Informations- und Cybersicherheit in
Sachsen
2 | 6. November 2018 | Bastian Fermer
Informationssicherheit in der Landesverwaltung
▐ Daten- und Sprachnetz „SVN“ für alle
800 Landesbehörden (2.500 Standorte,
40.000 Nutzer) und 450 Kommunen +
1.300 Schulen
▐ Zentraler Internetübergang mit Firewalls,
Antivirus, Antispam,
Angrifferkennungssystem,…
▐ Verbindlicher Meldeprozess
ist eingeführt
Ausgangslage Sachsen
Die Organisation der Informationssicherheit
3 | 6. November 2018 | Bastian Fermer
▐ Grundlage: VwV IS aus
dem Jahr 2011
▐ BfIS Land: zentrale
strategische Ebene, Referat
44 SK
▐ SAX.CERT: zentrale
operative Ebene, Warn-
und Info-Services für
Ressorts
4 | 6. November 2018 | Bastian Fermer
Informationssicherheit in der Landesverwaltung
▐ Die Anzahl der Gefährdungen nimmt
stark zu:
▐ 2017 über 1.800 Angriffe auf
SVN vom IDS gemeldet (+28%),
▐ knapp 25.000 Schadprogramme
aus unverschlüsseltem
Internetverkehr entfernt,
▐ 79 Mio. Spam-E-Mails
abgewiesen, 31 Mio. E-Mails
zugestellt,
▐ 36.000 Schadprogramme in E-
Mails gefunden.
Aktuelle Gefährdungen
Informationssicherheit: Angebote für den
kommunalen Bereich
Sensibilisierung für Mitarbeiter
Technische Projekte: Demnächst Start
einer Testphase „HoneySens“
5 | 6. November 2018 | Bastian Fermer
6 | 6. November 2018 | Bastian Fermer
Koordinierung der Informations- und
Cybersicherheit zwischen Bund und Ländern
Das IT-SiG des Bundes: Kritische
Infrastrukturen im Fokus
7 | 6. November 2018 | Bastian Fermer
Das IT-SiG des Bundes: Kritische
Infrastrukturen im Fokus
8 | 6. November 2018 | Bastian Fermer
Staus Quo im Bereich Wasser/Abwasser
Bis dato 5 Unternehmen aus Sachsen als KRITIS-Unternehmen gemeldet, davon 2 im
Bereich Abwasserbeseitigung mit 6 Anlagenkategorien (z.B. Kläranlage, Kanalisation,
Leitzentrale)
Schwellenwert 500.000 soll auf Betreiben der Länder bei nächster Überarbeitung des
Gesetzes abgesenkt werden
Aus Sicht BfIS-Land sind alle Unternehmen bzw. Zweckverbände, die im Bereich der
Daseinsvorsorge bzw. für die Grundversorgung zuständig sind, kritische Infrastrukturen,
unabhängig vom Versorgungsgrad
Steuerungselemente oder Anlagen sind zu großen Teilen gleich bzw. ähnlich, egal ob
große oder kleine kritische Infrastruktur, daher bestehen hier die gleichen
Angriffsgefährdungen
Gefährdungspotenzial auch gegeben, wenn „nur“ 10.000 Einwohner betroffen sind
9 | 6. November 2018 | Bastian Fermer
Sächsisches Informationssicherheitsgesetz
Abwasserzweckverbände fallen in den Anwendungsbereich
Aber: Bereits das seit 2014 bestehende SächsEGovG fordert das Erreichen eines
angemessenen Niveaus der Informationssicherheit durch organisatorische und
technische Maßnahmen
Das Sächsische Informationssicherheitsgesetz schafft wenige neue Pflichten, dafür
mehr Rechte und Services:
Schaffung einer Rechtsgrundlage zur Auswertung/Analyse des Datenverkehrs
Meldepflichten an das SAX.CERT, sofern Einrichtung mit SVN oder KDN
verbunden
SAX.CERT als Dienstleister für Zweckverbände
10 | 6. November 2018 | Bastian Fermer
Informationssicherheit durch Kooperation
11 | 6. November 2018 | Bastian Fermer
▐ Jährliche Sensibilisierungsveranstaltungen „INFOSIC - Die Hacker kommen“.
www.lsnq.de/infosic2018
▐ E-Learning-Portal Informationssicherheit als Fortführung der INFOSIC-
Veranstaltungsreihe inkl. Informationssicherheitszertifikat www.lsnq.de/InfosicAmAP
▐ Projekt „HoneySens“
▐ Jahresbericht „Informations- und Cybersicherheit in Sachsen“
Vielen Dank für Ihr Interesse.
Weiteres gern unter [email protected] !