Thema des Heftes - ssg-sachsen.dessg-sachsen.de/uploads/tx_rcsachsenlandkurier/2012/... · Art Resignation heraus, ist jedoch das falsche Signal. Wie bereits ausgeführt, ist es wichtig,

Organ des Sächsischen Städte- und Gemeindetages e. V., 23. Jahrgang, SLK 5 ’12 Ausgabe September/Oktober 2012

5 ’12

Thema des Heftes:

Informationssicherheit

www.pwc.de/wibera

Kommunale Haushalts -konsolidierung

Stadtwerke-kooperationen

© 2012 WIBERA Wirtschaftsberatung Aktiengesellschaft Wirtschaftsprüfungsgesellschaft. Alle Rechte vorbehalten. „WIBERA“ bezeichnet in diesem Dokument die WIBERA Wirtschaftsberatung Aktiengesellschaft Wirtschaftsprüfungsgesellschaft, die eine Mitglieds gesellschaft der PricewaterhouseCoopers International Limited (PwCIL) ist. Jede der Mitgliedsgesellschaften der PwCIL ist eine rechtlich selbstständige Gesellschaft.

Nutzt Ihre Kommune die Vorteile des steuerlichen Quer verbunds? Wir beraten in allen Bereichen der kommu nalen Haushalts kon soli dierung. WIBERA organisiert die Gründung und Kooperationen von Stadt werken. Seit über 80 Jahren sind wir Partner der Öff ent lichen Hand. Sie fi nden unsere Experten teams dort, wo Sie sie brauchen: an bundesweit 28 Stand orten.

Was können wir für Sie tun? Steff en Döring Rainer SchindlerTel.: +49 341 9856-292 Tel.: +49 351 4402-848steff [email protected] [email protected]

PwC_Anz_Wibera_SachsenlandKurier_2012_175x253_RZ.indd 1 30.05.12 10:46

211

Organ des Sächsischen Städte- und GemeindetagesKommunalzeitschrift für die Städte und Gemeinden

Sachsenlandkurier 5/12 Zeitschrift des Sächsischen Städte- und Gemeindetages

Inhaltsverzeichnis

23. Jahrgang · SLK 5/2012Ausgabe September/Oktober

Spruch des Monats„Nur was für die Gegenwart

zu gut ist, ist gut genug für die Zukunft.“

Marie von Ebner-Eschenbach (österreichische Schriftstellerin, 1830 – 1916)

Titelfoto: ITM Gesellschaft für IT-Management mbH

Der „Sachsenlandkurier“ (SLK) Kommunalzeitschrift für die Städte und Gemeinden, Organ des Sächsischen Städte- und Gemeindetages (SSG)

Verantwortlich für den Herausgeber Geschäftsführer Mischa WoitscheckNamentlich gekennzeichnete Artikel geben nicht in jedem Fall die Meinung des Herausgebers wieder. Für die inhaltliche Richtigkeit von Fremdbeiträgen ist der jeweilige Verfasser verantwortlich.

Anschrift Sächsischer Städte- und Gemeindetag e. V. Glacisstraße 3, 01099 Dresden Telefon: (03 51) 81 92 – 0, Telefax: (03 51) 8 19 22 22 E-Mail: [email protected] Internet: http://www.ssg-sachsen.de

Gesamtherstellung SV SAXONIA VERLAG für Recht, Wirtschaft und Kultur GmbH Lingnerallee 3, 01069 Dresden Telefon: (03 51) 48 52 60, Fax: (03 51) 4 85 26 61

Der SACHSENLANDKURIER erscheint 6 mal jährlich.

Abonnenten erhalten den SLK als PDF-Datei auf Anfrage unter: [email protected] kostenlos zugesandt.

Bezugspreise– für Mitgliedsstädte und -gemeinden: ein Jahresabonnement: gebührenfrei je weiteres Abonnement: 26,00 € je Einzelheft: 4,50 €– für Nichtmitglieder: je Jahresabonnement: 30,00 € je Einzelheft: 5,00 €– für Studenten, Referendare und in Ausbildung Stehende sowie gewählte Stadt-, Gemeinde- und Ortschaftsräte und Fraktionen der Gemeinderäte: je Jahresabonnement: 26,00 € je Einzelheft: 4,50 €

Alle Abonnementspreise einschließlich Versand- und Zu-stellgebühren. Bei Einzelheftbezug zuzüglich Versand- und Zustellgebühren. In den jeweiligen Bezugsgebühren ist die gesetzliche Mehrwertsteuer enthalten.

BestellungenSchriftlich an die Geschäftsstelle des SSG, Abbestel-lungen werden nur zum 30. Juni und zum 31. Dezem-ber wirksam.

Nachdrucke und KopienAußer für Mitglieder nur mit ausdrücklicher Genehmi-gung des SSG; Quellenangabe erforderlich.

Anzeigenverwaltungkommunikation königsberg, Dr. U. UngerNeue Hauptstr. 102c, 01824 GohrischTelefon: (03 50 21) 99 36 97E-Mail: [email protected]

Werbeservice FranzRadeburger Straße 45, 01468 VolkersdorfTelefon: (03 52 07) 8 13 15

Informationssicherheit212 Lars Konzelmann, Dr. Tino Naumann

Datenschutz und Informationssicherheit214 Karl-Otto Feger, Christoph Damm

Die Lage der Informationssicherheit in der Sächsischen Landesverwaltung

218 Uwe Nikol

Musterleitlinie zur Herstellung und Gewährleistung der Informationssicherheit in sächsischen Kommunalverwaltungen

224 Andreas Linzner

Informationssicherheit kommt langsam in immer mehr Kommunen an – Und wir unterstützen Sie dabei –

226 Werner Schulze

Der IT-Sicherheitsbeauftragte228 Olaf Bretschneider, Kay Hirschfeld

Umgang mit Sicherheitslücken232 Heiko Dittrich

Sicherer Umgang mit Informationen – Erfahrungen der Stadtverwaltung Pirna im Umgang mit IT-Sicherheit

235 Dr. Ralf Cordes

Informationssicherheit in sächsischen Kommunen – Status quo und Perspektiven

Allgemeine Beiträge238 Falk Gruber

Bericht über die Sitzung des Landesvorstandes des Sächsischen Städte- und Gemeindetages am 08.06.2012

239 Dr. Jochen Weck, Ina Meuschke

Positive Tendenzen in der Swap-Rechtsprechung243 Karsten Becker

SEPA: Der Countdown hat begonnen Vorbereitungstipps für eine erfolgreiche Migration

247 Aus der Presse249 Aus der Rechtsprechung249 Aus Büchern und Zeitschriften

TERMInVoRMERKUnG

Mitgliederversammlung des Sächsischen Städte- und Gemeindetages am Donnerstag, dem 11. Oktober 2012 in der Stadthalle „Thomas-Müntzer-Haus“, Altmarkt 17 in 04758 Oschatz

212

Informationssicherheit Sachsenlandkurier 5/12

Datenschutz und InformationssicherheitLars Konzelmann, Dr. Tino Naumann

Geschäftsstelle beim Sächsischen Datenschutzbeauftragen

Dass die fortschreitende Digitalisierung und die damit einherge-hende Technikgebundenheit und -abhängigkeit auch vor der Ver-waltung nicht aufhört, dürfte eine klassische Binsenweisheit sein. Der Prozess, der vor vielen Jahren begonnen hat und bereits 1983 zu dem „Volkszählungsurteil“ des Bundesverfassungsgerichts, einem Meilenstein für den Datenschutz in Deutschland und Europa, führte, bestimmt längst den Alltag kommunaler Selbstverwaltungseinhei-ten. Große Kommunen nutzen heute Rechenzentren, die vergleich-bar sind mit denen mittelständischer Unternehmen, selbst kleinere Kommunen lassen über (Bundes-)Ländergrenzen hinweg rechnen. Mit zunehmender Digitalisierung einher geht eine Abnahme mensch-licher Interaktion innerhalb der Arbeitsabläufe. Datenflüsse, die im Zeitalter der Papierakte haptisch und optisch nachvollzogen werden konnten, haben sich längst in graue, blinkende und mit Kabeln ver-bundene Apparaturen zurückgezogen. Resignation aufgrund man-gelnder Nachvollziehbarkeit ist jedoch keine Option. Vielmehr gilt es, die Herrschaft über die Daten zu bewahren, also Transparenz und Revisionssicherheit auch in der digitalen Verarbeitungswelt aufrecht zu erhalten. Informationssicherheitsmanagement bildet dabei eine sys-tematische Hilfe, mit deren konsequenter Anwendung einem drohen-den Kontrollverlust entgegengewirkt werden kann. Öffentliche Stellen haben eine Verpflichtung gegenüber dem Bürger, Daten ordnungsge-mäß und rechtmäßig zu verarbeiten. Der vorliegende Artikel soll die Kommunen bestärken, sich dem Thema Informationssicherheit inten-siv zu widmen und die Bemühungen in dieser Hinsicht zu verstärken. Zudem soll der Datenschutz in die Betrachtungen mit einfließen, Schnittmengen verdeutlichen und praktische Ansätze liefern.

Datenschutz und Informationssicherheit – ein Gegensatz?

Es stellt sich vielleicht die Frage, in welchem Spannungsverhältnis Datenschutz und Informationssicherheit stehen; ob sich die beiden „Parteien“ aufgrund ihrer Grundausrichtung nicht sogar „spin-nefeind“ sein müssten. Der Datenschutz stellt die informationelle Selbstbestimmung des Individuums als Abwehrrecht gegen einen starken Staat oder einen übermächtigen Konzern in den Mittelpunkt der Dogmatik. Die Informationssicherheit betrachtet ganzheitlich die Regeln und Maßnahmen innerhalb eines Informationsverbun-des, also einer Organisation, und versucht Gefahren und Risiken, die dieser drohen, zu minimieren. Wo man auf Seiten der Informa-tionssicherheit vielleicht ein Übermaß an Überwachung, eher ein Mehr denn ein Weniger vermuten wird, besteht der Datenschutz auf dem Schutz des Einzelnen gegen ein solches Übermaß. So viel zur Oberfläche, bei genauerer Betrachtung finden sich jedoch viele Gemeinsamkeiten in der Systematik. Die grundlegenden Schutzziele der Informationssicherheit: Vertraulichkeit, Integrität und Verfüg-barkeit finden sich auch in den technisch-organisatorischen Maß-nahmen nach § 9 Abs. 2 SächsDSG wieder. Sie werden ergänzt um die datenschutztechnischen Schutzziele der Authentizität, der Revi-sionsfähigkeit und der Transparenz.

Das Recht auf informationelle Selbstbestimmung als Grundrecht auf Datenschutz findet sich ebenfalls in den Betrachtungen zum

Schutzbedarf informationstechnischer Systeme wieder. Gleiches gilt für die Einhaltung gesetzlicher Bestimmungen, neudeutsch: Com-pliance. Unter anderem betrifft dies selbstverständlich auch die datenschutzrechtlichen Bestimmungen. Es steht wohl außer Frage, dass die Erwartungshaltung der Bürger gegenüber öffentlichen Stellen, die Daten meist nicht auf freiwilliger Basis, sondern auf-grund gesetzlicher Bestimmungen erheben und verarbeiten, höchste Ansprüche an die Qualität der Datenverarbeitung stellt. Die Ein-haltung der gesetzlichen Bestimmungen ist daher eine notwendige Selbstverständlichkeit. Informationssicherheit geht jedoch darüber hinaus, indem systematisch ein sicheres Umfeld für Datenverarbei-tung geschaffen wird. Was auf den ersten Blick vielleicht gegensätz-lich wirkt, verfolgt im Kern weitgehend ein Ziel: Eine rechtmäßige und sichere Datenverarbeitung, welche die Werte der Organisation und die Daten der Bürger gleichermaßen im Blick hat und sichert. Datenschutz und Informationssicherheit gehören daher trotz unter-schiedlicher Blickwinkel auf die Datenverarbeitung „unter einen Hut“.

Trotz aller Gemeinsamkeiten gibt es Interessenkonflikte zwischen Datenschutz und Informationssicherheit. Zum einen sind gemäß § 9 Abs. 1 Satz 2 SächsDSG die Grundsätze der Datenvermeidung und Datensparsamkeit zu beachten. Das heißt vor allem, dass perso-nenbezogene Daten nur bei Erforderlichkeit verarbeitet (also erho-ben, genutzt, übermittelt usw.) werden dürfen; im Ergebnis also der Personenbezug soweit wie möglich vermieden werden soll. Dies ist jedoch nur bei einer Anonymisierung, nicht bei einer Pseudo-nymisierung der Fall. So hat der EuGH im „Müller“-Urteil (2008/C-524/06) darauf hingewiesen, dass die Verarbeitung anonymer Daten einer Verarbeitung von personenbeziehbaren Daten – wenn möglich – vorzuziehen ist. Dies lässt sich gut am Beispiel der Ein-führung des neuen Standards für IP (Internetprotokoll)-Adressen IPv6 darstellen. Im bisher genutzten Standard IPv4 bekamen Pri-vatnutzer wegen des eingeschränkten Adressraums bei jeder neuen Internetverbindung eine neue (dynamische) IP-Adresse durch ihren Anbieter zugewiesen. Nur dieser konnte demzufolge einen Personenbezug zu einer bestimmten IP-Adresse herstellen. Wegen des größeren Adressbereichs bei IPv6 wird künftig die Vergabe direkt zugewiesener (statischer) IP-Adressen an Privatnutzer ein-facher möglich. In diesem Fall wäre eine Beobachtung (Tracking) über die gesamte Lebensdauer eines Gerätes möglich, unabhängig davon, ob es sich dabei nun um ein Smartphone, einen Computer oder in der Zukunft um den Kühlschrank im „intelligenten Haus“ handelt. Hiergegen bestehen wegen der nun erheblich erleichterten Nachvollziehbarkeit der Handlungen einer bestimmten Person im Internet erhebliche datenschutzrechtliche Bedenken.

Zum anderen bestehen nach § 5 SächsDSG umfangreiche Rechte von Betroffenen hinsichtlich der zu ihrer Person verarbeiteten Daten. Dies dürfte nur selten mit Anforderungen der Informations-sicherheit zusammenfallen, beispielsweise beim Cloud Computing. Auch wenn sich die Cloud auf EU-Mitgliedsstaaten beschränkt und somit jedenfalls grundsätzlich datenschutzrechtlich zulässig ist, besteht nach § 18 Abs. 1 Nr. 4 SächsDSG ein Auskunftsan-spruch über den jeweiligen Auftragnehmer. Dies kann bei der nicht

213

Sachsenlandkurier 5/12 Informationssicherheit

unüblichen Inanspruchnahme von Unterauftragnehmern prob-lematisch werden. Nach der Rijkeboer-Entscheidung des EuGH (2009/C-553/07) ergibt sich aus diesem Auskunftsanspruch auch eine Pflicht, Datenübermittlungen zu protokollieren. Der EuGH weist dazu ausdrücklich darauf hin, dass eine einjährige Aufbe-wahrung dieser Protokolldaten bei einer deutlich längeren Aufbe-wahrungsfrist der Basisdaten grundsätzlich nicht ausreichend ist.

Hinzuweisen ist in diesem Zusammenhang noch auf ein bisher nicht korrigiertes Versehen des sächsischen Gesetzgebers. Öffentli-che Stellen haben gemäß § 10 Abs. 1 SächsDSG für automatisierte Verfahren ein Verzeichnis zu führen, das unter anderem die Maß-nahmen nach § 9 SächsDSG, also wie oben gezeigt zur Informa-tionssicherheit, umfasst. Diese Verzeichnisse werden, sofern kein eigener Datenschutzbeauftragter bestellt wird, an den Sächsischen Datenschutzbeauftragten übermittelt. Bei diesem kann nun jeder-mann gemäß § 31 SächsDSG ohne bestimmten Anlass Einsicht in diese Verzeichnisse – und damit in die getroffenen Maßnah-men zur Informationssicherheit – nehmen. Dies steht so erst seit 2007 im Gesetz. Zuvor waren diese Maßnahmen von der Einsicht ausdrücklich ausgeschlossen. Nachdem kein anderes Datenschutz-gesetz eine derart weitgehende Einsichtsmöglichkeit vorsieht und auch die Gesetzesbegründung dazu nichts sagt, ist von einem Ver-sehen auszugehen. Diese zumindest nach dem Gesetzeswortlaut bestehende Einsichtsmöglichkeit dürfte der Informationssicherheit konträr entgegenstehen.

Bemühungen auf staatlicher und kommunaler Ebene

Die sächsischen Kommunen hatten in den vergangenen Jahren zahlreiche Anforderungen zu meistern, welche erhebliche Auswir-kungen auf die Datenverarbeitung hatten. Als Beispiele seien die Kommunal- und Gebietsreform, die EU-Dienstleistungsrichtlinie oder die Einführung des neuen Personalausweises genannt. In allen Fällen musste die Datenverarbeitung auf Infrastruktur- und Anwendungsebene erheblich verändert werden. Hinzu kommen aktuell Anforderungen an eine zunehmend papierlose Bürokom-munikation und zahlreiche weitere E-Government-Projekte. Dies alles geschieht vor dem Hintergrund schrumpfender und altern-der Verwaltungen. Ein fehlender Fokus auf die Sicherheit aus einer Art Resignation heraus, ist jedoch das falsche Signal. Wie bereits ausgeführt, ist es wichtig, keine Schere zwischen technischer Ent-wicklung einerseits und notwendiger Absicherung derselben ande-rerseits entstehen zu lassen.

Es ist erfreulich, dass das Thema Informationssicherheit in den ver-gangenen Jahren stärker in das Interesse der Verwaltung gerückt ist. Im September 2011 trat nach zweijähriger Arbeit einer ressort-übergreifenden Arbeitsgruppe, bei der in Form der SAKD auch Vertreter der kommunalen Seite mitwirken, die VwV Informati-onssicherheit in Kraft. Die SAKD hat kürzlich den Entwurf einer Musterleitlinie zur Gewährleistung der Informationssicherheit in sächsischen Kommunalverwaltungen vorgelegt, welche sich eng an der des Landes orientiert. Bedauerlicherweise wurde darauf verzichtet, die auf Landesseite vorgeschriebenen Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) auch für die Kommunen verbindlich festzuschreiben. Es kann jeder ein-zelnen Kommune nur empfohlen werden, sich daran zu orientie-ren, da ein nachvollziehbares Informationssicherheitsmanagement ohne Standards schlicht nicht zu realisieren ist und die BSI-Vor-gaben in ihrem Umfang und ihrer Systematik eine praxisgerechte

Einführung ermöglichen. Insgesamt sind die gemeinsamen Bemü-hungen auf staatlicher und kommunaler Ebene ausdrücklich zu begrüßen. Durch den Ausbau des Sächsischen Verwaltungsnet-zes in ein gemeinsam von staatlichen und kommunalen Behör-den genutztes Netz ist in Fragen der Sicherheit eine gemeinsame Strategie zwingend erforderlich. Es bleibt auch festzuhalten, dass einige Kommunen bereits Vorreiter auf dem Gebiet der Informa-tionssicherheit sind, einige sogar durch unabhängige Auditoren überprüft und zertifiziert wurden. Allerdings stellt der Sächsische Datenschutzbeauftragte bei Kontrollen in den Kommunen häufig auch technisch-organisatorische Mängel fest. Es gibt also Nachhol-bedarf. Dies gilt im Übrigen auch für die staatliche Seite, wo nach dem Bekenntnis zur Informationssicherheit in einigen Behörden nun auch tatsächlich die dafür notwendigen personellen, techni-schen und finanziellen Ressourcen bereitgestellt werden müssen.

Bedrohungslage für sächsische Kommunen

Der Beauftragte für Informationssicherheit des Landes hat kürzlich seinen ersten Jahresbericht zur Lage der Informationssicherheit in der Sächsischen Landesverwaltung vorgelegt. Neben festgestellten Angriffen auf die Infrastruktur durch SPAM-Mails wurden auch technisch anspruchsvollere Hackerangriffe auf Internetseiten detek-tiert. Vor derartigen Bedrohungen und tatsächlichen Angriffen sind auch die sächsischen Kommunen nicht gefeit. Dabei ist zunächst generell fraglich, ob unerlaubte Zugriffe überhaupt in geeigneter Weise erkannt werden können. Im letzten Jahr wurde beispielsweise unerlaubt auf das E-Mail-Postfach eines Bürgermeisters zugegriffen. Der Angriff wurde erst dadurch bemerkt, dass vertrauliche Infor-mationen in die falschen Hände gelangt sind. Im betreffenden Fall wäre dies durch das Ergreifen einfacher Maßnahmen der Informa-tionssicherheit zu verhindern gewesen. Meistens gilt eben, dass nach einem solchen Sicherheitsvorfall der Schaden wesentlich größer ist als der Aufwand, mit dem er hätte im Vorfeld verhindert werden können. Auch müssen sich die Verantwortlichen Fragen gefallen las-sen, warum die nunmehr offensichtlichen Risiken nicht bereits im Vorfeld betrachtet wurden. § 9 Abs. 2 SächsDSG verlangt bei der Verarbeitung personenbezogener Daten, welche naturgemäß einen Großteil des kommunalen Verwaltungshandelns ausmachen, tech-nisch-organisatorische Maßnahmen „nach dem jeweiligen Stand der Technik“. Ein Informationssicherheitsmanagement entspricht ganz grundsätzlich dieser gesetzlichen Forderung. Ein anderer Aspekt ist die Fürsorgepflicht für die eigenen Mitarbeiter. Eine nicht geregelte Informationsverarbeitung kann diese ordnungswidrigkeits- und strafrechtlichen Tatbeständen aussetzen, z. B. die Administratoren bei ungeregelter privater E-Mail- oder Internetnutzung.

Sicherheitsrisiken kommen nicht immer von außen, schwerwiegen-der können organisatorische Mängel in der inneren Organisation wiegen. Das Sicherheitsziel der Verfügbarkeit wird vom Benutzer oftmals nicht infrage gestellt und als gegeben vorausgesetzt. Aber was, wenn vitale Systeme nicht mehr funktionieren und niemand an eine Sicherung der Datenbestände, das Funktionieren einer Wiederherstellung oder die Zeitdauer einer solchen Notoperation gedacht hat? Der Ausfall der Arbeitszeit der Mitarbeiter ist dann mitunter das kleinste Problem. Für viele Kommunen war die Flut 2002 ein deutliches Signal. Neben Schäden an Gebäuden waren teilweise auch wichtige Aktenbestände vernichtet. Schön, wenn es dann eine digitale Sicherung gab, mit der der Wissensstand rekon-struiert werden konnte. Nicht so schön, wenn sich diese im von der Flut betroffenen Gebäude im Keller befand.

214


Die Lage der Informationssicherheit in der Sächsischen Landesverwaltung

Karl-Otto Feger, Christoph DammSächsisches Staatsministerium der Justiz und für Europa

War vor 30 Jahren der Begriff Informationstechnik – kurz IT – noch etwas für Spezialisten, so ist er mittlerweile Bestandteil unseres tägli-chen Lebens geworden. Das spiegelt sich zum einen in den allgegen-wärtigen Smartphones, Laptops und PCs, zum anderen aber auch vielfach unsichtbar in Produkten des normalen Lebens. So bilden heute die IT-Komponenten in einem normalen Fahrzeug der geho-benen Mittelklasse die Komplexität eines kleineren Rechenzentrums der 80er Jahre ab. Hinzu kommt der Siegeszug des Internets, das

all diese Geräte miteinander vernetzt. Informationstechnik ist also heute allgegenwärtig und aus kaum einem Bereich hinwegzudenken.

Parallel zu dieser Entwicklung bildete sich aber auch eine Szene für den Missbrauch der neuen Möglichkeiten der Informationstech-nik heraus. Die Anfänge waren noch von Neugier geprägt. Heute jedoch werden die Systeme und Netze auch aus wirtschaftlichen und politischen Gründen angegriffen.

Ressourcen für Informationssicherheit

In Zeiten leerer Kassen und schrumpfender Personalzahlen ist die Frage des Ressourceneinsatzes generell ein strittiges Thema. Um eine entsprechende Formulierung in der VwV Informationssicher-heit, wonach dem entsprechend Beauftragten „dauerhaft ein ange-messener Anteil seiner Arbeitszeit für die Erledigung seiner Auf-gaben“ zusteht, wurde lange gerungen. Diese Formulierung stellt dabei aber den kleinsten gemeinsamen Nenner dar. Für größere Organisationen ist es Illusion, dass eine solche Arbeit im Neben-amt erbracht werden kann. Nichts erweist der Sache einen größeren Bärendienst, als einem bereits an der Grenze der Arbeitskapazität befindlichen IT-Administrator mit großer Geste den Titel des Informationssicherheitsbeauftragten zu verleihen.

Fest steht, dass eine angemessene Sicherheit nicht zum Null-Tarif zu haben ist. Die Einführung und die Aufrechterhaltung eines Informationssicherheitsmanagements binden dauerhaft personelle und finanzielle Ressourcen. Der Gewinn liegt in einem nach-weisbar dokumentierten Sicherheitsniveau, welches die „gefühlte Sicherheit“ in einen mess- und steuerbaren Zustand überführt. Übereinstimmend berichten Verantwortliche, die diesen Weg bereits gegangen sind, dass dies ohne externe Unterstützung bei den ersten Schritten schwer zu realisieren ist. Diese dringend not-wendige Unterstützung ist in Sachsen aber vorhanden. Es finden sich zahlreiche Angebote der kommunalen IT-Dienstleister. Nicht zuletzt gilt: Informationssicherheit und Datenschutz sind Füh-rungsaufgaben. Die Verantwortung für eine sichere und recht-mäßige Datenverarbeitung ist nicht delegierbar. Das heißt nicht, dass der Bürgermeister einer Kommune jeden Datenverarbeitungs-prozess bis ins letzte Detail kennen muss, bedeutet aber ein kla-res Bekenntnis zur Wichtigkeit einer sicheren Informationsverar-beitung und Rückendeckung für die mit organisatorischen und technischen Detailfragen befassten Mitarbeiter auch bei eventuell unliebsamen Entscheidungen.

Datenschutz- und Informationssicherheitsbeauftragte

Nach § 11 Abs. 1 SächsDSG können die sächsischen Kommunen einen Datenschutzbeauftragten bestellen. Für die Bestellung eines

eigenen Informationssicherheitsbeauftragten gibt es derzeit keine Norm, abgesehen von der Empfehlung in Form der Muster-Infor-mationssicherheitsleitlinie der SAKD. Es empfiehlt sich jedoch aufgrund der unterschiedlichen Blickwinkel auf Fragen der Infor-mationsverarbeitung eine getrennte Bestellung. Diese ist jedoch nicht zwingend. Ein grundsätzlicher Interessenkonflikt, der gemäß § 11 Abs. 2 SächsDSG einer Bestellung entgegenstehen würde, besteht nicht, solange der Informationssicherheitsbeauftragte nicht dem IT-Bereich zugeordnet ist (Krombholz/Schrader, Sach-senlandkurier 2004, 570; http://www.smi.sachsen.de/download/SMI/0412HinweiseDSB.pdf). Es gilt für beide Beauftragte, dass eine ausreichende Unabhängigkeit von der für die technisch-orga-nisatorische Umsetzung verantwortlichen Stelle bestehen muss, damit eine kontrollierende Funktion auch ohne Interessenkonflikte ausgeführt werden kann.

Idealerweise ergänzen sich die beiden Beauftragten. Beim Aufbau des Informationssicherheitsmanagements bilden die gesetzlich vorgeschriebenen datenschutzrechtlichen Verfahrensverzeichnisse einen wertvollen Datenbestand, der bereits Verfahren dokumen-tiert. Da eine erhöhte Sicherheit mitunter eine Erhöhung der Kos-ten für die Behörde und eine Minderung des Komforts für die Anwender zur Folge hat, kann es zu Akzeptanzproblemen kommen (z. B. bei der Forderung längerer und komplizierter Passwörter, ver-schärften Anforderungen an die Dokumentation von Prozessen). Der Datenschutz- und der Informationssicherheitsbeauftragte können durch Kooperation und gemeinsame Erklärung der not-wendigen Maßnahmen für eine erhöhte Akzeptanz sowohl seitens der Führung als auch der Mitarbeiter sorgen.

Fazit

Die Bedeutung einer sicheren Datenverarbeitung kann nicht oft genug betont werden. Jeder Bürgermeisterin und jedem Bürger-meister ist zu empfehlen, den Aufbau bzw. Ausbau eines Informa-tionssicherheitsmanagements engagiert voranzutreiben. Es lohnt sich, auch wenn der Lohn der Mühe vielleicht „nur“ darin besteht, keine negativen Schlagzeilen zu produzieren. Mit Fug und Recht kann dann behauptet werden: Wir nehmen die Sicherheit der uns vom Bürger anvertrauten Daten ernst!

215


Je nach Ziel stellt sich die Art und Weise dieser Angriffe unter-schiedlich dar: Während normale Nutzer mehr oder weniger zufällig Opfer von meist automatisiert durchgeführten Angriffen werden, so sind einzelne Prominente oder auch Firmen und Ver-waltungen Ziele von persönlich zugeschnittenen und manuellen Angriffen hoher Komplexität. Hier hat sich eine eigene Indust-rie für die Entwicklung, die Vermarktung und den Einsatz von Angriffsverfahren herausgebildet, die Züge organisierter Krimina-lität hat.

Die Staatsregierung Sachsens beobachtet all dies mit Sorge und hat sich im Sommer 2011 entschlossen, das Thema der Informa-tionssicherheit in einer eigenen, spezialisierten Organisationsein-heit zu bündeln und so die Kräfte der einzelnen Ressorts besser zu koordinieren und wirksam werden zu lassen. Zusammen mit den schon im Sächsischen Verwaltungsnetz vorhandenen Ressour-cen soll sich so ein insgesamt höheres Niveau der Sicherheit der informationstechnischen Systeme aller Nutzer in der Landesver-waltung einstellen.

Und diese Bündelung ist auch notwendig: Der Internetzugang des Sächsischen Verwaltungsnetzes verzeichnet monatlich hunderte von Angriffsversuchen. Die E-Mails, die an die Landesverwaltung gerichtet sind, bestehen zu 95 % aus sogenanntem Spams, also unerwünschten E-Mails. Aus den verbleibenden 5 % werden noch hunderte mit schädlichen Anhängen herausgefiltert. Parallel dazu gab und gibt es eine Reihe von versuchten und teils auch erfolg-reichen Angriffen auf die Internetangebote der Landesverwaltung.

Die Bedrohung ist also auch für die sächsische Landesverwaltung real, und der Schutz der informationstechnischen Systeme ist unverzichtbar. Es hat sich ein „Hase und Igel“-Spiel entwickelt mit sich immer weiter verfeinernden Angriffsmethoden und einer sich daraus ergebenden Notwendigkeit immer komplexerer Schutzme-chanismen.

Im vorliegenden Artikel wird ein aktueller Ist-Stand der Informati-onssicherheit aus Sicht der sächsischen Landesverwaltung beschrie-ben und ein Ausblick auf die zukünftige Entwicklung gegeben.

Allgemeine Bedrohungslage

Seit dem ersten Auftreten eines Computervirus im Jahre 1971 hat sich, durchaus synchron zur allgemeinen Entwicklung der Infor-mationstechnik, auch die Qualität der Bedrohungen rasant wei-terentwickelt. In den aktuellen Zeiten von Mehrkern-Prozessoren und großem Hauptspeicher ist die Ausführung von Schadsoftware im Hintergrund für den Nutzer kaum noch bemerkbar. Hinzu kommt, dass in einschlägigen Kreisen Technologien zur Verschlei-erung eingesetzt werden, die die Detektion solcher Schadsoftware immer schwieriger macht.

Rasante Weiterentwicklung

Parallel zur rasanten informationstechnischen Weiterentwicklung von Schadsoftware hat sich auch das Ziel der Angriffe dramatisch verändert. Seit Mitte der 90er Jahre ist zu verzeichnen, dass sich die Entwicklung von Viren und Trojanern zu einer Schattenin-dustrie gewandelt hat. Waren vorher die „Script Kiddies“ – junge Leute, die technische Möglichkeiten ausloteten, dies aber in der Regel nicht mit kriminellem Hintergrund – Quelle der Schädlinge,

so ist es heute eine organisierte Untergrund-Industrie. Ganz nach Wunsch der Auftraggeber werden Identitäts- und Bankdaten von Privatleuten gestohlen, Banküberweisungen während der Übertra-gung verfälscht oder Firmengeheimnisse ausspioniert. Eine neue Qualität der letzten Jahre ist der sogenannte „Hacktivismus“, also der Einsatz von Schadsoftware zur Verbreitung oder Durchsetzung politischer Ziele. Und schließlich werden die Technologien von Viren und Trojanern inzwischen auch von staatlichen Stellen zur Sabotage und Spionage in anderen Ländern eingesetzt.

Diese Intensität der Angriffe wurde erst durch die Vernetzung der Nutzer über das Internet möglich. Dabei hat sich mit der immer stärkeren Durchdringung aller Lebensbereiche durch das Internet auch die Zahl der Internet-Nutzer vervielfacht. Hatten im Jahr 1997 nur 6,5 % der Bürger in Deutschland Zugriff auf das Inter-net, waren es 2011 schon 73,3 %.

Das Einfallstor in die Computer der Nutzer hat sich im Laufe der Zeit verändert. Waren es früher überwiegend Schwachstellen im Betriebssystem, so kommen mittlerweile immer stärker Angriffe über Anwendungen und Entwicklungsplattformen zum Tragen.

„Bots“ und „Zombies“

In kriminellen Kreisen populär ist auch die automatisierte Ver-teilung von Schadsoftware z. B. per E-Mail oder gehackten Inter-netseiten. Die so infizierten Nutzer-Computer („Zombies“) kön-nen dann ferngesteuert zu sogenannten „Bot“-Netzen („Bot“ von „Roboter“) zusammengefasst werden. Von einem oder mehreren Steuerrechnern („Command&Control-Server“) kontrolliert kön-nen die Bots dann z. B. für den Massenversand von unerwünsch-ten E-Mails („Spam“) verwendet werden. Insgesamt wurden so 2011 weltweit mehr als 124 Milliarden Spam-Mails versendet – pro Tag.

Bot-Netze können hunderttausende oder sogar Millionen von infizierten PCs umfassen und werden im Untergrund auch zur Vermietung angeboten. Neben der Nutzung der Bot-Netze für betrügerische Zwecke werden sie auch für erpresserische Vorhaben eingesetzt. In solchen Fällen werden die PCs im Bot-Netz dazu eingesetzt, gleichzeitig eine sehr hohe Anzahl von Anfragen an einen Web-Server zu senden. Dies führt zu seiner Überlastung

216


und führt so zum Abschalten des Servers vom Internet. Solche Angriffe werden „Distributed Denial of Service“- Angriffe (DDoS) genannt. Solche DDoS-Angriffe können für stark Internet-orien-tierte Unternehmen existenzbedrohend sein. DDoS wird auch durch Hacktivisten wie der Gruppe „Anonymous“ für politische Zwecke eingesetzt.

Neben den Bedrohungen für im Internet angebotene Server-Dienste durch mit Schadsoftware infizierte Nutzer-Computer wer-den aber auch Web-Server direkt angegriffen, um sie ihrerseits als Verteilplattformen für Schadsoftware an die Nutzer-Computer zu missbrauchen.

Die Web-Server stellen dabei eine ideale Verteilungs-Grundlage für Schadsoftware dar. Anders als bei Nutzer-Computern ist hier die Anwendung auf dem Server ein Hauptziel der Angriffe. Das liegt darin begründet, dass oftmals die notwendigen Sicherheits-prüfungen von Anwendungen aus Kosten- oder Zeitgründen nicht vorgenommen werden und so Sicherheitslücken als Einstiegstore in die Server offen stehen. Ein weiterer, wesentlicher Angriffspunkt sind nachlässig oder fehlerhaft konfigurierte Server. Hier öffnet der Betreiber des Servers eine Tür, die durch die Angreifer dann auch gerne genutzt wird.

Auch Sachsen im Ziel von Angriffen

Dass auch die Landesverwaltung Sachsen Ziel von Angriffen ist, verdeutlichen die Zahlen des Dienstleisters T-Systems zur Sicher-heitslage der zentralen Dienste des Sächsischen Verwaltungsnetzes (SVN). Danach konnte im Jahr 2011 allein das zentrale Intrusion Detection System (IDS) fast 6.000 Angriffe auf das SVN erken-nen, die sonst wirksam geworden wären. Nur 13 Angriffe konnten in dieser Zeit die Schutzmaßnahmen des SVN überwinden. Dabei handelte es sich um DDoS-Angriffe und in einem Fall die Über-nahme eines Rechners durch ein Bot-Netz.

Bei der E-Mail-Kommunikation zeigt die Statistik des SVN, dass 2011 über 262 Mio. Spam-Mails durch die Kopfstelle des SVN abgewiesen wurden, bevor sie in das SVN eingehen konnten. Von den verbliebenen rund 20 Mio. E-Mails wurden ca. 1,7 Mio. eben-falls als Spam markiert. In den dann verbliebenen rund 18 Mio. E-Mails wurden im Jahr 2011 insgesamt mehr als 3.200 Viren gefunden und unschädlich gemacht. Aber auch der eingehende Web-Verkehr wird auf Schadsoftware überwacht. Hier wurden 2011 48.000 Schadprogramme entdeckt und entfernt.

Insgesamt gab es 2011 zwar mehrere Sicherheitsvorfälle im Bereich der Landesverwaltung, die Auswirkungen blieben jedoch im trag-baren Bereich. Aktuelle Beispiele aus den deutschen Verwaltun-gen anderer Bundesländer – z. B. die wochenlange Abschaltung sämtlicher Internetangebote aller Polizeibehörden eines großen Bundeslandes nach einem Hackerangriff und die anschließende Entscheidung zur Neuentwicklung der Internetauftritte oder der aufsehenerregende, monatelang unbemerkte Einbruch in die Sys-teme der Bundespolizei mit Offenlegung von verdeckten Ermitt-lungen – zeigen, dass erhebliche reale Gefahren drohen.

Zusammenfassend ist festzustellen, dass sich die Bedrohung ver-schärft, aber auch die Produkte zur Abwehr der Bedrohungen immer besser werden. Es wird allerdings nicht möglich sein, eine absolute Sicherheit zu erreichen, auch nicht bei einer – in den meis-ten Fällen unrealistischen – Trennung vom Internet. Das hat der

Stuxnet-Wurm deutlich gezeigt; er verbreitete sich ursprünglich über USB-Speicher, also offline. Auch muss bewusst sein, dass die Abwehr-Produkte wie Virenscanner usw., immer nur reaktiv arbei-ten können und insofern die Schadprogramme den Virenscannern immer einen mehr oder minder kleinen Schritt voraus sind und wohl auch bleiben werden.

Schwachstelle Mensch

Gerade Stuxnet und seine ursprüngliche Verbreitungsmethode ver-deutlichen aber auch eine weitere Schwachstelle der Informations-sicherheit: den Menschen. Untersuchungen der Firma Microsoft zeigen, dass fast 45 % aller weltweit analysierten Angriffe eine Mit-wirkung des Benutzers erforderlich machten, sei dies ein Klick auf „O.K.“, das Herunterladen einer Datei oder das Öffnen der Anlage einer E-Mail. Rund 43 % der Angriffe wurden durch administrativ nicht unterbundene „AutoRun“-Funktionen ermöglicht, also dem automatischen Ausführen von Programmen z. B. bei Einlegen einer CD. Und weitere rund 6 % sind auf unzureichende Aktualität, also fehlende Updates, zurückzuführen.

Es zeigt sich also, dass der Mensch und damit der Nutzer der Infor-mationstechnik selbst ein erhebliches Risiko für die Informations-sicherheit darstellt. Dem muss mit gezielter Schulung und bewusst-seinsbildenden Maßnahmen entgegengewirkt werden.

Mobile Geräte als neues Angriffsziel

Die nächste Ebene der Bedrohung ist bereits abzusehen. Smart-phones – Mobiltelefone mit großem Bildschirm und über Pro-gramme erweiterbaren Funktionsumfang – haben mittlerweile die Leistung von Desktop-PCs erreicht, sind oft jederzeit online mit dem Internet verbunden und bisher nur sehr eingeschränkt gegen Angriffe geschützt. Andererseits sind diese Geräte bei den Nutzern sehr beliebt, womit nach und nach iPhone, Android-Geräte & Co. auch Eingang in die Verwaltung finden werden oder sogar schon gefunden haben.

Im Jahr 2011 nutzen bereits 20 % der Bürger in Deutschland mobile Internetzugänge und 17 % installierten sich mobile Anwendungen („Apps“) auf ihrem Gerät. Dabei ist zu beachten, dass sich allein im ersten Halbjahr 2011 die Anzahl der infizierten Smartphone-Apps verfünffacht hat.

Mobile Geräte stellen damit für die Sicherstellung der Informati-onssicherheit eine weitere, nicht zu unterschätzende Herausforde-rung dar. Auch die öffentliche Verwaltung kann sich dieser Ent-wicklung nicht entziehen. Weitere, damit verbundene Themen sind die Einführung von drahtlosen Netzen (WLAN) oder externen Zugängen für Mitarbeiter, die von unterwegs oder zuhause auf das Behördennetz zugreifen müssen (OWA, UMTS, VPN).

Organisatorische Strukturen der Informationssicherheit in Sachsen

Mit der Verabschiedung der VwV Informationssicherheit im Sep-tember 2011 hat der Freistaat Sachsen die Grundlage für den Auf-bau einer leistungsfähigen Organisation der Informationssicherheit geschaffen. Sie enthält vier Grundelemente:1. Den Beauftragten für Informationssicherheit des Landes als

zentrale Sicherheitsinstanz,

217


2. Die Arbeitsgruppe Informationssicherheit als Plattform der ressortübergreifenden Zusammenarbeit,

3. Die Beauftragten für Informationssicherheit der Ressorts, der Polizei und des Staatsbetriebs Sächsische Informatik Dienste und

4. Das Sicherheitsnotfallteam („Computer Emergency Response Team“ – CERT) im Staatsbetrieb Sächsische Informatikdienste (SID).

In der Arbeitsgruppe Informationssicherheit (AG IS) sind neben den durch die VwV Informationssicherheit vorgegebenen Akteu-ren auch Vertreter des Sächsischen Datenschutzbeauftragten, des Sächsischen Landtages, des Sächsischen Rechnungshofs sowie ein gemeinsamer Vertreter der sächsischen Kommunen ständig einge-bunden. Auf dieser Plattform werden künftig die Vorgaben und Maßnahmen der Informationssicherheit auf der Ebene der sächsi-schen öffentlichen Verwaltungen entwickelt.

© Sächsisches Staatsministerium der Justiz und für Europa

Als aktuelle organisatorische Aufgaben stehen die Einbeziehung der Geschäftsbereiche der Ressorts sowie der Aufbau des zentralen Sicherheitsnotfallteam (CERT) im SID an. Vor allem letzteres ist Voraussetzung, um die reale Sicherheit zu erhöhen.

Weitere Maßnahmen für die Verbesserung der Informationssi-cherheit sind zum Beispiel die Entwicklung von Empfehlungen zum Umgang mit mobilen IT-Systemen wie Laptops, Tablets und Smartphones. Auch eine Vereinbarung von ressortübergreifenden Meldeprozessen bei sicherheitskritischen Zwischenfällen ist ein wichtiges Ziel. An diesen und weiteren Punkten zur dauerhaften Verbesserung der Informationssicherheit arbeitet die AG IS derzeit intensiv und konstruktiv.

Zusammenfassung und Ausblick

Zusammenfassend kann konstatiert werden, dass die Verab-schiedung der VwV Informationssicherheit der wesentliche

Meilenstein für eine neue Qualität der Informationssicherheit in Sachsen war. Erstmalig liegt nun eine verbindliche Informati-onssicherheitsleitlinie für die gesamte Landesverwaltung Sachsen vor, die Standards und Kataloge des BSI sind nun maßgeblich für alle Landesbehörden.

Damit können jetzt die zahlreichen Einzelregelungen der Ressorts zusammengefasst bzw. die vorhandenen Regelungslücken auf Basis einer einheitlichen Grundlage geschlossen werden. Obwohl für diese Arbeiten erhebliche Anstrengungen notwendig werden, ist nunmehr der Startschuss für den Beginn des Aufbaus einer Infor-mationssicherheitsorganisation nach BSI Grundschutz in Sachsen gefallen.

Umsetzung noch in frühem Stadium

Gemessen an den umfangreichen Standards und Katalogen des BSI und den darin vorgeschlagenen Vorgehensweisen und Maßnah-men befindet sich die Landesverwaltung Sachsen noch in einem sehr frühen Anfangsstadium der Umsetzung. Nach der nunmehr erfolgten Initiierung des Informationssicherheitsprozesses stehen im Sinne BSI Grundschutz grob zusammengefasst vor allem fol-gende Arbeiten an:1. Strukturanalyse: Erfassung aller zu schützenden Informatio-

nen, Anwendungen, IT-Systeme, Räume und Kommunikati-onsnetze, die zur Erfüllung der im Geltungsbereich festgeleg-ten Geschäftsprozesse oder Fachaufgaben benötigt werden,

2. Schutzbedarfsfeststellung: Betrachtung der zu erwartenden Schäden durch Beeinträchtigung von Vertraulichkeit, Integri-tät oder Verfügbarkeit für jede Anwendung und jede verarbei-tete Information,

3. Erstellung Sicherheitskonzepte: Anwendung der Grundschutz-kataloge auf die festgestellten Anforderungen, Durchfüh-rung von Sicherheitschecks zur Feststellung des vorliegenden Sicherheitsniveaus und Prüfung ggf. notwendiger zusätzlicher Sicherheitsmaßnahmen für Anwendungen mit hohem oder sehr hohem Schutzbedarf,

4. Anwendung Sicherheitskonzepte: Umsetzung aller identifi-zierten Maßnahmen, Schließen der bestehenden Schwachstel-len, laufende Überwachung und Erhaltung des Sicherheitsni-veaus.

Neben diesen eher technischen Sachverhalten sind auch organisa-torische Aufgaben wie die Sicherstellung der Integration der Mit-arbeiter in den Informationssicherheitsprozess und ganz allgemein die Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse zu realisieren.

Aktuelle Arbeiten

Derzeit laufen folgende Arbeiten im Sinne von BSI Grundschutz: ‒ Abschluss Initiierung Informationssicherheitsorganisation, ‒ Festlegung von Meldewegen, ‒ Aufbau Internetseite und interne Kommunikationsplattform, ‒ Einrichtung CERT Sachsen in Verbindung zu verwaltungs-

übergreifenden CERT-Verbund, ‒ Prozessmanagementprojekt „Umgang mit Sicherheitsvorfällen“, ‒ Entwicklung eines „Leitfadens der Landesverwaltung zur

Schutzbedarfsfeststellung“, ‒ Awareness/Information (auch: Integration von Mitarbeitern in

Sicherheitsprozess), ‒ Erstellung von Richtlinien z. B. zur Datenträgervernichtung.

218


In jedem Fall ist zu beachten, dass das Vorgehen nach BSI Grund-schutz zwar gut vorstrukturiert, aber auch sehr ressourcenaufwän-dig ist. Fast alle Bereiche der Landesverwaltung Sachsen werden diese Aufwände mehr oder weniger parallel zum Tagesgeschäft realisieren müssen. Die entstehenden Zielkonflikte dürfen jedoch nicht dazu führen, dass die reale Sicherheit vernachlässigt wird.

Aus diesem Blickwinkel wird im Rahmen der ressortübergreifen-den Arbeitsgruppe Informationssicherheit nicht nur an der wei-teren Etablierung der Informationssicherheitsorganisation laut BSI Grundschutz gearbeitet, sondern es erfolgt parallel auch eine gemeinsame Abstimmung zu den jeweils aktuellen Tagesthemen im Bereich der Informationssicherheit.

Dabei stehen derzeit unter anderem folgende Themen im Fokus: ‒ Begleitung Projekt E-Kabinett und Einführung IT-gestützte

Vorgangsbearbeitung (ITgVB), ‒ Sicherheit mobiler Endgeräte (Entwicklung von Empfehlungen

zum Einsatz mobiler Endgeräte, hier insbesondere Smartpho-nes und Tablets).

Ziel sind jeweils sichere und ressortübergreifend einsetzbare Lösungen.

Fazit

Die im vorliegenden Artikel angerissenen Themen zeigen ansatz-weise die hohe Komplexität der praktischen Umsetzung von Maß-nahmen zur Informationssicherheit.

Andererseits gibt es jedoch keine Alternative dazu, das Thema mit ausreichend Ressourcen ausgestattet anzugehen, da die Abhän-gigkeit aller Bereiche von einer störungsfrei funktionierenden IT längst unumkehrbare Tatsache geworden ist.

In diesem Sinne sind in der Sächsischen Landesverwaltung bereits erste wichtige Schritte getan, weitere wie der Aufbau des ressort-übergreifenden CERT müssen und werden folgen.

Bei Fragen steht Ihnen der Beauftragte für Informationssicherheit des Landes gern zur Verfügung: [email protected]

Musterleitlinie zur Herstellung

und Gewährleistung der Informationssicherheit in sächsischen Kommunalverwaltungen

Uwe NikolSächsische Anstalt für kommunale Datenverarbeitung

Die überwiegende Mehrzahl aller Verwaltungsprozesse in Kom-munalverwaltungen wird heute elektronisch unterstützt. Damit hängt die Arbeitsfähigkeit jeder Verwaltung essentiell von der Sicherheit und Verfügbarkeit der dazu notwendigen Daten und IT-Infrastrukturen ab.

Umfragen der SAKD zur IT-Infrastruktur sächsischer Kommunal-verwaltungen ergaben, dass nur in ca. 30 % aller Verwaltungen IT-Sicherheitskonzepte vorliegen und nur ca. 20 % der Verwaltungen einen namentlich benannten IT-Sicherheitsbeauftragten haben. Diese Situation wird der Bedeutung der Informationssicherheit für das Funktionieren einer modernen Verwaltung nicht gerecht. Sie wird noch verschärft bei ebenenübergreifend wirkenden Verwal-tungsverfahren. Hier muss allen Beteiligten bewusst sein, dass das Sicherheitsniveau eines Verfahrens insgesamt nur so stark ist wie das Niveau des schwächsten Gliedes in der Kette.

Das Sächsische Datenschutzgesetz verlangt in § 9 technische und organisatorische Maßnahmen zur Gewährleistung des Datenschut-zes. Diese umfassen auch Anforderungen an die IT-Sicherheit.

Ziel des Datenschutzes ist der Schutz personenbezogener Daten und deren gesetzeskonforme Verwendung. Die Anforderungen zur IT-Sicherheit gehen darüber hinaus. Hier ist die gesamte Infra-struktur unter dem Aspekt zu betrachten, alle Daten zugriffssicher

verfügbar zu haben und im Katastrophenfall wiederherstellen zu können.

Die Praxis zeigt, dass besonders in kleinen Verwaltungen die Belange des Datenschutzes und der IT-Sicherheit häufig durch denselben Mitarbeiter vertreten werden.

Diese Personalunion stellt nicht die optimale Lösung dar, da Inte-ressenskonflikte zwischen beiden Aufgabengebieten insbesondere dann nicht auszuschließen sind, wenn die Ressourcen für die Erle-digung beider Aufgaben knapp bemessen sind.

So unterscheiden sich auch die wünschenswerten Qualifikationen der jeweilig Beauftragten: Der Beauftragte für Informationssicher-heit sollte über Kenntnisse der IT- und sonstigen Infrastruktur in der Verwaltung verfügen. Er muss sicherstellen, dass Daten gegen unberechtigten Zugriff, Manipulation und gegen externe Einflüsse hinreichend geschützt sind, ansonsten bedarfsgerecht zur Verfü-gung stehen und dass Vorsorge zur Wiederherstellung im „Ernst-fall“ getroffen ist (technische und organisatorische Betrachtungs-weise). Der Beauftragte für Datenschutz hingegen muss hinsicht-lich der datenschutz- und fachgesetzlichen Anforderungen bei der Erhebung und Verarbeitung personenbezogener Daten bei einzel-nen Verfahren fachkundig sein (rechtliche und fachliche Betrach-tungsweise).

219


Um das Anliegen zu unterstützen, in kommunalen Verwaltungen ein angemessenes Niveau von Informationssicherheit herzustellen und kontinuierlich auszubauen, hat die SAKD eine Musterleitlinie entwickelt.

Diese Musterleitlinie zur Gewährleistung der Informationssicher-heit für sächsische Kommunalverwaltungen fordert nach dem Grundsatz „IT-Sicherheit ist Leitungssache“ das Bekenntnis der Behördenleitung zur Informationssicherheit als strategisches Prin-zip der Verwaltungsorganisation. Sie wendet sich vordergründig an kreisangehörige Stadt- und Gemeindeverwaltungen mit und ohne Anschluss an das Kommunale Datennetz.

Sie orientiert sich – soweit möglich – an der „Verwaltungsvorschrift der Sächsischen Staatsregierung zur Gewährleistung der Informa-tionssicherheit in der Landesverwaltung“ vom 16.08.2011 und ist leicht an die Gegebenheiten jeder Kommunalverwaltung anpassbar (z. B. hinsichtlich der Erweiterung des Geltungsbereichs auf Eigen- oder Zweckbetriebe oder kommunale Gesellschaften).

Die enthaltenen Grundsatzaussagen zur Informationssicher-heit sind in weiteren Detaildokumenten wie Sicherheitskonzep-ten, Checklisten, Dienstanweisungen, Strukturplänen bis hin zu Betriebshandbüchern konkret zu untersetzen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Methoden entwickelt und standardisiert, mit denen IT-Sicher-heit hergestellt und gewährleistet werden kann. Die Vorgehens-weise ist im anerkannten BSI-Standard 100-2 beschrieben. Neben der Methodik stellt das BSI auch für alle praktisch vorkommenden IT-Infrastrukturelemente entsprechende Gefährdungs- und Maß-nahmenkataloge bereit und hält diese aktuell.

Wir halten die BSI-Methodik für die systematischste Herange-hensweise an die Lösung der Sicherheitsproblematik. Uns ist aber bewusst, dass diese Methodik wegen der formalen Herangehens-weise und der umfangreichen Maßnahmenkataloge von vielen Verwaltungen als sehr komplex und damit als große Hürde bei der Etablierung eines Informationssicherheitsprozesses angesehen wird. Deshalb haben wir in dieser Musterleitlinie auf jeden Bezug zur Methodik des BSI verzichtet.

Grundsätzlich steht es den Verwaltungen frei, weitere Detaildo-kumente nach BSI-Standard zu erstellen oder sie nach anderen Maßgaben zu entwickeln. Die Orientierung an den BSI-Grund-schutzkatalogen als gutem Praxisleitfaden ist in jedem Fall ratsam. Noch wichtiger ist aber, dass der Herstellung eines angemessenen Niveaus der Informationssicherheit überhaupt das erforderliche Augenmerk gewidmet wird. Dazu soll die hier vorgestellte Muster-leitlinie den notwendigen Anstoß geben.

Die Musterleitlinie ist ein kompaktes Strategiepapier von 10 Seiten Umfang.

In der Einleitung wird neben der Bedeutung der IT-Infrastruktur zur Aufgabenerfüllung noch einmal auf die zentrale Leitungsver-antwortung für die Informationssicherheit hingewiesen.

Es folgt die Festlegung des Geltungsbereichs und die Formulierung von allgemeinen Sicherheitszielen unter Verwendung anerkannter Begriffsdefinitionen für „Vertraulichkeit“, „Integrität“ und „Verfüg-barkeit“. Dabei werden ausdrücklich auch nicht elektronisch verar-beitete und gespeicherte Daten und Informationen einbezogen.

In getrennten Punkten wird darauf hingewiesen, dass Informati-onssicherheit als integrales Leistungsmerkmal von IT-Verfahren und der Organisation zu betrachten ist und deshalb bereits im Vor-feld der Einführung oder bei der Gestaltung aller Arbeitsabläufe Beachtung finden muss.

Anforderungen an die Wirtschaftlichkeit von Sicherheitsmaß-nahmen und Aussagen zur Ressourcenbereitstellung bilden einen essentiellen Punkt der Leitlinie.

Die speziellen Verantwortlichkeiten der Behördenleitung, der Mit-arbeiter sowie für Fachverantwortliche und externer Leistungser-bringer sind explizit aufgeführt.

Die Rollen eines Beauftragten für Informationssicherheit ist mit allen Aufgaben und Befugnissen beschrieben und als zentral für den Aufbau einer Informationssicherheitsorganisation dargestellt.

Für die Umsetzung die Leitlinie ist festgelegt, dass deren globale Vorgaben in Einzelkonzepten und detaillierten Regelungen zu untersetzen sind. Ebenso wird darauf hingewiesen, dass durch zyk-lische Revisionen und Aktualisierung die Kontinuität des Informa-tionssicherheitsprozesses zu gewährleisten ist.

Wir empfehlen den Kommunalverwaltungen, ihre Leitlinie als Dienstvereinbarung gem. § 81 Abs. 2 Nr. 10 SächsPersVG in Kraft zu setzen.

Die Musterleitlinie ist nachfolgend abgedruckt. Das Dokument kann in elektronischer Form vom Downloadbereich der SAKD-Webseite heruntergeladen werden. Es steht im Word-Format für beliebige Anpassungen zur Verfügung: http://www.sakd.de/fileadmin/standardisierung/Musterleitlinie.doc

Das Amtsblatt vom 2. August 2012. enthält ebenfalls einen Verweis auf dieses Dokument als veröffentlichte Empfehlung der SAKD.

Bei Fragen zum Thema wenden Sie sich bitte an die SAKD. Gern unterstützen wir Sie auch bei der Umsetzung konkreter Sicher-heitsanforderungen in Ihrer Verwaltung im Rahmen einer kosten-freien IT-Serviceberatung.

Ansprechpartner bei der SAKD dafür ist Herr Nikol (Tel. 03594 7752-46, E-Mail: [email protected]).

220


Leitlinie zur Gewährleistung der Informationssicherheit in der <Name Verwaltung>

1 Einleitung

Die automatisierte Verarbeitung von Daten und Informationen spielt eine Schlüsselrolle bei der Aufgabenerfüllung der <Name Verwal-tung>. Alle wesentlichen Prozesse werden durch Informations- und Kommunikationstechnik (IuK-Technik) maßgeblich unterstützt.

Durch die verstärkte Abhängigkeit von moderner IuK-Technik hat sich das Risiko der Beeinträchtigung von Informationsinfrastruk-turen und deren Komponenten (IT-Infrastruktur) durch vorsätz-liche Angriffe von innen und außen, durch fahrlässiges Handeln, Unkenntnis oder potenzielles Versagen der Technik sowohl qualita-tiv als auch quantitativ deutlich erhöht.

Mangelnde Informationssicherheit kann zu Störungen bei der Auf-gabenerfüllung führen, die die Leistungsfähigkeit der Kommunal-verwaltungen mindern und im Extremfall deren Geschäftsprozesse zum Erliegen bringen.

Vor diesem Hintergrund ist ein angemessenes Niveau der Informa-tionssicherheit in den Geschäftsprozessen der <Name Verwaltung> zu organisieren.

Die Verantwortung für die ordnungsgemäße und sichere Aufgabe-nerledigung und damit für die Informationssicherheit trägt die Lei-tung der <Name Verwaltung>.

Sie ist insbesondere verantwortlich für ‒ die Schaffung organisatorischer Rahmenbedingungen zur nach-

haltigen Gewährleistung von Informationssicherheit, ‒ die Definition und Festlegung der erforderlichen Verantwort-

lichkeiten und Befugnisse, ‒ die Einrichtung eines Informationssicherheits-Managements, ‒ die Umsetzung der vereinbarten Sicherheitsmaßnahmen ein-

schließlich der Bereitstellung der erforderlichen Haushaltsmittel, ‒ eine hinreichende und geeignete Dokumentation der IT-Infra-

struktur sowie aller Sicherheitsvorkehrungen und Sicherheits-maßnahmen,

Die vorliegende Leitlinie beschreibt die allgemeinen Ziele, Strate-gien und Organisationsstrukturen, welche für die Initiierung und Etablierung eines ganzheitlichen Informationssicherheitsprozesses erforderlich sind.

2 Geltungsbereich

Diese Leitlinie gilt für die gesamte <Name Verwaltung>.

Die Leitlinie und die daraus resultierenden Vorschriften und Maß-nahmen sind von allen Mitarbeitern der <Name Verwaltung> zu beachten und einzuhalten.

3 Grundsätze und Ziele der Informationssicherheit

3.1 Grundsätze

3.1.1 Begriffseinführung

Informationssicherheit bezeichnet einen Zustand, in dem die Risi-ken für die Sicherheitsziele Vertraulichkeit, Integrität und Verfügbar-keit von Informationen und Informationstechnik durch angemessene Maßnahmen auf ein akzeptierbares Maß reduziert sind. Die Informa-tionssicherheit umfasst neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten auch die Sicherheit von nicht elektronisch verarbeiteten und gespeicherten Daten und Informationen.

Dabei bedeuten: ‒ Vertraulichkeit: Vertrauliche Daten, Informationen und Pro-

gramme sind vor unberechtigten Zugriffen und unbefugter Preisgabe zu schützen. Zu den Schutzobjekten gehören die gespeicherten oder transportierten Nachrichteninhalte, die näheren Informationen über den Kommunikationsvorgang (wer, wann, wie lange, mit wem etc.) sowie die Daten über den Sende- und Empfangsvorgang.

‒ Integrität: Der Begriff der Integrität bezieht sich sowohl auf Informationen, Daten als auch das gesamte IT-System. Integri-tät der Informationen bedeutet deren Vollständigkeit und Kor-rektheit. Vollständigkeit bedeutet, dass alle Teile der Informa-tion verfügbar sind. Korrekt sind Informationen, wenn sie den bezeichne ten Sachverhalt unverfälscht wiedergeben. Zum ande-ren bezieht sich der Begriff Integrität auch auf IT-Systeme, da die Integrität der Informationen und Daten nur bei ordnungsgemä-ßer Verarbeitung und Übertragung sichergestellt werden kann.

‒ Verfügbarkeit: Die Funktionen der Hard- und Software im Sys-tem- und Netzbereich sowie notwendige Informationen stehen dem Anwender zum richtigen Zeitpunkt am richtigen Ort zur Verfügung.

3.1.2 Bedeutung der Informationssicherheit beim Einsatz von IT

Erklärtes Ziel der <Name Verwaltung> ist es, dass alle Einrichtun-gen, die der Erstellung, Speicherung und Übertragung von Daten dienen, so ausgewählt, integriert und konfiguriert sind, dass für die auf ihnen verarbeiteten Daten zu jeder Zeit und unter allen Umstän-den das angemessene Maß an Vertraulichkeit, Integrität und Verfüg-barkeit sichergestellt ist. Dies gilt auch für die Orte zur Aufbewah-rung der Medien zur Datensicherung.

Die Einhaltung dieser Anforderungen ist unabdingbarer Bestandteil jedes Einsatzes von IuK-Technik im Bereich der <Name Verwaltung> und ist mit technischen und organisatorischen Maßnahmen ver-bindlich sicherzustellen.

3.1.3 Informationssicherheit als Leistungsmerkmal von IT-Verfahren

Die Informationssicherheit ist ein zu bewertendes und herbeizufüh-rendes Leistungs merkmal von IT-Verfahren. Bleiben im Einzelfall trotz der Sicherheits vorkehrungen Risiken untragbar, ist auf den

221


IT-Einsatz zu verzichten. Belange der Informationssicherheit sind zu berücksichtigen bei ‒ der Entwicklung und Einführung von IT-Verfahren, ‒ dem Betrieb und der Pflege von IT-Verfahren, ‒ der Beschaffung und Beseitigung/Entsorgung von IT-Produkten, ‒ der Nutzung von Diensten Dritter.

3.1.4 Informationssicherheit als Leistungsmerkmal der Organisation

Technische und organisatorische Sicherheitsmaßnahmen sind so zu gestalten, dass diese stets integraler Bestandteil aller Verwaltungs-prozesse sind und nicht Erweiterungen, die über das vermeintlich Notwendige hinausgehen. Belange der Informationssicherheit sind zu berücksichtigen bei ‒ der Gestaltung der Organisation, ‒ der Schaffung und Besetzung von Funktionen und Rollen, ‒ der Führung von Mitarbeitern, ‒ der Aus- und Weiterbildung, ‒ der Gestaltung von Arbeitsabläufen, ‒ der Zusammenarbeit mit anderen Behörden und Externen, ‒ der Auswahl und dem Einsatz von Hilfsmitteln.

3.1.5 Wirtschaftlichkeit

Die Sicherheitsmaßnahmen müssen in einem wirtschaftlich vertret-baren Verhältnis zum Schaden stehen, der durch Sicherheitsvorfälle verursacht werden kann. Dieser wird durch den Wert der zu schüt-zenden Informationen und der IT-Systeme definiert. Zu bewerten sind dabei in der Regel die Auswirkungen auf die körperliche und seelische Unversehrtheit von Menschen, das Recht auf informatio-nelle Selbstbestimmung, finanzielle Schäden, Beeinträchtigungen des Ansehens der Verwaltung und die Folgen von Gesetzesverstößen.

Für die Umsetzung der erforderlichen und angemessenen Sicher-heitsmaßnahmen sind im Haushalt die notwendigen Ressourcen (Personal, Sach- und Investitionsmittel) bereit zu stellen.

3.1.6 Regelungskompetenz und Subsidiarität

Die Wahl der Mittel und die Formulierung von Anweisungen, mit denen die Sicherheitsziele erreicht werden sollen, obliegt untergeord-neten Verwaltungsbereichen selbst. Sie können eigenständig ange-messene Sicherheitsmaßnahmen planen und umsetzen.

Sicherheitsanforderungen von übergeordnetem Interesse, für deren Umsetzung eine vertragliche oder gesetzliche Verpflich-tung besteht, sind zu erfüllen. Entsprechende Vorschriften und Maßnahmen stellen den Mindeststandard bei der Formulie-rung verwaltungsinterner Vorschriften und Maßnahmen dar. Das betrifft insbesondere Sicherheitsanforderungen, die sich aus dem Anschluss der <Name Verwaltung> an das Kommunale Datennetz ergeben.

3.1.7 Sicherheit vor Verfügbarkeit

Wenn Angriffe auf die Sicherheit der IT-Infrastruktur der <Name Verwaltung> drohen oder bekannt werden oder sonstige Sicherheitsri-siken auftreten, kann die Verfügbarkeit von IuK-Technik, IT-Anwen-dungen, Daten und Netzwerken entsprechend dem Bedrohungs- und Schadensrisiko vorübergehend eingeschränkt werden. Im Interesse der Funktionsfähigkeit der gesamten Verwaltung ist der Schutz vor

Schäden vorrangig. Vertretbare Einschränkungen in Bedienung und Komfort sind hinzunehmen. Dies gilt in besonderem Maße für die Übergänge zu anderen Netzwerken, insbesondere zum Internet.

3.1.8 Prinzip des informierten Mitarbeiters

Die Mitarbeiter sind im erforderlichen Umfang bezüglich der Infor-mationssicherheit zu sensibilisieren und zu qualifizieren.

3.2 Informationssicherheitsziele

3.2.1 Verfügbarkeit

Für alle IT-Verfahren sind die Zeiten, in denen sie verfügbar sein sollen, festzulegen.

Betriebsunterbrechungen sind in diesen Zeiten weitgehend zu ver-meiden, d. h. nach Zahl und Dauer zu begrenzen. Die Beschreibung der notwendigen Verfügbarkeit umfasst ‒ die regelmäßigen Betriebszeiten, ‒ die Zeiten mit erhöhter Verfügbarkeitsanforderung, ‒ die maximal tolerierbare Dauer einzelner Ausfälle.

Ebenfalls festzulegen sind regelmäßig geplante Auszeiten, insbeson-dere zu Wartungszwecken.

3.2.2 Vertraulichkeit

Die in IT-Verfahren erhobenen, gespeicherten, verarbeiteten und weiter gegebenen Daten sind vertraulich zu behandeln und jeder-zeit vor unbefugtem Zugriff zu schützen. Zu diesem Zweck ist für alle Daten der Personenkreis, dem der Zugriff gestattet werden soll, zu bestimmen. Der Zugriff auf IT-Systeme, IT-Anwendungen und Daten sowie Informationen ist auf den unbedingt erforderlichen Per-sonenkreis zu beschränken. Jeder Mitarbeiter erhält eine Zugriffsbe-rechtigung nur auf die Daten, die er zur Erfüllung seiner dienstli-chen Aufgaben benötigt.

3.2.3 Integrität

Informationen sind gegen unbeabsichtigte Veränderung und vor-sätzliche Verfälschung zu schützen. Alle IT-Verfahren sollen stets aktuelle und vollständige Informationen liefern, eventuelle verfah-rens- oder informationsverarbeitungsbedingte Einschränkungen sind zu dokumentieren.

4 Verantwortlichkeiten

4.1 Verantwortung der Behördenleitung

Die Behördenleitung erlässt verbindliche Regeln zur Informations-sicherheit für die <Name Verwaltung> und gibt sie den Mitarbeitern bekannt. Sie stellt jederzeit eine Möglichkeit zur Kenntnisnahme der aktuellen Regeln sicher.

4.2 Verantwortung der Mitarbeiter

Alle Mitarbeiter gewährleisten die Informationssicherheit durch verantwortungs bewusstes Handeln und halten die für die Infor-mationssicherheit relevanten Gesetze, Vorschriften, Richtlinien,

222


Anweisungen und vertraglichen Verpflichtungen ein. Sie gehen korrekt und verantwortungsvoll mit den von ihnen genutzten IT-Systemen, Daten und Informationen um.

Verhalten, das die Sicherheit von Daten, Informationen, IT-Syste-men oder der Netze gefährdet, kann disziplinar- oder arbeitsrecht-lich geahndet werden. Unter Umständen kann das Verhalten als Ordnungswidrigkeit oder Straftat verfolgt werden.

Mitarbeiter, die die Sicherheit von Daten, Informationen, IT-Syste-men oder des Netzes gefährden und einen Schaden für die Verwal-tung oder einen Dritten verursachen, können darüber hinaus nach den gesetzlichen Regelungen zum Schadenersatz herangezogen wer-den oder einem Rückgriffsanspruch ausgesetzt sein.

Als Straftaten kommen insbesondere in Betracht ‒ das unbefugte Verschaffen von Daten anderer, die nicht für den

Mitarbeiter bestimmt und die gegen den unberechtigten Zugang besonders gesichert sind,

‒ das Schädigen fremden Vermögens durch unrichtiges Gestalten eines Programms, durch Verwendung unrichtiger oder unvoll-ständiger Daten, durch unbefugtes Verwenden von Daten oder durch unbefugtes Einwirken auf den Ablauf eines Programms,

‒ das rechtswidrige Löschen, Verändern, Unterdrücken und Unbrauchbarmachen von Daten,

‒ das unbefugte Zerstören, Beschädigen, Unbrauchbarmachen, Beseitigen oder Verändern einer Datenverarbeitungsanlage oder eines Datenträgers oder

‒ strafbewehrte Verstöße gegen das Sächsische Datenschutzgesetz oder das Bundesdatenschutzgesetz.

Verstöße gegen die Informationssicherheit sind unverzüglich dem zuständigen Beauftragten für Informationssicherheit (s. Pkt. 5.1) zu melden.

Als Verstöße gelten insbesondere Handlungen, die aufgrund einer Abweichung von dieser Leitlinie oder weiteren Richtlinien zur Infor-mationssicherheit ‒ der <Name Verwaltung> materielle oder immaterielle Schäden

zufügen, ‒ den unberechtigten Zugriff auf Informationen, deren Preisgabe

und/oder Änderung zulassen, ‒ die Nutzung von Verwaltungsinformationen für illegale Zwecke

beinhalten oder ‒ eine Kompromittierung des Ansehens der <Name Verwaltung>

und/oder des Freistaates Sachsen zur Folge haben.

4.3 Fachverantwortliche

Für Geschäftsprozesse oder Fachverfahren sind Fachverantwortliche zu benennen, die in dem ihnen zugewiesenen Verantwortungsbe-reich zuständig sind für ‒ die Festlegung der geschäftlichen Relevanz der verarbeiteten

Informationen und deren Schutzbedarf, ‒ die Sicherstellung, dass Verantwortlichkeiten explizit definiert

und Sicherheits- und Kontrollmaßnahmen zur Verwaltung und zum Schutz der im Verantwortungsbereich befindlichen Infor-mationen implementiert werden.

Der Fachverantwortliche muss den Zugang auf Informationen sowie den Umfang und die Art der Autorisierung definieren, die im

jeweiligen Verfahren erforderlich sind. Bei diesen Entscheidungen ist zu berücksichtigen ‒ die Notwendigkeit, die Informationen entsprechend ihrer

geschäftlichen Relevanz zu schützen, ‒ die Aufbewahrungsvorschriften und die mit den Informationen

verbundenen rechtlichen Anforderungen, ‒ die notwendige Zugänglichkeit der für die jeweiligen Geschäfts-

anforderungen erforderlichen Informationen.

4.4 Verantwortung externer Leistungserbringer

Personen, Behörden und Unternehmen, die nicht zur <Name Verwal-tung> gehören, für diese aber Leistungen erbringen (Auftragnehmer), haben die Vorgaben des Auftraggebers zur Einhaltung der Informati-onssicherheitsziele gemäß dieser Leitlinie einzuhalten. Der Auftragge-ber informiert den Auftragnehmer über diese Regeln und verpflichtet ihn in geeigneter Weise zur Einhaltung. Dazu gehört auch, dass der Auftragnehmer bei erkennbaren Mängeln und Risiken eingesetzter Sicherheitsmaßnahmen den Auftraggeber zu informieren hat.

5 Informationssicherheitsorganisation

5.1 Beauftragter für Informationssicherheit

Als zentrale Sicherheitsinstanz der <Name Verwaltung> ernennt die Behördenleitung einen Beauftragten für Informationssicherheit (BfIS), der für alle operativen Belange und Fragen der Informations-sicherheit zuständig ist.

Für den BfIS ist ein Berichtsweg festzulegen.

Es ist sicher zu stellen, dass diesem Beschäftigten ein angemessener Teil seiner Arbeitszeit für die Erledigung seiner Aufgaben als BfIS zur Verfügung steht.

Die Verantwortung der einzelnen Verwaltungsbereiche für die Infor-mationssicherheit im Rahmen ihrer Aufgabenerfüllung bleibt davon unberührt (s. Pkt. 3.1.6). Die einzelnen Verwaltungsbereiche kön-nen in ihrem Zuständigkeitsbereich eigene BfIS ernennen.

Die Funktion des BfIS kann auch an einen geeigneten externen Dienstleister übertragen werden.

Im jeweiligen Zuständigkeitsbereich hat der BfIS folgende Aufgaben: ‒ Steuerung des Informationssicherheitsprozesses und Mitwir-

kung bei allen damit zusammenhängenden Aufgaben, ‒ Überprüfung der Umsetzung der Vorgaben zur Informations-

sicherheit, ‒ Erstellung, Fortschreibung und Umsetzung der sich aus dieser

Leitlinie ableitenden weiteren Dokumente, ‒ Vorschlag von neuen Sicherheitsmaßnahmen und -strategien, ‒ Vertretung der <Name Verwaltung>, bzw. des jeweiligen Verwal-

tungsbereiches in allen Angelegenheiten der Informationssicher-heit,

‒ Ansprechpartner für die Mitarbeiter in den Fragen der Informa-tionssicherheit,

‒ Koordination von Sensibilisierungs- und Schulungsmaßnahmen, ‒ Koordinierung und Zusammenarbeit in allen Fragen der Infor-

mationssicherheit, die sich aus dem Anschluss der <Name Ver-waltung> an das Kommunale Datennetz ergeben,

223


‒ Meldung von besonders sicherheitsrelevanten Zwischenfällen im Rahmen seiner Berichtswege.

Bei Gefahr im Verzug ist der BfIS oder sein Stellvertreter berechtigt, erforder li che Sicherheitsmaßnahmen auch kurzfristig umzusetzen oder anzuordnen. Dies kann bis zur vorübergehenden Sperrung von Anwendungen oder Netzzugängen führen.

Die Leitung der <Name Verwaltung> ist hiervon unverzüglich zu unterrichten.

Diese Informationspflicht besteht auch gegenüber der KDN GmbH, sofern die <Name Verwaltung> an das Kommunale Datennetz ange-schlossen ist.

5.2 Informationssicherheitsmanagement-Teams

Zur Unterstützung des BfIS bei der Erfüllung seiner Aufgaben kön-nen temporär Informationssicherheitsmanagement-Teams gebildet werden, um bei strategischen Entscheidungen oder Einzelmaß-nahmen (z. B. bei Projekten entsprechender Größenordnung) die Belange der Informationssicherheit der <Name Verwaltung> sicher-zustellen.

6 Umsetzung

Diese Leitlinie bildet die Grundlage für die Erstellung weiterer, auch fachspezifischer Richtlinien, Informationssicherheitskonzepte und

detaillierter Regelungen und Dienstanweisungen zur Informations-sicherheit.

7 Sicherung und Verbesserung der Informationssicherheit

Der Informationssicherheitsprozess ist regelmäßig auf seine Aktuali-tät und Wirksamkeit zu überprüfen. Insbesondere sind die Maßnah-men regelmäßig daraufhin zu untersuchen, ob sie den betroffenen Mitarbeitern bekannt, umsetzbar und in den Betriebsablauf integ-rierbar sind.

Die Leitungsebenen unterstützen die ständige Verbesserung des Sicherheitsniveaus.

Die Mitarbeiter sind angehalten, mögliche Verbesserungen oder Schwachstellen an die entsprechenden Stellen weiterzugeben.

Durch eine kontinuierliche Revision der Regelungen und deren Ein-haltung wird das angestrebte Sicherheits- und Datenschutzniveau sichergestellt. Abweichungen werden mit dem Ziel analysiert, die Informationssicherheit zu verbessern und ständig auf dem aktuellen Stand zu halten.

<Ort>, den <Datum>

<Unterschrift Behördenleitung>

EFFIZIENZEFFIZIENZ Brother Office-Lösungen überzeugen mit Effizienz und intelligenter Funktionalität. Vom Beschriftungssystem bis zum High-End Laser-MFC.

Mehr Infos unter www.brother.deNutzen Sie die Rahmenvereinbarungen mit Brother Top-Konditionen!

Office-Lösungen

BR_2880_ÖA_Effizienz_175x125_sw.indd 1 15.04.11 09:43

224


Informationssicherheit kommt langsam in immer mehr Kommunen an

– Und wir unterstützen Sie dabei –Andreas Linzner

KDN – Kommunale Datennetz GmbH

In allen sächsischen Kommunalverwaltungen werden heute Fach-verfahren mit Unterstützung der Informationstechnik bearbeitet. Viele Prozesse sind ohne elektronische Hilfe gar nicht mehr mög-lich, andere nur mit viel mehr Aufwand. Auch die interkommunale Zusammenarbeit ist ohne den Einsatz der IT keine runde Sache mehr beziehungsweise sogar gänzlich unmöglich. Unter anderem deshalb ist es eine essentielle Aufgabe eines Leiters einer Verwal-tung, dafür zu sorgen, dass bei der Nutzung von Informationstech-nik auch die 3 Grundsätze der Informationssicherheit, also Ver-traulichkeit, Verfügbarkeit und Integrität, angemessene Beachtung finden. Auch werden in § 9 SächsDSG technische und organisato-rische Maßnahmen zur Gewährleistung des Datenschutzes gefor-dert, welche ebenfalls konkrete Anforderungen an die Informati-onssicherheit umfassen. Es ist also allerhöchste Zeit, sich ernsthaft und umfassend mit diesem Thema zu befassen.

Am Anfang haben viele nur geschimpft. ‚Noch mehr Arbeit‘, ‚Wir haben gar kein Know-how dazu‘, ‚Das kostet alles so viel Geld‘, ‚Bisher ging es doch auch ohne‘ – das waren so die üblichen Ausrufe in vielen sächsischen Kommunen, als Anfang 2008 die Anträge zum Anschluss an das Kommunale Datennetz KDN II an alle sächsischen Städte, Gemeinden und Landratsämter ver-schickt wurden. Darin befand sich nämlich unter anderem auch eine „Erklärung zur Datensicherheit“1, die die jeweiligen Landräte, Oberbürgermeister(innen), Bürgermeister(innen) und Verwal-tungschefs und -chefinnen unterzeichnen mussten. Bis dahin fris-tete das Thema Informationssicherheit bedauerlicherweise eher ein Schattendasein in den sächsischen Kommunalverwaltungen. Oft-mals war es den jeweils Verantwortlichen einfach überhaupt nicht bewusst, dass sie persönlich auch für die Belange der Informations-sicherheit verantwortlich sind. Einige versuchten das Thema auch auszusitzen, indem sie die notwendige Erklärung im Antrag ein-fach ‚vergaßen‘ zu unterschreiben. Ein Anschluss an das KDN II war so allerdings nicht möglich, die Unterschrift musste vor der Realisierung natürlich von der KDN GmbH nachgefordert wer-den.

Ganz so galt es aber auch nicht für alle. Mehrere größere Städte mit festangestellten IT-Mitarbeitern und die meisten Landratsämter hatten das Thema schon das eine oder andere Mal mehr oder min-der freiwillig aufgegriffen. Und es gab auch zu dieser Zeit schon durchaus Leuchttürme, wie zum Beispiel die Stadt Pirna oder den Landkreis Meißen. Die meisten anderen aber sahen das Thema sehr skeptisch und nur unter den – durchaus vorhandenen – negativen Aspekten.

1 Die ‚Erklärung zur Datensicherheit‘ aus dem Antrag zum Anschluss an das KDN II wurde von der KDN GmbH in Zusammenarbeit mit dem Sächsischen Datenschutzbeauftragen sowie der Persicon AG erarbeitet.

Um auch dieses einmal zu benennen: Ja, Informationssicherheit gibt es nicht ganz für null Euro. Und ja, Informationssicherheit geht auch einher mit dem Verlust eines Teiles der Bequemlichkeit aller Mitarbeiter. So ist es zum Beispiel zwingend notwendig, dass sich ein gerade nicht genutzter PC nach einer gewissen Zeit auto-matisch sperrt und ein Passwort anfordert. Und zwar unabhängig davon, ob an diesem Arbeitsplatz Publikumsverkehr herrscht oder ‚nur‘ der Kollege Zugriffsmöglichkeit außerhalb seines normalen Tätigkeitsbereiches bekommt. Genauso selbstverständlich muss es sein, dass Aktenschränke oder die Stahlschränke (z. B. in den Meldebehörden) ständig verschlossen sind, auch außerhalb der Publikums-Öffnungszeiten. Ebenso natürlich muss der regelmä-ßige Wechsel von allen benutzen Passwörtern für die informations-technischen Systeme sein. Die Intervalle dazu kann man durchaus mit seinen Mitarbeitern diskutieren. Typische Beispiele hierfür sind 6 Wochen, aber auch 3 bis maximal 6 Monate. Dabei sollen die entsprechenden Hinweise zur Passwortsicherheit des Bundes-amtes für Sicherheit in der Informationstechnik (BSI) unbedingt Beachtung finden. Normale Begriffe wie Namen oder bekannte Zahlenkombinationen (z. B. Geburtstage, Vornamen, Orte oder Ähnliches) haben in Passwörtern nichts zu suchen, diese werden von möglichen Angreifern immer als erstes durchprobiert. Und um einen der aktuell wichtigsten, aber sehr wenig betrachteten Aspekt nicht zu vergessen: Smartphones, Tablet-Computer und ähnliche mobile Geräte tragen heute eine riesige Menge an vertraulichen Daten (dienstliche Mails, Termine, Kontakte) in sich, sind aber

Zu den Begrifflichkeiten:

An erster Stelle erlauben Sie mir ein kurzes Wort zu den verwen-deten Begrifflichkeiten: Im Allgemeinen wird auch heute noch vorwiegend von IT-Sicherheit gesprochen. In neuerer Zeit wan-delt sich dieser Begriff allerdings sehr berechtigt immer häufiger zum wesentlich besser passenden Wort Informationssicherheit. Damit ist also nicht mehr nur die Sicherheit der eingesetzten EDV-Technik und der darauf gespeicherten Daten gemeint. Es gilt vielmehr für alles, was Informationen trägt und tragen kann. Und da gehören natürlich Papierakten genauso dazu wie elektronisch erfasste Daten und alle weiteren möglichen Infor-mationsträger. Diese Sicht sollte der jeweilige Datenschutzbe-auftragte der Behörde übrigens teilen. In diesem Text verwende ich daher ausschließlich den umfassenderen und moderneren Begriff Informationssicherheit.

225


auf Grund Ihrer kleinen Größe auch besonders anfällig für Verlust oder Diebstahl. Der Schutz durch Passwörter und die Möglich-keit der Fern-Löschung bei Verlust sind daher essentielle Mindest-maßnahmen für solche Geräte. Eine Nutzungsrichtlinie für mobile Geräte gehört also zu einem vollständigen IT-Sicherheitskonzept dazu, wenn man auf diese nicht gänzlich verzichten will oder kann. Auch wenn das die Bequemlichkeit der Benutzung ein wenig ein-schränkt, darf darauf auf keinen Fall verzichtet werden.

Und da sind wir schon beim nächsten Thema, welches eins der wichtigsten in diesem Spannungsumfeld überhaupt darstellt: Alle Mitarbeiter, vom einfachen Sachbearbeiter über den Amtsleiter bis zum (Ober)Bürgermeister/Landrat müssen mitgenommen werden auf diese Reise. Das gelingt natürlich nur, wenn man diese umfas-send und regelmäßig informiert, motiviert und in alle Prozesse – nicht nur passiv – einbezieht. Nur wer den Sinn der notwen-digen Sicherheitsmaßnahmen wirklich versteht und dadurch auch akzeptiert, wird auch nicht versuchen, diese in irgendeiner Form zu umgehen.

Dazu ist es immer hilfreich, bildhafte Beispiele einzubeziehen. Stellen Sie sich dafür einfach mal folgende Situation vor: Die meis-ten erwachsenen Menschen, also auch die Mitarbeiter in Ihren Verwaltungen, sind Eltern, viele davon haben noch schulpflichtige Kinder. Und jetzt stellen Sie sich vor, eine Charakterbeurteilung Ihres eigenen Kindes (oder eine Krankengeschichte oder…) wird unverschlüsselt per E-Mail über das öffentliche Internet an eine andere Schule oder eine andere beliebige Behörde versandt. Jeder Beteiligte auf diesem Weg, also der Internetdienstleister, der Post-fachbetreiber, die IT-Administratoren an beiden Enden der Kette usw., kann den Inhalt ohne großen technischen Aufwand mitlesen und so vertrauliche persönliche Details über Ihr Leben bzw. das Ihrer Kinder in Erfahrung bringen. Mangelndes Unrechtsbewusst-sein und kriminelle Energie vorausgesetzt. Gibt es nicht, denken Sie? Würden Sie in einer Schule Ihrer Wahl nachfragen (wie wir das gelegentlich tun), wie E-Mails mit persönlichen Informationen bis-her verschlüsselt wurden und werden, würden Sie in vielen Fällen auf Unverständnis stoßen. Diese Mauer in den Köpfen müssen wir im gemeinsamen Interesse umstoßen. Das Wort Schule steht hier übrigens nur beispielhaft, es könnte genauso gut jede andere Verwaltungseinrichtung gemeint sein. Das Beispiel Schule wurde bewusst deshalb gewählt, weil wir aufmerksamer werden, wenn etwas unsere Kinder betrifft.

Informationssicherheit dient also keinesfalls nur einem Selbst-zweck. Sie schützt nicht nur das Recht auf informationelle Selbst-bestimmung, welches spätestens seit dem Volkszählungsurteil des Bundesverfassungsgerichtes aus dem Jahr 1983 zu den unumstöß-lichen Grundrechten aller Deutschen zählt. Sie schützt auch Ihre Verwaltung vor (berechtigten) Vorwürfen Ihrer Bürger, wenn deren persönliche Daten in die falschen Hände geraten sollten. Und dabei sind natürlich auch noch die gesetzlichen Bestim-mungen aus dem BDSG (Bundesdatenschutzgesetz) und dem SächsDSG (Sächsisches Datenschutzgesetz) sowie weitere diverse Rechtsvorschriften zu beachten. Dabei eröffnet sich demnach ein weites Feld.

Die KDN GmbH als Betreiber des kommunalen Datennetzes KDN II möchte Sie in diesem überaus wichtigen Teilbereich ihrer Arbeit nicht allein lassen. Wir sind uns bewusst, dass in vielen Ver-waltungen das notwendige Know-how nicht zur Verfügung steht und auch nur in bestimmten Grenzen eingekauft werden kann.

Zusätzlich muss jede Ausgabe im Zuge der immer strengeren Haus-haltskonsolidierungen genau hinterfragt und sachlich begründet werden. Das enthebt die kommunalen Verwaltungen zwar nicht von Ihren Pflichten zur Einhaltung bestimmter Sicherheitsstan-dards. Unsere Unterstützung kann und soll aber dazu beitragen, Sie dabei materiell und personell merklich zu entlasten sowie bei Bedarf das erforderliche Wissen bereit zu stellen oder sinnvolle Kooperationen zu vermitteln.

Unter anderem aus diesem Grund wurde dazu einer unserer Mitar-beiter umfassend geschult und bei der Akademie für öffentliche Ver-waltung des Freistaates Sachsen zum zertifizierten IT-Sicherheitsbe-auftragten ausgebildet. Im Anschluss wurde Herr Andreas Linzner zum IT-Sicherheitsbeauftragten der KDN GmbH bestellt. Durch die wechselseitige Vertretung mit dem IT-Sicherheitsbeauftragten von KISA, Herrn Werner Schulze, ist eine ständige Bereitschaft auch im Abwesenheitsfall, beispielsweise bei Urlaub oder Krankheit, gesichert. Außerdem kann durch diese Zusammenarbeit Kompetenz gebündelt werden, davon profitieren dann sowohl alle Teilnehmer am KDN II als auch alle KISA-Mitglieder und -Kunden.

Zusätzlich haben wir im letzten Jahr eine ‚Arbeitsgruppe Informa-tionssicherheit im KDN II‘ ins Leben gerufen. Mitglieder dieser Arbeitsgruppe sind Mitarbeiter von sächsischen Kommunalver-waltungen unterschiedlicher Größe, der Sächsischen Anstalt für Kommunale Datenverarbeitung (SAKD), des Sächsischen Städte- und Gemeindetages (SSG) und der Kommunalen Informationsver-arbeitung Sachsen (KISA) unter Leitung der KDN GmbH. Neue Mitstreiter werden gern noch aufgenommen, auch für aktuelle The-menvorschläge aus dem kommunalen Umfeld ist diese AG jederzeit offen.

Die ersten Ziele dieser Arbeitsgruppe sind bereits erreicht, so zum Beispiel die Erstellung von Musterdokumenten wie einer allgemei-nen Informationssicherheits-Leitlinie (hier durch die SAKD), die Ihnen bei der Erstellung oder Ergänzung Ihrer eigenen IT-Sicher-heits-Dokumentationen als Grundlage dienen können. Diese Leit-linie ist auch das erste fertige Dokument, welches Ihnen auf der Website der SAKD unter www.sakd.de zum Download angeboten wird. Einen dahinführenden Verweis finden Sie zu gegebener Zeit natürlich auch auf der Internetseite der KDN GmbH unter www.kdn-sachsen.de. Gleichzeitig werden wir eine Informationssicher-heits-Checkliste anbieten, auf der Sie die grundlegenden Fragen zur Erstellung eines eigenen IT-Sicherheitskonzeptes in Form von qualifizierten Punkten Stück für Stück abarbeiten und bewerten können. Hinweise zu weiteren, bereits verfügbaren Musterdoku-menten anderer Anbieter werden selbstverständlich auch gegeben. In erster Linie ist da natürlich das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu nennen, zu finden unter www.bsi.bund.de im Bereich IT-Grundschutz. Aber auch auf der Webseite des Sächsischen Datenschutzbeauftragten unter www.saechsdsb.de finden sich viele vorgefertigte Dokumente, die nur noch an die jeweiligen Bedingungen ‚vor Ort‘ angepasst werden müssen. Hier finden sich beispielsweise vorgefertigte Muster-Richtlinien zur Internetnutzung sowohl mit Erlaubnis der privaten Nutzung als auch ohne diese.

Gleichzeitig nutzen wir die Arbeitsgruppe auch zur Erweiterung unserer eigenen Horizonte. So beschäftigen wir uns nicht nur mit vorgegebenen, sondern auch allen aktuell auf der Tagesordnung stehenden Themen. Wir tauschen uns über die Möglichkeiten der Weiterbildung aus, organisieren Fachvorträge zu Themen wie Mobile

226


Device Management2 oder die Sicherheit von Schnittstellen (Beispiel USB-Sticks, Speicherkarten aus Kameras etc.) direkt von den ent-sprechenden Herstellern und Anbietern und diskutieren die unter-schiedlichen Ansätze in der Herangehensweise an die Informations-sicherheit in verschieden großen Verwaltungen. Unser oberstes Ziel ist dabei aber ständig, nutzbare Grund-Konzepte und Beispiele für alle sächsischen Kommunalverwaltungen zur Verfügung zu stellen. Von unserer Arbeit sollen schließlich alle Mitglieder der kommuna-len Familie in Sachsen profitieren können. Dazu gehört natürlich auch der Austausch mit ähnlichen Arbeitsgruppen beim Freistaat Sachsen und eine enge Kooperation mit der Leitstelle SVN (säch-sisches Verwaltungsnetz) beim Staatsbetrieb Sächsische Informatik Dienste (SID).

Nicht zuletzt bietet unser Partner KISA bei entsprechendem Bedarf auch die Beratung und Führung Ihrer Verwaltung bis zur komplet-ten Erstellung aller notwendigen Dokumente eines vollständigen IT-Sicherheitskonzeptes – kostenpflichtig – an. Auch Schulungen im Bereich Informationssicherheit für alle Verwaltungsgrößen oder die Vorbereitung auf eine notwendige oder freiwillige Testierung gemäß KDN-II-Antrag gehören zum angebotenen Portfolio. Und die Übernahme der Aufgabe eines externen IT-Sicherheitsbeauf-tragten für begrenzte oder unbegrenzte Zeit ist ebenfalls möglich. Hier profitieren Sie wieder von der wechselseitigen Vertretung zwi-schen KISA und der KDN GmbH.

2 Programme zum Verwalten von Mobiltelefonen, Smartphones und Tablet-Com-putern. Mit einer solchen Software werden Grundeinstellungen wie Passwort-zwang, Fernlöschung bei Verlust, sichere Fernzugänge usw. eingerichtet, auf die mobilen Geräte übertragen und überwacht.

Lassen Sie mich abschließend noch ein grundsätzliches Verständ-nisproblem aus der Welt räumen. Häufig wurde der KDN GmbH vorgeworfen, dass dieser ganze Aufwand ohne das KDN II ja gar nicht notwendig wäre. Dieser Sichtweise möchte ich entschieden widersprechen. Die Pflicht zur Einhaltung der Datenschutzgesetze und damit auch der Informationssicherheit besteht keinesfalls nur durch einen Anschluss an das Kommunale Datennetz in Sach-sen. Vielmehr bestand und besteht diese immer, auch ohne einen Anschluss an das KDN II. Wir haben dies lediglich durch die For-derung nach Unterzeichnung der Erklärung zur Datensicherheit ein wenig mehr in das öffentliche Bewusstsein gerückt. Gleichzei-tig erleichtern wir den sächsischen Kommunalverwaltungen durch die mögliche Nutzung des geschützten Behördennetzes sogar die Einhaltung bestimmter Mindeststandards, insbesondere bei der interkommunalen Kommunikation oder zwischen Verwaltungen und deren Außenstellen oder Schulen.

Beispielgebend möchte ich Ihnen zuletzt noch die Sichtweise einer IT-Leiterin einer sächsischen Stadt dazu nahebringen (sinngemäß zitiert): ‚Wir machen das [Die Testierung des Netzes der Stadtver-waltung] nicht für das KDN, sondern um auch im Schadensfall nachweisen zu können, dass wir alles Erforderliche bzw. sinnvoll Machbare für die Sicherheit unserer Informationstechnik getan haben. Damit können wir auch möglichen Schadenersatzansprü-chen uns gegenüber wirksam begegnen‘. Viel bessere Argumente könnten auch wir für die Notwendigkeit von Maßnahmen zur Informationssicherheit nicht finden.

Der IT-SicherheitsbeauftragteWerner Schulze

Kommunale Informationsverarbeitung Sachsen

Die IT-Sicherheit und der Datenschutz haben eine wachsende Bedeutung im kommunalen Bereich. Mit der Einführung des neuen Kommunalen Datennetzes KDN II wurde die Erstellung einer IT-Sicherheitskonzeption vorausgesetzt. Außerdem wird bei Vorhandensein von Fremdnetzübergängen die Testierung dieser von einem vom BSI-zertifizierten Auditor gefordert (BSI – Bundes-anstalt für die Sicherheit in der Informationstechnik). Die Vorge-hensweise erfolgt dabei nach den Regeln des BSI-IT-Grundschutz. Zur Unterstützung der Kommunen und kommunalen Einrichtun-gen bietet KISA neben Beratungsleistungen auf dem Gebiet der IT-Sicherheit auch die Stellung eines externen IT-Sicherheitsbeauf-tragten an.

Laut BSI ist die Aufgabe eines IT-Sicherheitsbeauftragten die Koor-dination aller IT-sicherheitsrelevanten Maßnahmen. Der IT-Sicher-heitsbeauftragte muss von der Verwaltungsleitung mit der Erstellung und Durchsetzung der Sicherheitsleitlinie und eines Maßnahmepla-nes beauftragt und ermächtigt werden. Er berichtet direkt an die Verwaltungsleitung.

Zu den Aufgaben und Kompetenzen eines IT-Sicherheitsbeauf-tragten gehören im Einzelnen: ‒ Verantwortung für Erstellung und Pflege der Sicherheitsrichtlinie, ‒ Information aller für die IT-Sicherheit verantwortlichen Perso-

nen (Team für Sicherheitsmanagement) und der Leitungsebene über die Integration und den Ablauf des IT-Sicherheitsprozesses,

‒ Kontrolle des sicherheitsrelevanten Informationsflusses von Anwendern und Projekten, sowie angemessene Reaktion darauf,

‒ Verantwortung und Übersicht über die Realisierung der ausge-wählten IT-Sicherheitsmaßnahmen,

‒ Gestaltung von Ausbildungs- und Sensibilisierungsprogram-men für die Mitarbeiter (z. B. Durchführung von Schulungen, Erstellung von Unterlagen),

‒ Weisungsbefugnis in Sicherheitsfragen, ‒ Zugriffsrecht auf alle sicherheitsrelevanten Informationen und

Systeme, ‒ direkter Zugang zu den Mitarbeitern aller Ebenen (inklusive

Verwaltungsleitung) bei sicherheitsrelevanten Ereignissen, ‒ Gewährleistung der IT-Sicherheit im laufenden Betrieb (z. B.

durch Prüfungen der Einhaltung von IT-Sicherheitsmaßnahmen),

227


‒ Leitung von Untersuchungen evtl. auftretender sicherheitsrele-vanter Ereignisse.

Neben der Fähigkeit des IT-Sicherheitsbeauftragten, Aufgaben zielgerichtet zu definieren und zu verteilen, muss dieser Spezial-kenntnisse auf dem Gebiet der IT besitzen und praktische Erfah-rung auf diesem Gebiet vorweisen können.

Der externe IT-Sicherheitsbeauftragte besitzt alle notwendigen Voraussetzungen und wird durch KISA aus- und weitergebildet. Außerdem arbeitet er in verschiedenen Facharbeitsgruppen mit, so z. B. in der FAG Datenschutz und IT-Sicherheit der VITAKO und der AG Informationssicherheit (AG IS) im KDN II.

In diesem Zusammenhang möchten wir auch auf den Infor-mationstag für Datenschutz und IT-Sicherheit hinweisen, den KISA am 18. Oktober 2012 zusammen mit dem Sächsischen Datenschutzbeauftragten für die sächsischen Kommunalver-waltungen durchführt. Es werden vor allem Vorträge zu aktuel-len Themen gehalten, u. a. vom BSI.

Die IT-Sicherheitskonzeption nach BSI-Standard 100-2

Die Erstellung von Sicherheitskonzepten kann nur in enger Zusam-menarbeit mit den Mitarbeitern der Verwaltung und gegebenen-falls mit den betreuenden Firmen erfolgen.

Die IT-Sicherheitskonzeption ist ein Glied in der Kette des IT-Sicher-heitsprozesses und dient zur Erreichung eines Sicherheitsniveaus mit einem vertretbaren Restrisiko. Zu schützendes Gut ist dabei die Information, die vor Verlust von Vertraulichkeit, Verfügbarkeit und Integrität zu schützen ist. Mit einer IT-Sicherheitskonzeption erfolgt auch die Absicherung der Verwaltungsleitung gegenüber Haftungs-risiken. Für das abzusichernde Restrisiko ist eine Rücklage zu bilden.

Initiierung des IT-Sicherheitsprozesses

Verantwortung der Leitungsebene

Konzeption und Planung

Aufbau einer IT-Sicherheitsorganisation

Erstellung der IT-Sicherheitsleitlinie

Bereitstellung von Ressourcen zur IT-Sicherheit

IT-Sicherheitskonzeption

Aufrechterhaltung und Verbesserung

(Quelle: BSI Leitfaden IT-Sicherheit)

Schema zu IT-Sicherheitsprozess

Die Erstellung von IT-Sicherheitskonzepten erfolgt nach der IT-Grundschutz-Vorgehensweise gemäß BSI-Standard 100-2. Diese Vorgehensweise beschreibt eine Methodik, wie IT-Sicherheitskon-zepte auf der Basis von Standard-Sicherheitsmaßnahmen für IT-Lösungen erstellt oder geprüft werden können. Auch zur Realisie-rung von Sicherheitsmaßnahmen und zur Aufrechterhaltung der

IT-Sicherheit im laufenden Betrieb werden umfangreiche Hinweise gegeben.

Die Standard-Sicherheitsmaßnahmen der IT-Grundschutz-Kata-loge bilden eine Basis-Sicherheit, die für normale Sicherheitsan-forderungen angemessen und ausreichend ist. Aber auch für den höheren Schutzbedarf enthalten die IT-Grundschutz-Kataloge Empfehlungen. Unter Umständen müssen diese durch zusätzliche, weitergehende IT-Sicherheitsmaßnahmen ergänzt werden. Ergän-zende Sicherheitsmaßnahmen können beispielsweise auch dann erforderlich sein, wenn spezielle Komponenten verwendet werden, die in den IT-Grundschutz-Katalogen nicht behandelt werden, die aber eine wichtige Rolle für die Gesamtsicherheit des IT-Verbunds spielen (z. B. die EAC-Box in der Meldestelle).

Die wesentlichen Schritte der IT-Grundschutz-Methodik im Überblick:

1. IT-Strukturanalyse

Dieser Arbeitsschritt dient dazu, Informationen über die Infor-mationstechnik des betrachteten Bereichs („IT-Verbund“) zusam-menzutragen. Wichtig ist es, Anwendungen, IT-Systeme und IT-Räume zu erfassen und Abhängigkeiten aufzuzeigen. Dabei sollte man sich auf die wichtigsten Komponenten beschränken und die Ergebnisse übersichtlich darstellen.

2. Schutzbedarfsfeststellung

Das Ziel der Schutzbedarfsfeststellung ist es zu ermitteln, mit wel-chem Aufwand IT-Anwendungen, IT-Systeme, Kommunikations-verbindungen und Räume vor Beeinträchtigungen der Vertraulich-keit, Integrität und Verfügbarkeit geschützt werden müssen. Nur so kann es gelingen, ein ausreichendes Schutzniveau bei möglichst geringen Kosten zu erreichen.

3. Modellierung

Die Modellierung ist der zentrale Arbeitsschritt bei der Anwen-dung von IT-Grundschutz. Die Bausteine der IT-Grundschutz-Kataloge werden bei der Modellierung den existierenden Prozessen und Komponenten („Zielobjekten“) zugeordnet. Die IT-Grund-schutz-Kataloge enthalten eine genaue Beschreibung, wie mit den vorhandenen Bausteinen ein realer IT-Verbund möglichst genau nachgebildet werden kann. Das Ergebnis der Modellierung ist eine umfangreiche Liste mit IT-Sicherheitsmaßnahmen. Mit Hilfe die-ses Maßnahmenkatalogs kann im nächsten Schritt geprüft werden, welche IT-Sicherheitsmaßnahmen in der Realität bereits umgesetzt sind oder wo noch Schwachstellen bestehen (Soll-Ist-Vergleich).

4. Basis-Sicherheitscheck

Es wird geprüft, welche Standard-Sicherheitsmaßnahmen, die in der Modellierung als erforderlich identifiziert wurden, bereits umgesetzt sind und wo noch Defizite bestehen. Hierzu werden Interviews mit den Verantwortlichen und stichprobenartige Kon-trollen durchgeführt.

Das sind die wichtigsten Schritte zur Erstellung einer IT-Sicher-heitskonzeption. Die Konzeption ist als Prozess zu verstehen, da sie ständigen Änderungen unterliegt.

228


Zur Unterstützung bei der Erstellung von IT-Sicherheitskonzepti-onen wurde u. a. vom Bundesministerium des Innern ein Hand-lungsleitfaden für Personalausweisbehörden zur „Entwicklung eines IT-Sicherheitskonzeptes für den elektronischen Personal-ausweis“ verteilt. Ebenso wurde vom Bundesverwaltungsamt ein Vorgehensmodell für das „IT-Sicherheitskonzept für die Örtlichen Waffenverwaltungssysteme (ÖWS)“ mit Einführung des Nationa-len Waffenregisters zur Verfügung gestellt. Anhand dieser Doku-mentationen ist ersichtlich, welcher Aufwand mit einer Konzeption verbunden ist.

Für die Erstellung sollten deshalb auch angebotene Tools verwen-det werden, die besonders für Auswertungen und das Änderungs-management von Vorteil sind. Für Kommunen werden z. B. vom BSI das GS-Tool (z. Z. Version 4.5) und von SerNet verivice (z. Z. Version 1.5.3) kostenfrei zur Verfügung gestellt. Für die Nutzung sind aber Schulungen der Anwender erforderlich.

Als Fazit bleibt festzustellen, dass die IT-Sicherheit in Öffentlichen Verwaltungen immer mehr an Bedeutung gewinnt. Wir als KISA unterstützen sie auf dem Weg zur Umsetzung der Maßnahmen zur Erhöhung der IT-Sicherheit.

Umgang mit SicherheitslückenOlaf Bretschneider, Kay Hirschfeld

Eigenbetrieb IT-Dienstleistungen der Landeshauptstadt Dresden

Informationssicherheit ist neben Cloud Computing seit eini-gen Jahren eines der angesagtesten Themen der Informations-technologie. Nahezu täglich finden sich in Fach- oder Massen-medien Berichte über Datendiebstähle oder von Hackerangriffen auf IT-Systeme. Unter anderem sind Sicherheitslücken in Soft-ware geeignete Mittel, um in diese einzudringen. Dieser Artikel beschreibt unsere Erfahrungen mit Sicherheitslücken und gibt einen kleinen Einblick, welche Mittel zur Abwehr genutzt wer-den können.

In Kommunen und Verwaltungen werden viele Daten mit Bezug zu Personen verarbeitet. Gesetzliche Grundlage zur Datenverarbei-tung ist das Sächsische Datenschutzgesetz (SächsDSG). Wichtige Begriffe sind darin in § 9 Maßnahmen zur Gewährleistung des Datenschutzes definiert. Diese Definitionen für Schutzziele kann man ohne Weiteres auch auf Daten und Informationen ohne Per-sonenbezug anwenden.

Neben dem Datenschutzgesetz gibt es bezüglich der Informations-sicherheit einschlägige Normen, deren Umsetzung und Anwen-dung zu empfehlen ist. In Deutschland werden bei Bund und Ländern vor allem die IT-Grundschutzkataloge des Bundesam-tes für Sicherheit in der Informationstechnik (BSI) angewendet. International sind die Normen der ISO/IEC 2700x-Reihe, welche Anforderungen an Informationssicherheits-Managementsysteme und ein entsprechendes Management für IT-Risiken stellen, ver-breiteter. Das BSI hat mit den BSI-Standards 100-1 bis 100-4 mit der ISO/IEC 27001 kompatible nationale Normen1 auf Basis der IT-Grundschutzkataloge veröffentlicht. Weiterhin gibt es in den gängigen Modellen und Richtlinien zum IT-Service-Management (z. B. ITIL) Bezüge zum Schutz der Informationen, die mit der

1 BSI, IT-Grundschutz-Standards

ISO/IEC 27001 vergleichbare Anforderungen zum Management der Informationssicherheit definieren.

Sicherheitslücken

Jede Software hat Fehler, denn statistisch sind pro 1.000 Zeilen Programmcode zwei Fehler vorhanden, von denen etwa 30 % Angriffe ermöglichen2. Wie oben schon erwähnt, sind diese Fehler (Sicherheitslücken) ein geeignetes Mittel, um in IT-Systeme einzu-dringen. Dabei muss man zwischen bekannten und unbekannten Sicherheitslücken unterscheiden. Bei bekannten Sicherheitslücken bietet der Hersteller im besten Fall eine Aktualisierung an, die diese schließt, im schlechtesten Fall nicht.

Einen technischen Schutz vor unbekannten Sicherheitslücken gibt es nicht. Wird eine unbekannte Schwachstelle ausgenutzt, dann kann nur das Verhalten des Angreifers oder der eingeschleusten Schadsoftware auf einen Angriff hindeuten. Häufig wähnt man sich mit einer Anti-viren-Software auf der sicheren Seite. Man muss dabei aber beachten, dass für das Ausnutzen unbekannter Sicherheitslücken neue Schad-software geschrieben oder vorhandene angepasst wird. Antiviren-Soft-ware erkennt relativ zuverlässig aber nur bekannte Schadsoftware. Für die Erkennung unbekannter Schadsoftware nutzen Anti-Viren-Her-steller heuristische Verfahren, diese sind aber nur mäßig erfolgreich3. Durch die Kombination von Sicherheitsmaßnahmen (z. B. Arbeiten mit Benutzerrechten, Firewall) kann das Risiko reduziert werden, dass unbekannte Sicherheitslücken ausgenutzt werden.

Es ist davon auszugehen, dass bekannte Schwachstellen auch ausge-nutzt werden. Microsoft schätzt, dass 30 Tage nach Veröffentlichung

2 Sisyphus im Informationszeitalter, http://datenschutz-individuell.de/dateien/software_aktuell_halten.pdf

3 c’t 20/2011, Schutzschirme für Windows, http://www.heise.de/ct/artikel/Schutzschirme-fuer-Windows-1338363.html (Leseprobe)

229


eines Patches und damit der Sicherheitslücke ein Exploit4 existiert5. Besonders gefährdet sind IT-Systeme, welche direkt über das Inter-net angreifbar sind (z. B. aus dem Internet erreichbare Server) oder IT-Systeme, mit denen die Mitarbeiter das Internet nutzen. Ein phy-sischer Zugriff auf das Angriffsziel ist also nicht nötig, die Gefahr für den Angreifer erkannt oder erwischt zu werden, damit deutlich geringer.

Die beste Schutzmaßnahme gegenüber bekannten Sicherheitslücken ist, die Lücke durch einen Patch des Herstellers zu schließen. Kritisch wird es, wenn der Hersteller keinen Patch anbietet oder zu spät liefert. Eventuell können Übergangslösungen kurzfristig das Ausnutzen der Sicherheitslücke erschweren oder verhindern. Oft erfolgt das durch Abschalten von Funktionen und ist damit nicht immer möglich.

Um einfacher auf bekannte Sicherheitslücken reagieren zu kön-nen, empfiehlt es sich, ein aktives Patchmanagement zu betreiben. Damit sind die organisatorischen und technischen Voraussetzungen geschaffen, um Softwareaktualisierungen oder auch Übergangs-lösungen zentral bereit zu stellen und in der gesamten Infrastruk-tur auszurollen. Es ist wichtig, neben den Betriebssystemen (z. B. Windows XP, Windows 7), auch alle anderen Softwareprodukte zu beachten. Besonderes Augenmerk sollte dabei auf Software gelegt werden, die sich in den Internet Browser integrieren (Plug-In, Acti-veX), z. B. Adobe Flash Player, Adobe PDF Reader und Java.

Sicherer IT-Betrieb und Software-Updates

Nachdem dem geneigten Leser nun offengelegt wurde, wozu es ein Patchmanagement braucht und woher diese Anforderungen über-haupt grundlegend kommen, sollen die kommenden Absätze etwas tieferen Einblick bieten und auch Erfahrungen aus der eigenen Arbeit im Bereich Informationssicherheit in der Landeshauptstadt Dresden widerspiegeln.

Wie bereits erwähnt, berichten Medien verschiedenster Art immer häufiger über Hackerangriffe, Sicherheitslücken oder gar Super-viren. Da Software, seien es nun Betriebssysteme oder am Ende nur das kleine Textverarbeitungsprogramm auf Ihrem Rechner, nie völlig sicher oder gar fehlerfrei sein wird, bieten verschiedenste Hersteller Servicepacks, Patches, Updates, Upgrades etc. an. Doch was ist das eigentlich alles und wozu wird es überhaupt benötigt?

Begriffsbestimmungen

Patches (Nachbesserungen) sind Korrekturpakete für Software, um beispielsweise Sicherheitslücken oder Funktionsfehler zu beheben oder gar kleinere, neue Funktionen nachzurüsten. Die Begriffe Updates, Hotfixes oder Bugfixes werden hierfür ebenfalls häufig verwendet und weisen nur kleine, spezifische Unterschiede auf-grund von Bestimmung und Funktion im Bezug auf ihre sprachli-che Verwendung zueinander auf.

4 Exploits (englisch to exploit „ausnutzen“) sind Programme, die Sicherheitslü-cken und Fehlfunktionen von Software auszunutzen, um sich zu Ressourcen Zugang zu verschaffen oder Systeme zu beeinträchtigen. (Quelle: Wikipedia.de)

5 Sisyphus im Informationszeitalter, http://datenschutz-individuell.de/dateien/software_aktuell_halten.pdf

Upgrades hingegen sind Produktänderungen, welche im Allgemei-nen eine größere Auswirkung sowohl auf den Funktionsumfang oder auch Konfigurationseinstellungen haben.

Servicepacks (Wartungspakete) sind Zusammenstellungen von Pat-ches zur Aktualisierung von Software. Neben der Optimierung von Stabilität und Geschwindigkeit, als auch auf saubere Arbeitsweise, werden hier häufig darüber hinaus auch neue Produktfunktionen integriert.

Produktlebenszyklen

Schaut man sich die Struktur der Landeshauptstadt Dresden (LHD) einmal an, erkennt man, dass es hier neben verschiedenen der Oberbürgermeisterin zugeordneten Referaten und Ämtern, Geschäftsbereiche gibt, denen wiederum andere Ämter zugeordnet sind. Somit ist sicherlich für jeden ersichtlich, dass es durch diese Hierarchie eine Menge an verantwortlichen Personen in den unter-schiedlichen Bereichen gibt, die versuchen, ihre Aufgaben- und Interessensgebiete zu vertreten. Hinzu kommt, dass es in jedem Amt einen sogenannten IT-Koordinator gibt, welcher der IT-Sys-tembetreuer für die IT-Technik der jeweiligen Ämter ist.

Der Eigenbetrieb IT- und Organisationsdienstleistungen (EB ITO) als zentraler IT-Dienstleister der Landeshauptstadt Dresden ist für die Sicherstellung der Verfügbarkeit der IT- und TK-Sys-teme der Dresdner Stadtverwaltung sowie die Weiterentwicklung der städtischen IT- und TK-Systemlandschaft zuständig. Somit ergibt sich der Anspruch, als auch die Zuständigkeit, beispielsweise den sicheren Betrieb des Netzwerkes zu gewährleisten. Deshalb sind wir darum bemüht, sowohl Betriebssysteme, als auch Anwen-derprogramme auf einem aktuellen Stand zu halten. Damit dies umgesetzt werden kann, ist es notwendig, vorab genannte Software mit den entsprechenden Servicepacks zu versehen, da ein Groß-teil der Hersteller anderenfalls ab einem gewissen Zeitpunkt keine Updates mehr für das Produkt anbieten kann. Microsoft beispiels-weise besitzt sogenannte Life-Cycles, auf Deutsch Lebenszyklen, die auf nachfolgender Herstellerseite einzusehen sind.

http://support.microsoft.com/gp/lifeselect

Auf dieser Internetseite ist zu erkennen, dass Microsoft die Unter-stützung des vorangegangenen Service-Packs nach der Veröffent-lichung eines neuen noch für 12 bzw. 24 Monate aufrecht erhält. Unsere Aufgabe ist es nun, gemeinsam mit Hilfe der IT-Koordina-toren auch bei künftigen Erscheinungen von neuen Service-Packs zeitnah die Installation zu veranlassen, um geschützt und funkti-onsfähig im Netz der LHD arbeiten zu können.

Wer nun aufmerksam gelesen hat und auch kritisch hinterfragt, stellt sich ab hier die Frage, wo denn hier das Problem liegen könnte, denn Patches werden ja schließlich auch ohne Weiteres über das Patchmanagement verteilt.

230


Warum installiert der EB ITO also nicht einfach automatisch die Service-Packs? Die Antwort ist recht einfach. Rein technisch wäre es möglich, die Service-Packs einfach auf den entsprechenden Rechnern zentral gesteuert installieren zu lassen. Jedoch gibt es einerseits verschiedenste Netzwerkanbindungen, als auch unterschiedlichste Altersklassen an Technik in der LHD und andererseits darf man den Aspekt der Interoperabilität6 nicht außer Acht lassen.

Nehmen wir an, ein Mitarbeiter hat eine langsame Netzwerkan-bindung oder einen Rechner, der nur noch bedingt dem Stand der Technik entspricht. Wie lange müsste er wohl warten, um wieder arbeitsfähig zu sein?!

Weiterhin gilt es zu bedenken, dass manche Neuerungen auch in Form eines kleinen eingebundenen Updates möglicherweise auch fehlende Interoperabilität zu anderen Softwarekomponenten bedingen können und plötzlich möglicherweise bestimmte Verfah-ren nicht mehr laufen. Dies muss deshalb vorher ausreichend getes-tet und ausgeschlossen werden.

Wie obenstehend ersichtlich, bedarf es bei einer Struktur, in der es hierarchisch gesehen viele Verantwortlichkeiten mit verschiedenen Aufgabengebieten und daher natürlich auch schon einmal unter-schiedlichen Interessen und Befindlichkeiten gibt, auch immer einer guten Zusammenarbeit und einer gemeinsamen Kommuni-kationsebene. Auf die Mitarbeit der entsprechenden IT-Koordi-natoren in den einzelnen Ämtern sind wir somit auch immer mit angewiesen. Auch künftig wird der EB ITO somit auf dieser Ebene die IT-Koordinatoren rechtzeitig auf das Erscheinen neuer Service-packs hinweisen und darum bitten, diese in ihren Ämtern auf Ver-träglichkeit mit den dort verwendeten Verfahren zu testen.

Gute Zusammenarbeit ist alles

Ein spezifisches Beispiel zu vorangegangener Problematik stellt der Ablauf des Supportes für den Internet Explorer 6 und Windows XP mit Service-Pack 2 dar, mit dem eine entsprechende Umstel-lung in der LHD nötig war. Seit Ablauf des Supports erhielten die noch nicht entsprechend umgestellten Rechner keine Sicherheits-updates mehr. Diese enthielten somit bekannte Sicherheitslücken und gefährdeten potenziell den sicheren Betrieb des städtischen Kommunikationsnetzes.

Durch die Unterstützung der IT-Koordinatoren in den Ämtern wurden die Rechner mit Windows XP Service-Pack 2 (XP SP2) und/oder Internet Explorer 6.0 (IE6) auf SP3 bzw. IE8 umgestellt. Abbildung 1 zeigt die Anzahl der Rechner, die zum entsprechen-den Zeitpunkt noch vorhandene Installationen von unsupporte-ter Software besaßen und den Umstellungserfolg, der sich in nur einem Monat eingestellt hatte.

Für die verbliebenen Rechner, deren absoluter Anteil jeweils am kleineren Balken im Diagramm in Abbildung 1 zu erkennen ist, wurde eine Frist gesetzt, bis zu der diese umzustellen waren. Mit Ende der Unterstützung von IE6 und Windows XP SP2 wurde den

6 Interoperabilität bezeichnet in diesem Fall die Fähigkeit der Zusammenarbeit und Koexistenz zwischen verschiedenen Softwarekomponenten, die sich somit nicht in Betriebs- und Funktionsfähigkeit negativ beeinflussen.

Arbeitsplätzen mit dieser Softwareausstattung der Zugang zum Kommunikationsnetz auf technischer Basis verwehrt.

Aber all diese Problemstellungen sind nichts im Gegensatz dazu, mehr als 6.000 Rechner auf ein neues Betriebssystem updaten zu wollen. Bei einer solchen Umstellung gibt es eine Menge zu beachten. In der Landeshauptstadt Dresden wurde bisher nicht auf jedes neue Betriebssystem umgestellt, sondern ein Zyklus gefahren, der einen Wechsel ca. aller zwei Versionen vorsah. Bisher fuhr man damit auch recht gut, wenn man bedenkt, dass man somit Windows Vista, als auch Windows ME erfolgreich auslassen konnte, welchen doch eine recht geringe Nutzerakzeptanz nachgesagt wird. Nach den entspre-chenden Vertragsverhandlungen und auch der schwierigen Wahl, welche Version denn nun eingesetzt werden solle, entschied man sich am Ende für Windows 7 Enterprise. Nachdem im Dezember 2010 das Sicherheitskonzept zur Absicherung von Windows-7-Clients in der zukünftigen Infrastruktur der Landeshauptstadt Dresden erar-beitet wurde, folgte am 1. Oktober 2011 die offizielle Freigabe von Windows 7 Enterprise (vorerst in der 32-Bit-Version). Neben vor-angehend eingesetzten Testclients in den Ämtern, um Erfahrungen für den Einsatz in der gesamten LHD sammeln zu können, gab es die ersten Umsetzungen zur Nutzung der in dieser Betriebssystem-Edition zusätzlich gelieferten, bordeigenen Mittel.

Applikationskontrolle und mehr...

Eines dieser Features, welches durch Windows 7 Enterprise mit-geliefert wird, ist das des AppLockers. Dieser ermöglicht es, ein ungehindertes Ausführen von unsignierten ausführbaren Dateien, Installern als auch Skripten zu verhindern. Pfadregeln für die Überprüfung zu nutzen, wurde hier unter Betrachtung einer Auf-wand-Nutzen-Abschätzung als ein zu geringer Sicherheitszuwachs und die Verwendung von Hashwerten als impraktikabel bezüg-lich des Gesamtaufwandes eingeschätzt. Mit Hilfe von signierten

Abbildung 1: Umstellungserfolg nicht mehr supporteter Software innerhalb eines Monats

231


Dateien und einer entsprechenden Verteilung über eine Software-Verteilungsplattform, kann somit über ein sog. Whitelisting7 auch die Ausführung von unsignierten Dateien auf mobilen Datenträ-gern, wie beispielsweise USB-Sticks, verhindert werden.

Wozu brauche ich aber nun ein solches Feature, wenn ich doch Anti-Viren-Systeme im Einsatz habe? Die Antwort liegt ganz einfach auf der Hand. Anti-Virenhersteller sind zwar meist sehr schnell im Verteilen neuer Signaturen, können aber jedoch nicht immer einen 100 %igen und zeitnahen Schutz gegen neue Bedro-hungen bieten. Einen weiteren Vorteil bietet das Feature im Bezug auf die Applikationskontrolle, da folglich nur noch freigegebene Software auf den Rechnern installiert werden könnte und man so einen besseren und genaueren Überblick hätte. Man erinnere sich hier an die Struktur der Landeshauptstadt Dresden und die Schwierigkeit als Dienstleister, einerseits den Kunden vor Gefahren unter Nutzung von bestimmten Sicherheitsmechanismen zu schüt-zen, aber andererseits den Auftraggeber nicht einschränken und zufrieden stellen zu wollen. Eine verringerte Anzahl an Support-anfragen, durch eventuell nicht vorhandene Interoperabilität oder andere Systemeinträge, die durch installierte Programme, die nicht dem Standard entsprechen, verursacht werden, wäre dadurch eben-falls wahrscheinlich. Getreu dem Motto „Keep your system clean.“.

Denken wir nun noch einmal zurück an das Beispiel mit der Umstellung auf Windows XP SP3 und Internet Explorer 8. Durch die Laufzeit von Zertifikaten wäre es möglich gewesen, dies eben-falls abzufangen, denn Software, die auf einem alten Stand und somit „out of Support“ ist und nicht mehr mit Updates versorgt wird, würde somit automatisch mit dem Auslaufen der Zertifikate nicht mehr funktionieren. Gewünschter Nebeneffekt ist somit, dass sich die entsprechenden IT-Koordinatoren viel zeitnaher um eine entsprechende Umstellung kümmern können.

Ein eigenes Patchmanagement für Softwareanwendungen aufbauen

Im Vergleich zu Microsoft bieten viele Hersteller keine zentrale Mög-lichkeit zum Patchmanagement für ihre Produkte an. Der EB ITO möchte aber dafür sorgen, dass stets die aktuellsten Versionen der Produkte zentral gesteuert bereitgestellt werden und Versionen mit bekannten Sicherheitslücken nicht mehr zur Anwendung kommen.

Zwar haben die meisten Softwareanwendungen mittlerweile eine eigene Aktualisierungsfunktion, aber gerade in Unterneh-mensnetzwerken gibt es damit Probleme bei der Umsetzung. Die soll anhand des Adobe Flash Players, der sich als Plug-In in ver-schiedenen Internet Browser integriert, um Multimedia-Inhalte anzuzeigen, verdeutlicht werden. Der Adobe Flash Player ist für Angreifer interessant, da sich darin vorhandene Sicherheitslücken meist unabhängig vom verwendeten Browser oder Betriebssystem ausnutzen lassen und sich das Angriffsziel allein durch den Aufruf einer Webseite attackieren lässt.

Die von Adobe für den privaten Einsatz nützliche Aktualisierungs-funktion kann in Unternehmen nicht eingesetzt werden, da die

7 Whitelist, zu Deutsch „Weiße Liste“ ist eine Positivliste, welche in der Informa-tionstechnik gleiche Elemente (in unserem Beispiel Softwarekomponenten) zu einer Gruppe zusammenfasst, welche als vertrauenswürdig erachtet werden

Nutzer aufgrund ihrer Berechtigungen häufig keine Softwareinstal-lation und somit auch keine Aktualisierungen durchführen können. Um nun für den Adobe Flash Player ein zentrales Patchmanagement im eigenen Unternehmen aufzubauen, benötigt man als Erstes eine Informationsquelle, die einen regelmäßig über neue Aktualisierun-gen informiert. Es bietet sich an, dass die verantwortlichen Mitar-beiter regelmäßig die Webseiten von Adobe auf Aktualisierungen prüfen. Noch besser ist es, sich von Adobe regelmäßig über Aktuali-sierungen informieren zu lassen, z. B. per Newsletter oder RSS-Feed.

Sobald Aktualisierungen bereitstehen, werden diese heruntergela-den und in die zentrale Softwareverteilung integriert. Direkt nach Verfügbarkeit dieses Software-Paketes wird die Aktualisierung auf Testrechner ausgerollt, um die korrekte Installation und die Funk-tion des Produktes zu testen. Gibt es keine Probleme, dann wird diese Aktualisierung freigegeben und auf alle Rechner ausgerollt, die Adobe Flash Player installiert haben.

Im Jahr 2008 wurde in der Landeshauptstadt Dresden die zentrale Bereitstellung mit Version 10 des Adobe Flash Players eingeführt. Bis dahin wurde auf Rechnern die Installation durch Administrato-ren oder IT-Koordinatoren dezentral durchgeführt. Aufgrund der Benutzerberechtigungen war eine Aktualisierung durch die Mitar-beiter nicht möglich. Adobe hat im Zeitraum zwischen 2006 und 2009 allein innerhalb der Versionsreihe des Flash Players 9 mehr als 30 verschiedene Aktualisierungen veröffentlicht. So viele Versi-onswechsel und die Masse der Installationen haben dafür gesorgt, dass sich in kürzester Zeit eine große Versionsvielfalt eingestellt hat. Die nachfolgenden Abbildungen zeigen die Verteilung der ver-schiedenen Versionen vor (Abbildung 2) und nach (Abbildung 3) der zentralen Bereitstellung. Dieser Vergleich zeigt eindrucksvoll, dass sich die Anzahl der Versionen mit bekannten Sicherheitslü-cken dramatisch reduziert hat. Vor der zentralen Bereitstellung waren auf fast allen PCs Versionen mit bekannten Sicherheitslü-cken installiert, denn zum Zeitpunkt der Datenerhebung wurde die Aktualisierung auf Version 9.0.151.0 durchgeführt, die Adobe wenige Tage vorher veröffentlicht hat.

Abbildung 2: Verteilung der verschiedenen Versionen von Adobe Flash Player vor der zentralen Bereitstellung (Stand 2008)

232


Dieses Beispiel zeigt deutlich, dass ein zentral gesteuertes Patchma-nagement zeitnah bekannte Sicherheitslücken schließt. Zudem ist

es für die IT-Koordinatoren viel einfacher geworden, denn sobald zentral bereitgestellte Pakete verwenden werden, müssen diese sich nicht mehr um die Aktualisierung der einzelnen Rechner küm-mern und werden somit entlastet.

Fazit

Um bekannte Sicherheitslücken zeitnah zu beseitigen oder das Risiko von deren Ausnutzung zu reduzieren, sind Aufbau, Nutzung und Weiterentwicklung eines zentral gesteuerten Patchmanagements sehr wichtig. Trotz aller vorhandenen Sicherheitsmaßnahmen muss man immer damit rechnen, dass Software nicht wie erwartet funkti-oniert und z. B. unbekannte Sicherheitslücken aufweist. Aus diesem Grund ist es wichtig, Sicherheitsmaßnahmen kaskadiert aufzubauen. Durch eine gut abgestimmte Aufgabenteilung und eine gemeinsame Kommunikationsebene auf Basis einer guten Zusammenarbeit wird die Arbeit auch in Kommunen mit komplexerer Hierarchie verein-facht, der Aufwand für Administratoren reduziert und gleichzeitig ein höheres Sicherheitsniveau erreicht.

Sicherer Umgang mit InformationenErfahrungen der Stadtverwaltung Pirna im Umgang mit IT-Sicherheit

Heiko DittrichStadtverwaltung Pirna

Maßnahmen zur IT-Sicherheit werden häufig mit dem Argument abgelehnt, dass sie hinderlich für den Arbeitsablauf seien, die Pro-zesse unnötig verlangsamen und verkomplizieren würden.

Dabei ist diese Begründung durchaus nachvollziehbar, es ist auch einfacher mit vollbepackten Händen durch die offene Wohnungs-tür zu laufen statt vorher mit umständlichen Verrenkungen nach dem Wohnungsschlüssel suchen zu müssen, um sie aufzuschließen.

Sicher fährt es sich auch ohne Sicherheitsgurt im Auto bequemer als angeschnallt in den Sitz gedrückt zu werden.

Sicherheit begegnet uns in fast allen Lebensbereichen und ist zum Teil selbstverständlich geworden. Oder wundert sich noch jemand über stundenlanges Anstehen an den Sicherheitskontrollen an Flughäfen?

IT-Sicherheit dagegen ist für viele ein Buch mit sieben Siegeln. Die meisten Mitarbeiter denken, das sei ausschließlich Sache der IT-Spezialisten. Und es kommt teilweise noch schlimmer. Einige behaupten sogar, dass die von Administratoren und IT-Sicherheits-fachleuten heraufbeschworenen Gefahren nur erdacht seien, damit die hohen Kosten für technisches „Spielzeug“ begründet werden können.

Betrachtet man die Thematik jedoch etwas genauer und geht den beiden Fragen nach: „Was schützen wir eigentlich?“ und „Wovor schützen wir es?“, dann stellt man fest, eigentlich ist es nichts Neues, es ist nur anders verpackt.

Es gilt Informationen zu schützen, die früher in Form von Papier-dokumenten im Tresor oder wenigstens im verschlossenen Akten-schrank aufbewahrt wurden. Das Neue daran ist nur die Art der Aufzeichnung von Informationen, die digitale Speicherung. Sie hat mittlerweile in allen Kommunen zusätzlich zur herkömmlichen Art der schriftlichen Aufzeichnung Einzug gehalten.

Aufgabe der IT-Sicherheit ist es, diese in digitaler Form aufgezeich-neten Informationen zu schützen und zwar vor genau denselben Gefahren wie die „Papierdaten“. Die Gefahren sind u. a. Vernich-tung, Manipulation, Diebstahl, Missbrauch etc.

Durch die mit dem Internet verbundene Globalisierung des Infor-mationsaustausches ist mit einem immer schnelleren Wachsen des Gefährdungspotentials zu rechnen.

Dabei erscheint es logisch, dass durch eine andere Technologie der Informationsspeicherung auch andere Schutzmaßnahmen notwen-dig sind. Jedoch gehören zur IT-Sicherheit nicht nur hochkomplexe kryptographische Verschlüsselungssysteme oder komplizierte Wie-derherstellungsverfahren digitaler Speichermedien, sondern auch bekannte und für jeden nachvollziehbare Maßnahmen.

Beispielsweise befasst sich der Baustein B1.1 des IT-Grundschutz-kataloges des Bundesministeriums für Informationssicherheit (BSI) ausschließlich mit organisatorischen Maßnahmen, wie der Zutrittskontrolle von Räumen, den geeigneten Einsatz von Betriebsmitteln oder den Zuständigkeiten innerhalb einer Organi-sationsstruktur. Ob sich in dem Raum, für den der Zutritt geregelt

Abbildung 3: Verteilung der verschiedenen Versionen von Adobe Flash Player nach der zentralen Bereitstellung (Stand 2008)

233


sein sollte ein Server- oder ein Aktenschrank befindet, ist für den Schutzbedarf der Informationen völlig ohne Belang.

Das Beispiel macht deutlich, dass IT-Sicherheit nicht zwangsläufig immer ein hochkomplizierter technischer Prozess sein muss. Jede Kommune kann mit einfachen Maßnahmen bereits einen gewissen Grundschutz erreichen.

Bedingt durch die elektronische Speicherung der Informationen,geht es aber nicht ohne elektronische Sicherheitsmaßnahmen. Diese sind, abhängig von den eingesetzten Systemen zur elektronischen Datenverarbeitung, durchaus komplex und erfordern ein hohes Maß an Fachwissen.

Genau an dieser Stelle scheiden sich die Geister. Da es schwer ver-ständlich ist, was da geschieht, sinkt die Akzeptanz der Mitarbeiter, wenn es zusätzlich zu Einschränkungen im Arbeitsablauf kommt.

Nach den Erfahrungen der Stadt Pirna sollte genau hier das Sicher-heitskonzept einsetzen. Durch gezielte Maßnahmen wie Schu-lungen, Informationen, nachvollziehbare Arbeits- und Dienstan-weisungen ist es möglich, das Bewusstsein der Mitarbeiter für die Notwendigkeit von technischen Maßnahmen zur IT-Sicherheit zu schärfen.

Als sich die Verantwortlichen der Stadtverwaltung das erste Mal intensiv mit IT-Sicherheit beschäftigt haben, stand auch bei uns der technische Aspekt im Vordergrund.

Anfang 2008 stellte sich für die Stadt Pirna die Frage nach dem Anschluss an das KDN II, dem kommunalen Datennetz in Sach-sen. Es bietet ein geschütztes Behördennetz mit eigener Infrastruk-tur. Die hohen Anforderungen an die Informationssicherheit, die an die Infrastruktur des KDN II gestellt wurden, müssen auch von den angeschlossenen Kommunen eingehalten werden – das Prinzip des schwächsten Gliedes in der Kette.

Wenn eine Kommune außer dem Anschluss an das KDN II weitere Netzzugänge (Fremdnetzanschlüsse) betreibt, stellt der Betreiber des KDN II für den Anschluss bestimmte Bedingungen an die IT-Sicherheit.

Aufgrund zahlreicher Außenstellen, die über das öffentliche Netz (Internet) an das Netz der Stadtverwaltung gekoppelt waren, konnte nicht auf die Fremdnetzzugänge verzichtet werden.

Die Stadt Pirna musste nachweisen, dass der BSI-Grundschutz für einen normalen Schutzbedarf abgesichert ist und dass die Bestim-mungen des Bundes Datenschutzgesetzes (BDSG) und des Sächsi-schen Datenschutzgesetzes (SächsDSG) eingehalten werden.

Voraussetzung dafür war ein IT-Sicherheitskonzept, welches den Schutzbedarf der Daten und die notwendigen Maßnahmen zu des-sen Erfüllung beschreibt. Die Anschlussbedingungen schrieben eine Testierung durch einen vom BSI lizensierten Autor vor.

Im Laufe des Jahres 2008 erarbeiteten die Mitarbeiter des Fach-dienstes IT- und Organisationsmanagement gemeinsam mit IT-Sicherheitsexperten des Zweckverbandes Kommunale Informa-tionsverarbeitung Sachsen (KISA) dieses Konzept. Der Schwer-punkt lag dabei auf der Absicherung der Datennetze, also zunächst einmal auf einem rein technischen Gebiet – so schien es. Die

Empfehlungen des BSI-Grundschutzhandbuches, aber auch eigene Erfahrungen machten uns bewusst, dass die gestellten Anforde-rungen nicht allein durch technische Maßnahmen erreicht werden können.

Ohne das Verständnis der Mitarbeiter, aber vor allem die Einsicht in die Notwendigkeit durch die Behördenleitung, ist ein umfassen-der Schutz der digitalen Informationen nicht umsetzbar.

Vielen leitenden Angestellten ist offensichtlich nicht bewusst, dass das Haftungsrisiko bei durch Informationsverlust entstehenden Schäden allein bei der Behördenleitung liegt. Sie sollte also ein gesteigertes Interesse an einem funktionierenden IT-Sicherheits-konzept haben.

Demnach wurde auch in der Stadtverwaltung Pirna dem BSI-Grundschutz-Bausteinen Management (B1.0), Organisation (B1.1) und Personal (B1.2) ein erhöhter Stellenwert beigemessen.

Als Orientierung für die Mitarbeiter wurde eine IT-Sicherheits-Leitlinie erstellt und durch die Behördenleitung in Kraft gesetzt. Dienst- und Geschäftsanweisungen wurden hinsichtlich der IT-Sicherheitsaspekte überarbeitet oder neu erstellt. Für die Mitarbei-ter fanden zusätzlich Informationsveranstaltungen statt. Jeder neue Mitarbeiter, egal ob Auszubildender, Praktikant oder Festangestell-ter erhält zu Beginn seiner Tätigkeit eine einstündige Einweisung und Belehrung über das Verhalten in Bezug auf IT-Sicherheit.

Damit die definierten Maßnahmen auch eingehalten werden, wurde ein externer Sicherheitsbeauftragter bestellt, der die Leitungsebene in allen Belangen der IT-Sicherheit unterstützt und berät. Weiter-hin definiert er gemeinsam mit der Verwaltung Sicherheitsziele und überwacht deren Einhaltung. Eine weitere wichtige Aufgabe des IT-Sicherheitsbeauftragten besteht in der Weiterbildung der Mitarbeiter und der Stärkung des Bewusstseins im Handeln eines jeden Einzelnen. Auf Basis regelmäßiger Prüfungen erstellt der IT-Sicherheitsbeauftragte Berichte über den aktuellen Stand und legt sie der Behördenleitung vor.

So wurde im Mai dieses Jahres ein Bericht erstellt, der der Stadtver-waltung Pirna ein sehr gutes Testat der IT-Sicherheits-Maßnahmen und deren nachhaltige Umsetzung bescheinigt.

Dabei wird die Prüfung nicht nur als Überwachung und Qualitäts-kontrolle betrachtet, sondern auch als Gelegenheit Schwachstellen aufzudecken, um diese im Anschluss beheben zu können. Dabei ist die externe Prüfung ein gutes Mittel gegen Betriebsblindheit.

Externe Audits beinhalten zudem auch aufwendige technische Prüfungen der Netzwerksicherheit, sogenannte Penetrationstests, die aufgrund des erforderlichen Fachwissens sowie des teuren und komplizierten Equipments durch das eigene Personal nicht durch-geführt werden können. Bei diesen Tests werden Angriffe von außen auf das lokale Netz simuliert und die gefundenen Löcher dokumentiert. Dabei stellte man fest, dass man einem wenig beachteten Server wieder einmal ein Update spendieren sollte.

Trotz aller Bedrohungsszenarien durch externe Angriffe kann man sagen, dass die größte Gefahr für ein lokales Datennetz von innen heraus entsteht. Das liegt schon allein an der Tatsache, dass die externen Zugänge überschaubar sind und zentral überwacht wer-den können.

234


Dies soll heißen, der Haupteingang eines Gebäudes lässt sich durch einen Wachschutz und entsprechende Sicherheitskontrollen leicht kontrollieren. Sicherzustellen, dass innerhalb des Gebäudes die Fenster geschlossen oder zumindest nicht unbeaufsichtigt geöffnet werden, ist dagegen schwieriger. Dabei sei der Fall, dass jemand das Fenster öffnet, um jemanden hereinzulassen, gar nicht zu betrach-ten. Auch das kann aus eigenen Erfahrungen gesagt werden: Die kriminelle Energie ist nicht der entscheidende Faktor um Schutz-maßnahmen gegen innere Gefährdungen ergreifen zu müssen. Der weitaus größte Teil des Bedrohungspotentials beruht unseres Erachtens auf Unwissenheit und Leichtsinnigkeit.

Das Verständnis für diese teilweise unpopulären Maßnahmen ist durchaus vorhanden, man muss die Notwendigkeit nur verständ-lich erklären und das in regelmäßigen Abständen. Letzteres ist besonders bei einem funktionierenden Sicherheitskonzept wichtig, denn wenn nichts passiert, besteht die Gefahr, dass man leichtsin-nig wird und die eine oder andere Sicherheitsvorkehrung schleifen lässt.

Um die Verantwortung für die Sicherheit der Informationen nicht allein auf die Schultern der IT-Verantwortlichen zu legen, ist Pirna den Weg gegangen, für jedes Fachverfahren die Rolle eines fach-lichen (Verfahrensverantwortlichen) und eines systemtechnischen (Systembetreuer) Verantwortlichen personell zu besetzen.

Dabei ist es möglich, dass ein Mitarbeiter mehrere fachliche oder systemtechnische Rollen ausüben kann. Die Bündelung von fachlichen und systemtechnischen Aufgaben auf einen Mitar-beiter findet aufgrund der jeweils notwendigen fachspezifischen Kenntnisse nicht statt. Geht es also um den Schutz der mit einem Fachverfahren erhobenen und verarbeiteten Daten, gibt es immer zwei Ansprechpartner, wobei sich die fachliche Seite mehr um die Inhalte (Was gilt es zu schützen?) und der Systembetreuer die tech-nischen Gefahrenpotentiale und deren Minimierung kümmert.

Die Mitarbeiter des Fachdienstes IT- und Organisationsmanage-ment sehen sich ständig neuen Herausforderungen ausgesetzt. In immer kürzeren Abständen kommen neue Technologien auf den Mark, die einem das Arbeitsleben erleichtern sollen. Glaubt man den Vertriebs- und Marketingleuten, kann man ohne diese schö-nen neuen Dinge seine Arbeit eigentlich gar nicht mehr erledigen. Doch braucht man diese wirklich? Sicherlich sind nicht alle neuen Möglichkeiten als pure Spielerei abzutun, die Sinnhaftigkeit sollte vor der Freigabe aber auf jeden Fall gründlich geprüft werden. Mit jeder Neuheit ist meistens auch eine neue Gefahr des Missbrauchs

verbunden – in der technischen Entwicklungsgeschichte der Menschheit hat sich dies leider als beständige Tatsache herausge-stellt.

Solche Herausforderungen sind zum Beispiel die dienstliche Nut-zung von Speicher-Sticks oder Smartphones.

Um es vorwegzunehmen, für letzteres hat die Stadt Pirna bis heute leider auch noch keine zufriedenstellende Regelung. Die techni-schen Möglichkeiten eines Smartphones sind sehr umfassend und es bedarf eines Gesamtkonzeptes für den Schutz der darauf befind-lichen Informationen. Womit jedoch schon begonnen wurde, ist die Sensibilisierung der Nutzer eines solchen mobilen Gerätes. In der Stadtverwaltung ist die Zahl derer noch recht klein und über-schaubar, aber es ist davon auszugehen, dass diese Zahl zunimmt.

Speicher-Sticks werden nur zugelassen, wenn Sie vom Fachdienst IT- und Organisationsmanagement beschafft wurden und damit den geforderten Sicherheitskriterien entsprechen. Dazu gehören eine hardware-basierte Verschlüsselung, die Selbstzerstörung bei einem gewaltsamen Eindringen und die Löschung der Daten bei wiederholt falscher Eingabe des Passwortes. Auch auf eine einfache Handhabung wird dabei Wert gelegt. Die ausgegebenen Sticks sind in einem Managementsystem registriert. Dadurch ist gewährleis-tet, dass kein „fremder Stick“ an einem PC im lokalen Netzwerk angeschlossen werden kann. Ein unkontrollierter Informations-austausch ist auf diesem Weg somit weitestgehend ausgeschlossen. Sollte der Stick verloren gehen, kann niemand die darauf befindli-chen Informationen nutzen.

Es würde den Rahmen des Artikels sprengen, wenn hier auf alle möglichen Risiken eingegangen wird.

Sicher ist nur eins, eine 100 %ige Sicherheit kann niemand und auch keine noch so teure Technik herstellen. Im Gegenteil dazu ist aber mit wenigen Mitteln, geringem finanziellen Aufwand aber vor allem mit dem nötigen Verständnis ein gewisser Grundschutz der uns von den Bürgern anvertrauten Informationen zu erreichen. Er schützt zumindest vor den vielen kleinen Alltagspannen und auch vor Hobby-Hackern, die sich in den Weiten des Internet tummeln. Wer das Gefühl kennt, wenn eine seit Tagen mühsam erarbeitete Datei (dieser Artikel z. B.) aus Versehen gelöscht wurde, weiß ein gut funktionierendes Datensicherungskonzept zu schätzen und seine Einsicht in die Notwendigkeit macht einen Sprung nach oben. Einen ähnlichen Effekt soll dieser Artikel beim Leser errei-chen – vielleicht ist der Sprung noch nicht ganz so hoch.

235


Informationssicherheit in sächsischen Kommunen – Status quo und Perspektiven

Dr. Ralf CordesITM Gesellschaft für IT Management mbH

Das Sächsische Kabinett hat bereits am 23. August 2011 als ersten Schritt zur Erhöhung der Informationssicherheit in der Landesver-waltung in Sachsen die Leitlinie zur Gewährleistung der Informa-tionssicherheit verabschiedet. Im Sächsischen Amtsblatt ist dieses unter der Ziffer 38/2011 festgehalten. Folgende Zielsetzungen die-ser Leitlinie, basierend auf der Verabschiedung des CERT (Com-puter Emergency Response Team) des bundesweiten IT Planungs-rates aus dem März 2011, waren dabei maßgeblich:

‒ die verbindliche Festlegung der Landesverwaltung auf die ein-heitlichen Sicherheitsstandards des Bundesamts für Sicherheit in der Informationstechnik (BSI) sowie

‒ die Einrichtung einer Sicherheitsorganisation mit einem Beauf-tragten für Informationssicherheit in allen Fachressorts.

Zusätzlich wird ein Sicherheitsnotfallteam (CERT) aufgebaut, das die Behörden und Einrichtungen des Freistaates Sachsen zu Fragen der Informationssicherheit berät (Sachsens Beauftragter für Infor-mationstechnologie (CIO) ist derzeit Justizstaatssekretär Dr. Wil-fried Bernhardt).

Aufgabe: Informationssicherheit!

Die Sächsische Anstalt für kommunale Datenverarbeitung (SAKD) hat dieses Grundgerüst in eine Leitlinie für Verwaltungen umge-setzt. Wesentliche Eckpunkte dieser Vereinbarung für kommunale Organisationen sind

‒ die Schaffung organisatorischer Rahmenbedingungen zur nachhaltigen Gewährleistung von Informationssicherheit,

‒ die Definition und Festlegung der erforderlichen Verantwort-lichkeiten und Befugnisse,

‒ die Einrichtung eines Informationssicherheits-Managements, ‒ die Umsetzung der vereinbarten Sicherheitsmaßnahmen ein-

schließlich der Bereitstellung der erforderlichen Haushaltsmittel, ‒ eine hinreichende und geeignete Dokumentation der IT-Infra-

struktur sowie aller Sicherheitsvorkehrungen und Sicherheits-maßnahmen.

Die Kommunen entdecken mehr und mehr die Vorteile dieser Anforderungen. Immerhin lassen sich mit Hilfe zielgerichteter Sicherheitsstrategien und -vorkehrungen Haftungsrisiken mini-mieren und rechtliche Vorschriften einhalten. Jedoch hakt es immer wieder an dem internen Know-how: Um beispielsweise investiti-onssichere Sicherheitsmaßnahmen auszuwählen und umzusetzen, fehlt es vielen Fachverantwortlichen an Erfahrung.

Leider existieren zudem keine gesetzlichen Vorgaben für das Infor-mationssicherheits-Management (ISM). Die wenigsten kommuna-len Verantwortlichen wissen daher, wo im Umfeld von IT-Risiken Compliance-Verstöße und daraus resultierende Haftungsrisiken ver-steckt sind. In manchen Fällen ist damit zu rechnen, dass sowohl finanzielle als auch immaterielle Schäden durch Sicherheitslücken in der IT langfristig wesentlich höher ausfallen können als vermutet.

Somit ist Kommunen anzuraten, ein funktionierendes, angemesse-nes ISM im kommunalen Umfeld aufzubauen. In vielen Fällen sind die Investitionen für effektive Sicherheitsmaßnahmen vergleichs-weise überschaubar und amortisieren sich innerhalb kürzester Zeit.

Um trotz eigener Wissenslücken dem Anspruch nach Informations-sicherheit nachzukommen, rücken vermehrt themenkompetente Dienstleister in den Blickwinkel der Kommunen. Die ITM Gesell-schaft für IT Management beispielsweise berät neben mittelständi-schen Unternehmen schwerpunktmäßig Kommunen, Sozialverbände und Finanzinstitute. Mit ihrer praxiserprobten Kurzüberprüfung von IT-Infrastrukturen, Informationssicherheit und IT-Management schaffen die Dresdner Berater schnell einen Überblick über notwen-dige Handlungsfelder. Um bestehende Sicherheitslücken aufzudecken, nutzen die Fachexperten als methodische Grundlage den IT-Quick-Check, der sowohl an den BSI Grundschutz angelehnt ist als auch die Vorgaben der SAKD abbildet. Diese kommunalen Analysen werden bereits seit dem Jahre 2009 durchgeführt und münden häufig in eine Neuausrichtung des IT-Managements bei Kommunen.

Als minimale Basis aller Analysen zur Informationssicherheit die-nen dabei folgende drei Stützpfeiler:

‒ Vertraulichkeit: Vertrauliche Daten, Informationen und Pro-gramme sind vor unberechtigten Zugriffen und unbefugter Preisgabe zu schützen. Zu den Schutzobjekten gehören die gespeicherten oder transportierten Nachrichteninhalte, die näheren Informationen über den Kommunikationsvorgang (wer, wann, wie lange, mit wem etc.) sowie die Daten über den Sende- und Empfangsvorgang.

‒ Integrität: Der Begriff der Integrität bezieht sich sowohl auf Informationen, Daten als auch das gesamte IT-System. Inte-grität der Informationen bedeutet deren Vollständigkeit und Korrektheit. Vollständigkeit heißt, dass alle Teile der Informa-tion verfügbar sind. Korrekt sind Informationen, wenn sie den bezeichneten Sachverhalt unverfälscht wiedergeben. Zum ande-ren bezieht sich der Begriff Integrität auch auf IT-Systeme, da die Integrität der Informationen und Daten nur bei ordnungsgemä-ßer Verarbeitung und Übertragung sichergestellt werden kann.

‒ Verfügbarkeit: Die Funktionen der Hard- und Software im System- und Netzbereich sowie notwendige Informationen ste-hen dem Anwender zum richtigen Zeitpunkt am richtigen Ort zur Verfügung.

Kommunen profitieren regelmäßig von der objektiven, hersteller-neutralen Analyse der Berater. Oft ist der Blick von außen hilfreich, interne Sicherheitslücken und auch Kostentreiber auszumachen.

Aktuelle Herausforderungen im kommunalen Umfeld

Mit Hilfe des IT–Quick-Checks können die ITM-Berater gemein-sam mit den Fachverantwortlichen in den Kommunen regelmäßig dringenden Handlungsbedarf feststellen.

236


Im Management der Informationstechnik beispielsweise treten in vielen kommunalen Einrichtungen neben organisatorischen Defi-ziten auch mangelnde „Vorsorgeplanungen“ zutage. In fast allen betrachteten Fällen fehlen klare Zukunftskonzepte und Investi-tionsplanungen über den Jahreshorizont hinaus. Zudem sind die Verantwortlichkeiten nicht geregelt (z. B. die Stellvertreterrege-lungen und die fachliche Weiterqualifikation): Gerade in kleineren und mittleren Kommunen (ca. 20 – 70 Arbeitsplätze) sind die Ver-antwortlichkeiten für die IT meistens auf eine Person festgelegt; es gibt weder Vertretungen noch können die Verantwortlichen fort-gebildet werden. In manchen Fällen gibt es auch keine klaren Fest-legungen für die fachliche Administration von Anwendungen und Systemen. So kann zum Beispiel in einigen Fällen Fremdsoftware auf Dienstarbeitsplätzen installiert werden.

Darüber hinaus umfasst das IT-Budget nicht alle Kosten und es fehlt häufig eine mittelfristige Investitionsplanung: Im IT Budget werden die meisten Wartungs- und Instandhaltungskosten nicht explizit ausgewiesen. In Fällen wo sehr frei mit externen Dienst-leistern verfahren wird, können so erhebliche „verdeckte Kosten“ entstehen. Auch fehlt es häufig an einem IT-Rahmenkonzept, das eine Basis für eine längerfristige IT Investitionsplanung liefert.

Der Mangel an Strategien und Konzepten (z. B. IT-Rahmen- und Betriebskonzept) zeigt sich in vielen Bereichen: Da die IT einem stetigen Wandel unterliegt, fehlen in einigen Kommunen IT-Rahmenkonzepte, die sich mit einer mittelfristigen eigenen IT-Planung auseinandersetzt. Wesentlich sind hierbei die Nutzung von externen regionalen Rechenzentren („Regionale Cloud“) für Grundsoftware (wie Content Management Systeme, Dokumenten Management Systeme) und Fachverfahren. Die Frage „make or buy?“ wird nur selten gestellt. In vielen Kommunen existiert auch kein Betriebskonzept; so kann es beispielsweise vorkommen, dass obwohl es einen IT- Verantwortlichen gibt, trotzdem aber externe Dienstleister wesentliche Administrationsrechte besitzen.

Ebenfalls lässt sich ein Mangel an Dienst- und Arbeitsanweisun-gen beobachten: In den Fällen, wo Arbeitsanweisungen für die Nutzung der Dienstcomputer vorliegen, fehlen häufig Richtlinien für die private Nutzung, insbesondere für den Umgang mit „Web-Mailern“, sozialen Netzwerken oder Kommunikationswerkzeugen wie z. B. facebook oder skype.

Das Berichtswesen ist vielerorts verbesserungsfähig: Es fehlen häu-fig eindeutige Reports zu Fehlerfällen, Fehlerhäufigkeiten in Sys-temen, Einsatz durch Servicetechniker oder Verfügbarkeiten von Systemen; in Extremfällen sogar über die Nutzung von Systemen und Programmen. So kann es durchaus passieren, dass Lizenzge-bühren für Programme bezahlt werden, die nicht genutzt werden.

Ebenso findet sich bei vielen Kommunen kein umfassendes Soft-ware Lizenzmanagement. Durchgängige Dokumentationen zu den IT-Systemen sind häufig nicht vorhanden.

Auch im Bereich Administration kommunaler IT-Systeme zeigen sich immer wieder wichtige Baustellen. In vielen Fällen ist die Vergabe von Berechtigungen nicht klar geregelt und wird auch systemseitig nicht unterstützt. In einigen Kommunen mangelt es an Kompetenz- und Berechtigungskonzepten. Manchmal gibt es nicht einmal eine Funktionstrennung bei den Softwarenutzern: So kann es beispielsweise vorkommen, dass ein Fachadministrator für

eine dezidierte Anwendung (häufig auch ein externer Dienstleister) komplette Administrationsrechte für die gesamte IT-Landschaft besitzt. Auf diese Weise können externe Dienstleister auch Zugriff auf schutzwürdige Daten erhalten. Die Defizite bei der Vergabe von Berechtigungen und die Schwächen der Funktionstrennung führen unweigerlich zu Problemen in der Nutzerverwaltung und Nutzerrechteverwaltung, insbesondere auch für externe Dienstleis-ter. Und: In fast allen Kommunen wird die Schulung und Weiter-bildung des kommunalen IT-Fachpersonals hinten angestellt.

Zudem klaffen mit Blick auf die Gebäudeinfrastruktur teilweise gravierende Sicherheitslücken, wie etwa:

‒ Die Serverräume befinden sich nicht in einwandfreiem Zustand.

‒ Brandlasten und Wasserleitungen liegen in Server- und Tech-nikräumen.

‒ Die Wahl und auch die Absicherung der Technikräume waren nicht ordnungsgemäß. Die Räume wurden teilweise mehrfach genutzt oder befinden sich direkt in einem Büroraum.

‒ Ebenso fehlten eine unterbrechungsfreie Stromversorgung (USV), ein Überspannungsschutz oder andere Notstromaggregate.

Die Analysen des Netzwerkbereichs sind bislang nicht minder alarmierend: So wurde beispielsweise in den seltensten Fällen eine strukturierte Verkabelung vorgefunden.

Ebenso beinhalteten die Netzwerke teilweise veraltete oder qualita-tiv minderwertige Komponenten. Der Zugriff ins Weitverkehrsnetz erfolgt in der Regel häufig über „Konsumprodukte“, z. B. ADSL Verbindungen, die wenig Upload zu lassen sowie auch betreiberbe-dingte Abbrüche verursachen.

In einigen Fällen kamen auch Wireless LAN Lösungen zum Ein-satz, jedoch waren diese WLAN-Netze nicht immer ausreichend abgesichert.

Neben dem Mangel an Richtlinien für Benutzerrechte und Zugangsrechte sind auch häufig keine einheitlichen Passwortregeln vorhanden. Darüber hinaus werden die Passwörter nicht zeitlich aktualisiert. Gibt es zeitliche Vorgaben, sind diese häufig nicht allen Mitarbeitern der Verwaltung bekannt.

Im organisatorischen Bereich bleibt positiv festzuhalten, dass es in fast allen geprüften Organisationen den geforderten Datenschutz-beauftragten gibt. Den nicht gesetzlich geforderten Informationssi-cherheitsbeauftragten findet man hingegen fast nie. Ebenso fehlt es in nahezu allen untersuchten Kommunen an einer Schutzbedarfs-feststellung: Da der Schutzbedarf für die drei Grundwerte Vertrau-lichkeit, Integrität und Verfügbarkeit unterschiedlich hoch sein kann und als Konsequenz unterschiedliche Sicherheitsmaßnahmen erforderlich sind, muss der Schutzbedarf für alle drei Grundwerte gesondert betrachtet werden. Neben den Schutzbedarfsanalysen mangelt es auch an Risikobetrachtungen, Notfallplanungen und häufig auch Kontrollinstanzen, um eine umfassende „sichere“ IT-Organisation zu gewährleisten.

Eine weitere Herausforderung liegt in dem Umgang mit dem The-menfeld „Datensicherung“. Es kann vorkommen, dass nicht alle Systeme in einem Datensicherungskonzept erfasst sind. In vielen Kommunen erfolgt die Sicherung lediglich sporadisch und nicht systematisch in kurzen Zeitintervallen.

237


BSI-Grundschutzkatalog: Überblick in Sicherheitsfragen

In Anbetracht der zahlreichen Probleme und Herausforderungen im Bereich Informationssicherheit leistet der IT-Grundschutzka-talog des BSI eine wichtige Hilfestellung. Er bietet Kommunen eine einfache Methode, Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Das Bundesministerium stellt dabei zahlreiche Werkzeuge zur Verfügung, um ein angemessenes Sicherheitsniveau zu erreichen, wie z. B. die BSI-Standards zum Informationssicher-heitsmanagement. Dazu gehört aber auch die ISO 27001-Zertifi-zierung auf Basis von IT-Grundschutz, die sowohl eine Prüfung des Informationssicherheitsmanagements als auch der konkreten Sicherheitsmaßnahmen auf Basis von IT-Grundschutz umfasst.

Die Bausteine der IT-Grundschutz-Kataloge enthalten jeweils eine Kurzbeschreibung für die betrachteten Komponenten, Vorgehens-weisen und IT-Systeme sowie einen Überblick über die Gefähr-dungslage und die Maßnahmenempfehlungen. Die Bausteine sind nach dem IT-Grundschutz-Schichtenmodell in die folgenden Bau-stein-Kataloge gruppiert:

‒ Übergreifende Aspekte der Informationssicherheit ‒ Sicherheit der Infrastruktur ‒ Sicherheit der IT-Systeme ‒ Sicherheit im Netz ‒ Sicherheit in Anwendungen

Der Bereich der Gefährdungen enthält die ausführlichen Beschrei-bungen, die in den einzelnen Bausteinen als Gefährdungslage genannt wurden. Die Gefährdungen sind in fünf Kataloge gruppiert:

‒ Höhere Gewalt ‒ Organisatorische Mängel ‒ Menschliche Fehlhandlungen ‒ Technisches Versagen ‒ Vorsätzliche Handlungen

Zudem gibt der Katalog einen Rahmen für unterschiedliche Maß-nahmen.

Bieten die Verfahren des BSI sowie eine Zertifizierung auch eine umfangreiche Analyse zur Informationssicherheit – sie sind leider häufig sehr aufwendig und kostenintensiv. Viele Kommunen wün-schen sich aber in praxi eher pragmatische schnellere Lösungen auf einer angemessenen Kostenbasis. Eine hundertprozentige Informa-tionssicherheit ist ohnehin auch unter größten Aufwänden nicht zu erreichen (Abbildung 1). Pragmatische Ansätze lassen sich jedoch durchaus aus den Checklisten des BSI Grundschutzes ableiten, wobei die wesentlichen „Gefahrenquellen“ priorisiert bearbeitet werden sollten.

Abbildung 1: Das richtige Maß an Sicherheit

Ein erster Schritt mit pragmatischem Lösungsansatz

Wo stehen wir? Wo wollen wir hin? Das sind die entscheidenden Fragen, die Kommunen sich stellen sollten, bevor sie sich im IT-Bereich neu ausrichten. Durch eine einfache Bestandsaufnahme mit Hilfe eines IT-Infrastruktur-Checks (dem sog. IT-Quick-Check) lässt sich leicht – orientiert an den BSI Leitfäden – ein erstes umfassendes Bild der IT-Landschaft und dem vorhandenen Sicher-heitsniveau erstellen. Basierend auf einem strukturierten Fragenka-talog sowie aussagekräftigen Interviews mit den Verantwortlichen und Nutzern kommunaler Infrastruktur können Sicherheitslücken innerhalb kürzester Frist aufgedeckt, Verbesserungspotenziale erkannt sowie Ad-hoc-Maßnahmen festgelegt werden. In diesem Zusammenhang können auch eine Risikoanalyse mit entsprechen-der Schutzbedarfsfeststellung und die Definition eines angemesse-nen Sicherheitsniveaus erfolgen.

Ein wichtiger Schritt in einem ISM-Prozess ist die Ableitung und Umsetzung geeigneter Maßnahmen. Aus einer einmaligen Analyse der IT-Landschaft lassen sich neben den Maßnahmen zur Gewähr-leistung des richtigen Sicherheitsniveaus auch Rahmen- und Fach-konzepte für die IT-Landschaft schlussfolgern.

Dass auf diesem Wege bei einer konsequenten Umsetzung der Maß-nahmen teilweise erhebliche Kostenersparnisse im IT-Betrieb für Kommunen erzielbar sind, lässt sich vielerorts beobachten. In diese Betrachtungen fallen beispielsweise auch sinnvolle Auslagerungen von Fachverfahren oder Grundsoftware, auch Outsourcing-Über-legungen und die Verlagerung von Teilen der IT-Landschaft in ein regionales Rechenzentrum hinein. Sachsen ist hier gut aufgestellt und bietet mit der KISA und der SAKD eine gute Plattform für die kommunale IT.

Fazit

Auf die durchgeführten Überprüfungen der IT-Landschaften sächsischer Kommunen lässt sich aufbauen. Zweifelsohne bedarf es noch Anstrengungen, um die vom Land Sachsen vorgegeben Leit-linien zur Informationssicherheit auch real umzusetzen. Erkennen die Kommunen die Notwendigkeit für Informationssicherheit und stellen sie die entsprechenden Ressourcen für eine Bestandsauf-nahme und die Ausarbeitung passgenauer Maßnahmenkataloge bereit, gelingt innerhalb kurzer Zeit ein wichtiger Schritt in Rich-tung Informationssicherheit auf kommunaler Ebene. Das haben viele Verwaltungseinrichtungen längst erkannt und profitieren bereits heute von den mit externer Expertise gefundenen Neuaus-richtungen ihres IT-Betriebs.

100 %

100 % Sicherheit kann nicht erreicht werden

Aufwand

Sich

erhe

itsn

ivea

u

238

Allgemeine Beiträge Sachsenlandkurier 5/12

Bericht über die Sitzung des Landesvorstandes des Sächsischen Städte- und Gemeindetages

am 08.06.2012Falk Gruber

Sächsischer Städte- und Gemeindetag

Am 8. Juni 2012 fand in der Geschäftsstelle des Sächsischen Städte- und Gemeindetages (SSG) in Dresden die zweite Sitzung des Landesvorstandes im Jahr 2012 statt. Wir möchten Sie nachfol-gend über die wichtigsten besprochenen Themen und die gefassten Beschlüsse informieren.

I. Ergebnisse der FAG-Verhandlung vom 18.05.2012

Die Herren Jung, Woitscheck und Leimkühler informierten den Landesvorstand über die Verhandlungsergebnisse. Ziel der Ver-handlungen war es, den Finanzmassenanteil zu stärken sowie das Problem der Betriebskosten für die Kindertagesstätten zu lösen. Zusammenfassend konnten im Ergebnis 30 Mio. € mehr an Finanzmasse verhandelt werden, wovon 20 Mio. € für die Betriebs-kosten der Kindertagesstätten reserviert sind. Es ist damit erstmals gelungen, den kommunalen Finanzmassenanteil zu erhöhen. Hin-sichtlich der Ergebnisse im Einzelnen wurde auf das Schreiben der Geschäftsstelle vom 23.05.2012 an die Kreisverbandsvorsitzenden und Kreisfreien Städte verwiesen.

Nach einer Aussprache und Diskussion fasste der Landesvorstand folgenden Beschluss:

Der Landesvorstand des SSG stimmt den wesentlichen Ergeb-nissen des Spitzengesprächs zum FAG am 18.05.2012 mit einer Enthaltung einstimmig zu.

II. NIW-Gutachten zu Hauptansatzstaffel und Schülernebenansatz

Herr Leimkühler erläuterte die Ergebnisse des vom Finanzminis-terium beauftragten NIW-Gutachtens und die Position des SSG-Landesvorstandes im FAG-Positionspapier. Danach hat sich der Landesvorstand gegen eine weitere Spreizung der Hauptansatzstaf-fel ausgesprochen. Die Mitglieder des Landesvorstandes erörterten die für den SSG bestehenden Varianten.

Nach Diskussion fasste der Landesvorstand des SSG zur zukünfti-gen Ausgestaltung von Hauptansatzstaffel und Schülernebenansatz im FAG folgenden einstimmigen Beschluss:1. Der SSG spricht sich für die Variante II des NIW-Gutachtens

bei der Hauptansatzstaffel aus. Es ist im FAG-Beirat zu prü-fen, ob für die Größengruppe zwischen 20.001 und 50.000 Einwohnern angesichts der Entwicklung der Zuschussbe-darfe für die zentralörtlichen Funktionen eine Glättung erforderlich ist.

2. Die Anpassung der Multiplikatoren für die einzelnen Schular-ten und die Vervielfältiger werden angesichts der sich deutlich verändernden Zuschussbedarfsrelationen mitgetragen.

3. Der SSG spricht sich dafür aus, die Ergebnisse des Gutach-tens nur schrittweise umzusetzen. Wie in den Finanzaus-gleichsjahren von 2005 bis 2007 sollen die Änderungen in einem gestuften Verfahren erfolgen, wobei die schrittweise Umstellung ab 2013 diesmal auch den Schülernebenansatz einbeziehen muss.

III. Benennung und Bestätigung des gemeinsamen Papiers mit dem Sächsischen Landkreistag

Herr Jung und Herr Woitscheck stellten das gemeinsame Positions-papier mit dem Sächsischen Landkreistag (SLKT) vor. Es enthält auf etlichen Politikfeldern Erwartungen an die Sächsische Staats-regierung und den Sächsischen Landtag, die der Landespolitik in der Mitte der Legislaturperiode frischen Schwung verleihen sollen. Damit grenzt es sich zum ebenfalls in Erarbeitung befindlichen Zukunftsbild des SSG ab, das einen eher strategischen Ansatz verfolgt und nach außen wie auch nach innen gerichtet ist. Der Entwurf des Zukunftsbildes des SSG war auch eine Grundlage für die Erarbeitung des gemeinsamen Papiers mit dem SLKT. Dabei ist auch deutlich geworden, dass der SLKT einige Vorstellungen des SSG nicht mittragen kann. Das gilt beispielsweise für die vom SSG nach wie vor beabsichtigte Erprobung bürgernaher Verwal-tung (Art. 24 SächsVwNG). Andererseits wurden durch den SLKT auch etliche Gedanken an den SSG herangetragen, z. B. zur Wirt-schaftsförderung. Nach Diskussion verschiedener Aspekte, so zum Mehrbelastungsausgleich für die im Rahmen der Verwaltungsre-form 2008 vom Freistaat auf die Kommunen übertragenen Aufga-ben, zum Thema Gemeindezusammenschlüsse, oder zum Schulbe-reich, fasste der Landesvorstand den folgenden Beschluss:

Die Mitglieder des Landesvorstandes stimmen dem Papier mit der Bezeichnung „Kommunale Erwartungen an den Sächsischen Landtag und die Staatsregierung 2012“ mit Änderungen einstim-mig zu.

IV. Sonstiges

Im weiteren Verlauf der Sitzung wurden insbesondere noch fol-gende Themen besprochen:

‒ Maisteuerschätzung 2012, ‒ Änderung der Satzung des SSG, ‒ Eckpunkte zur Umsetzung des Bundesmeldegesetzes im Frei-

staat Sachsen und ‒ Landesentwicklungsbericht 2010.

239

Sachsenlandkurier 5/12 Allgemeine Beiträge

Positive Tendenzen in der Swap-RechtsprechungDr. Jochen Weck, Ina Meuschke

Rössner Rechtsanwälte (München)*

Über Jahre hinweg haben Landesbanken sogenannte Swaps an Kommunen und kommunale Unternehmen verkauft. Die Banken haben mit bestimmten Produkten hohe Gewinne erwirtschaftet. Bei den kommunalen Kunden dagegen haben diese zu Schäden in Millionenhöhe geführt. Viele Kommunen, die ihren Landesban-ken vertrauten und die Swaps in dem guten Gewissen abschlossen, die Zinslast für die Haushaltskasse zu senken, sind u. a. infolge dieser Geschäfte überschuldet. Nun mehrt sich der Widerstand. Angesichts der positiven Entwicklungen in der Rechtsprechung verklagen immer mehr Kommunen und kommunale Unternehmen erfolgreich ihre Landesbanken wegen Falschberatung.

1. Historie

Ende der 90er Jahre versuchten viele Kommunen und kommu-nale Unternehmen in Deutschland ihre Zinslast aus bestehenden Darlehen durch Swap-Geschäfte zu senken. Sie folgten damit der Aufforderung ihrer Rechtsaufsichtsbehörden, den steigenden Zin-sen durch ein aktives Zinsmanagement zu begegnen. Die Banken verkauften daraufhin, teilweise unter Ausnutzung einer finan-ziellen Notlage der Kommunen, verschiedentlich auch toxische Produkte. Die Aufklärung über veränderte Funktionsweisen und Risikostrukturen unterblieb nicht nur, sie wurden regelrecht ver-schleiert.

Was ist ein Swap?

Ein Swap ist ein Tausch. Ein Swap-Geschäft ist eine Vereinba-rung zwischen Bank und Kunde, bei der beide Parteien über einen bestimmten Zeitraum zu bestimmten Terminen (Fixing) wechsel-seitig Zinszahlungen auf eine bestimmte Geldsumme (Bezugsbe-trag) austauschen. Während z. B. die Bank einen variablen Zinssatz an den Kunden zahlt, entrichtet dieser einen festen Zins. Diese beiden Zahlungen werden – in Anwendung des englischen Wortes „swap“ (=Tausch) – getauscht bzw. verrechnet, so dass je nach Ent-wicklung des variablen Zinses immer nur eine Seite eine Zahlung zu leisten hat.

Durch einen Swap lassen sich Zinsschwankungen absichern. Hat also die Kommune z. B. ein mit dem 3-Monats-Euribor variabel verzinstes Darlehen, kann sie sich durch Abschluss eines Swaps mit einer Bezugsgröße in Darlehenshöhe gegen steigende Zinsen absi-chern. Sie schließt mit der Bank einen Swap über die Laufzeit des Darlehens, bei dem sie zur Zahlung eines Festzinses verpflichtet ist und von der Bank den aus dem Darlehen geschuldeten 3-Monats-Euribor erhält. Die Kommune profitiert dann zwar nicht von sin-kenden Zinsen, gewinnt durch den Swap jedoch an (Planungs)Sicherheit und schließt das Risiko von steigenden Zinsen aus.

* Die Kanzlei hat das BGH-Urteil vom 22.03.2011 gegen die Deutsche Bank erstritten, ist seit über 35 Jahren spezialisiert auf Bank- und Kapitalmarktrecht und vertritt ausschließlich Geschädigte. Aktuell werden durch Rössner Rechts-anwälte eine Vielzahl geschädigter Kommunen deutschlandweit vertreten.

So die ursprüngliche Idee. Der Swap als Absicherungsprodukt. Swaps leiten ihren Wert von einem Basiswert, z. B. dem 3-Monats-Euribor, ab und werden daher – in Anwendung des englischen Wortes „derivative“ (= abgeleitet) – als Derivat bezeichnet. Der Abschluss dieser Geschäfte ist sinnvoll und war den Kommunen ausweislich einer Musterdienstanweisung des Deutschen Städteta-ges und der Derivate-Erlasse der einzelnen Innenministerien aus-drücklich erlaubt. Diese sogenannten „plain vanilla“ Swaps dienten ökonomisch denkenden Kämmerern jahrelang zur Absicherung der kommunalen Zinslast.

Eine Weiterentwicklung war der Einsatz von Swaps als Opti-mierungsprodukte. Mit einem solchen Swap konnten – unter Umkehrung der jeweiligen Positionen – von der Kommune aus einem Festzinsdarlehen zu zahlende Zinsen gegen variable Zinsen getauscht werden. Dies diente dem Ziel, einen möglicherweise zu Hochzinsphasen abgeschlossenen hohen Festzins gegen einen nied-rigeren Zins, wie z. B. dem 3-Monats-Euribor, zu tauschen. Bei einem solchen Tausch profitierte die Kommune von einem nied-rigen Zinsniveau. Sie ging gleichzeitig damit ein Risiko ein, dass der variable Zins innerhalb der vereinbarten Swaplaufzeit über den Festzins steigt. Auch ein derartiger Tausch wird grundsätzlich als unproblematisch angesehen, weil dadurch echte Kreditkonditio-nen getauscht werden. Da ein variabler Zins auch von vornherein bei einem Darlehen hätte abgeschlossen werden können, unterfällt ein derartiger Swap unproblematisch der Kreditkompetenz eines Kämmerers.

„Swap“ als Spekulationsprodukt

Allein mit solchen Swaps lassen sich für die Banken kaum Gewinne generieren. Aus diesem Grund wurden die „plain vanilla“ Swaps von den Banken „weiterentwickelt“. Und zwar so weit, dass es sich um hochspekulative Finanzprodukte handelte, die zwar als Swaps bezeichnet wurden, aber mit diesen nichts mehr gemein hat-ten. Zwar enthielten die neuen strukturierten Swaps noch einen Tausch von Zinszahlungen, dieses Element war jedoch für den Erfolg oder Misserfolg des Geschäfts nicht von wirtschaftlicher Bedeutung. Entscheidend war die einseitig zulasten der Kunden gestaltete Struktur, die für einen Kunden ohne finanzmathemati-sches Verständnis nicht erkennbar war. Aufgeklärt wurde darüber nicht oder unzureichend. Wenn von Risiken gesprochen wurde, dann von theoretischen. Durch den Einbau von mathematischen Elementen (Strike, Hebelwirkung, Leitereffekt, Mindestzinsen) wurden die Swaps komplex, undurchsichtig und letztlich zu toxi-schen Produkten. Die Banken gewährten sich sogar einseitige Kündigungsrechte, die es ihnen ermöglichten aus dem Geschäft auszusteigen, sollte es sich wider Erwarten zugunsten des Kunden entwickeln.

240


Es waren professionell klingende Namen, die sich die Strukturie-rungsabteilung in den Banken ausdachten: CMS Spread Ladder Swap, Digitaler Differenz-Stufenswap, EUR-CHF-Zinsdifferenz-Memory-Swap oder einfach Flipswap. Dahinter versteckt sich nichts anderes als eine Wette, die unter dem Namen Swap verkauft wird. Das heißt, der Verlust der einen Partei ist der spiegelbildliche Gewinn der anderen. Gewettet wurde dabei nicht mehr bloß auf die Entwicklung von Zinsen. Auch die Entwicklung von Zinsdiffe-renzen oder – wegen ihrer hohen Volatilität sehr riskant – Währun-gen waren Grundlage dieser Wetten. Da aber die Bank allein das Produkt strukturierte – und zwar einseitig zu ihren Gunsten und ohne dem Kunden die Struktur und damit verbundenen Risiken zu erläutern – handelt es sich im Ergebnis um eine nicht erkennbare und zugleich unfaire Wette zulasten der kommunalen Kunden

Mehr und mehr wurden diese toxischen Produkte nicht mehr als das verkauft was sie waren, nämlich als spekulative Finanzderivate. Mittelständischen Unternehmen und sogar Privatkunden wurden strukturierte Swaps als Zinsabsicherungs- und Zinsoptimierungs-produkt empfohlen, ohne an die Interessen der Kunden und deren finanzielle Möglichkeiten zu denken. Die finanziellen Verhältnisse eines Kunden spielten für die Banken nur im Rahmen des eigenen Risikomanagements eine Rolle, ob der Kunde sich den drohenden Verlust auch leisten könne und nicht als Schuldner der Bank aus-fällt.

Da die Produkte überwiegend so strukturiert waren, dass die Bank einen Gewinn erzielte, war das größte Problem beim Vertrieb die-ser Produkte die Ausfallwahrscheinlichkeit des Kunden.

Vertrieb an Kommunen

Während bei Privatkunden in der Regel nur ein begrenztes Gesell-schafts- oder Privatvermögen haftet, steht hinter einer Kommune bzw. einem kommunalen Unternehmen der Staat. Eine Pleite ist praktisch unmöglich. Schließlich haftet der Steuerzahler.

Und so wurde in den Jahren nach der Jahrtausendwende hunderten Kommunen und kommunalen Unternehmen in Deutschland der Abschluss von Swaps empfohlen. Dabei nutzten die Landesbanken die Empfehlung der Ministerien, Derivate zur Risikoabsicherung zu schließen, als Einfallstor, um den Kommunen spekulative Swaps zu empfehlen. Das Ganze nannte sich „Aktives Zins- und Wäh-rungsmanagement“.

Dass mit dieser Art von Geschäft enorme Gewinne auf Bankenseite zu generieren seien, war Kalkül. So hat Norbert Emmerich, Vize-Vorstand der WestLB, in einem Artikel, erschienen im Handels-blatt, bereits 2007 folgendes formuliert: „Das Finanzierungsgeschäft für die Kommunen ist heißum-

kämpft. Der Wettbewerb ist hier noch intensiver als im Mittel-standsgeschäft, weil letztlich der Steuerzahler hinter den Kom-munen steht. Das Ausfallrisiko ist somit vernachlässigbar. Das Geld wird nicht mit den Krediten, sondern mit Zusatzgeschäf-ten verdient. Dazu zählen die Absicherung von Zinsrisiken mit Derivaten und die Beratungsleistungen.“

Der zu erwartende kommunale Schrei hallte nicht durch Deutsch-land. Wohl deshalb, weil niemand vermutete, dass eine Landes-bank dazu fähig ist, die kommunale Hand – die sie füttert – finan-ziell zu vergiften.

Wie viele Kommunen genau betroffen sind, ist nicht bekannt. Nach Aussage des Zentralen Kreditausschusses (heute: Die deut-sche Kreditwirtschaft) wurden deutschlandweit 1556 Rahmen-verträge mit Kommunen und weitere 1104 Rahmenverträge mit kommunalen Unternehmen abgeschlossen. Der Abschluss eines Rahmenvertrages ist Voraussetzung für den Abschluss von Swaps. Der Gesamtwert der daraus resultierenden Einzelgeschäfte lag nach Angaben des Zentralen Kreditausschusses Ende 2010 bei 63,7 Milliarden Euro.

Insbesondere in Nordrhein-Westfalen und Sachsen scheinen die Landesbanken spekulative Swaps an ihre kommunalen Kunden ver-kauft zu haben. Sowohl WestLB als auch Sachsen LB hatten in den 90er Jahren mithilfe des lukrativen Investmentgeschäft versucht, die eigenen Bilanzen aufzupeppen. Mit der Hoffnung auf hohe Gewinne wurden Risiken eingegangen, die sich in den Handelsbüchern fan-den und die es abzusichern galt. Viele der an die Kommunen und kommunalen Unternehmen verkauften Swaps zeichnen sich durch eine Optionsstruktur aus. Optionen sind klassische Absicherungs-produkte. Durch Abschluss der Swaps konnten die kommunalen Kunden also keine eigenen Risiken absichern, sondern sicherten die Bank gegen deren Risiken ab. Die Banken wälzten ihre eigene Risi-ken einfach auf ihre kommunalen Kunden ab.

2. Rechtsprechung

Nachdem das Oberlandesgericht (OLG) Stuttgart bereits im Jahre 2010 die Deutsche Bank wegen Falschberatung bei Swaps zu Scha-densersatz verurteilt hatte, kam es erstmals Anfang 2011 zu einem Urteil des Bundesgerichtshofes (BGH).

Swap-Urteil des BGH

Dieses sogenannte Swap-Urteil des BGH vom 22.03.2011 (Az. XI ZR 33/10) erregte Aufsehen. Gegenstand des Verfahrens war ein CMS Spread Ladder Swap der Deutschen Bank. Trotz des Ein-wands der Anwälte der Deutschen Bank, dass eine Verurteilung eine zweite Finanzkrise auslösen würde, verurteilte der 11. Senat die Deutsche Bank zur Zahlung von Schadensersatz wegen Falsch-beratung des Hygieneartikelherstellers Ille.

Der BGH statuierte eine Pflicht zur Aufklärung über den sog. anfänglichen negativen Marktwert. Der Marktwert beziffert den Betrag, den die eine Partei voraussichtlich bis zum Ende der Lauf-zeit des Swaps an die andere Partei zu zahlen hat. Ist dieser bei Abschluss des Swaps negativ, ist der Kunde der am Abschlusstag ermittelten Wahrscheinlichkeit nach der Nettozahler des Geschäfts. Bei der Beratung hinsichtlich solcher Produkte befindet sich die Bank in einem schweren Interessenkonflikt, so der BGH. Denn aufgrund des Wettcharakters bei strukturierten Swaps gewinnt sie nur dann, wenn der Kunde verliert. Ihr Gewinninteresse steht im Konflikt mit dem Kundeninteresse, welches die Bank bei einer Beratung zu wahren verpflichtet ist. Ausdruck dieses Konflikts ist der anfängliche negative Marktwert. Da die Bank den Konflikt nicht lösen kann, muss sie darüber – also über den anfänglichen negativen Marktwert – aufklären. Dieser Pflicht kam die Deutsche Bank nicht nach.

Obwohl die Banken stets von einer Einzelfallentscheidung des BGH sprechen, wurde dessen Rechtsprechung in der Folgezeit von

241


unterinstanzlichen Gerichten auf andere Swap-Produkte übertra-gen. Insbesondere die Gerichte in Stuttgart folgen der Rechtspre-chung des BGH. Das Oberlandesgericht Stuttgart ist zudem der Ansicht, dass der anfängliche negative Marktwert Ausdruck eines unfairen Chancen-Risikoprofils ist. Ist der Bank auf Grundlage von Berechnungsverfahren bekannt, dass die Wahrscheinlichkeit eines Verlustes höher ist als diejenige eines Gewinns, muss sie den Kunden darüber aufklären. Die Bank muss eine „Wisssensasym-metrie“ dadurch verhindern, dass sie den Kunden auf den gleichen Wissensstand hebt. Das Gericht erkannte, dass der Kunde bei Abschluss sofort eine Vermögenseinbuße erleidet, über die er man-gels Erkennbarkeit aufgeklärt werden muss.

Positive Tendenz in der Rechtsprechung

Als erste Kommune in Nordrhein-Westfalen hat die Stadt Ennepe-tal am 11.05.2012 ein positives Urteil vor dem Landgericht Düs-seldorf gegen die WestLB erstritten. Die Stadt Ennepetal hat mehrere Swaps mit der Landesbank abgeschlossen und machte Schadensersatz wegen Falschberatung unter anderem hinsichtlich des CHF-Plus-Swap geltend. Das Landgericht stützt sich bei der Verurteilung im Wesentlichen auf die fehlende Aufklärung über den anfänglichen negativen Marktwert.

Auch in den derzeit anhängigen Verfahren der Städte Hückeswagen und Bergkamen gegen die WestLB zeichnet sich eine positive Ten-denz für die Kommunen ab. In dem Verfahren der Stadt Hückes-wagen vor dem Landgericht Köln geht es unter anderem um einen CHF-Digital-Swap. Das Gericht ließ in der ersten mündlichen Verhandlung Mitte Juni erkennen, dass es bei einer Feststellung eines spekulativen Charakters der Swaps die WestLB wohl zu einer Rückabwicklung verurteilen würde. Das Landgericht Köln folgt damit als erstes Gericht der Theorie, dass Swaps, die ohne Bezug zu einem Darlehen abgeschlossen werden (fehlende Konnexität) Spe-kulationsgeschäfte darstellen. Diese Geschäfte lägen nicht mehr im Rahmen der Finanzhoheit einer Gemeinde und folglich außerhalb ihres gesetzlichen Wirkungskreises (damit „ultra vires“). Solche Geschäfte sind von Anfang an nichtig, also unwirksam. Auf eine Falschberatung kommt es dann nicht mehr an. Eine „einfache“ Rückabwicklung wäre die Folge.

Ähnlich sieht es der Vorsitzende Richter im Verfahren der Stadt Bergkamen. Er brachte in der mündlichen Verhandlung sehr deut-lich zum Ausdruck, dass eine Vielzahl der von der Stadt abge-schlossenen Swaps wegen fehlender Konnexität und damit wegen des spekulativen Charakters als nichtig anzusehen seien. Darüber hinaus hielt das Landgericht Dortmund eine Aufklärung über den anfänglichen negativen Marktwert – entsprechend der vom BGH aufgestellten Anforderungen – für erforderlich.

Auch sächsische Kommunen ziehen vor Gericht

Und auch in Sachsen regt sich Widerstand. Bereits im Frühjahr dieses Jahres waren die Leipziger Wasserwerke erfolgreich gegen die LBBW, als Rechtsnachfolgerin der SachsenLB, vor Gericht gezogen. Mit dem Landkreis Mittelsachsen hat erstmalig eine sächsische Kommune Klage gegen die LBBW eingereicht. Am 22.06.2012 kam es zu der ersten mündlichen Verhandlung vor dem Landgericht Stuttgart. Die eigentlich für Arzthaftungsrecht zuständige Kammer des Landgerichts geht nicht von einer Nich-tigkeit der Swaps aus, hält jedoch die Grundsätze des BGH-Urteils für anwendbar (Verletzung der Aufklärungspflicht). Auch zweifelt

das Gericht an der ordnungsgemäßen Risikoaufklärung seitens der Bank, zumal eine Einschätzung des mit dem streitgegenständli-chen CMS-Memory-Swap verbundenen Risikos für die Kommune schwierig sei. Abschließend stellte das Gericht fest, dass es sich durchaus um eine aussichtsreiche Klage handeln würde und die Beklagte wohl nicht „ohne Blessuren“ aus dem Verfahren komme. Die zunächst für den 17.07.2012 erwartete Entscheidung des Gerichts wurde vertagt und steht noch aus.

Mit jeder weiteren Klage – so scheint es – erkennen die Kommunen mehr und mehr, dass sie von ihren eigenen Landesbanken falsch beraten und regelrecht „über den Tisch gezogen“ wurden. Und so bündeln sie ihre Interessen und versuchen die Systematik der Falschberatung durch die Banken offenzulegen. Nach dem Vorbild in Nordrhein-Westfalen haben sich im Juli die ersten Kommunen zu einer Interessengemeinschaft, der IG LBBW geschädigter Kom-munen zusammengeschlossen.

Mittlerweile hat auch das Sächsische Innenministerium den Kom-munen geraten, die von Ihnen abgeschlossenen Swapverträge sowie daraus resultierend mögliche Schadensersatzansprüche gegenüber der LBBW anwaltlich prüfen zu lassen.

3. Vergleichsangebote der LBBW (Landesbank Baden-Württemberg)

Das offensive Vorgehen des sächsischen Innenministeriums sowie die positiven Tendenzen in der bisherigen Rechtsprechung veran-lassen die LBBW, mit Vergleichsvorschlägen an die Kommunen heranzutreten.

Die Landesbank folgt damit dem Beispiel der Deutschen Bank, die sich nach dem Swap-Urteil des BGH und der wiederholten Bestätigung durch andere Gerichte hinsichtlich des CMS Spread Ladder Swaps in fast allen Fällen außergerichtlich verglichen hat. ‚Bloß kein weiteres Urteil‘, so wohl die Angst des Branchenprimus, der durchaus begründet war. Titelte doch das Handelsblatt am 09.02.2011, dem Tag nach der mündlichen Verhandlung vor dem Bundesgerichtshof: „Deutsche Bank gegen deutschen Mittelstand“. Derartige Schlagzeilen liest man nicht gerne.

Fairer Vergleich?

Die Vergleichsangebote der LBBW sind mit Vorsicht zu genießen. Denn oftmals ist auch bei den Vergleichsangeboten nur die Bank der Gewinner. Selten bietet die LBBW einen Ausstieg aus dem Swap zu verträglichen Bedingungen an. In der Regel werden die Risiken lediglich in die Zukunft verlagert. Dabei setzt die Bank auf eine Verlängerung oder Umstrukturierung des Swaps und begrün-det diese Fortführung mit der Aussicht auf Erholung der Märkte und einer damit verbundenen Verbesserung der Situation für die Kommune. Mit anderen Worten werden die Kommunen zu einer Fortsetzung der ungewollten Spekulation – diesmal auf eine Bes-serung – angehalten.

Ihren Angeboten versuchte die LBBW höheres Gewicht zu verlei-hen, indem sie darauf hinwies, dass das Sächsische Innenministe-rium die Vergleichsbemühungen der LBBW unterstützt. Diesem Hinweis schob das Sächsische Innenministerium jedoch einen Rie-gel vor. In einem Rundschreiben wurden die Kommunen darüber informiert, dass das Ministerium zwar Gespräche mit der LBBW

242


geführt habe, aber keinerlei Einschätzung oder Empfehlung zu den Vergleichsangeboten der LBBW abgegeben habe.

Geht die Kommune auf Vergleichsvorschläge der LBBW nicht ein, gerät sie in eine unbefriedigende Lage. Die LBBW verfährt nach dem Prinzip „abwarten“. Auf Anfragen der Kommunen wird nicht mehr reagiert. Klare Aussagen zu den Bedingungen eines vorzeiti-gen Ausstiegs werden nicht getroffen. Aussagen von Sachverstän-digen lassen es denkbar erscheinen, dass die LBBW gar nicht in der Lage ist, die Marktwerte der Swaps genau zu berechnen. Da nicht die LBBW, sondern die WestLB die Swaps der Sachsen LB strukturierte, ist dies nicht von der Hand zu weisen. Eines zeigt das Verhalten der LBBW ganz deutlich. Wer abwartet, riskiert.

Das scheint das Kalkül der Landesbank zu sein. Zum einen ver-jähren die Ansprüche der Kommunen wegen fahrlässiger Falsch-beratung zumeist innerhalb der kurzen dreijährigen Frist. Zum anderen entwickeln sich die Swaps weiter zuungunsten der Kom-munen. Wäre dies anders, wäre die LBBW naturgemäß an einem Vergleich im eigenen Sinne interessiert. Auch ist der LBBW die aktuelle Rechtsprechung bekannt. Sie muss bei jeder Klage einer Kommune davon ausgehen, dass sie verliert und hohen Schadens-ersatzforderungen ausgesetzt ist.

Vermeidung von Öffentlichkeit

Dennoch haben viele Kommunen aufgrund der teils negativen Berichterstattung in der Vergangenheit schlichtweg Angst vor einem Bekanntwerden ihrer Schäden und unternehmen nichts. Die Verantwortlichen fühlen sich an der Misere mitschuldig. Die Erkenntnis, Opfer der Machenschaften der Banken geworden zu sein, fehlt. Grundsätzlich ist es zunächst zu begrüßen, wenn sich die Handelnden „an die eigene Nase fassen“. Die Übernahme von Verantwortung ist schließlich ein wesentlicher Teil der Politik. Zu wenigen Kämmerern oder Bürgermeistern scheint bewusst zu sein, dass der Bundesgerichtshof seit nahezu 20 Jahren den Banken eine Beratungsfunktion zuweist, in dessen Rahmen sie Empfehlungen ausschließlich im Kundeninteresse abzugeben haben. Bank und Kommune stehen sich also gerade nicht auf Augenhöhe gegenüber, sondern als Berater und zu Beratener. Das oftmals hervorgebrachte Argument eines sog. Mitverschuldens greift innerhalb eines beste-henden Beratungsverhältnisses nicht. Auch hier urteilt der Bun-desgerichtshof in ständiger Rechtsprechung, dass ein zu beratener Kunde stets dem Rat seines Beraters folgen darf, ohne dass ihm der Vorwurf eines Mitverschuldens gemacht werden kann.

Da die politische Opposition und Presse – häufig ganz bewusst – nicht differenzieren, wird allerdings in der Öffentlichkeit immer wieder der – unberechtigte – Vorwurf einer „Zockerei“ erhoben. Möglicherweise ist dies der Grund für eine abwartende Haltung innerhalb vieler Kommunen.

Neben der Frage, ob die spekulativen Geschäfte von den Kommu-nen überhaupt hätten abgeschlossen werden dürfen, ist eines ganz klar. Die Kommunen wurden in aller Regel bei Abschluss falsch oder unzureichend beraten. Dies wird umso deutlicher, wenn man sich vergegenwärtigt, dass selbst kleinen Kommunen Swaps emp-fohlen wurden, die mit einem unkalkulierbaren und die finanzi-ellen Mittel weit übersteigenden Risiko verbunden waren. Selbst routinierte Kämmerer größerer Kommunen waren auf eine sehr intensive Beratung durch die Bank angewiesen, da sie mit sol-chen Geschäften vorher nicht konfrontiert waren und keinerlei Erfahrung mit derivativen Finanzinstrumenten hatten. Die Gut-gläubigkeit und das Vertrauen der kommunalen Vertreter wurden schlichtweg von den Banken ausgenutzt.

4. Fazit

Die Systematik der Falschberatung durch die Landesbanken wird mit jedem gerichtlichen Verfahren deutlicher. Kommunen und kommunale Unternehmen mit Swap-Geschäften sollten prüfen, ob Schadensersatzansprüche bestehen und in diesem Fall gegen eine Falschberatung auch gerichtlich vorgehen. Hier besteht nicht zuletzt eine Verantwortung gegenüber den Bürgern. Durch einen offenen Umgang mit der Swap-Problematik wird das Vertrauen der Bürger in die Kommune gestärkt. Diese identifizieren sich bestenfalls mit der Vorgehensweise und fühlen sich persönlich von der auf Gewinnma-ximierung angelegten Geschäftspolitik der Landesbanken betroffen. So macht die Kommune ihre Bürger zum Partner in der Krise.

Die verständliche Hoffnung der Kommunen auf Besserung ist hin-gegen trügerisch. Die Produkte wurden zum Nachteil der Kommu-nen strukturiert, so dass ein Verlust aus dem Geschäft wahrschein-lich ist. In den meisten Fällen geht die Rechnung der Banken auf. Die Bank verliert nie, so heißt es beim Roulette. Nicht anders ist dies bei toxischen Swaps.

243


SEPA: Der Countdown hat begonnenVorbereitungstipps für eine erfolgreiche Migration

Karsten BeckerDeutsche Bank

Wer kann sich im 21. Jahrhundert noch vorstellen, dass Deutsch-land einmal aus 41 unabhängigen Nationalstaaten bestand? Ebenso wenig wird man sich irgendwann daran erinnern, dass es im Europa des 21. Jahrhunderts etwa 25 verschiedene, parallel als Insellösungen existierende Zahlungssysteme gab.

Denn seit Januar 2008 ist der einheitliche Zahlungsverkehrsraum SEPA (Single Euro Payments Area) Realität: Die neue Euro-Überweisung (SEPA Überweisung) kann für 32 europäische Länder genutzt werden. Ein weiterer Schritt wurde im November 2009 mit der Einführung der SEPA-Lastschrift getan.

Durch das gesetzlich festgelegte Enddatum zur SEPA-Migration ist zudem sichergestellt, dass bis zum 1. Februar 2014 diese bei-den neuen Zahlungsverkehrsinstrumente bislang bestehende nationale, nicht-eilige Überweisungs- und Lastschriftinstru-mente vollständig abgelöst haben werden. Damit ist nach der Einführung des Euro als gemeinsamem Zahlungsmittel ein wei-terer wichtiger Meilenstein zu einer Harmonisierung des europä-ischen Zahlungsverkehrs erreicht.

Für Unternehmen sowie den öffentlichen Sektor bedeutet dies aber auch, dass man den eigenen Zahlungsverkehr bis zum oben genannten Enddatum auf die SEPA-Instrumente migrieren muss. Unsere Erfahrung hat gezeigt, dass eine erfolgreiche SEPA-Mig-ration in der Regel mit einem nicht unerheblichen finanziellen und Arbeitsaufwand verbunden ist. Da das Enddatum schon in Sicht ist, empfehlen wir allen Unternehmen der Privatwirtschaft und des öffentlichen Sektors, sofort mit den Migrationsvorberei-tungen zu beginnen.

In diesem Artikel finden Sie die wichtigsten Punkte, die dabei zu beachten sind.

Was, wann, wo? Ein SEPA-Überblick

Mittelfristig soll es im europäischen Zahlungsverkehr praktisch keine Landesgrenzen mehr geben. Das heißt, bargeldlose Zahlver-fahren wie Überweisungen und Lastschriften im und ins Ausland werden genauso einfach, schnell und kostengünstig sein wie im Inland.

Für Überweisungen ist dies bereits seit der Einführung der SEPA-Überweisung im Januar 2008 weitestgehend der Fall. Während zuvor die nationalen Überweisungsverfahren sehr unterschiedlich waren, werden nun neue technische Standards und einheitliche Formate verwendet. So können Unternehmen und Privatkunden in ganz Europa zu gleichen Bedingungen Euro-Überweisungen vornehmen.

Eine ähnliche Vereinfachung wurde im November 2009 für das Lastschriftverfahren realisiert. Die SEPA-Lastschrift stellt eine

echte Neuerung dar, da es ein grenzüberschreitend nutzbares Ein-zugsinstrument vorher noch nicht gab.

Bis zum 1. Februar 2014 werden die existierenden nationalen Instrumente (wie z.B. die Einzugsermächtigungslastschrift) und SEPA-Verfahren parallel beibehalten. Danach sind dann nur noch die SEPA-Instrumente zu nutzen.

Zahlungsverkehr vor SEPA-Einführung (Inland und Ausland)

Paris

Lyon

Frankfurt

München

Französische Überweisung und

Lastschrift

Deutsche Überweisung und

Lastschrift

EU-Auslands- überweisung

Auslands-Lastschrift nicht möglich

Zahlungsverkehr mit SEPA

Paris

Lyon

Frankfurt

München

SEPA Überweisung und Lastschrift

SEPA-Raum

244


Strategische Bedeutung für Unternehmen: Welche Vorteile bringt es?

Kostenreduzierung und Risikominimierung sind Themen, die sowohl für Privatunternehmen als auch den öffentlichen Sektor in der Transaktionsabwicklung immer wichtiger werden. Der Trend zur Standardisierung, Automatisierung und Zentralisierung ist daher ungebrochen. Der vereinheitlichte europäische Zahlungsver-kehr unterstützt diese Ziele in vielfacher Hinsicht. Unmittelbare Vorteile, die SEPA bringt, sind i.d.R. am größten für europäisch agierende Unternehmen und beinhalten:

Ein einheitliches Format

Durch die Einführung des XML-Standards wird SEPA die heu-tige Vielfalt an nationalen Zahlungsverkehrsformaten eliminieren. Unternehmen, die in mehreren Ländern tätig sind, können so ihren Aufwand für Formatpflege und Systemadministrierung deutlich reduzieren. Einige Banken bieten darüber hinaus an, das XML-Format auch für alle übrigen Zahlungstransaktionen weltweit entgegenzunehmen. Damit kann ein Unternehmen den gesamten globalen Zahlungsverkehr mit nur einem Format abwickeln.

Vereinheitlichung von Prozessen

Durch einheitliche Ausführungsfristen und Ausnahmeprozesse (z.B. Rückgaben) für alle europäischen Länder werden heute beste-hende Komplexitäten deutlich reduziert. Auch die EU-Zahlungs-diensterichtlinie, die mittlerweile in fast allen Ländern in natio-nales Recht umgesetzt wurde, hat zu einer Erhöhung der Rechtssi-cherheit im Zahlungsverkehr geführt.

Möglichkeiten zur Prozessoptimierung

Für SEPA sind einige neue Datenelemente eingeführt worden mit dem ausdrücklichen Ziel, den Kontenabgleich auf Unternehmens-seite zu unterstützen. Dazu gehören beispielsweise eine spezielle Ende-zu-Ende-Referenz und ein einheitlich langer Verwendungs-zweck, der verbindlich von den Banken an ihre Kunden weiterge-geben werden muss.

Gelegenheit zur Kontenreduzierung

Sofern ein Unternehmen im Ausland Konten für den lokalen Zah-lungsverkehr unterhält, können solche Konten und die damit ver-bundene Liquidität ggf. zentralisiert werden. Heute bestehende Unterschiede zwischen In- und Auslandszahlungen fallen weg.

Gebührenreduzierungen

Es ist zu erwarten, dass sich mittelfristig die Preise für den lokalen Zahlungsverkehr in Europa angleichen und es dadurch in hoch-preisigen Märkten zu Kostensenkungen kommt.

Praktische Vorbereitungen: Was ist zu tun?

Natürlich hängen die Vorteile durch SEPA auch sehr stark von der Unternehmensstruktur ab. Es kommt durchaus vor, dass sich für eher national tätige Unternehmen wie auch für Teile des öffentlichen Sektors die Vorteile bisweilen in Grenzen halten. Allerdings besteht auch hier die Pflicht zur SEPA-Migration. Je nach Komplexität des Zahlungsverkehrs ist der Aufwand unter-schiedlich groß. Im Folgenden stellen wir die wichtigsten Aspekte der Vorbereitung dar.

Projektumfang

Zur Identifizierung des Projektumfangs im Unternehmen sollten folgende Schritte unternommen werden:

‒ Identifizierung aller Konten sowie Feststellung, ob und wenn ja in welchen anderen SEPA-Ländern Konten gehalten werden

‒ Transaktionsanalyse (welche Zahlverfahren werden auf den betroffenen Konten genutzt und mit welchen Volumen)

‒ Identifizierung der genutzten Buchhaltungs-/ERP-/Zahlungs-verkehrs-Systeme und Überprüfung von deren SEPA-Fähigkeit

Dies gibt den Entscheidern einen allgemeinen Überblick darüber, in welchem Maße ihr Unternehmen von SEPA betroffen ist. Es ermöglicht eine grobe Einschätzung des zu erwartenden Projekt-umfangs und der dafür zu budgetierenden Kosten.

Projektteam

Das SEPA-Projektteam kann je nach Unternehmensstruktur und Umfang des SEPA-Projekts unterschiedliche Bereiche umfassen. Dabei ist wichtig, nicht nur die IT sowie die unmittelbar mit dem Zahlungsverkehr oder der Buchhaltung befassten Bereiche einzu-beziehen, sondern auch an andere möglicherweise betroffene Abtei-lungen zu denken. Die folgende Tabelle zeigt Bereiche, die von dem Projekt betroffen sein können.

Bereichsübergreifendes SEPA-Projektteam unter Führung eines SEPA-Projektmanagers

Finanzbereich Andere BereicheBuchhaltung(SEPA-Zahlungen, Vorbuchung, Datenpflege IBAN/BIC)

Treasury(Bankenbeziehungen/Liquidi-tätsauswirkungen)

Rechnungsstellung(IBAN/BIC-Angabe, Zah-lungsbedindungen)

Personalabteilung(Umstellung Gehaltskosten)

Vertrieb/Einkauf(Information der Geschäfts-partner, ggf. Nutzung neuer Verträge oder Formulare)

Kundenservice(SEPA-spezifische Kunden-anfragen)

Rechtsabteilung(insbes. bei Lastschriften wegen Mandatsänderungen)

Externe Partner(z. B. Systemhersteller; Call Center)

IT(nötige Systemanpassungen)

245


Als Nächstes geben wir einen kurzen Überblick, was sich durch die SEPA-Überweisung und -Lastschrift im Einzelnen ändert und welche Schritte konkret unternommen werden sollten, um sich auf diese Änderungen vorzubereiten.

Die Änderungen im Detail: SEPA-Überweisung

Gegenüber den heutigen Verfahren ergeben sich für die SEPA-Überweisung folgende Änderungen:

Einheitliches SEPA XML-Format

Dieses Format ist bindend für den Austausch der Zahlungsdateien mit den Banken. Das heißt, dass die eigenen Systeme dahingehend zu prüfen sind, ob sie Zahlungsverkehrsdateien im XML-Format generieren können.

IBAN und BIC

Für SEPA-Transaktionen sind nur noch IBAN (International Bank Account Number) und BIC (Bank Identifier Code), die Sie bereits von der EU-Auslandsüberweisung kennen, als Kontoiden-tifizierung zulässig. Dies bedeutet, dass diese entweder direkt vom Kontoinhaber erfragt werden müssen, oder aber schon hinterlegte Kontonummern auch mittels Konvertierungsservices in IBANs umgewandelt werden können.

Neue/geänderte Datenelemente

In den SEPA-Formaten wurde ein optionales Ende-zu-Ende-Refe-renzfeld geschaffen, das es dem Auftraggeber einer Zahlung verein-fachen kann, Rückgaben automatisch zuzuordnen. Die Informa-tion wird in einem solchen Fall von der Bank mit der Rückbuchung an den Kunden zurückgegeben. Ferner wurde die heute sehr unter-schiedliche Verwendungszwecklänge über Europa vereinheitlicht. Sie ist einheitlich auf 140 Zeichen festgelegt und Banken sind ver-pflichtet, den vollen Verwendungszweck auf den Kontoauszügen anzugeben. Falls Sie heute in der Regel mehr Informationen im Verwendungszweck angeben, müssten diese Informationen ggf. verkürzt werden, oder aber außerhalb der Zahlung an den Empfän-ger übermittelt werden.

Ausführungsfrist

Eine SEPA-Überweisung dauert von der elektronischen Auftrags-erteilung bis zur Gutschrift der Empfängerbank nur maximal einen Bankarbeitstag.

Gutschrift ohne Abzüge

SEPA-Überweisungen werden grundsätzlich mit dem vollen Betrag ohne Abzüge gutgeschrieben.

Die Änderungen im Detail: SEPA-Lastschrift

Wie das heutige deutsche Lastschriftverfahren ist die SEPA-Last-schrift ein Einzugsverfahren, das auf einem vom Zahlungspflichti-gen unterschriebenen und dem Zahlungsempfänger erteilten Man-dat beruht. Dieses Mandat ist inhaltlich standardisiert und muss in der Vertragssprache (i.d.R. deutsch) ausgestellt sein.

Dabei ist sichergestellt, dass bestehende deutsche Einzugsermäch-tigungen auch für Einzüge im SEPA-Basislastschriftverfahren genutzt werden können. Es ist also nicht nötig, für die SEPA-Basis-lastschrift neue Mandate einzuholen – es sei denn, dass noch gar keine Einzugsermächtigung vorliegt (wie z.B. bei einem Neukun-den). Bestehende Abbuchungsaufträge können aller Voraussicht nach aber nicht für SEPA-Lastschriften genutzt werden, so dass hier neue Mandate einzuholen wären.

Wie bei der Überweisung werden statt nationaler Kennungen nur noch IBAN und BIC verwendet. Es gibt auch das Ende-zu-Ende-Referenzfeld – dies ist für Masseneinreicher von Lastschriften besonders vorteilhaft, weil es den automatischen Abgleich von Lastschriftrückgaben erheblich erleichtern kann. Zusätzliche neue Datenelemente sind:

‒ Eine vom Lastschrifteinreicher zu vergebende, eindeutige Mandatsnummer

‒ Eine zentral (in Deutschland durch die Bundesbank: http://www.bundesbank.de/zahlungsverkehr/zahlungsverkehr_sepa_identifikation.php) vergebene Begünstigtenkennung

‒ Geänderte Codes und Kennungen bei Lastschriftrückgaben

Es gibt ein so genanntes Basisverfahren, das insbesondere in der Beziehung von Kommunen zu Privatkunden benutzt wird, aber auch genutzt werden kann, wenn der Schuldner eine Kommune oder ein Unternehmen ist – es kann also gegenüber jeglicher Art von Schuldnern genutzt werden. Das Firmenkundenverfahren aller-dings, das dem heutigen Abbuchungsauftragsverfahren ähnelt, kann nicht genutzt werden, wenn der Zahlungspflichtige ein Ver-braucher ist. Der wesentliche Unterschied ist, dass bei der Firmen-kundenvariante eine Mandatsprüfung durch die Schuldnerbank vor Bezahlung der entsprechenden Lastschrift erfolgen muss, da der Schuldner im Firmenverfahren auf sein Rückgaberecht ver-zichtet. Diese Prüfung ist beim Basisverfahren lediglich optional (nur auf Wunsch des Schuldners), da der Schuldner hier immer ein Rückgaberecht hat.

Basisverfahren FirmenverfahrenNutzung Ggü Privatpersonen

und UnternehmenNur ggü Unterneh-men

Widerspruchsrecht des Schuldners

8 Wochen nach Belastung13 Monate bei unautorisierter Belastung

Kein Widerspruchs-recht nach Belas-tung

Mandatsprüfung durch Schuldner-bank

Optional verpflichtend

Unterstützung durch Banken

EUR-Länder seit 11/2010Nicht-EUR-Länder ab 11/2014

optional

246


Änderungen im Prozessablauf von Unternehmen ergeben sich ins-besondere durch die Änderung der Fristenregelungen, die wir im Folgenden für das Basisverfahren aufführen:

‒ SEPA-Lastschriften haben ein Fälligkeitsdatum, das vom Ein-reicher zu vergeben ist. Dies ist das Datum, an dem der Schuld-ner belastet wird

‒ 14 Kalendertage vor Fälligkeit erfolgt durch den Gläubiger an den Schuldner die Anzeige von Datum und Betrag der Belas-tung – die Frist ist jedoch vertraglich änderbar. Die Anzeige kann z. B. im Rahmen der Rechnungsstellung erfolgen

‒ Spätestens 5 Bankarbeitstage vor Fälligkeit müssen Erstlast-schriften unter einem Mandat oder Einmallastschriften an die Einreicherbank gegeben werden

‒ Spätestens 2 Bankarbeitstage vor Fälligkeit müssen Folgelast-schriften unter einem Mandat an die Bank gegeben werden

‒ Spätestens 5 Arbeitstage nach Fälligkeit müssen mögliche Rückgaben durch die Schuldnerbank erfolgen (z.B. wenn das Konto geschlossen ist). Für innerdeutsche Lastschriften haben sich die deutschen Kreditinstitute allerdings auf eine schnellere Frist von nur 2 Arbeitstagen geeinigt

‒ Bis zu 8 Wochen nach Fälligkeit kann der Schuldner die Last-schrift zurückgeben

‒ Bis zu 13 Monate nach Fälligkeit kann eine unautorisierte Last-schrift (Gläubiger kann kein Mandat vorweisen) zurückgege-ben werden

‒ Ein Mandat erlischt automatisch 36 Monate nach der letzten Lastschrifteinreichung (es behält also seine Gültigkeit, solange regelmäßig Einzüge vorgenommen werden)

Für die Firmenkundenvariante gelten folgende, andere Fristen: ‒ Einreichung bei der Bank 1 Bankarbeitstag vor Fälligkeit ‒ Rückgabe durch Banken 2 Bankarbeitstage nach Fälligkeit ‒ Eine Rückgabe durch den Schuldner ist nicht möglich

Abschlussbemerkungen:

Die SEPA-Migration ist kein freiwilliges Projekt mehr, sondern ein regulatorisches, da die Nutzung von SEPA-Überweisung und -Lastschrift ab 1. Februar 2014 verpflichtend wird. Die Herausfor-derung für Unternehmen und den öffentlichen Sektor wird sein, ihre SEPA-Migration so zu planen, dass das Projekt vor Erreichen des Enddatums für Altverfahren abgeschlossen wird. Um dies zu gewährleisten empfehlen wir, die nötige interne Analyse darüber, was zu machen und ggf. zu ändern ist, umgehend vorzunehmen. Dies ist die Grundlage dafür, die voraussichtliche Dauer der ein-zelnen Implementierungsschritte und damit des Gesamtprojekts abzuschätzen. Daraus ergibt sich dann, wann mit der Umsetzung des Projekts spätestens begonnen werden muss.

Zwar sind auf Seiten der Kommunen einige Vorbereitungen erfor-derlich, allerdings helfen die deutschen Banken Ihnen gern, den Umstellungsaufwand so gering wie möglich zu halten, beispiels-weise durch Mehrwertdienste und detaillierte Informationen. Gerne bieten wir Ihnen an, die Erfahrung der Deutschen Kredit-wirtschaft im Zahlungsverkehr zu nutzen, um eine reibungslose SEPA-Umstellung zu gewährleisten. Sprechen Sie mit Ihrer Bank.

247

Sachsenlandkurier 5/12 Aus der Presse

Aus der Presse

Pressemitteilung Nr. 15/2012

Schere bei den Netzentgelten zwischen den Bundesländern wird immer größer – SSG fordert bundesweiten Ausgleich

Der Sächsische Städte- und Gemeindetag fordert eine bundesweite Sozialisierung der Netzkosten nach dem Gesetz für den Vorrang Erneuerbarer Energien (EEG). Die Unterschiede zwischen den Netzentgelten in den einzelnen Bundesländern werden immer grö-ßer. „Zur Zeit werden die Bundesländer, die sich beim Ausbau der regenerativen Energien besonders engagieren, finanziell bestraft“, so der Verbandsgeschäftsführer Mischa Woitscheck.

Durch die steigenden Netzentgelte werden neben einer enormen Belastung der privaten Endverbraucher auch erhebliche Standort-nachteile für die in Sachsen ansässigen Unternehmen befürchtet. „Wir benötigen deshalb ein bundeseinheitliches System, das diese Nachteile ausgleicht“, fordert Woitscheck. Die Energiewende ist eine gesamtgesellschaftliche Aufgabe, die Kosten müssen deshalb auch bundesweit gerecht verteilt und getragen werden.

Die Belastung der Strompreise in Nord- und Ostdeutschland ist durch den stärkeren Ausbau der regenerativen Energien und die damit einhergehenden Kosten für die Einspeisung Erneuerbarer Energien überproportional hoch. Zudem wird durch den Ausbau der erneuerbaren Energien auch ein Ausbau der Verteilnetze erfor-derlich, der zu einer weiteren finanziellen Belastung dieser Bundes-länder führt.

Der Netzausbau und die Struktur der Stromversorgung sind Gegenstand einer Veranstaltung des SSG, die heute in Markklee-berg stattfindet.

Dresden, 28.06.2012


EU-Fördermittel sind auch in der neuen Förderperiode wichtiges Standbein der sächsischen Kommunen – Freistaat muss endlich Farbe bekennen

In der neuen Strukturfondsförderperiode ab dem Jahr 2014 werden in Sachsen wesentlich weniger EU-Fördermittel zur Verfügung ste-hen. Der Geschäftsführer des Sächsischen Städte- und Gemeinde-tages, Mischa Woitscheck, appelliert deshalb an den Freistaat Sach-sen, dass die noch zur Verfügung stehenden Gelder ganz gezielt für Infrastrukturmaßnahmen in den Kommunen einzusetzen sind. „Wir benötigen diese Mittel im kommunalen Bereich, um auch zukünftig vor Ort für unsere Bürger kommunale Schulen und Kindertagesstätten, Altenheime, Krankenhäuser oder Verwaltungsgebäude energieeffizient sanieren zu können“, so Mischa Woitscheck.

Aber auch für die nachhaltige integrierte Stadtentwicklung sind in der neuen Förderperiode dringend finanzielle Mittel bereitzustellen.

Nur so können die verschiedenen ökologischen, wirtschaftlichen, sozialen und kulturellen Dimensionen des städtischen Lebens mit-einander verknüpft werden. „Von besonderer Bedeutung ist für uns, dass die Kommunen ausreichend regionale Handlungsspielräume haben, um die Mittel ganz gezielt und in Investitionen in die Infrastruktur vor Ort einzusetzen. Dafür ist es erforderlich, dass die Bandbreite an Fördergegenständen weiter gefasst wird, die Förderverfahren vereinfacht und die Mittelaufteilung zwischen den Fonds flexibler gestaltet werden“, fordert Woitscheck.

Die EU-Kommission hat am 6. Oktober 2011 die Verordnungs-entwürfe zur Struktur- und Kohäsionsfondspolitik für die Jahre 2014 bis 2020 vorgelegt, die die Rahmenbedingungen für die neue Förderperiode vorgeben. Auf dieser Grundlage werden nun in den einzelnen Mitgliedstaaten und Bundesländern derzeit die Pro-gramme zur Umsetzung der Verordnungen erarbeitet.

Dresden, 04.07.2012


Sächsischer Städte- und Gemeindetag: Gesetzentwurf zur Erleichterung freiwilliger Gebietsänderungen lässt weitere Unterstützung für fusionswillige Kommunen erwarten, enthält jedoch auch derbe Schönheitsfehler

Vom Gesetz zur Erleichterung freiwilliger Gebietsänderungen ist weitere Unterstützung für fusionswillige Städte und Gemeinden zu erwarten. Das hat der Sächsische Städte- und Gemeindetag (SSG) im Rahmen der heutigen Sachverständigenanhörung vor dem Innenausschuss des Sächsischen Landtages deutlich gemacht. Mischa Woitscheck, Geschäftsführer des kommunalen Spitzenver-bandes, sagte dazu: „Der Gesetzentwurf sorgt bei den Kommunen und ihren Einwohnern für mehr Rechtssicherheit und Klarheit. Die Zukunft der Verwaltungsgemeinschaften und Verwaltungsverbände, das Verfahren der Einwohnerbeteiligung, die Einführung der Dop-pik oder die sog. Hochzeitsprämie für Gemeindefusionen treibt viele Akteure in Sachsen um.“

Dagegen kritisiert der Spitzenverband, dass der Freistaat Sachsen nach wie vor nicht bereit ist, freiwillige Gemeindezusammen-schlüsse mit staatlichen Mitteln zu unterstützen. Die sog. Hoch-zeitsprämie wird ausschließlich aus kommunalem Geld des Finanz-ausgleichs finanziert. Hier erwarten die Kommunen deutlich mehr Einsatz vom Land. Außerdem sind in dem Gesetzentwurf Rege-lungen versteckt, die schon mehr als Schönheitsfehler darstellen. So soll im Zweckverbandsrecht eine Schutzklausel für kleinere Mitglieder wegfallen. „Wir appellieren an das Parlament, die Schnit-zer des Regierungsentwurfs auszubügeln und den Minderheitenschutz in Zweckverbänden zu bewahren. Anderenfalls wird das Gesetz viel Streit in die Kommunen hineintragen“ erklärte Woitscheck dazu.

Dresden, 05.07.2012

248

Aus der Presse Sachsenlandkurier 5/12


SSG mahnt Korrektur der Referenzdaten für die EU-Förderung an: Initiative des Freistaates geboten

Nach Auskunft der amtlichen Wirtschaftsstatistiker ist nach der volkswirtschaftlichen Gesamtrechnung der Länder die ostdeutsche Wirtschaft deutlich schwächer gewachsen als zunächst angenom-men. „Der Freistaat Sachsen sollte sich deshalb unbedingt dafür einsetzen, dass die Referenzdaten der aktuellen Statistik des Statistischen Amtes der Europäischen Union (EUROSTAT) korrigiert werden“, so der Geschäftsführer des Sächsischen Städte- und Gemeindetages, Mischa Woitscheck.

Nach den im März 2012 veröffentlichten statistischen Zahlen von EUROSTAT würden nur Dresden und Chemnitz in die sog. „Übergangsregionen“ fallen und damit mehr EU-Fördermittel und günstigere Förderbedingungen erhalten. „Die aktuellen Wirtschaftsdaten geben nun Anlass zur Hoffnung, dass durch die Revision dieser Zahlen auch die Region Leipzig mit wesentlich höheren Fördermitteln in der neuen Strukturfondsförderperiode rechnen kann. Die Europäische Kommission sollte deshalb die genaue Auswertung dieser Zahlen unbedingt abwarten“, appellierte Woit-scheck.

Die regionalen Werte des Bruttoinlandsproduktes sind entschei-dend für die Zuordnung von den einzelnen europäischen Regionen zu bestimmten Fördergebieten.

Dresden, 06.07.2012


Weichenstellung bei der Förderpolitik unausgegoren – Kommunen drohen ins Abseits zu geraten

Für die sächsischen Kommunen sind die vom Sächsischen Kabinett am heutigen Tag veröffentlichten Vorstellungen zur Ausrichtung der Förderpolitik im Freistaat Sachsen ab dem Jahr 2014 nicht akzeptabel. Bei den Fördermitteln für Infrastrukturinvestitionen im kommunalen Bereich drohen erhebliche Einschnitte.

„Für uns ist nicht nachvollziehbar, dass der Freistaat sich in bestimmten Bereichen selbst EUFördermittel reserviert, die Kommunen aber außen vor lässt“, sagt Mischa Woitscheck, Verbands-geschäftsführer des Sächsischen Städte- und Gemeindetages. Er gibt beispielsweise zu bedenken, dass die energieeffiziente Sanie-rung von Gebäuden des Freistaates förderfähig ausgestaltet wird, kommunale Verwaltungsgebäude, Altenheime oder Krankenhäu-ser mit EU-Geldern aber nicht saniert werden können. Auch für die nachhaltige integrierte Stadtentwicklung ist nur die von der EU vorgeschriebene Mindestquote vorgesehen.

„Zudem sollte bei der inhaltlichen Ausrichtung der Programme darauf geachtet werden, dass es durch die vom Freistaat Sachsen geplante nochmalige starke thematische Einengung der Fördergegenstände nicht dazu kommt, dass die Kommunen die Fördergelder nicht abrufen können und die für den Freistaat Sachsen bereitstehenden EUGelder wieder nach Brüssel zurückfließen“, warnte Woitscheck.

Die vom Sächsischen Kabinett heute veröffentlichten Vorstellun-gen zur Förderpolitik sollen die Grundlage für die Erarbeitung der Förderprogramme in den nächsten Wochen bilden. Auf der Grundlage der Förderprogramme werden die EU-Fördergelder in den Jahren 2014 bis 2020 ausgereicht.

Dresden, 10.07.2012


Städte und Gemeinden erwarten die direkte und zusätzliche Weiterleitung der Bundesmittel für Kita-Investitionen und Kita-Betriebskosten an die Kommunen

Der Sächsische Städte- und Gemeindetag (SSG) fordert den Frei-staat Sachsen auf, die im Rahmen des Fiskalpakts ausgehandelte Unterstützung des Bundes für den Ausbau und den Betrieb von Kindertagesstätten zusätzlich und direkt an die Kommunen wei-terzuleiten. Das hat das Präsidium des kommunalen Spitzenver-bandes auf seiner heutigen Sitzung beschlossen.

Der 1. Vizepräsident des SSG, der Leipziger Oberbürgermeister Burkhard Jung, erklärte dazu: „Die Bundesmittel werden dringend benötigt, um die Rechtsansprüche auf ein Betreuungsangebot ab dem 01.08.2013 erfüllen und finanzieren zu können. Die Bundesmit-tel müssen direkt, unverzüglich und zusätzlich in Kitas und Kinder investiert werden. Das politische Gezerre um die für die Kommunen bestimmten Bundesmittel darf sich nicht wiederholen.“

Die zusätzlichen Mittel für Kitas sind Bestandteil des Pakets, mit dem sich Bund und Länder auf eine Zustimmung zum europäi-schen Fiskalpakt geeinigt hatten. Der Freistaat Sachsen erhält daraus nach ersten Berechnungen einmalig 27 Millionen Euro für Investitionen in Kindertagesstätten. Zusätzlich will der Bund die sächsischen Kommunen von ihren Kita-Betriebskosten dauerhaft um jährlich 3,75 Millionen Euro entlasten. Direkte Finanzhilfen des Bundes an die Kommunen sind aus verfassungsrechtlichen Gründen ausgeschlossen. Die für die Kommunen bestimmten Bundesmittel fließen daher zunächst an das Land.

Dresden, 11.07.2012

249

Sachsenlandkurier 5/12 Aus der Rechtsprechung/Aus Büchern und Zeitschriften

Aus Büchern und Zeitschriften

Neuerscheinungen

GassnerKompendium Verwaltungsrechtmit Musterentscheidungen und Arbeitshilfen, 2012, 440 Seiten, kar-toniert, 28,00 €, ISBN 978-3-41504826-3, Richard Boorberg Verlag GmbH & Co KG, Scharrstr. 2, 70563 Stuttgart, Tel.: (07 11) 7 38 50, Fax: (07 11) 7 38 51 00, E-Mail: [email protected], www.boorberg.de

von Professor Dr. Kathi Gassner, Hochschule für öffentliche Verwal-tung Kehl

Das Lehr- und Arbeitsbuch zum Verwaltungsrecht vermittelt die materiell-rechtlichen Grundlagen und die Bescheidtechnik anhand von zwei Aktenfällen. Ausgangspunkt ist die konkrete Bearbei-tungssituation in der Behörde. Die Autorin stellt den Lernstoff anschaulich und überzeugend mit Formulierungsvorschlägen für das Rechtsgutachten und die Verwaltungsentscheidung dar. Hand-lungsanweisungen, Mustervorlagen und Prüfungsschemata erleich-tern die Fallbearbeitung.

Der erste Teil enthält einen praktischen Leitfaden zur Anferti-gung von Verwaltungsakten, zu ihrer Durchsetzung sowie zu einem etwaigen späteren Widerruf, zum Entwurf von öffentlich-rechtlichen Verträgen sowie zum Erlass von Satzungen, Rechtsver-ordnungen und Verwaltungsvorschriften. Im zweiten Teil folgen Rücknahme, Widerspruchsverfahren und gerichtliche Klage- und Antragsverfahren.

Das Verfahrens- und Sachentscheidungsermessen der Verwaltung ist ebenso ausführlich erörtert wie die Frage nach möglichen Fehl-erfolgen und Mitteln zur Fehlerbeseitigung.

Insbesondere durch die zahlreichen Beispiele und Formulierungs-hilfen ist das Werk für Studenten an den Fachhochschulen für öffentliche Verwaltung sowie Studierende an den Verwaltungs-schulen und Studieninstituten das optimale Hilfsmittel zur Prü-fungsvorbereitung. Aber auch erfahrene Verwaltungspraktiker erhalten das notwendige Rüstzeug und hilfreiche Empfehlungen für die effektive und professionelle Bearbeitung des jeweiligen Ein-zelfalls.

Aus der Rechtsprechung

Regelungen zu den Grundleistungen in Form der Geldleistungen nach dem Asylbewerberleistungsgesetz sind verfassungswidrig.

Die Höhe der Geldleistungen nach § 3 des Asylbewerberleistungs-gesetzes ist evident unzureichend, weil sie seit 1993 nicht verändert worden ist.Art. 1 Abs. 1 GG in Verbindung mit dem Sozialstaatsprinzip des Art. 20 Abs. 1 GG garantiert ein Grundrecht auf Gewährleistung eines menschenwürdigen Existenzminimums (vgl. BVerfGE 125, 175). Art. 1 Abs. 1 GG begründet diesen Anspruch als Menschen-recht. Er umfasst sowohl die physische Existenz des Menschen als auch die Sicherung der Möglichkeit zur Pflege zwischenmensch-licher Beziehungen und ein Mindestmaß an Teilhabe am gesell-schaftlichen, kulturellen und politischen Leben. Das Grundrecht steht deutschen und ausländischen Staatsangehörigen, die sich in der Bundesrepublik Deutschland aufhalten, gleichermaßen zu. Falls der Gesetzgeber bei der Festlegung des menschenwürdigen Existenzminimums die Besonderheiten bestimmter Personengrup-pen berücksichtigen will, darf er bei der konkreten Ausgestaltung existenzsichernder Leistungen nicht pauschal nach dem Aufent-haltsstatus differenzieren. Eine Differenzierung ist nur möglich, sofern deren Bedarf an existenznotwendigen Leistungen von dem anderer Bedürftiger signifikant abweicht und dies folgerichtig in einem inhaltlich transparenten Verfahren anhand des tatsächli-chen Bedarfs gerade dieser Gruppe belegt werden kann.

(BVerfG, Urteil vom 18.07.2012 – 1 BvL 10/10, 1 BvL 2/11)

Verfassungsrechtliche Prüfung einzelner Vorschriften des Gesetzes über die Ladenöffnungszeiten im Freistaat Sachsen und des Gesetzes über Sonn- und Feiertage im Freistaat Sachsen

§ 8 Abs. 1 Satz 1, § 10 Abs. 1 des Sächsischen Ladenöffnungs-gesetzes (Sächsisches Ladenöffnungsgesetz – SächsLadÖffG) vom 1. Dezember 2010 (SächsGVBl. S. 338), das durch Art. 39 des Gesetzes vom 27. Januar 2012 (SächsGVBl. S. 130) geändert wor-den ist, sowie § 4 Abs. 3 Satz 1 Nummer 4 des Gesetzes über Sonn- und Feiertage im Freistaat Sachsen (SächsSFG) in der Fassung des Gesetzes über Sonn- und Feiertage im Freistaat Sachsen vom 1. Dezember 2010 (SächsGVBl. S. 338) sind mit der Sächsischen Verfassung vereinbar.§ 4 Abs. 3 Satz 1 Nummer 5 SächsSFG in der Fassung des Gesetzes über die Ladenöffnungszeiten im Freistaat Sachsen und zur Ände-rung des Gesetzes über Sonn- und Feiertage im Freistaat Sachsen vom 1. Dezember 2010 (SächsGVBl. S. 338) ist mit Art. 109 Abs. 4 SächsVerf i. V. m. Art. 139 WRV unvereinbar und nichtig.

(SächsVerfGH, Urteil vom 21.06.2012 – Vf. 77-II-11)

250

Aus Büchern und Zeitschriften Sachsenlandkurier 5/12

Willenbruck, NullmeierEnergieeffizienz und Umweltschutz bei der Vergabe öffentlicher AufträgeSchriftreihe des forum vergabe e. V., 2012, 68 Seiten, Softcover, 24,80 €, ISBN 978-3-8462-0086-5, Bundesanzeiger Verlag, Ams-terdamer Straße 192, 50735 Köln, Tel.: (02 21) 97 66 83 43, Fax: (02 21) 97 66 83 97, E-Mail: [email protected], www.bundesanzeiger-verlag.de

Als Konsequenz der Änderungen der SektVO im Mai 2011 und der VgV im Mai und August 2011 müssen öffentliche Auftragge-ber und Sektorenauftraggeber beim Einkauf von Leistungen eine Reihe von Energie- und Umweltschutzaspekten berücksichtigen. Verbunden sind damit allerdings schwierige und komplexe Fragen an die Durchführung der neuen Bestimmungen:

‒ Wie ist das Verhältnis der Wirtschaftlichkeit und Energieef-fizienz?

‒ Können oder müssen öffentliche Auftraggeber Energieeffizi-enz-Aspekte bei der Leistungsbeschreibung und der Zuschlags-wertung berücksichtigen?

‒ Wie lassen sich Energieeffizienzgesichtspunkte werten? ‒ Wie sind Umweltkriterien zu handhaben, die nicht oder nicht

nur leistungsbezogen, sondern auch bieterbezogen sind?

Die Autoren beantworten diese und weitere Fragen, die sich als Konsequenz aus den o. g. Rechtsänderungen für die Vergabepraxis ergeben. Sie geben u. a. Hinweise zur Erstellung der Vergabeunter-lagen und nennen Quellen für Bewertungsmuster und -hilfen für die Ausschreibungspraxis.

Vorangestellt ist ein Überblick über die Inhalte und Anwendungs-bereiche der Vergaberechtsnovelle 2009 und der Änderungen der SektVO und der VgV 2011 unter Energie- und Umweltschutzge-sichtspunkten. Ergänzend dazu wird ein Ausblick auf die noch zu erwartenden Rechtsentwicklungen gegeben.

Aus dem Inhalt: ‒ Vergaberechtliche Vorgaben zu Energie- und Umweltaspekten

seit der Vergaberechtsnovelle 2009 und seit den Änderungen der SektVO im Mai 2011 sowie der VgV im Mai und August 2011

‒ Ausblick auf die zukünftige Rechtsentwicklung ‒ Bedeutungen der Regelungen für Auftraggeber und Bieter

Vorteile: ‒ Überblick über die aktuellen Vergaberechtsänderungen unter

Energie- und Umweltaspekten ‒ Kompakte Zusammenfassung der Auswirkungen für Auftrag-

geber und Bieter

Autoren:RA Dr. Klaus Willenbruch, Hamburg, RA Raphael Nullmeier, Hamburg

von Janowsky, Ludwig, Roschlaub, StreuffGeodateninfrastrukturrecht in Bund und LändernSystematische Erläuterungen, 2010, 154 Seiten, kartoniert, 35,00 €, ISBN 978-3-8293-0883-0, Kommunal- und Schul-Verlag GmbH & Co. KG, Konrad-Adenauer-Ring 13, 65187 Wiesbaden, Tel.: (06 11) 88 08 60, Fax: (06 11) 8 80 86 66, E-Mail: [email protected], www.kommunalpraxis.de

Die INSPIRE-Richtlinie verpflichtet Behörden aller Verwaltungs-ebenen, ihre Geodaten über Geodateninfrastrukturen öffentlich verfügbar bereit zu stellen. Die rechtliche Umsetzung der Richt-linie in Deutschland erfolgt sowohl durch Bundes- als auch durch Landesrecht. Ziel der in Bund und Ländern eng aufeinander abge-stimmten Gesetzgebung ist der weitere INSPIRE-konforme Aus-bau der von Bund, Ländern und Kommunen gemeinsam betriebe-nen Geodateninfrastruktur Deutschland (GDI-DE).

Der Verlagstitel erläutert in Form einer vergleichenden Darstellung die in Kraft getretenen gesetzlichen Regelungen. Die systemati-schen Erläuterungen beleuchten das komplette gesetzliche Rah-menwerk für den Aufbau der Geodateninfrastruktur Deutschland. Sie schildern die Abhängigkeiten und Verzahnungen beim Aufbau der von der INSPIRE-Richtlinie geforderten verwaltungsübergrei-fenden Strukturen sowie den vom Gesetzgeber in Bund und Län-dern aufgezeigten Lösungsweg. In das Werk sind die Erfahrungen der Verfasser während der Erarbeitung der Gesetzestexte und aus ihrer Tätigkeit in verschiedenen Gremien im Umfeld von INSPIRE und GDI-DE eingeflossen.

Das Werk wendet sich primär an Behörden aller Verwaltungsebe-nen, die über Geodaten verfügen. Zum erweiterten Interessenten-kreis sind Wirtschaft sowie interessierte Bürgerinnen und Bürger zu zählen, die diese Geodaten über die Geodateninfrastrukturen nutzen.

Die Autoren: Dr. Dagmar von Janowsky, Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit; Leitender Ministe-rialrat Robert Ludwig, Bay. Staatsministerium der Finanzen; Dr. -Ing. Robert Roschlaub, Landesamt für Vermessung und Geoinfor-mation Bayern; Ministerialrat Dr. Hartmut Streuff, Bundesminis-terium für Umwelt, Naturschutz und Reaktorsicherheit

Nachauflagen

HromadkaArbeitsrecht für VorgesetzteRechte und Pflichten bei der Mitarbeiterführung3. Auflage 2012, 411 Seiten, kartoniert, 19,90 EUR, ISBN 978-3-406-62363-9, Beck-Rechtsberater Band 50648, Verlag C.H. Beck München, Wilhelmstraße 9, 80801 München, Tel.: (0 89) 38 18 90, Fax: (0 89) 38 18 94 80, E-Mail: [email protected], www.beck.de

Mitarbeiterführung verlangt mehr als nur Arbeitsrechtskenntnisse. Diese Kenntnisse sind aber der unerlässliche Hintergrund für eine gute Mitarbeiterführung und Voraussetzung dafür, dass die eigene Arbeit Erfolg hat. Der Vorgesetzte schuldet deshalb nicht nur dem Mitarbeiter ein Grundwissen im Arbeitsrecht; er benötigt es auch für seine eigene Karriere. Dieses Buch für Führungskräfte, die zugleich Vorgesetzte sind, schildert die Rechte und Pflichten gegenüber Bewerbern und Mitarbeitern, und zeigt, wann und wie der Betriebsrat einzuschalten ist. Der Schwerpunkt liegt auf den

251

Sachsenlandkurier 5/12 Aus Büchern und Zeitschriften

Fragen der täglichen Praxis, von der Bewerbung über die Rechte und Pflichten im Arbeitsverhältnis bis hin zu dessen Beendigung. Zugleich bietet es Vorgesetzten, Personalabteilungen und Betriebs-räten eine systematische Einführung in das Arbeitsrecht.

Die 3. Auflage berücksichtigt vor allem die Konsequenzen aus zahlreichen wichtigen Gerichtsentscheidungen, etwa zum Thema Diskriminierung und Datenschutz, aber auch zu Teilzeitarbeit, Kündigungsschutz, Mitarbeiterkontrolle und vielen weiteren The-men. In der Neuauflage wird daher die aktuelle Rechtsprechung praxisgerecht aufbereitet dargestellt.

Prof. Dr. Dr. h. c. Wolfgang Hromadka war 17 Jahre lang leitend im Personal- und Sozialwesen von Großunternehmen tätig und 18 Jahre Professor für Bürgerliches Recht, Arbeits- und Wirt-schaftsrecht an der Universität Passau. Er ist wissenschaftlicher Berater der Kanzlei Schmitt-Rolfes, Faltermeier, Staudacher in München.

Das Werk wendet sich an Vorgesetzte in Wirtschaft und Verwal-tung sowie Personalabteilungen und Betriebsräte.

Kopp/SchenkeVwGO – VerwaltungsgerichtsordnungKommentar18., neubearbeitete Auflage 2012, 1982 Seiten, in Leinen, 62,00 EUR, ISBN 978-3-406-62669-2, Verlag C.H. Beck Mün-chen, Wilhelmstraße 9, 80801 München, Tel.: (0 89) 38 18 90, Fax: (0 89) 38 18 94 80, E-Mail: [email protected], www.beck.de

Der erfolgreiche Standardkommentar gibt zuverlässige und wis-senschaftlich genaue Antworten auf alle verwaltungsprozessualen Fragen. Er ist seit fast 40 Jahren in Ausbildung und Praxis bewährt und umfänglich prüfungszugelassen.

Dieser erfolgreiche Handkommentar ist eng mit dem „Parallel-werk“ Kopp/Ramsauer, VwVfG, abgestimmt. So werden z. B. – speziell für Referendare wichtig – unterschiedliche Auffassungen beider Werke zu gleichen Sachfragen klar gekennzeichnet. Auf die Entwicklungen des Europäischen Gemeinschaftsrechts wird in den Erläuterungen ein besonderes Augenmerk gelegt.

Die 18. Auflage hat den Stand Januar 2012. Sie berücksichtigt u. a. das Gesetz über den Rechtsschutz bei überlangen Gerichtsverfah-ren und strafrechtlichen Ermittlungsverfahren (ÜVerfBesG) vom 24.11.2011, das Gesetz zur Förderung der Mediation und anderer Verfahren der außergerichtlichen Konfliktbeilegung (BT-Beschluss vom 15.12.2011) sowie neue Entwicklungen beim vorläufigen Rechtsschutz.

Das Werk wendet sich an Rechtsanwälte, Unternehmensjustitiare, Verbandsjuristen, Richter, Referenten in Bundes-, Landes- und Kommunalbehörden, Referendare, Studenten und Professoren.

Zu den Autoren: Begründet von Prof. Dr. Ferdinand O. Kopp, fortgeführt von Prof. Dr. Wolf-Rüdiger Schenke unter Mitarbeit von Prof. Dr. Ralf Peter Schenke.

SchulzKündigungsschutz im Arbeitsrecht von A – ZVon Abfindung bis Zeugnis4. Auflage 2012, 327 Seiten, kartoniert, 17,90 EUR, ISBN 978-3-406-58255-4, Beck-Rechtsberater Band 5070, Verlag C.H. Beck München, Wilhelmstraße 9, 80801 München, Tel.: (0 89) 38 18 90, Fax: (0 89) 38 18 94 80, E-Mail: [email protected], www.beck.de

Das Buch behandelt auf der Grundlage aktueller Rechtsprechung alle wesentlichen Fragen des Kündigungs(schutz)rechts.

U. a. findet man Antworten auf folgende Fragen: ‒ Wann und wie kann ein Arbeitsverhältnis gekündigt werden? ‒ Was sind betriebs-, personen- und verhaltensbedingte Kündi-

gungsgründe? ‒ In welcher Weise muss der Betriebsrat beteiligt werden? ‒ Wann besteht trotz Kündigung ein Weiterbeschäftigungsan-

spruch? ‒ Wie verläuft ein Kündigungsschutzprozess? ‒ In welchen Fällen und wie lange können Arbeitsverhältnisse

befristet werden? ‒ Wie muss ein Aufhebungsvertrag aussehen? ‒ Wann ist mit einer Abfindung zu rechnen? ‒ Welche sozialversicherungsrechtlichen Folgen sind zu beachten?

Die Neuauflage bringt das Werk auf den neuesten Stand von Gesetzgebung und vor allem Rechtsprechung, die im Arbeitsrecht besondere Bedeutung hat.

Dr. Georg-R. Schulz ist Rechtsanwalt und Fachanwalt für Arbeits-recht in München. Er ist auch Autor des dtv-Bandes 5280, Alles über Arbeitszeugnisse.

Das Werk wendet sich an Arbeitnehmer, Arbeitgeber, Gewerk-schaften, Betriebsräte, Rechtsanwälte.

Thomas/PutzoZPO – Zivilprozessordnung Kommentar33. Auflage 2012, 2157 Seiten, in Leinen, 58,00 EUR, ISBN 978-3-406-62410-0, Verlag C.H. Beck München, Wilhelmstraße 9, 80801 München, Tel.: (0 89) 38 18 90, Fax: (0 89) 38 18 94 80, E-Mail: [email protected], www.beck.de

Dieses erfolgreiche Standardwerk informiert schnell und zuver-lässig in allen zivilprozessualen und verfahrensrechtlichen Fragen. Der seit über 40 Jahren in Ausbildung und Praxis bewährte absatz-stärkste ZPO-Kommentar beschränkt sich auf das Wesentliche und formuliert dabei stets überaus genau. Das Werk informiert schnell und zuverlässig über alle wichtigen Fragen zur ZPO und benach-barten Verfahrensvorschriften. Enthalten ist alles, was Zivilrichter, Familienrichter und Rechtsanwälte täglich brauchen:

‒ ZPO ‒ FamFG (Verfahren in Familiensachen) ‒ GVG, Einführungsgesetze, EU-Zivilverfahrensrecht

Die 33. Auflage des Thomas/Putzo berücksichtigt neben der neu-esten Rechtsprechung und Literatur alle einschlägigen Gesetzesän-derungen, insbesondere:

‒ Gesetz zur Reform der Sachaufklärung in der Zwangsvollstre-ckung

252


‒ Gesetz zur Änderung des § 522 der Zivilprozessordnung ‒ Gesetz über den Rechtsschutz bei überlangen Gerichtsverfah-

ren und strafrechtlichen Ermittlungsverfahren ‒ Gesetz zur Änderung von Vorschriften über Verkündung und

Bekanntmachungen sowie der Zivilprozessordnung, des Geset-zes betreffend die Einführung der Zivilprozessordnung und der Abgabenordnung

‒ Pfändungsfreigrenzenbekanntmachung ‒ Neu aufgenommen: Auslandsunterhaltsgesetz

Mit dem Kommentar arbeiten ‒ Praktiker, die ihn für den täglichen Umgang mit der ZPO, dem

FamFG und ihren internationalen Bezügen benötigen, ‒ Referendare, die sich zweckmäßig auf die Übungsklausuren

und die Zweite Juristische Staatsprüfung vorbereiten und ‒ Studierende, die eine kompetente Kommentierung für juristi-

sche Hausarbeiten brauchen.

Begründet von Prof. Dr. Heinz Thomas†, ehem. Vorsitzender Rich-ter am Oberlandesgericht, und Prof. Dr. Hans Putzo, Vizepräsi-dent des Bayerischen Obersten Landesgerichts a. D. Fortgeführt von Dr. Klaus Reichold, Vorsitzender Richter am Bayerischen Obersten Landesgericht a. D., Dr. Rainer Hüßtege, Vorsitzender Richter am Oberlandesgericht, und Dr. Christian Seiler, Richter am Oberlandesgericht

Autorengruppe BildungsberichterstattungBildung in Deutschland 2012Ein indikatorengestützter Bericht mit einer Analyse zur kulturellen Bildung im Lebenslauf, ISBN 978-3-7639-0317-7, 978-3-7639-0316-0 (E-Book), W. Bertelsmann Verlag GmbH & Co. KG, Auf dem Esch 4, 33619 Bielefeld, Telefon: (05 21) 91 10 10, Fax: (05 21) 9 11 01 79, E-Mail: [email protected], www.wbv.de

Wie steht es um die kulturelle Bildung in den Bildungseinrichtun-gen in Deutschland? Diese Frage stellten die Autoren des natio-nalen Bildungsberichts. Das Schwerpunktkapitel des aktuellen Berichts „Bildung in Deutschland 2012“ liefert nun dezidierte Analysen zur kulturellen/musisch-ästhetischen Bildung – ein Thema, das häufig in der von Leistungsstudien geprägten öffentli-chen Bildungsdiskussion gegenüber Kernfächern und Kompetenz-fragen zurücksteht.

In der Grundschule sind fast 90 % aller Kinder musisch-ästhetisch aktiv, bei älteren Jugendlichen und jungen Erwachsenen steht die Verbreitung künstlerischer Produkte über neue Medien und bei selbstorganisierten Events im Freundes- und Bekanntenkreis im Mittelpunkt. Im höheren Erwachsenenalter sind noch 30 % selbst kulturell tätig und etwa 50 % nehmen zumindest als Zuschauer an kulturellen Veranstaltungen teil. Insgesamt wird deutlich, dass die künstlerischen Interessen der Eltern und die soziale Lage die musisch-ästhetische Betätigung von Kindern nachhaltig beeinflus-sen und dass Musik- und Kunstschulen, Kultur- und Jugendein-richtungen, Chöre oder Laienorchester im Kindes- und Jugendalter eine wichtigere Rolle für kulturelle Erfahrungen spielen als die for-malen Bildungseinrichtungen.

Über das Schwerpunktthema hinaus bietet „Bildung in Deutsch-land 2012“ erneut umfassende und sorgfältig recherchierte Daten zum Stand der vorschulischen, schulischen und beruf-lichen Bildung in Deutschland, zum Hochschulstandort, zu

Bildungsergebnissen, zur Entwicklung von Bildungseinrichtungen und zu Bildungserträgen.

Als zentrale Herausforderungen hebt „Bildung in Deutschland“ die zunehmende Flexibilisierung der Bildungswege, die frühkindliche Bildung, den Ausbau von Ganztagsschulen, die Neukonzipierung des Übergangssystems sowie die Gestaltung der Brücken zwischen Berufsbildungs- und Hochschulsystem hervor.

2012 wird „Bildung in Deutschland“ bereits zum vierten Mal von der Autorengruppe Bildungsberichterstattung vorgelegt. Der Bericht führt Daten aus allen Bildungsbereichen zusammen und wertet sie mit Blick auf übergreifende Fragestellungen systema-tisch aus. Für alle relevanten Bildungsbereiche werden kontinuier-lich aktualisierte Indikatoren vorgestellt, die Auskunft über den Zustand und mögliche Entwicklungen des deutschen Bildungssys-tems geben.

Verantwortlich für „Bildung in Deutschland 2012“ ist die Autoren-gruppe Bildungsberichterstattung. Mitglieder der Autorengruppe sind das federführende Deutsche Institut für Internationale Päd-agogische Forschung (DIPF) sowie das Deutsche Jugendinstitut (DJI), die Hochschul-Informations-System GmbH (HIS), das Soziologische Forschungsinstitut an der Universität Göttingen (SOFI) sowie die Statistischen Ämter des Bundes und der Länder (Destatis und StLÄ). Die Erarbeitung des Berichts durch die Auto-rengruppe wurde von der Ständigen Konferenz der Kultusminister der Länder in der Bundesrepublik Deutschland und dem Bundes-ministerium für Bildung und Forschung gefördert.

IDW (Hrsg.)WP Handbuch 2012Wirtschaftsprüfung, Rechnungslegung, BeratungBand I, Lehrbuch, 14., vollständig überarbeitete und aktualisierte Auflage 2012, 3293 Seiten, gebunden, 169,00 EUR, ISBN 978-3-8021-1483-0, IDW Verlag GmbH, Tersteegenstraße 14, 40474 Düs-seldorf, Tel.: (02 11) 4 56 12 22, Fax: (02 11) 4 56 12 06, E-Mail: [email protected]

Theoretische Grundlagen und praktisches Know-how für Wirt-schaftsprüfer – das WP Handbuch ist das bewährte Nachschla-gewerk für den Berufsstand und all jene, die sich mit Rechnungs-legung, Prüfung sowie Beratung befassen. 22 Kapitel vermitteln eine umfassende Darstellung der wichtigsten Themen, mit denen Wirtschaftsprüfer bei ihrer Tätigkeit befasst sind.

Die Ausführungen basieren auf dem aktuellen Rechts- und Wis-sensstand und berücksichtigen sowohl die Erkenntnisse aus der Anwendung nationaler Regelungen als auch internationaler Ent-wicklungen in Rechnungslegung und Prüfung. Grundlegende Erläuterungen der berufsrechtlichen Rahmenbedingungen runden das Gesamtwerk ab. Eine Online-Version ist für Käufer der aktuel-len Buchausgabe nutzbar.

Die Neuauflage des WP Handbuchs, Band I, vermittelt in bewähr-ter Art und Weise theoretische Grundlagen und praktisches Know-How über die Tätigkeiten des Wirtschaftsprüfers. Den inhaltlichen Schwerpunkt des Kompendiums bilden die grundle-genden – von namhaften Praktikern auf den neuesten Wissenstand gebrachten – Darstellungen zur Rechnungslegung und Prüfung. Die Ausführungen berücksichtigen sowohl rechtsform- als auch

253


branchenabhängige Besonderheiten bei der Jahres- und Konzern-abschlussprüfung. Das WP Handbuch umfasst ferner in gebotener Kürze berufsrechtliche und wirtschaftsrechtliche Ausführungen.

Wesentliche Änderungen des WP Handbuchs sind vor allem durch das Bilanzrechtsmodernisierungsgesetz erforderlich geworden, aber auch durch die Gesetze zur Umsetzung der Aktionärsrechtericht-linie (ARUG), zur Modernisierung des GmbH-Rechts (MoMiG), über elektronische Handelsregister und Genossenschaftsregister (EHUG), das Transparenzrichtlinie-Umsetzungsgesetz, die Rege-lungen zur „Finanzmarktstabilisierung“ oder das Berufsaufsichts-reformgesetz. Entscheidende Entwicklungen haben sich auch in der Welt der internationalen Regelungen zur Rechnungslegung und Prüfung vollzogen: dies spiegelt sich ebenfalls in der Neuauf-lage wider.

Allein die Namen der Verfasser sprechen für Expertenwissen aus langjähriger Praxistätigkeit und Einbindung in nationales und internationales Standardsetting: Dr. Frank Ellenbürger, Dr. Hans Friedrich Gelhausen, Prof. Dr. Georg Kämpfer, Dr. Ernst-Thomas Kraft, Prof. Dr. Klaus-Peter Naumann, Prof. Dr. Martin Plendl, Prof. Dr. Joachim Schindler, Prof. Dr. Wienand Schruff, Dipl.-Kfm. Hans Wagener.

HennekeDie kommunalen Spitzenverbände2. Auflage 2012, 258 Seiten, kartoniert, 29,00 €, ISBN 978-3-8293-0956-1, Kommunal- und Schul-Verlag GmbH & Co. KG, Konrad-Adenauer-Ring 13, 65187 Wiesbaden, Tel.: (06 11) 88 08 60, Fax: (06 11) 8 80 86 66, E-Mail: [email protected], www.kom-munalpraxis.de

Das Werk erläutert die Arbeitsweise, Funktion und Bedeutung der kommunalen Spitzenverbände im rechtsstaatlichen Gefüge. Als kommunale Spitzenverbände werden der Deutsche Städtetag, der Deutsche Landkreistag und der Deutsche Städte- und Gemein-debund in ihren Gemeinsamkeiten und mit ihren Besonderheiten dargestellt.

Neben ihrem inneren Aufbau, den Legitimationsgrundlagen und Entscheidungsstrukturen werden auch die normativ verankerten Mitwirkungsmöglichkeiten bei der Rechtsetzung auf der Ebene des Bundes, der Länder und der Europäischen Union berücksichtigt. Verdeutlicht wird, dass es sich bei der Tätigkeit der kommunalen Spitzenverbände nicht um ‘Lobbyismus’, sondern um die Wahr-nehmung öffentlicher Belange der dritten Verwaltungsebene han-delt.

Damit stellt das Werk eine informative und praxisnahe Grundlage für alle dar, die sich über Wesen, Organisation, Aufgaben und Ziel-setzung der kommunalen Spitzenverbände informieren möchten: Verwaltungspraktiker, Politiker, Ratsmitglieder, Mandatsträger, Fraktionsvorsitzende, Parteimitglieder, Bildungseinrichtungen in Kommunen, Ländern und Bund.

Der Verfasser, Professor Dr. Hans-Günter Henneke, ist als öffent-lich-rechtlicher und Verwaltungswissenschaftler vielfach ausgewie-sen und als Geschäftsführendes Präsidialmitglied des Deutschen Landkreistages mit dem Thema bestens vertraut.

Ergänzungslieferungen

Breier/Dassau/Kiefer/Lang/LangenbrinckTVöD-Kommentar inkl. Arbeitsrecht im ö. D.Kommentar zum Tarif- und Arbeitsrecht im öffentlichen DienstLoseblattwerk mit Lexikon Arbeitsrecht im ö. D. – Ruge, ca. 5.314 Sei-ten in 5 Ordnern, ISBN 978-3-8073-0064-1, 179,95 EUR zzgl. Aktu-alisierungslieferungen, 419,95 EUR ohne Aktualisierungslieferungen, 55. Aktualisierung mit Stand Juni 2012, Ladenpreis: 101,95 EUR, Verlagsgruppe Hüthig Jehle Rehm GmbH, Hultschiner Straße 8, 81677 München, Tel.: (089) 21 83 79 28, Fax: (089) 21 83 76 20, E-Mail: [email protected], www.rehmnetz.de

Die 55. Aktualisierung hat folgende Schwerpunkte:1. Die Tarifrunde des Jahres 2012 zum TVöD ist abgeschlossen.

Die ausformulierten Texte zur Tarifeinigung vom 31.03.2012 lagen bei Redaktionsschluss zwar noch nicht vor – wohl aber die Entgelttabellen, die für die Auszahlung des erhöhten Entgelts erforderlich sind, gültig vom 01.03.2012 bis zum 31.12.2012. Sie sind im Teil A 5 des Werks einschließlich aller „Hilfstabel-len“ für die Berechnung von Stundenentgelt, Überstundenent-gelt, Zeitzuschlägen etc. veröffentlicht. Berücksichtigt wurden sowohl die für den kommunalen Bereich wie auch die für den Bund maßgeblichen Tabellen.

2. Die Tariftexte der Tarifrunde für die Ärzte an kommunalen Krankenhäusern sind zwischenzeitlich veröffentlicht worden. Im Teil A 4.1 bzw. A 4.2 des Werks wurden der Änderungsta-rifvertrag Nr. 3 zum TV-Ärzte/VKA sowie der Änderungsta-rifvertrag Nr. 3 zum TVÜ-Ärzte/VKA jeweils vom 18.01.2012 in die Tariftexte eingearbeitet. Die Einmalzahlung in Höhe von 440 Euro ist in § 3 des Änderungstarifvertrages Nr. 3 zum TV-Ärzte/VKA geregelt und im Teil A 4.3 abgedruckt.

3. Im Teil B 1 wurden die Erläuterungen zu § 16 TVöD (Stufen der Entgelttabelle, jeweils die Fassungen für Bund und VKA) ergänzt. Es wurde die Rechtsprechung des EuGH und des BAG zur Altersdiskriminierung der Lebensaltersstufen in der BAT-Grundvergütung erläutert. Das BAG hat darüber hinaus ent-schieden, dass sich die Altersdiskriminierung nicht im TVöD bzw. in den Überleitungsregelungen im TVÜ fortsetzt, diese Regelungen vielmehr wirksam und zulässig sind. Außerdem wurde die Vorweggewährung von Stufen für IT-Fachkräfte nach der IT-Richtlinie der VKA vom 11.11.2011 erläutert. Der Wortlaut der IT-Richtlinie der VKA wurde im Teil C 1.7 in das Werk aufgenommen.

4. In die Kommentierung des § 26 TVöD (Erholungsurlaub) wurden die Entscheidungen des BAG vom 09.08.2011 zur Anwendbarkeit tariflicher Ausschlussfristen auf Urlaubsabgel-tungsansprüche eingearbeitet. Demnach verfällt ein Anspruch auf Abgeltung nicht genommenen Urlaubs gem. § 37 TVöD nach Ablauf von sechs Monaten, nachdem ein Arbeitnehmer aus dem Arbeitsverhältnis ausgeschieden ist. Darüber hinaus ist die Kommentierung des § 26 TVöD zur sog. Tirol-Ent-scheidung des EuGH vom 22.04.2010 um einen Hinweis auf die gegenteilige Ansicht des BMI ergänzt worden. Außerdem wurde bei den Erläuterungen zur Urlaubsabgeltung nach lang andauernder Krankheit auf die Möglichkeit einer richtlinien-konformen Auslegung des § 7 Abs. 3 BurlG und die Anwen-dung einer 15monatigen Verfallsfrist hingewiesen. Letztlich ist zu § 26 TVöD auch die BAG-Entscheidung vom 20.09.2011 zu den Fragen der Vererblichkeit von Urlaubs- und Urlaubsabgel-tungsansprüchen in die Kommentierung eingearbeitet worden.

5. § 35 TVöD (Zeugnis) ist vollständig neu bearbeitet worden.

254


6. Die Erläuterungen zu § 11 TVÜ-VKA (Kinderbezogene Ent-geltbestandteile) wurden um aktuelle Rechtsprechung ergänzt.

7. Im Teil E 2 wurden Muster für Ausbildungsverträge des Bun-des aufgenommen.

Schabel/LeyÖffentliche Auftragsvergabe im BinnenmarktErläuterungen und Materialien zur Ausschreibung, Angebotsprü-fung und Vergabe nach VOB, VOL und VOF mit EG-VorschriftenLoseblattwerk im Ordner mit 1.302 Seiten, 99,95 EUR zzgl. Aktu-alisierungen, 179,95 EUR ohne Aktualisierungen, ISBN: 978-3-8073-0843-2, 34. Aktualisierung mit Stand April 2012, Ladenpreis: 78,95 EUR, Verlagsgruppe Hüthig Jehle Rehm GmbH, Hultschiner Straße 8, 81677 München, Tel.: (0 89) 21 83 79 28, Fax: (0 89) 21 83 76 20, E-Mail: [email protected], www.rehm-netz.de

Einen Schwerpunkt der vorliegenden Aktualisierung stellt das Gesetz zur Änderung des Vergaberechts für die Bereiche Verteidi-gung und Sicherheit vom 07.12.2011 dar. Dieses Gesetz dient der Umsetzung der Richtlinie 2009/81/EG vom 13.07.2009. Die Frist für die Umsetzung dieser Richtlinie ist bereits seit dem 21.08.2011 verstrichen. Das neue Gesetz, mit dem das GWB, die Vergabe- und die Sektorenverordnung geändert wurden, ist jedoch nur der erste Schritt für die Umsetzung der EU-Richtlinien. Die Bundesregie-rung plant, unterhalb der gesetzlichen Ebene eine neue Vergabe-ordnung Verteidigung und Sicherheit (VSVgV) zu schaffen. Einen ersten Entwurf hierzu hat das Bundeswirtschaftsministerium im April 2012 vorgelegt. Die neue Verordnung soll im 2. Halbjahr 2012 in Kraft treten. Für den Liefer- und Dienstleistungsbereich soll die Verordnung entsprechend dem Vorbild der Sektorenver-ordnung alle materiellen Vergabevorschriften enthalten. Im Bau-bereich wird die Verordnung demgegenüber nur das Scharnier zu einem neuen 3. Abschnitt der VOB/A (VS-Paragraphen) darstellen, in dem das Vergabeverfahren für Aufträge aus dem Bereich Vertei-digung und Sicherheit geregelt ist.

Das Bundesbauministerium hat im Vorgriff auf das Inkrafttreten der VSVgV bereits am 24.10.2011 (Bundesanzeiger Nr. 182a vom 02.12.2011) eine Änderung der VOB/A bekannt gemacht, die neben dem neuen 3. Abschnitt auch die Überarbeitung des 2. Abschnitts umfasst. Obwohl die Wirksamkeit der neugefassten VOB/A von dem Inkrafttreten der VSVgV (Abschnitt 3 VOB/A) bzw. einer Änderung der VgV (Abschnitt 2 VOB/A) abhängig ist, werden die neuen Regelungen bereits jetzt in das Werk aufgenommen, damit sich die Nutzer rechtzeitig auf die neue Rechtslage einstellen können. Dennoch wird empfohlen, die bisherige Fassung des 2. Abschnitts der VOB/A aufzubewahren, da dieser bis zur Änderung der VgV weiter anzuwenden ist. Der Text des 3. Abschnitts der VOB/A kann bereits jetzt als Hilfestellung für Bauvergaben in den Bereichen Verteidigung und Sicherheit dienen.

Von der EU-Kommission wurden mit Verordnung Nr. 1251/2011 vom 30.11.2011 die EU-Schwellenwerte neu festgesetzt. Die vor-liegende Aktualisierung berücksichtigt die entsprechenden Anpas-sungen der Vergaberichtlinien sowie der VgV bzw. der SektVO.

Mit den kommenden Aktualisierungen sollen die Erläuterungen im Teil A nach und nach wieder belegt werden. Den Anfang macht der Teil A 4, in dem die Erläuterungen zu Vergabeverfahren nach der

VOF auf den neuesten Stand gebracht werden. Abgerundet wird die vorliegende Lieferung durch die Überarbeitung des Teils A 1.

Stegmüller/Schmalhofer/BauerBeamtenversorgungsrecht des Bundes und der LänderKommentar mit Rechtsverordnungen und Verwaltungsvorschrif-tenLoseblattwerk in 5 Ordnern mit ca. 8.068 Seiten, ISBN: 978-3-7825-0193-4, 189,95 EUR zzgl. Aktualisierungslieferungen, 339,95 EUR Apartpreis, 99. Aktualisierung mit Stand April 2012, Ladenpreis: 99,95 EUR, Verlagsgruppe Hüthig Jehle Rehm GmbH, Hultschiner Straße 8, 81677 München, Tel.: (089) 21 83 79 28, Fax: (089) 21 83 76 20, E-Mail: [email protected], www.rehmnetz.de

Mit dieser Lieferung werden die Erläuterungen zu § 50 BeamtVG im HB II neu strukturiert, die neueste Rechtsprechung eingear-beitet sowie die versorgungsrechtliche Gleichstellung von gleich-geschlechtlichen Lebenspartnerschaften mit der Ehe im Anwen-dungsbereich des § 50 BeamtVG erklärt. Parallel dazu werden in die Erläuterungen zu § 50 BeamtVG a. F. (Teil Ib im EB I), wel-che die früheren Regelungen zu den jährlichen Sonderzahlungen wegen ihrer historischen und praktischen Bedeutung in einem Teil der Länder weiterhin darstellen, um die neuesten Feststellungen des Bundesverfassungsgerichts ergänzt. Zudem werden die Über-sichten und Erläuterungen zur Grundsatznorm der Versorgungsan-passungen des § 70 BeamtVG aktualisiert und in diesem Kontext zugleich die Anpassungsvorschrift des Art. 118 BayBeamtVG erst-malig und vollumfassend mit den Inhalten der Bezügeanpassung 2012 in Bayern kommentiert. Die Vorschrift des § 54 BeamtVG (Zusammentreffen mehrerer Versorgungsbezüge) wird umfassend neu kommentiert.

Ferner wird zunächst der erste Teil des Art. 26 BayBeamtVG kommentiert. Dieser betrifft insbesondere die Regelungen zur Berechnung des Ruhegehalts und dessen Verminderung um einen Versorgungsabschlag. Gleichzeitig werden die hierzu ergangenen Übergangsregelungen kommentiert. Die Fortsetzung wird in den nächsten Aktualisierungslieferungen erfolgen.

Außerdem werden erstmals Erläuterungen zu § 1 NBeamtVG aufgenommen. Darin wird u. a. eine vergleichende Betrachtung zwischen der Beamtenversorgung und Rente angestellt. Die Her-ausarbeitung der systemspezifischen Unterschiede zwischen diesen beiden großen Alterssicherungssystemen macht die Fehlerhaftig-keit eines 1:1-Vergleichs – wie er angesichts der demografischen Entwicklung in der Öffentlichkeit immer wieder gern gezogen wird – deutlich. Insbesondere bleiben in diesem Zusammenhang die innerhalb der Beamtenversorgung in der Vergangenheit bereits vorgenommenen Einschnitte grundsätzlich unerwähnt.

Der Teil IVa im EB II (= Sonderzahlungsgesetze) wird fortgesetzt aktualisiert und um die Sonderzahlungsgesetze bereinigt, die auf-gehoben worden sind, weil die Sonderzahlungen Eingang in die Tabellenwerte in Bund und Ländern gefunden haben oder durch andere Maßnahmen ersetzt worden sind. Im letzteren Fall fin-den sich die aktuellen Sonderzahlungsgesetze der Länder (so z. B. Hamburg) zunehmend im HB III bei den entsprechenden Ländern wieder.

255


Von Prof. Dr. Wolf-Uwe Sponer, Abteilungsleiter Landesdirektion Chemnitz; André Jacob, Geschäftsführendes Präsidialmitglied des Sächsischen Landkreistages; Helena Musall, zuvor Grundsatzreferen-tin des Sächsischen Städte- und Gemeindetages; Prof. Peter Musall, Rektor der Fachhochschule der Sächsischen Verwaltung Meißen; Ltd. Regierungsdirektor Dr. Frank Sollondz; Dipl. Kauffrau Karin Hoff-mann; Inge Human, Kreisrätin des Landkreises Diepholz; Rechtsan-walt Uwe Human; Dieter Schlempp, Geschäftsführender Direktor des Hessischen Städtetages; Prof. Richard Seeger, Hauptgeschäftsführer des Gemeindetages Baden-Württemberg i. R.Kommunalverfassungsrecht SachsenGemeindeordnung, Landkreisordnung, Kommunale Zusammen-arbeit, Kommunalwahlrecht Kommentar, Loseblattausgabe, 2.308 Seiten, Gesamtpreis 149,00 EUR, ISBN 978-3-86115-196-8, 26. Nachlieferung mit Stand Juni 2012 (154 Seiten; 27,70 EUR), Kommunal- und Schul-Verlag GmbH & Co. KG, Postfach 3629, 65026 Wiesbaden, Tel.: (06 11) 88 08 60, Fax: (06 11) 8 80 86 66, E-Mail: [email protected], www.kommunalpraxis.de

Die 26. Lieferung beinhaltet:

Gemeindeordnung für den Freistaat Sachsen (SächsGemO)Mit dieser Lieferung erfolgte eine Überarbeitung des § 3 Sächs-GemO (Gemeindearten). Darüber hinaus wurden die Texte im Anhang aktualisiert, insbesondere die abgedruckte Sächsische Kommunalhaushaltsverordnung-Doppik, die VwV Kommunale Haushaltswirtschaft und die Sächsische Eigenbetriebsverordnung.

Landkreisordnung für den Freistaat Sachsen (SächsLKrO)Der Text der SächsLKrO wurde entsprechend der letzten Ände-rung von 2012 aktualisiert.

Sächsisches Gesetz über kommunale Zusammenarbeit (Sächs-KomZG)Der Text des SächsKomZG wurde der letzten Änderung aus 2012 angepasst.

Sächsisches Kommunalwahlrecht (KomWG/KomWO)Diese Lieferung beinhaltet die Aktualisierung der Kommentierung zu § 31 KomWO (Öffentlichkeit, Ordnung im Wahlraum) und zu § 22 KomWG (Verteilung der Sitze bei Verhältniswahl in Gemein-den mit mehreren Wahlkreisen), wobei es dabei um die Entschei-dung des Bundesverfassungsgerichts im Zusammenhang mit der negativen Stimmengewichtung bei Überhangmandaten und der entsprechenden Änderung des Bundeswahlgesetzes geht.

BielerDas gesamte öffentliche Dienstrecht für Beamte, Angestellte und Arbeiter bei Bund, Ländern und Kommunen Ergänzbares Handbuch für Personalverwaltung und Personalver-tretungspraxis Loseblatt-Kommentar einschließlich Lieferung Juni (2/12), 2.082 Sei-ten in einem Ordner, DIN A5, 92,00 EUR, Ergänzungen bei Bedarf, ISBN 978-3-503-00849-0, Erich Schmidt Verlag GmbH & Co., Genthiner Str. 30 G, 10785 Berlin, Tel.: (0 30) 2 50 08 50, Fax: (0 30) 2 50 08 53 05, E-Mail: [email protected], www.ESV.info, Bestellmöglichkeit online unter www.ESV.info/978-3-503-00849-0

Die Ergänzungslieferung enthält die aktualisierte Neubearbeitung der Gliederungsziffer 730. Alle Besoldungstabellen von Bund und Ländern sind nunmehr auf den aktuellen Stand gebracht. Mit der Neubearbeitung der Gliederungsziffer 730 beginnt eine Anpassung und Straffung der Teile, die das Sozialversicherungsrecht enthalten.

Hauck/NoftzSozialgesetzbuch SGB IIGrundsicherung für ArbeitsuchendeKommentarLoseblattwerk, 46. Lieferung mit Stand Mai 2012, 47. Lieferung mit Stand Juni 2012, 48. Lieferung mit Stand Juli 2012, Gesamtkommen-tar: 198,00 EUR ohne Fortsetzungsbezug, 108,00 € zuzüglich Fort-setzungslieferungen, 4.304 Seiten in 3 Ordnern, ISBN 978-3-503-06374-1, Erich Schmidt Verlag GmbH & Co, Genthiner Str. 30 G, 10785 Berlin, Tel.: (0 30) 2 50 08 50, Fax: (0 30) 2 50 08 58 70, E-Mail: [email protected], Bestellmöglichkeit online unter www.ESV.info/978350306374

Die 46. Ergänzungslieferung bringt den Gesetzestext auf den ab 01.04.2012 geltenden Stand des Gesetzes zur Verbesserung der Eingliederungschancen am Arbeitsmarkt vom 20.12.2011 (BGBl. I 2011, 2854 = A 050 Nr. 125). Mit der Lieferung werden außerdem die aufgrund der aktuellen Reformgesetzgebung erforderlich gewor-denen grundlegenden Überarbeitungen von Kommentierungen fortgesetzt. Besonders hinzuweisen ist auf die Erstkommentierun-gen des § 43a (Verteilung von Teilzahlungen) durch Dr. Malte W. Fügemann sowie der §§ 18e (Beauftragte für Chancengleichheit am Arbeitsmarkt), 44f (Bewirtschaftung von Bundesmitteln), 44g (Zuweisung von Tätigkeiten bei der gemeinsamen Einrichtung), 44h (Personalvertretung), 44i (Schwerbehindertenvertretung; Jugend- und Auszubildendenvertretung), 44j (Gleichstellungsbeauftragte) und 44k (Stellenbewirtschaftung) durch Sven-Helge Jork.

Der Schwerpunkt der 47. Ergänzungslieferung liegt auf einer grundlegenden Überarbeitung des § 40 SGB II durch Dietrich Hengelhaupt. Diese durch das Gesetz zur Ermittlung von Regel-bedarfen und zur Änderung des Zweiten und Zwölften Buches Sozialgesetzbuch vom 24.03.2011 (A 050 Nr. 47) neu gefasste Vor-schrift ist für die Praxis besonders bedeutsam, weil sie die Modali-täten des Verwaltungsverfahrensrechts bei der Durchführung des SGB II durch die Jobcenter regelt.

Neben der Aktualisierung landesrechtlicher Vorschriften setzt die 48. Ergänzungslieferung die durch die Reformgesetzgebung erfor-derlich gewordene Anpassung von Kommentierungen des SGB II fort. Diese Ergänzungslieferung enthält insbesondere grundle-gende Überarbeitungen bzw. neue Kommentierungen zu folgen-den Regelungen: § 15 (Eingliederungsvereinbarung) durch Imme Müller; § 47 (Aufsicht) durch Felix Clauß; § 16d (Arbeitsgelegen-heiten), § 52 (Automatisierter Datenabgleich) und § 78 (Gesetz zur Verbesserung der Eingliederungschancen am Arbeitsmarkt) durch Prof. Dr. Thomas Voelzke.

256


Hauck/NoftzSozialgesetzbuch SGB VI: Gesetzliche RentenversicherungKommentarLoseblatt-Kommentar einschl. Lieferung 3/12 mit Stand Juni 2012, Gesamtkommentar: 172,00 EUR, ISBN 978-3-503-02877-1, 7.782 Seiten in 5 Ordnern, Erich Schmidt Verlag GmbH & Co, Genthiner Str. 30 G, 10785 Berlin, Tel.: (030) 25 00 85 – 0, Fax: (030) 25 00 85 – 870, E-Mail: [email protected], Bestellmöglich-keit online unter www.ESV.info/3503028771

Mit der vorliegenden Lieferung wird der Kommentar weiter aktu-alisiert. Sie enthält eine Überarbeitung bzw. Neukommentierung der K §§ 8, 96a, 126, 127a, 128, 128a, 136, 136a, 145, 147, 150, 151, 181, 186, 186a, 188, 237, 249b, 267 und 313, die aufgrund von Gesetzesänderungen und zwischenzeitlich erfolgter Rechtspre-chung erforderlich geworden sind.

Hauck/NoftzSozialgesetzbuch SGB VIII: Kinder- und JugendhilfeLoseblatt-Kommentar einschließlich der 51. Lieferung mit Stand Juni 2012, 3.414 Seiten in 2 Ordnern, DIN-A5, 98,00 EUR, Ergänzun-gen bei Bedarf, ISBN 978-3-503-03183-2, Erich Schmidt Verlag GmbH & Co, Genthiner Str. 30 G, 10785 Berlin, Tel.: (030) 25 00 85 – 0, Fax: (030) 25 00 85 – 870, www.ESV.info; Bestellmöglichkeit online unter www.ESV.info/3 503 03183 2

Mit der 51. Lieferung werden unter K §§ 8a, 37, 42, 45, 85 die Bearbeitungen aktualisiert und die Kommentierung der durch das Bundeskinderschutzgesetz (BKiSchG) erfolgten Änderungen des SGB VIII fortgesetzt. Darüber hinaus wird unter M 034 die in den vorangegangenen Lieferungen begonnene Aufnahme der Materia-lien zum BKiSchG abgeschlossen.

Hauck/NoftzSozialgesetzbuch SGB XVerwaltungsverfahren, Schutz der Sozialdaten, Zusammenarbeit der Leistungsträger und ihre Beziehungen zu Dritten KommentarLoseblattwerk, einschl. Lieferung 2/12 mit Stand Juni 2012, Gesamt-kommentar: 148,00 EUR, 2.534 Seiten in 3 Ordnern, ISBN 978-3-503-08378-7, Erich Schmidt Verlag GmbH & Co, Genthiner Str. 30 G, 10785 Berlin, Tel.: (0 30) 2 50 08 50, Fax: (0 30) 2 50 08 58 70, E-Mail: [email protected], Bestellmöglichkeit online unter www.ESV.info/9783503083787

Mit dieser Lieferung werden die §§ 22, 28, 29, 36 und 67b teilweise umfassend und neu kommentiert. Außerdem werden einige Geset-zes- und Verordnungstexte (Beitragsverfahrensordnung, C 200, Sozialgerichtsgesetz, C 400, Verwaltungsgerichtsordnung, C 500, Verwaltungszustellungsgesetz, C 700 und Datenerfassungs- und -übermittlungsverordnung, C 914) aktualisiert und es wird das Abkürzungs- (A 030) und Stichwortverzeichnis (A 040) auf den neuesten Stand gebracht.

Kolodziejcok/Endres u. a.Naturschutz, Landschaftspflege und einschlägige Regelungen des Jagd- und ForstrechtsErgänzbare Kommentierung und Sammlung der nationalen und internationalen Rechtsgrundlagen der Sicherung von Natur und Landschaft, des Artenschutzes, des Wildschutzes sowie der Erhal-tung des WaldesLoseblattwerk, ISBN 978-3-503-01489-7, 3.376 Seiten in 2 Ordnern, DIN-A5, 118,00 EUR, Lieferung 1/12 mit Stand Juni 2012, Erich Schmidt Verlag GmbH & Co, Genthiner Str. 30 G, 10785 Berlin, Tel.: (030) 25 00 85 – 0, Fax: (030) 25 00 85 – 870, www.ESV.info, Bestellmöglichkeit online unter www.ESV.info/978 3 503 01489 7

Mit der vorliegenden Lieferung wird das Bundesnaturschutzgesetz (BNatSchG) auf den aktuellen Stand gebracht. Weiterhin werden neue Kommentierungen zu den folgenden Vorschriften in das Werk eingefügt:

‒ § 1 BNatSchG (Ziele des Naturschutzes und der Landschafts-pflege)

‒ § 2 BNatSchG (Verwirklichung der Ziele) ‒ § 3 BNatSchG (Zuständigkeiten, Aufgaben und Befugnisse,

vertragliche Vereinbarungen, Zusammenarbeit der Behörden) ‒ § 4 BNatSchG (Funktionssicherung bei Flächen für öffentliche

Zwecke) ‒ § 5 BNatSchG (Land-, Forst- und Fischereiwirtschaft) ‒ § 6 BNatSchG (Beobachtung von Natur und Landschaft)

Außerdem werden die Dokumentationen des Forstrechts in Bay-ern, Bremen, Brandenburg, Hamburg, Hessen, Mecklenburg-Vor-pommern, Nordrhein-Westfalen, Sachsen-Anhalt und Schleswig-Holstein aktualisiert.

Mit den nächsten Lieferungen folgen dann u. a. auch aktualisierte Fassungen der Dokumentationen des Naturschutzrechts.

Quecke/Schmid/Menke/Rehak/Wahl/Vinke/Blazek/Schaffarzik Gemeindeordnung für den Freistaat Sachsen (GOFS)Ergänzbarer Kommentar mit weiterführenden VorschriftenLoseblattwerk, 3 Ordner, 5.098 Seiten, ISBN: 978-3-503-03407-9, 148,00 EUR; Lieferung 3/12 mit Stand Juli 2012, Erich Schmidt Verlag GmbH & Co, Genthiner Str. 30 G, 10785 Berlin; Tel.: (030) 25 00 85 – 0, Fax: (030) 25 00 85 – 870, E-Mail: [email protected], Bestellmöglichkeit online unter www.ESV.info/9783503034079

In der Lieferung 3/12 wurde die Verwaltungsvorschrift des Säch-sischen Staatsministeriums des Innern über die Genehmigung von Gebietsänderungen von Gemeinden vom 26.10.2010 nebst den Grundsätzen für freiwillige Zusammenschlüsse von Gemeinden aufgenommen.

Eingearbeitet wurden mehrere neue Entscheidungen u. a. des SächsOVG

‒ Urteil vom 19.04.2011 und vom 29.09.2010 zur Passivlegiti-mation der Gemeinde bei einem Normenkontrollantrag gegen die Hauptsatzung,

‒ Urteil vom 10.08.2011 zur ortsüblichen Bekanntmachung von Satzungen,

‒ Urteil vom 06.12.2011 zur unzulässigen Wahlbeeinflussung, ‒ Beschluss vom 27.09.2011 zum Anspruch der Fraktionen auf

gleichberechtigte Mitwirkung in den Ausschüssen,

257


‒ Beschluss vom 06.09.2011 zu Anträgen von Gemeinderäten zur Tagesordnung einer Gemeinderatssitzung,

‒ Urteil vom 19.04.2011 zur Rüge des Ortschaftsrats zur Verlet-zung eines Anhörungsrechts,

‒ Urteil vom 26.07.2011 zur Verpflichtung des Schulträgers zur Schulaufsicht.

Die Kommentierung zum Bürgerbegehren wurde ergänzt mit Hinweisen auf Rechtsprechung u. a. des OVG NRW zum Kos-tendeckungsvorschlag (OVG NRW, Beschluss vom 24.02.2010 und vom 08.11.2011) und des VGH BW zu den Voraussetzungen eines Bürgerbegehrens gegen einen Gemeinderatsbeschluss (VGH BW, Beschluss vom 27.04.2010 und vom 27.06.2011) und zur Ver-pflichtung des Bürgermeisters, den Gemeinderat über planungs-rechtlich relevante Bauanträge zu informieren (VGH BW, Urteil vom 09.03.2012).

Vogelgesang/Bieler/KleffnerLandespersonalvertretungsgesetz für den Freistaat Sachsen (LPFS)Ergänzbarer Kommentar mit weiterführenden VorschriftenLoseblattwerk, ISBN 978-3-503-03391-1, 2010 Seiten in 2 Ordnern, DIN-A5, 98,00 EUR, 38. Lieferung vom Juli 2012, Erich Schmidt Verlag GmbH & Co, Genthiner Str. 30 G, 10785 Berlin, Tel.: (030) 25 00 85 – 0, Fax: (030) 25 00 85 – 870, E-Mail: [email protected], Bestellmöglichkeit online unter www.ESV.info/978 3 503 033911

Die Lieferung berücksichtigt das Sächsische Standortegesetz vom 27.01.2012 und aktualisiert insoweit die Kommentierungen; ebenso sind die Änderungen im Bereich der Polizei berücksichtigt. Die Bildung von gemeinsamen Einrichtungen im Vollzug des SGB II ist für den Beschäftigungsbegriff relevant und wird erläutert. Die Kommentierung der Wahlvorschriften wird angepasst und in die Kommentierung einbezogen. Schließlich waren Änderungen von Vorschriften im Teil B einzuarbeiten.

Dienstleistungsverzeichnis Sachsenlandkurier 5/12

258

Sachsenlandkurier 5/11 Dienstleistungsverzeichnis

1

N+P Informationssysteme GmbHAn der Hohen Straße 108393 MeeraneTelefon 03764 [email protected]

Die leistungsfähige FM-Software für die öffentliche Verwaltung.

Rahmenvertragspartner

der SAKD

Außen–Möblierung

Kommunalberatung

Kommunale Dienstleistungen

Die Zusatzrente (P�ichtversicherung) derZusatzversorgungskasse Sachsen ist Ihre Be-triebsrente. Sie garantiert Ihnen einen echtenMehrwert im Alter. Als Alters-, Erwerbsminde-rungs- oder Hinterbliebenenrente mit hohemLeistungsniveau bietet sie Ihnen eine starkeVersorgung – sicher und berechenbar.

BESTENS VERSORGT

Mehr Wert als man denkt

„Schön, dass sich auch ummich mal jemand kümmert.“

Christine Talberg, Krankenschwester

www.kv-sachsen.de

8. WASSER- UND ABWASSERTAG am Mittwoch, dem 17. Oktober 2012im Wasserkraftwerk Mittweida

Weitere Informationen unter:T 0371 482-8601F 0371 482-8605E [email protected] www.envia-aqua.de

Foto

: M

icha

el S

etzp

fand

E133-12 AnzWassertag85x125 27.08.12 13:09 Seite 1

KontaKtRiesaer Brennstoffzellentechnik GmbHHerr Ackermann Tel.: 035 265/51-449www.rbz-fc.de

InnovatIve undenergIebewusste Kommune gesucht

Sachsen fördert zwei Modellprojekte zur hocheffizienten Energieversorgung von kom-munalen Gebäuden mit Strom und Wärme.

» Einsatz des sächsischen Brennstoffzellen-Heizgerätes inhouse5000

» alle Beratungsleistungen und Voll-Ser-vice-Paket inklusive

» geeignet für Schulen, Kindergärten, Mehrfamilienhäuser, öffentliche Gebäude, Pflegeheime etc.

Ihre Vorteile•HoheSpezialisierungundreichhaltigeErfahrunginallenkommunalenVersicherungsfragen

•KomplexeundindividuellabgestimmteVersicherungskonzepte•EinflussaufdieUnternehmenspolitikund-entwicklunginjährlichenMitgliederversammlungenundFachgremien

Unser Service•RisikomanagementzumlangfristigenErhaltundderSicherungkommunalenGemeindevermögens

•MaßgeschneiderteUmsetzungIhrerVersicherungsbedürfnissebeiherausragendemBeitrags-Leistungs-Verhältnis

•EntlastungvonVerwaltungsarbeit:AufWunschschlüsselnwirIhreBeiträgenachKosten-oderHaushaltsstellenauf

•OptimaleBeratungvorOrtinallenVersicherungsfragendurcherfah-reneSpezialisten

•FachvorträgeaufderEbenederGemeindenundLandkreiseinallenVersicherungssparten

•KostenloserVersandvonFachinformationenund-zeitschriften

Unsere Produkte•Sachversicherung(Gebäude,Inventar,Elektronik,Maschinen,Bauleistung,Elementar,Kunst,Musik,böswilligeBeschädigung,innereUnruhen)

•Vermögenseigenschadenversicherung•Haftpflichtversicherung•Gruppenunfallversicherung•RechtsschutzüberPartner

Unser Unternehmensverbund und unsere Partner: KSA – Kommunaler Schadenausgleich der Länder Brandenburg, Mecklenburg-Vorpommern, Sachsen, Sachsen-Anhalt und Thüringen WGV – Versicherung AG

OstdeutscheKommunalversicherunga.G.

13048Berlinwww.okv-online.com

Die Kommunalversicherung für Sachsen

Immer für Sie da: AnsprechpartnerinSachsen

Maik FranzTel. 03042152-463Fax: 03042152-8463Mobil: 01702214508E-Mail:[email protected]

(Landkreise Görlitz, Leipzig, Meißen, Nordsachsen, Sächsi sche Schweiz-Osterzgebirge, Städte Dresden, Leipzig)

Wilfried GärtnerTel. 03042152-462Fax: 03042152-8462Mobil: 01702214506E-Mail:[email protected]

(Landkreis Bautzen)

Alexander ZippelTel. 03042152-464Fax: 03042152-8464Mobil: 01702214509E-Mail:[email protected]

(Landkreise Zwickau , Erzgebirgs-kreis, Mittelsachsen, Vogtland-kreis, Stadt Chemnitz)

Documents

Thema des Heftes - ssg-sachsen.dessg-sachsen.de/uploads/tx_rcsachsenlandkurier/2012/... · Art Resignation heraus, ist jedoch das falsche Signal. Wie bereits ausgeführt, ist es wichtig,