Mit dem Gesetz soll das 2019 gegründete Hessen CyberCompetenceCenter (Hessen3C) im Hessischen Innenministerium zu einer Zentralstelle für Informationssicherheit in Hessen weiterentwickelt und gestärkt werden.
„Cybersicherheit ist Grundvoraussetzung einer erfolgreichen Digitalisierung und elementarer Bestandteil Innerer Sicherheit. Der vorliegende Gesetzentwurf ist ein weiterer und ein wichtiger Baustein unserer Cybersicherheitsarchitektur. Die Hessische Landesregierung hat als eines der ersten Länder früh auf die neuen Bedrohungen aus dem Cyberraum reagiert und bereits 2019 das Hessen CyberCompetenceCenter geschaffen. Mit dem nun erarbeiteten Gesetzesentwurf ist beabsichtigt, das Hessen3C zu einem starken Zentrum für Informationssicherheit weiterzuentwickeln, um Cyberangriffe gegen die Verwaltung des Landes besser erkennen, abwehren und entsprechende Wiederherstellungsmaßnahmen ergreifen zu können. Der Entwurf definiert grundsätzliche Anforderungen an die IT-Sicherheit öffentlicher Stellen in Hessen und schafft auch für die Kommunen die erforderlichen Rechtsgrundlagen, um IT-Sicherheit ihrerseits durch gezielte Maßnahmen erhöhen zu können. Außerdem wird das umfangreiche Beratungs- und Unterstützungsangebot des Hessen3C, das Kommunen schon gegenwärtig kostenfrei zur Erhöhung der Informationssicherheit zur Verfügung steht, gesetzlich normiert. So können wir Kommunen vor Ort ganz konkret unterstützen. Der vorliegende Gesetzentwurf macht uns handlungsfähiger gegen Bedrohungen unserer IT-Sicherheit und schafft Grundlagen für eine zeitgemäße Cybersicherheit“, so Innenminister Peter Beuth.
Ganzheitliche Cybersicherheit: Prävention, Information, Abwehr
Der Gesetzentwurf sieht vor, für Hessen3C Rechtsgrundlagen zu schaffen, die zum effektiven Schutz der Informationstechnik in der Verwaltung vor Angriffen aus dem Cyberraum erforderlich sind. Der Aufgabenbereich des künftigen Zentrums für Informationssicherheit reicht von der Prävention über die Information bis hin zur Abwehr von konkreten Cyberbedrohungen. Durch Lagebeobachtung und Beratung, Sammlung und Auswertung von Informationen zu Sicherheitsrisiken, sollen Schwachstellen und Schadprogrammen präventiv begegnet werden können. Ebenso sieht der Gesetzentwurf die konkrete Warnung und Empfehlung an Behörden und auch die Öffentlichkeit vor. Schließlich soll auch die Abwehr von konkreten Gefahren gesetzlich normiert werden wie die Beendigung eines Angriffs bzw. einer Bedrohung durch Netztrennung oder auch Entfernung einer Schadsoftware. Unter Gefahrenabwehr im IT-Bereich fällt auch bereits die Blockierung potentiell schädlichen Datenverkehrs durch entsprechende Einstellungen an eigenen Sicherungssystemen wie Firewall oder zentralem Virenschutz.
Neues Zentrum für Informationssicherheit
Eingebunden in das im Gesetzentwurf vorgesehene Zentrum für Informationssicherheit ist das bestehende Computer-Notfallteam (CERT - Computer Emergency Response Team) des Landes mit seiner mobilen Notfalleinheit (MIRT - Mobile Incident Response Team). Es unterstützt alle öffentlichen Stellen der Landesverwaltung bei der Wiederherstellung ihrer IT-Systeme. Der Gesetzentwurf sieht ebenfalls die Stärkung der Kompetenzen des zentralen Informationssicherheitsbeauftragten der Landesverwaltung und die Schaffung von Rechtsgrundlagen für eine Erhöhung der Informationssicherheit im kommunalen Bereich vor. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit war in die Erarbeitung des Gesetzentwurfes eng eingebunden.
Hessen: Gut aufgestellt im Bereich Cybersicherheit
Hessen3C bündelt relevante Informationen hessischer Polizeibehörden, des Landesamtes für Verfassungsschutz Hessen, des bundesweiten Verwaltungs-CERT Verbundes und des Nationalen Cyber-Abwehrzentrums, um die Verwaltung von Land und Kommunen, aber auch kleine und mittlere Unternehmen sowie ansässige Kritische Infrastrukturen (KRITIS) bei der Stärkung ihrer Cybersicherheit zu unterstützen. Das Angebot des Hessen3C umfasst eine rund um die Uhr erreichbare Notfallhotline, einen Warn- und Informationsdienst sowie den sogenannten Hessen Leak-Checker, der bei der Prüfung dienstlicher E-Mail-Adressen auf Sicherheitslücken behilflich ist.
Kommunen steht zudem zur unmittelbaren Erhöhung der IT- und Informationssicherheit ein breites Unterstützungsangebot des vom Hessischen Innenministerium finanzierten Kommunalen Dienstleistungszentrums Cybersicherheit (KDLZ-CS) bei der ekom21 zur Verfügung. Mit dem ebenfalls in Kooperation mit der ekom21 realisierten Ausbildungsangebot des Hessischen Cyberabwehrausbildungszentrum Land/Kommunen (HECAAZ L/K) im Bereich betriebliches Kontinuitätsmanagement (BCM) erweiterte das Hessische Innenministerium zuletzt seine Unterstützung für Kommunen.