Im August 2015 hat die Bundesnetzagentur (BNetzA) einen IT-Sicherheitskatalog für den Betrieb sicherer Energieversorgungsnetze veröffentlicht. Am 19.12.2018 folgte nun ein weiterer Katalog von Sicherheitsanforderungen. Diesmal richtet er sich an Energieanlagenbetreiber.
Ziele
Ziele der IT-Sicherheitskatalogs sind die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten, der Integrität der verarbeiteten Informationen und Systeme sowie die Gewährleistung der Vertraulichkeit der mit den betrachteten Systemen verarbeiteten Informationen. Zum Nachweis darüber, dass die Anforderungen des IT-Sicherheitskataloges umgesetzt wurden, haben die Anlagenbetreiber bis zum 31.März 2021 Zeit, die Konformität ihres Informationssicherheitsmanagementsystems (ISMS) mit den Anforderungen dieses Katalogs durch ein Zertifikat einer für die Zertifizierung des IT-Sicherheitskatalogs bei der Deutschen Akkreditierungsstelle (DAkkS) akkreditierten unabhängigen Zertifizierungsstelle zu belegen.
Adressaten
Der neu geschaffene IT-Sicherheitskatalog richtet sich speziell an die Betreiber von Energieanlagen, welche als Kritische Infrastruktur nach der BSI-Kritisverordnung (BSI-KritisV) bestimmt wurden. Darunter fallen alle Anlagen zur Versorgung der Allgemeinheit, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zur Gefährdung der öffentlichen Sicherheit führen würde, insbesondere für Erzeugungsanlagen ab 420 Megawatt sowie größere Gasspeicher und Gasförderanlagen.
Lesetipp: Kommt der Blackout?
Die Kernforderungen des IT-Sicherheitskataloges
Anlagenbetreiber müssen ein angemessenes Sicherheitsniveau für Telekommunikations- (TK) und EDV-Systeme schaffen, welche für den sicheren Anlagenbetrieb notwendig sind. Dazu müssen sie die TK- und EDV-Systeme bestimmten Zonen zuordnen.
Der IT-Sicherheitskatalog sieht für alle Systeme, von der Prozessführung im Leitstand bis zum Büro- und Verwaltungsinformationssystem, 6 verschiedene Zonen vor. Jeder diese Zonen sind spezifische Kriterien für die Bewertung zugeordnet. Sie starten in der Zone 1 mit den zwingend für den Betrieb einer sicheren Energieanlage notwendigen TK- EDV Systemen und enden mit Zone 6 bei den bedingt notwendigen TK- und EDV-Systemen, welche für die Organisation der Prozesse der Energieanlage notwendig sind.
Stellt man sich das Ganze als Pyramide mit Zone 1 als Sockel und Zone 6 als Spitze vor, so nimmt die Bedeutung für den sicheren Anlagenbetrieb auf dem Weg zur Spitze immer weiter ab. Nicht alle TK- und EDV-Systeme können speziell nur einer Zone zugeordnet werden. Daher ist bei der Auswahl die Zone zu wählen, welche die höhere Bedeutung für den sicheren Betrieb der Anlage abbildet.
Management der Informationssicherheit
Um den Anforderungen angemessen zu entsprechen und einen sicheren Anlagenbetrieb zu gewährleisten, reicht die Umsetzung von Einzelmaßnahmen wie Antivirensoftware und Firewalls nicht aus. Es bedarf eines ganzheitlichen Ansatzes, der ununterbrochen auf Leistungsfähigkeit und Wirksamkeit zu überprüfen und gegebenenfalls anzupassen ist.
Lesetipp: Firewall FAQ - Was kann welche Firewall
Der IT-Sicherheitskatalog sieht hierfür ein Informationssicherheits-Managementsystem (ISMS) vor. Es muss dabei den Anforderungen der DIN EN ISO/IEC 27001 in der jeweils gültigen Fassung genügen und mindestens die Anwendungen, Systeme und Komponenten der Zonen 1 bis 3 umfassen. Auf diesem Standard aufbauend beinhaltet die DIN EN ISO/IEC 27002 Umsetzungsempfehlungen für die verbindlichen Maßnahmen des Anhangs A der DIN EN ISO/IEC 27001, welche durch die DIN EN ISO/IEC 27019 in verschiedenen Punkten um die Besonderheiten im Bereich Prozessteuerung der Energieversorgung erweitert werden.
Den Anlagenbetreibern wird also ein etabliertes Managementsystem zur Seite gestellt, welches bei der Ermittlung des Schutzbedarfes und der Ableitung der notwendigen Maßnahmen hilft. Die BNetzA betont in diesem Zusammenhang zu Recht, dass zur Erreichung der vorstehenden Schutzziele ein ganzheitlicher Ansatz notwendig ist, der kontinuierlich auf Leistungsfähigkeit und Wirksamkeit zu überprüfen und bei Bedarf anzupassen ist. Informationssicherheit geht weit über IT- und Datenschutz hinaus und umfasst auch Bereiche wie beispielsweise HR.
Compliance und der IT-Sicherheitskatalog
Bei ordnungsgemäßer Umsetzung des IT-Sicherheitskataloges wird nunmehr gesetzlich vermutet, dass die Anlagenbetreiber für ein angemessenes Schutzniveau der für den sicheren Anlagenbetrieb notwendigen TK und EDV-Systeme gesorgt haben.
Die BNetzA hat dennoch das Recht, die Einhaltung des IT-Sicherheitskataloges zu prüfen und gegebenenfalls Aufsichtsmaßnahmen anzuordnen. Alle Anlagenbetreiber sollten frühzeitig beginnen, die eigenen Schutzmaßnahmen kritisch zu hinterfragen und ein ISMS aufzubauen beziehungsweise an die Anforderungen anzupassen. Der Umsetzungszeitraum von knapp 2 Jahren ist für eine Einführung und Zertifizierung eines ISMS nach DIN EN ISO/IEC 27001 knapp bemessen, jedenfalls wenn noch keine hinreichende Vorerfahrung vorhanden sein sollte. Hier kommt es sehr auf die "ISMS Readiness" an, also den eigenen (prozessualen und organisatorischen) Reifegrad.