Die Hessische Landesregierung hat ein eigenes IT-Sicherheitsgesetz vorgelegt. Der Landtag hat das Hessische IT-Sicherheitsgesetz (HITSiG) nach der Ersten Lesung an den Innenausschuss zurücküberwiesen. Aus der Opposition kam die Frage auf, ob ein Landesgesetz für Cyber-Sicherheit zielführend sei.
„Der vorliegende Gesetzentwurf macht uns handlungsfähiger gegen Bedrohungen unserer IT-Sicherheit und schafft Grundlagen für eine zeitgemäße Cybersicherheit“, erklärt Hessens Innenminister Peter Beuth (CDU) bei der Vorstellung. Es gehe um rechtliche Grundlagen und den Ausbau von Hessens Cyber-Sicherheitsarchitektur.
Eine Maßnahme: Der Posten des Zentralen Informationssicherheitsbeauftragten (CISO) des Landes soll gesetzlich verankert werden. Bisher basiert die Position auf der Informationssicherheitsleitlinie der Landesverwaltung. Jetzt bekommt der CISO einen gesetzlichen Auftrag. Er soll wie bisher beim hessischen Innenministerium (HMdIS) angesiedelt sein und ressortübergreifend arbeiten. Aktuell ist der Leiter der Abt. VII „Cyber- und IT-Sicherheit, Verwaltungsdigitalisierung“ im HMdIS zugleich der Informationssicherheitsbeauftragte der Landesverwaltung.. Vor allem aber will die Landesregierung ein Zentrum für Informationssicherheit schaffen. Dieses wird auch ein Computer Emergency Response Team (CERT) beinhalten. Der zentrale IT-Dienstleister des Landes Hessen soll dem Zentrum für Informationssicherheit zuarbeiten.
Der Aufgabenkatalog des neuen Zentrums ist lang. Zuerst steht da die Kooperation mit Bundes-, Landes- und Kommunalbehörden. Hinzu kommt das Erkennen, Untersuchen und Abwehren von Gefahren aus dem Cyber Space. Hierzu soll das Zentrum jeden Werktag ein Lagebild erstellen. Darüber hinaus wird das Zentrum auch der Polizei, dem Landesverfassungsschutz und dem Landesdatenschutzbeauftragten technische Hilfe leisten. Für den Aufbau des Zentrums rechnet die Landesregierung mit einmaligen Kosten von etwa 3,3 Millionen Euro. Hinzu kommen laut dem Gesetzesentwurf etwa eine Million Euro an Personalkosten pro Jahr.
Doppelstrukturen und unsichere Gemeinden
Die Opposition kritisiert Doppelstrukturen und einen fehlenden Mehrwert für die kommunale IT-Sicherheit. „Wenn man unbedingt ein hessisches Zentrum für IT-Sicherheit gründen möchte, dann sollte das keine Aufgaben übernehmen, die besser beim BSI zentralisiert werden können“, sagte der digitalpolitische Sprecher der SPD-Landtagsfraktion, Bijan Kaffenberger. Er wies auf die Pläne seiner Parteigenossin Nancy Faeser hin. Die Bundesinnenministerin plant Cyber-Sicherheitsaufgaben beim Bundesamt für Sicherheit in der Informationstechnik zu zentralisieren.
„Der schwarz-grüne Gesetzentwurf enthält aber keine Regelungen, die über die bereits bestehenden Verpflichtungen zur kommunalen IT-Sicherheit hinausgehen“, bemängelte Kaffenberger bei der Debatte im Landtag. Dies sei aber dringend nötig. “ Bisher liegen die hessischen Mittel- und Großstädte auf einer Sicherheitsskala von 0 bis 10 im Schnitt lediglich bei 3, Kleinstädte und Gemeinden sogar nur bei 2,5.“
Ergänzen nicht ersetzen
„Der Gesetzentwurf sieht keine Doppelstrukturen vor“, widerspricht Alexander Bauer (CDU) seinem Kollegen. Der stellvertretende Fraktionsvorsitzende und Innenpolitische Sprecher der CDU im Hessischen Landtag betont: Jede öffentliche Stelle sei für ihre IT-Sicherheit selbst verantwortlich. „Mit dem HITSiG-Entwurf wird schwerpunktmäßig einer zentralen Stelle in Hessen die Befugnis für die Landesverwaltung eingeräumt, den Datenverkehr im Datennetz der Landesverwaltung auf Gefährdungen für die Informationssicherheit zu untersuchen. Das BSI ist hierzu weder rechtlich noch technisch in der Lage.“ Außerdem habe das Land Hessen eine Kooperationsvereinbarung mit dem BSI geschlossen. Es gehe darum, die Arbeit des Bundesamts zu ergänzen, nicht sie zu ersetzen. Aufgaben, die auf Bundes- oder europäischer Ebene gelöst werden müssten, spare das HITSiG bewusst aus. „Insofern geht die Kritik von Abgeordneten Kaffenberger inhaltlich fehl“, erklärt Bauer.
Für die Kommunen werde sich auf rechtlicher Ebene viel verbessern. Das HITSiG schaffe den Rechtsrahmen dafür, dass die Gemeinden professionelle Angriffserkennungssysteme betreiben dürften. Außerdem dürfte das Land die Kommunalverwaltungen bald bei IT-Sicherheitsvorfällen unterstützen. „Daten, die notwendigerweise häufig einen Personenbezug enthalten, dürfen von kommunalen Stellen nicht an das Land zur Analyse gesendet werden“, erläutert Bauer das Problem. Das HITSiG werde das Datenteilen mit dem Land erleichtern. Zudem ermögliche dies den Einsatz von Mobile Incident Response Teams (MIRT) in den Gemeinden. Nicht zuletzt werde dadurch die Arbeit des Hessen3C auf ein rechtssicheres Fundament gestellt.
Ein eigenes Hessisches IT-Sicherheitsgesetz versprach die schwarz-grüne Landesregierung schon in ihrem Koalitionsvertrag im Jahr 2018. Es wird sich zeigen, ob die schwarz-grüne Regierung das Gesetz noch vor der Landtagswahl im Oktober beschließen kann.
