Kernforderungen und Inhalt des IT-Sicherheitskatalogs

Jedes Energieversorgungsunternehmen in Deutschland unterliegt einer Vielzahl spezieller gesetzlicher Vorgaben und der Aufsicht der Regulierungsbehörde, der Bundesnetzagentur (BNetzA).
Nach § 11 Absatz 1 des Energiewirtschaftsgesetzes (EnWG) sind die Betreiber von Versorgungsnetzen gesetzlich dazu „… verpflichtet, ein sicheres, zuverlässiges und leistungsfähiges Energieversorgungsnetz diskriminierungsfrei zu betreiben, zu warten und bedarfsgerecht zu optimieren, zu verstärken und auszubauen, soweit es wirtschaftlich zumutbar ist.“

Weiter heißt es im § 11 Abs. 1a EnWG: „Der Betrieb eines sicheren Energieversorgungsnetzes umfasst insbesondere auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen“ – bzw. „die für einen sicheren Netzbetrieb notwendig sind“ (wie es der Neufassung des EnWG durch das IT-Sicherheitsgesetz (ITSiG) zukünftig lauten wird). Siehe auch Blogbeitrag: „IT-Sicherheitsgesetz (ITSiG) und was sich dadurch für Energieversorger ändert“
„Die Regulierungsbehörde erstellt hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen und veröffentlicht diesen.“
Mit dem IT-Sicherheitskatalog haben die BNetzA und das BSI hierzu bereits seit Längerem einen entsprechenden Entwurf vorgelegt, der zeitnah – noch in diesem Jahr – in Kraft treten wird.

Alle Betreiber von Strom- und Gasversorgungsnetzen sind damit gesetzlich verpflichtet, den IT-Sicherheitskatalog umzusetzen – denn gemäß EnWG § 11 Abs. 1a gilt:
„Ein angemessener Schutz des Betriebs eines Energieversorgungsnetzes liegt vor (bisher: wird vermutet), wenn dieser Katalog der Sicherheitsanforderungen eingehalten und dies vom Betreiber dokumentiert worden ist.“
Im IT-Sicherheitskatalog heißt es dazu weiter: „Die Anforderungen des Sicherheitskatalogs sind unabhängig von der Größe oder der Anzahl der angeschlossenen Kunden von allen Netzbetreibern zu erfüllen“, sofern sie über TK- und EDV-Systeme zur Netzsteuerung verfügen.

Anforderungen aus dem IT-Sicherheitskatalog

„Zur Gewährleistung eines angemessenen Sicherheitsniveaus für TK- und EDV-Systeme im Bereich der Netzsteuerung ist die bloße Umsetzung von Einzelmaßnahmen, wie zum Beispiel der Einsatz von Antivirensoftware, Firewalls usw. nicht ausreichend. Zur Erreichung der Schutzziele ist stattdessen ein ganzheitlicher Ansatz nötig, der kontinuierlich auf Leistungsfähigkeit und Wirksamkeit zu überprüfen und bei Bedarf anzupassen ist. Einen solchen ganzheitlichen Ansatz stellt ein sogenanntes Informationssicherheits-Managementsystem (ISMS) dar.“ (laut IT-Sicherheitskatalog – Abschnitt E)
Als zentrale Forderung verpflichtet der IT-Sicherheitskatalog daher alle Strom- und Gas-Versorgungsnetzbetreiber dazu, ein entsprechendes ISMS auf Basis des internationalen ISO/IEC 27001 Standards einzuführen, zu betreiben und zertifizieren zu lassen.
Das ISMS muss dabei mindestens die EDV- und TK-Systeme umfassen, die der Netzsteuerung dienen bzw. – laut neuem ITSiG – für den sicheren Netzbetrieb notwendig sind. Zusätzlich müssen spezielle Verweise auf die DIN ISO/IEC 27002 sowie die DIN ISO/IEC TR 27019 (DIN SPEC 27019) (vormals DIN SPEC 27009:2012-04) berücksichtigt werden.

Insbesondere in der DIN SPEC 27019, dem „Leitfaden für das Informationssicherheitsmanagement von Steuerungssystemen der Energieversorgung auf Grundlage der ISO/IEC 27002“, werden spezielle Sicherheitsziele, Anforderungen und Maßnahmen für Energieversorger zum Schutz der Informationssicherheit und den sichereren Netzbetrieb vorgegeben.

Dabei sollte beachtet werden, dass es sich hierbei weniger um klassische Business IT-Systeme sondern vielmehr um Komponenten zur Prozessdatenverarbeitung und Stationsleittechnik handelt – sogenannte Industrial Control Systeme (ICS) – die z.T. anderen Risiken und besonderen Anforderungen (z.B. im Bereich Security & Safety) unterliegen.
Die Schutzziele sind dabei aber auch laut IT-Sicherheitskatalog stets die Gleichen:
„die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten,
die Sicherstellung der Integrität der verarbeiteten Informationen und Systeme,
die Gewährleistung der Vertraulichkeit der mit den betrachteten Systemen verarbeiteten Informationen“.

Zusätzlich wird durch das IT-Sicherheitsgesetz die Gewährleistung der Authentizität als weiteres Schutzziel für einen sicheren Netzbetrieb genannt. Mit dem Begriff Authentizität wird die Eigenschaft bezeichnet, die gewährleistet, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein. Bei authentischen Informationen ist sichergestellt, dass sie von der angegebenen Quelle erstellt wurden. (siehe dazu z.B.: BSI Glossar; https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Glossar/cs_Glossar_node.html)

Jeder Versorgungsnetzbetreiber muss dem BSI und der Bundesnetzagentur zudem namentlich einen Ansprechpartner IT-Sicherheit benennen, der
gegenüber der BNetzA Auskunft über den aktuellen Umsetzungsgrad des Sicherheitskatalogs erteilen kann und
gegenüber dem BSI die künftigen Meldepflicht von Sicherheitsvorfällen gemäß ITSiG wahrnimmt.

Da der IT-Sicherheitskatalog die offizielle Zertifizierung des ISMS vorsieht, eine solche Zertifizierung aber immer erst für ein bereits aktiv bestehendes und genutztes System erteilt werden kann, bleibt nur wenig Zeit für die Umsetzung aller geforderter Maßnahmen.

Kurzinfo:
Der „Leitfaden für das Informationssicherheitsmanagement von Steuerungssystemen der Energieversorgung auf Grundlage der ISO/IEC 27002 (ISO/IEC TR 27019:2014)“wurde im März 2015 offiziell als DIN ISO/IEC TR 27019 (DIN SPEC 27019):2015-03 veröffentlich und ersetzt damit die bisherige DIN SPEC 27009:2012-04.