Informations- und Cybersicherheit in

Sachsen

2 | 6. November 2018 | Bastian Fermer

Informationssicherheit in der Landesverwaltung

▐ Daten- und Sprachnetz „SVN“ für alle

800 Landesbehörden (2.500 Standorte,

40.000 Nutzer) und 450 Kommunen +

1.300 Schulen

▐ Zentraler Internetübergang mit Firewalls,

Antivirus, Antispam,

Angrifferkennungssystem,…

▐ Verbindlicher Meldeprozess

ist eingeführt

Ausgangslage Sachsen

Die Organisation der Informationssicherheit

3 | 6. November 2018 | Bastian Fermer

▐ Grundlage: VwV IS aus

dem Jahr 2011

▐ BfIS Land: zentrale

strategische Ebene, Referat

44 SK

▐ SAX.CERT: zentrale

operative Ebene, Warn-

und Info-Services für

Ressorts

4 | 6. November 2018 | Bastian Fermer

Informationssicherheit in der Landesverwaltung

▐ Die Anzahl der Gefährdungen nimmt

stark zu:

▐ 2017 über 1.800 Angriffe auf

SVN vom IDS gemeldet (+28%),

▐ knapp 25.000 Schadprogramme

aus unverschlüsseltem

Internetverkehr entfernt,

▐ 79 Mio. Spam-E-Mails

abgewiesen, 31 Mio. E-Mails

zugestellt,

▐ 36.000 Schadprogramme in E-

Mails gefunden.

Aktuelle Gefährdungen

Informationssicherheit: Angebote für den

kommunalen Bereich

Sensibilisierung für Mitarbeiter

Technische Projekte: Demnächst Start

einer Testphase „HoneySens“

5 | 6. November 2018 | Bastian Fermer

6 | 6. November 2018 | Bastian Fermer

Koordinierung der Informations- und

Cybersicherheit zwischen Bund und Ländern

Das IT-SiG des Bundes: Kritische

Infrastrukturen im Fokus

7 | 6. November 2018 | Bastian Fermer

Das IT-SiG des Bundes: Kritische

Infrastrukturen im Fokus

8 | 6. November 2018 | Bastian Fermer

Staus Quo im Bereich Wasser/Abwasser

Bis dato 5 Unternehmen aus Sachsen als KRITIS-Unternehmen gemeldet, davon 2 im

Bereich Abwasserbeseitigung mit 6 Anlagenkategorien (z.B. Kläranlage, Kanalisation,

Leitzentrale)

Schwellenwert 500.000 soll auf Betreiben der Länder bei nächster Überarbeitung des

Gesetzes abgesenkt werden

Aus Sicht BfIS-Land sind alle Unternehmen bzw. Zweckverbände, die im Bereich der

Daseinsvorsorge bzw. für die Grundversorgung zuständig sind, kritische Infrastrukturen,

unabhängig vom Versorgungsgrad

Steuerungselemente oder Anlagen sind zu großen Teilen gleich bzw. ähnlich, egal ob

große oder kleine kritische Infrastruktur, daher bestehen hier die gleichen

Angriffsgefährdungen

Gefährdungspotenzial auch gegeben, wenn „nur“ 10.000 Einwohner betroffen sind

9 | 6. November 2018 | Bastian Fermer

Sächsisches Informationssicherheitsgesetz

Abwasserzweckverbände fallen in den Anwendungsbereich

Aber: Bereits das seit 2014 bestehende SächsEGovG fordert das Erreichen eines

angemessenen Niveaus der Informationssicherheit durch organisatorische und

technische Maßnahmen

Das Sächsische Informationssicherheitsgesetz schafft wenige neue Pflichten, dafür

mehr Rechte und Services:

Schaffung einer Rechtsgrundlage zur Auswertung/Analyse des Datenverkehrs

Meldepflichten an das SAX.CERT, sofern Einrichtung mit SVN oder KDN

verbunden

SAX.CERT als Dienstleister für Zweckverbände

10 | 6. November 2018 | Bastian Fermer

Informationssicherheit durch Kooperation

11 | 6. November 2018 | Bastian Fermer

▐ Jährliche Sensibilisierungsveranstaltungen „INFOSIC - Die Hacker kommen“.

www.lsnq.de/infosic2018

▐ E-Learning-Portal Informationssicherheit als Fortführung der INFOSIC-

Veranstaltungsreihe inkl. Informationssicherheitszertifikat www.lsnq.de/InfosicAmAP

▐ Projekt „HoneySens“

▐ Jahresbericht „Informations- und Cybersicherheit in Sachsen“

Vielen Dank für Ihr Interesse.

Weiteres gern unter bfis-land@sk.sachsen.de !