gilt auch in Zweifelsfällen.

Art. 17 Datenübermittlung

(1) Das Landesamt übermittelt Daten nach Art. 16 Abs. 2 bis 4 an die für den Betrieb der Informations- und Kommunikationstechnik verantwortlichen Stellen, wenn und soweit dies zur Abwehr oder Beseitigung von Gefahren für die Vertraulichkeit, Verfügbarkeit und Integrität der Daten in der Informations- und Kommunikationsinfrastruktur des Landes erforderlich ist.

(2) 1Das Landesamt soll Daten nach Art. 16 Abs. 2 bis 4 unverzüglich übermitteln

1. an die Sicherheitsbehörden und Polizei zur Abwehr von Gefahren für Leib, Leben oder Freiheit einer Person sowie zur Verhütung und Unterbindung von in Nr. 2 genannten Straftaten und
2. an die Strafverfolgungsbehörden zur Verfolgung einer Straftat,
a) soweit die Tatsachen, aus denen sich eine Gefahr für die Informationstechnik oder der diesbezügliche Verdacht ergibt, den Verdacht einer Straftat begründen oder
b) soweit bestimmte Tatsachen den Verdacht begründen, dass jemand als Täter oder Teilnehmer eine Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere eine in § 100a Abs. 2 der Strafprozessordnung bezeichnete Straftat begangen hat, in Fällen, in denen der Versuch strafbar ist, zu begehen versucht oder durch eine Straftat vorbereitet hat.

2Näheres regeln Verwaltungsvorschriften, die das Staatsministerium der Finanzen, für Landesentwicklung und Heimat im Einvernehmen mit dem Staatsministerium des Innern, für Bau und Verkehr und dem Staatsministerium der Justiz festlegt.

Weitere Informationen

  • Verfahrensverlauf, ggfls. Beiträge und amtliche bzw. kommunale Stellungnahmen auf einen Blick: hier.
  • Zum Gesetzentwurf (Vorgangsmappe des Landtags): hier.
  • Gesetzgebungsüberblick für den Freistaat Bayern: hier.

Ass. iur. Klaus Kohnen; Titelfoto/-abbildung: (c) K.C. – Fotolia.com

Das könnte Sie auch interessieren