Neue Informationssicherheitsleitlinie für die Hessische Landesverwaltung

Am 1. August wurde im Staatsanzeiger Hessen die neue Informationssicherheitsleitlinie für die Hessische Landesverwaltung (2016) veröffentlicht. Im Jahr 2005 hat die Hessische Landesregierung erstmals eine verbindliche „IT-Sicherheitsleitlinie“ in Kraft gesetzt, die sich am IT-Grundschutz des BSI orientiert hat. Diese galt in Fachkreisen schon damals als mustergültig. Die turnusmäßige Überarbeitung der bisher geltenden Regelungen aus 2010 stellt eine Neufassung dar, in der insbesondere die Anforderungen der „Leitlinie Informations­sicherheit des Bundes und der Länder“ vom IT-Planungsrat berücksichtigt wurden. Neu aufgenommen wurde z. B., dass es regelmäßige Angebote für Informationen, Weiterbildung und Sensibilisierungsmaßnahmen geben wird. Auch sind zukünftig Sicherheitsvorfälle zu erfassen und an das neu geschaffene CERT-Hessen zu melden. Einen relativ breiten Raum nimmt die Beschreibung der neu geschaffenen Funktion eines zentralen Informationssicherheitsbeauftragten für die Landesverwaltung (CISO) ein. Dagegen ist die Anforderung entfallen, in jeder Dienststelle ein „IT-Sicherheitsmanagementteam“ einzurichten.Etwas überraschend auch der Wegfall des Abschnitts „Verstöße und Folgen“, in dem mögliche Konsequenzen bei einer Missachtung aufgezeigt wurden.

Die „Informationssicherheitsleitlinie“ ist mit diesem Suchbegriff über das Portal Hessenrecht des Landes Hessen auffindbar, eine direkte Verlinkung ist leider scheinbar nicht möglich.

Ransomware identifizieren

Die Webseite ID Ransomware bietet einen kostenlosen Dienst zum Identifizieren der Ransomware, die Daten verschlüsselt haben könnte. Hierzu lädt man eine Datei, welche die Lösegeld- und Zahlungsinformationen anzeigt (meistens eine HTML- oder TXT-Datei) und/oder eine verschlüsselte Datei hoch. Die hochgeladenen Dateien werden mit einer Signatur-Datenbank verglichen, in der zuzeit über 270 verschiedene Ransomware-Varianten enthalten sind. Wurde eine Ransomware erkannt, erhält man einen Link zu weiteren Hinweisen und, falls vorhanden, wie man die Dateien wieder entschlüsseln kann. Die Webseite ID Ransomware bietet selbst keine Werkzeuge zum Entschlüsseln an.

BSI IT-Grundschutz-Kataloge: 15. Ergänzungslieferung veröffentlicht

Die 15. Ergänzungslieferung der IT-Grundschutz-Kataloge ist veröffentlicht. Eine Pressemitteilung habe ich noch nicht wahrgenommen, aber die PDF (19 MB) befindet sich bereits in den IT-Grundschutz-Downloads. Die HTML-Aktualisierung, die Formblätter und die Kreuzreferenztabellen stehen ebenfalls zur Verfügung. Was allerdings noch fehlt, ist die Metadaten-Aktualisierung für das GSTOOL.

Auf der Suche … beim Hessischen Datenschutzbeauftragten

Im November 2014 stellte ich etwas lakonisch fest, dass Passwörter im Datenschutz überbewertet werden, zumindest auf der Webseite des Hessischen Datenschutzbeauftragten (HDSB), wo eine Suche nach „Passwort“ keinen Treffer ergab. Es war keine themenspezifischen Problem, denn andere Suchen brachten ebenso keine Treffer.

Im August 2015 stolperte ich erneut über die unzulängliche Suchfunktion beim HDSB und auf Anfrage teilte man mir mit:

Unser Internetdienstleister, die Hessische Zentrale für Datenverarbeitung hat […] mitgeteilt, dass es sich um ein temporäres Problem im Rahmen der Umstellung unseres Internetangebots auf eine neue Plattform handelte.

Die Suchfunktion ist mittlerweile wieder nutzbar.

Nun, die gesuchten Informationen hatte ich zwischenzeitlich anderweitig ermittelt. Als IT-SiBe fühle ich mich auch dem Datenschutz verpflichtet, denn für mich ist dies ein Grundwert der Informationssicherheit. Folgerichtig dauerte es nicht lange, bis ich erneut etwas bei „meinem“ Landesdatenschutzbeauftragten in Erfahrung bringen wollte. Verblüfft fand ich dann aber überhaupt keine Suchfunktion mehr auf der Webseite des HDSB. Das war im November 2015 und ich sah mich veranlasst, erneut nachzufragen und erhielt folgende Antwort:

… bedauerlicherweise steht die Suchfunktion bis auf Weiteres nicht zur Verfügung, da die Hessische Zentrale für Datenverarbeitung im Rahmen der Umstellung des Servers auf eine neue Hard- und Softwareplattform die aufgetretenen Probleme nicht in den Griff bekommt (die Trefferliste wird, wir im Rahmen der Tests z.B. festgestellt hatten, nur unvollständig ausgegeben)

Daher hatten wir uns entschieden, die Suchfunktion vollständig aus dem Angebot zu entfernen („keine Suche“ ist im Verhältnis zu „unvollständige Suche“ aus unserer Sicht die bessere Alternative)

Das Problem soll im Rahmen einer weiteren Umstellung des Angebots auf ein neues CMS im Laufe des Jahres 2016 behoben werden.

Dass es bei Plattformumstellungen Probleme geben kann, ist nachvollziehbar. Dass es aber mindestens seit November 2014 keine funktionierende Suche mehr auf der Webseite des HDSB gibt, ist nicht akzeptabel. Wichtige datenschutzrechtliche Informationen für Hessen werden so nicht zugänglich.