PKF FASSELT CONSULTING
Energiewirtschaft

Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft

Seit dem 25.07.2015 ist das lange besprochene und teilweise auch kontrovers diskutierte IT-Sicherheitsgesetz (IT-SiG) in Kraft getreten. Einhergehend damit kam es auch zu Änderungen im Energiewirtschaftsgesetz (EnWG). Zusammen mit dem am 12.08.2015 veröffentlichten IT-Sicherheitskatalog der Bundesnetzagentur sind somit die behördlichen und gesetzlichen Anforderungen an Energienetzbetreiber im Bereich Informationssicherheit definiert.
Als zentrale Erkenntnis für Energieversorger ist in diesem Zusammenhang wichtig, dass diese nicht zwangsläufig zu dem Bereich der Kritischen Infrastruktur (KRITIS) zählen. Sie unterliegen somit weiterhin den Vorgaben, die sich aus §11 EnWG ableiten lassen.
Im Einzelnen bedeutet dies:

  1. Betreiber von Energienetzen: Einhaltung des IT-Sicherheitskatalogs der Bundesnetzagentur (§11 Abs. 1a)
  2. Betreiber von Energieanlagen (eingestuft als KRITIS): Einhaltung des IT-Sicherheitskatalogs zur Gewährleistung eines sicheren Energieanlagenbetriebs (§11 Abs. 1b)
  3. Betreiber von Energienetzen und -anlagen (eingestuft als KRITIS): Meldung erheblicher Sicherheitsvorfälle an das BSI (§11 Abs. 1c)


Der durch die Bundesnetzagentur veröffentlichte IT-Sicherheitskatalog definiert nun für Punkt 1 die verbindliche Fassung gemäß §11 Abs. 1a EnWG und enthält zwei Anforderungen an Betreiber von Energienetzen, die umgesetzt werden müssen:

  • Aufbau und Zertifizierung eines ISMS (Informationssicherheits-Managementsystem) nach DIN ISO/IEC 27001 bis spätestens 31.01.2018
  • Nennung eines Ansprechpartners für die IT-Sicherheit gegenüber der BNetzA bis zum 30.11.2015
     

Wichtig hierbei ist, dass weder die Größe des Energienetzes noch die KRITIS-Relevanz ausschlaggebend ist für die Umsetzung der Vorgaben.

Wie soll der Schutz umgesetzt werden?

Die BNetzA definiert in ihrem IT-Sicherheitskatalog keine speziellen Maßnahmen. Dies wäre auch nicht zielführend, da in Anbetracht der im Markt angesiedelten unterschiedlichen Systeme, Anwendungen und sonstigen Technologien solche fest definierten Maßnahmen ihren Zweck nicht erfüllen könnten. Bei der Umsetzung sind deshalb die Besonderheiten des Unternehmens zu erkennen, welches die Norm einführt.
Im IT-Sicherheitskatalog wird deshalb auf diese Thematik in allgemeiner Form eingegangen:

  • Absicherung nach aktuellem Stand der Technik
  • Berücksichtigung der allgemeinen bzw. spezifischen Bedrohungslage


Des Weiteren gilt es, die allgemeinen Schutzziele der ISO 27001 (Verfügbarkeit, Integrität, Vertraulichkeit) zu erlangen. Im Bereich der Energieversorger sollen hierzu weitere Branchenempfehlungen wie auch sektorspezifische Standards genutzt werden.
Die Verantwortlichkeit für die Einhaltung der Schutzziele liegt immer beim Netzbetreiber, auch wenn Aufgaben wie die Netzführung durch den Netzeigentümer oder von sonstigen Dritten erledigt werden. Zur Erreichung der Schutzziele werden hierzu branchen- oder sektorspezifische Vorgaben und Standards genutzt.
Darüber hinaus muss der Netzbetreiber auch Folgendes sicherstellen:

  • Ordnungsgemäßer Betrieb der Telekommunikations- und Datenverarbeitungssysteme
  • Erkennung und Behebung von technischen Störungen
  • Bewertung der Risiken durch IKT-basierte Angriffe und Ergreifung von Maßnahmen zum Schutz der Systeme
     

ISMS für Energienetzbetreiber

IT-Sicherheitskatalog und IT-Sicherheitsgesetz sprechen in erster Linie von IT-Sicherheit in Bezug auf Systeme, Komponenten und Anwendungen. Kernforderung des IT-Sicherheitskatalogs ist jedoch die Einführung eines Managementsystems zur Informationssicherheit.
IT-Sicherheit und Informationssicherheit sind allerdings nicht gleichzusetzen. IT-Sicherheit stellt nur einen Teil des Schutzes von Informationen dar, welche in Unternehmen erzeugt, genutzt oder verarbeitet werden. Die DIN ISO/IEC 27001 geht hier primär auf den Schutz der Geschäftsprozesse und der dabei verarbeiteten Informationen ein. Die speziellen Anforderungen der Netzbetreiber werden hierin nicht berücksichtigt. Hierzu kann als Grundlage die DIN ISO/IEC TR 27019 herangezogen werden.
Diese umfasst unter anderem auch folgende für Netzbetreiber wichtige Maßnahmen:

  • Steuerung des physischen Zutritts Berechtigter zu Gebäuden, Räumen oder Systemen und Anlagen (bspw. Netzleitstelle, Umspannanlagen usw.). Dazu zählen Prozesse, die definieren, welchen Personen der Zutritt gestattet ist, wie Zutritte revisionssicher protokolliert oder überwacht werden oder wie Zutrittsberechtigungen bei Bedarf angepasst oder entzogen werden.
  • Umgang mit Dienstleistern (interne oder externe Dienstleister): in welcher Form erhalten Dienstleister Berechtigungen für Zugriffe auf Systeme des Netzbetreibers (bspw. im Rahmen von Wartungsarbeiten an Fernwirkkomponenten, dem zentralen Netzleitsystem oder dem Datennetzwerk des Betreibers), wie werden diese Arbeiten überwacht, wie werden Berechtigungen periodisch geprüft oder entzogen usw.
  • Schutz von Betriebseinrichtungen des Netzbetreibers, wenn sich diese Systeme in Räumen anderer Energieversorger (bspw. Übergabestationen) befinden. Hier sollten Schnittstellen und Verantwortlichkeiten definiert werden, die den sicheren Betrieb der eigenen Systeme in einem physisch abgegrenzten Bereich, Zutritte zu diesem Bereich und den Schutz vor umgebungsbezogenen Bedrohungen steuern. Die Spezifikation der Abläufe sollte vertraglich festgehalten werden.


Somit wird klar, dass der reine Fokus auf IT-Sicherheit zu wenig ist, da eine ganzheitliche Betrachtung des Unternehmens gefordert ist, um alle Auswirkungen auf den Netzbetrieb beachten zu können.

Unser Leistungsspektrum

In Zusammenarbeit mit unseren Mandanten etablieren wir ein ISMS und erstellen anhand der spezifischen Anforderungen ein entsprechendes IT-Sicherheitskonzept.
Hierfür werden die erforderlichen Maßnahmen in Abhängigkeit der relevanten gesetzlichen Regelungen, Richtlinien und Vorschriften erarbeitet und definiert. Dies beinhaltet u.a. die Erfassung der Infrastruktur, die Modellierung der IT-Komponenten/-Systeme sowie auch die Analyse der Anwendungen.
Dies alles dient auch zur Bestimmung des Schutzbedarfs, so dass mit Hilfe einer Risikoanalyse die technischen und organisatorischen Maßnahmen anhand der Gefährdungen erstellt werden können.

Mit ihrem ganzheitlichen Ansatz ist die PKF Fasselt Consulting GmbH in der Lage, Energieversorgungsunternehmen bei der Umsetzung der Anforderungen aus dem Sicherheitskatalog der Bundesnetzagentur bis zur Zertifizierung nach DIN ISO/IEC 27001 zu unterstützen und zu begleiten:

  • Vorbereiten auf eine Zertifizierung nach DIN ISO/IEC 27001 unter Berücksichtigung von DIN ISO/IEC 27019, sowie nach §11 EnWG
  • Einführung von Informationssicherheits-Managementsystemen nach DIN ISO/IEC 27001
  • Optimierung/Anpassung von Informationssicherheits-Managementsystemen nach DIN ISO/IEC 27001
  • Durchführung von IT-Sicherheitsaudits gemäß DIN ISO/IEC 27001 und IT-Sicherheitsanforderungen
  • Durchführung von Schutzbedarfs- und Sicherheitsanalysen
  • GAP-Analyse vorhandenes ISMS zu Anforderungen des IT-Sicherheitskatalogs
  • Hilfestellung bei Risikoanalysen und Risikobehandlung nach DIN ISO/IEC 27005
  • Bewertung der IT-Infrastruktur unter Anwendung der DIN ISO/IEC 27002 und der BSI-Maßnahmenkataloge
  • Beratung/Begleitung bis zur Herstellung der Zertifizierungsfähigkeit


Lesen Sie hier mehr zu den typischen Herausforderungen und Lösungsansätzen auf dem Weg zur Zertifizierung.

Ausgewählte Referenzen

Die Berater von PKF Fasselt Consulting können auf Erfahrung in der Umsetzung der DIN ISO/IEC 27001 sowie anderer DIN-Normen zurückgreifen.

So wurde beispielsweise für einen Fernleitungsnetzbetreiber von der PKF Fasselt Consulting in Vorbereitung auf eine Zertifizierung nach ISO 27001 eine Grundstruktur für ein Informationssicherheits-Managementsystem erarbeitet. Basis hierfür waren die Vorgaben des Sicherheitskatalogs der Bundesnetzagentur. Ergebnisse aus einem Maturity Assessment wurden hierzu anhand einer Risikoanalyse bewertet, so dass entsprechende Sicherheitsmaßnahmen abgeleitet werden konnten. Die spezifischen Anforderungen von Energieversorgern wurden für eine umfassende Beratung bei jedem Schritt berücksichtigt und bildeten die Grundlage der Vorgehensweise.

Ansprechpartner