Energieversorger: Hohe Anforderungen an sichere und zuverlässige Netzsteuerung

Bundesnetzagentur hat 2015 gemäß Energiewirtschaftsgesetz den „IT-Sicherheitskatalog“ veröffentlicht

[datensicherheit.de, 11.05.2017] Die Bundesnetzagentur hat 2015 gemäß dem Energiewirtschaftsgesetz (EnWG) den „IT-Sicherheitskatalog“ veröffentlicht, um die Sicherstellung der Energieversorgung zu gewährleisten. Netzbetreiber seien daher verpflichtet, bis 31. Januar 2018 ein Informationssicherheits-Managementsystem (ISMS) einzuführen und dieses zertifizieren zu lassen, betont der TÜV-SÜD-Experte Alexander Häußler.

Zunehmende Anforderungen an sichere und zuverlässige Netzsteuerung

Im Zuge der „Energiewende“ und der zunehmend dezentralen Stromerzeugung stiegen die Anforderungen an eine sichere und zuverlässige Netzsteuerung. Diese sei aufgrund der Digitalisierung der Netzleit- und Messtechnik in hohem Maße von einer intakten Informations- und Kommunikationstechnologie (IKT) abhängig.
Um die Versorgungssicherheit zu gewährleisten, habe die Bundesnetzagentur (BNetzA) nach § 11 Absatz 1a EnWG daher den „IT-Sicherheitskatalog“ publiziert. Dieser basiere auf den Normen DIN ISO/IEC 27001 und DIN ISO/IEC TR 27019 und sei um spezifische Aspekte der Netzsteuerung erweitert worden.
Die in den beiden Normen genannten Maßnahmen seien zwar nicht zwingend vollständig umzusetzen, aber im Rahmen des Risikomanagements vollständig auf ihre Relevanz zu prüfen.

ISMS-Einführung und dessen Zertifizierung

Eine Kernforderung des Sicherheitskatalogs sei die ISMS-Einführung und dessen Zertifizierung durch eine zugelassene unabhängige Stelle, wie z.B. TÜV SÜD. Denn um ein angemessenes Sicherheitsniveau für IKT-Systeme gewährleisten zu können und somit einen sicheren Netzbetrieb, reiche die Umsetzung von Einzelmaßnahmen wie Antivirensoftware oder Firewalls nicht aus. Es sei ein „ganzheitlicher Ansatz“ nötig, der kontinuierlich aufLeistungsfähigkeit und Wirksamkeit zu prüfen und bei Bedarf anzupassen sei, erläutert Häußler.
Die Informationssicherheit müsse daher als regelmäßiger Prozess fest in die Organisationsstrukturen eingebunden werden, etwa durch Anwendung des „Plan-Do-Check-Act“-Modells (PDCA-Modell). Wichtig sei hierbei, dass Leitlinien, Ziele und Prozesse festgelegt, Maßnahmen zu ihrer Umsetzung durchgeführt und die Entwicklungen überprüft würden.
Ein starker Fokus liege bei einem ISMS auf der Risikoanalyse und der Risikobehandlung. Durch interne Audits lässt sich laut Häußler feststellen, welche Korrektur- oder Vorbeugungsmaßnahmen nötig sind, um das ISMS ständig zu verbessern und nachhaltig sicherzustellen, dass der Betrieb der relevanten Telekommunikations- und Datenverarbeitungssysteme ordnungsgemäß erfolgt.

Akkreditierte Zertifizierungsstellen erforderlich

Um ein gleichbleibend hohes und vergleichbares Qualitätsniveau der Zertifizierungsstellen für den „IT-Sicherheitskatalog“ gewährleisten zu können, fordere die Bundesnetzagentur eine Zertifizierung bei einer von der Deutschen Akkreditierungsstelle (DAkkS) akkreditierten Zertifizierungsstelle.
Dafür müssten gewisse Anforderungen erfüllt werden, welche im Konformitätsbewertungsprogramm festgehalten seien. So müsse etwa für einen Informationsaustausch unter den beschäftigten Auditoren gesorgt werden oder alle im Rahmen der Risikoeinschätzung mindestens als „hoch“ eingestuften Anwendungen und Systeme auditiert werden. Außerdem müssten die Auditoren eine von der Bundesnetzagentur anerkannte Schulung zu den Grundlagen der leitungsgebundenen Energieversorgung mit Strom und Gas erfolgreich absolvieren, so Häußler.

Zertifizierungsverfahren in zwei Stufen

Die Zertifizierung nach dem IT-Sicherheitskatalog erfolge in einem zweistufigen Verfahren.
Häußler: „In der ersten Stufe vergewissert sich der Auditor vor Ort, ob das System grundsätzlich funktioniert und das Unternehmen zertifizierungsfähig ist.“ Dafür werde geprüft, ob der Netzstrukturplan alle Systeme enthält, die Einfluss auf die Netzsteuerung haben. Außerdem werde das Thema Risikoeinschätzung betrachtet und der Frage nachgegangen, wie diese Netzsteuerung aufgesetzt wurde, wie sie funktioniert und ob die Ergebnisse nachvollziehbar sind.
Auch die Maßnahmen, die sogenannten Controls, würden darauf geprüft, ob sie anwendbar sind. Die Prüfung basiere auf den vom Unternehmen vorgelegten Dokumenten wie dem Netzstrukturplan und persönlichen Gesprächen. Zudem würden die grundsätzlichen Managementsystemaspekte wie die Durchführung von internen Audits oder Management-Bewertung betrachtet.
Werde deutlich, dass Aspekte nicht nachvollziehbar oder falsch bewertet sind, müsse der Netzbetreiber nacharbeiten. Über die Ergebnisse des ersten Audits erstelle der Auditor einen bei der Zertifizierungsstelle einzureichenden Bericht. Diese prüfe ebenfalls, ob alle Angaben nachvollziehbar sind, und entscheide, ob das Audit der Stufe 2 folgen kann.
Im Audit der Stufe 2 würden beim Unternehmen vor Ort das Managementsystem an sich, die technischen Systeme und die Maßnahmen mit Prozesscharakter genauer betrachtet. Der Auditor prüfe hierzu die Implementierung der „Controls“. Dafür würden konkrete Beispiele betrachtet. Häußler: „Werden Aspekte gefunden, die nicht zu 100 Prozent den Anforderungen genügen, muss das Unternehmen eine Ursachenanalyse sowie Korrekturen und Korrekturmaßnahmen liefern.“ Erst wenn dies erfolgt sei, könne der Auditor auch für die zweite Stufe einen Bericht erstellen. Dieser werde wiederum bei der Zertifizierungsstelle eingereicht, um über die Vergabe des Zertifikats zu entscheiden.

Weitere Informationen zum Thema:

TÜV SÜD
IT-Sicherheitskatalog

datensicherheit.de, 21.03.2017
Manifest zur IT-Sicherheit auf der CeBIT 2017 an BMI und BMWi überreicht