Vorfallmeldungen

Laut Beschluss des AK ITEG ist zur Meldung meldepflichtiger Ereignisse das Meldeformular zu nutzen.

Meldepflichtige Stellen

Staatliche und nicht-staatliche Stellen Sachsens sowie Beliehene, welche an das Sächsische Verwaltungsnetz (SVN) oder das Kommunale Datennetz (KDN) angeschlossen sind, sind laut Sächsischem Informationssicherheitsgesetz dazu verpflichtet, dem SAX.CERT Sicherheitsereignisse, Sicherheitsvorfälle und erhebliche Sicherheitsvorfälle zu melden.

Definitionen meldepflichtiger Ereignisse

Ein Sicherheitsereignis ist laut Sächsischem Informationssicherheitsgesetz § 3 (6) "ein Versuch, eines der Schutzziele Vertraulichkeit, Integrität oder Verfügbarkeit zu verletzen."
Ein Sicherheitsvorfall ist laut Sächsischem Informationssicherheitsgesetz § 3 (5) "ein Ereignis, das tatsächlich nachteilige Auswirkungen auf die Informationssicherheit hat."
Ein erheblicher Sicherheitsvorfall ist laut Sächsischem Informationssicherheitsgesetz § 16 (1) "ein Sicherheitsvorfall, der schwerwiegende Betriebsstörungen der Dienste oder materielle Schäden für die betreffende Einrichtung verursacht hat oder verursachen kann oder Dritte durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann [...]."

Beispiele für Sicherheitsereignisse sind:

• gescheiterte Eindringungsversuche

Beispiele für Sicherheitsvorfälle sind:

• Funde erfolgreich eingeschleuster Malware
• Datenabfluss durch Innentäter, Hacking-Angriffe, Social Engineering
• Ausfall oder gezielte Überlastung wichtiger Systeme oder Verfahren
• Manipulation von Daten

Beispiele für erhebliche Sicherheitsvorfälle sind:

• Ausfall oder erhebliche Funktionsbeeinträchtigung lebenswichtiger Systeme in öffentlichen Einrichtungen der Gesundheitsversorgung
• Ausfall oder erhebliche Funktionsbeeinträchtigung von Zahlungsdienstleistungssystemen

Unterscheidung der Meldepflichten nach Art der meldepflichtigen Stelle

Alle meldepflichtigen Stellen sind verpflichtet, "Informationen [...], die zur Abwehr von Gefahren für die informationstechnischen Systeme von Bedeutung sind" unverzüglich zu melden, "soweit andere Vorschriften nicht entgegenstehen. Von der Meldung darf abgesehen werden, wenn die Information bereits in öffentlich zugänglichen Medien verbreitet wurde."

Staatliche Stellen sind stets zu Meldungen von Sicherheitsereignissen, Sicherheitsvorfällen und erheblichen Sicherheitsvorfällen verpflichtet. Handelt es sich um einen erheblichen Sicherheitsvorfall, muss die Meldung unverzüglich erfolgen.

Nicht-staatliche Stellen sind nur dann zur Meldung zur verpflichtet, "soweit deren informationstechnische Systeme mit dem Sächsischen Verwaltungsnetz oder dem Kommunalen Datennetz verbunden sind". Hochschulen im Sinne von § 1 Absatz 1 des Sächsischen Hochschulgesetzes sind darüber hinaus meldepflichtig, wenn es sich um einen erheblichen Sicherheitsvorfall handelt. Es steht nicht-staatlichen Stellen frei, auch nicht meldepflichtige Sicherheitsereignisse und -vorfälle zu melden.