Aktuelles, Branche - geschrieben von dp am Donnerstag, Mai 11, 2017 22:23 - noch keine Kommentare
Energieversorger: Hohe Anforderungen an sichere und zuverlässige Netzsteuerung
Bundesnetzagentur hat 2015 gemäß Energiewirtschaftsgesetz den „IT-Sicherheitskatalog“ veröffentlicht
[datensicherheit.de, 11.05.2017] Die Bundesnetzagentur hat 2015 gemäß dem Energiewirtschaftsgesetz (EnWG) den „IT-Sicherheitskatalog“ veröffentlicht, um die Sicherstellung der Energieversorgung zu gewährleisten. Netzbetreiber seien daher verpflichtet, bis 31. Januar 2018 ein Informationssicherheits-Managementsystem (ISMS) einzuführen und dieses zertifizieren zu lassen, betont der TÜV-SÜD-Experte Alexander Häußler.
Zunehmende Anforderungen an sichere und zuverlässige Netzsteuerung
Im Zuge der „Energiewende“ und der zunehmend dezentralen Stromerzeugung stiegen die Anforderungen an eine sichere und zuverlässige Netzsteuerung. Diese sei aufgrund der Digitalisierung der Netzleit- und Messtechnik in hohem Maße von einer intakten Informations- und Kommunikationstechnologie (IKT) abhängig.
Um die Versorgungssicherheit zu gewährleisten, habe die Bundesnetzagentur (BNetzA) nach § 11 Absatz 1a EnWG daher den „IT-Sicherheitskatalog“ publiziert. Dieser basiere auf den Normen DIN ISO/IEC 27001 und DIN ISO/IEC TR 27019 und sei um spezifische Aspekte der Netzsteuerung erweitert worden.
Die in den beiden Normen genannten Maßnahmen seien zwar nicht zwingend vollständig umzusetzen, aber im Rahmen des Risikomanagements vollständig auf ihre Relevanz zu prüfen.
ISMS-Einführung und dessen Zertifizierung
Eine Kernforderung des Sicherheitskatalogs sei die ISMS-Einführung und dessen Zertifizierung durch eine zugelassene unabhängige Stelle, wie z.B. TÜV SÜD. Denn um ein angemessenes Sicherheitsniveau für IKT-Systeme gewährleisten zu können und somit einen sicheren Netzbetrieb, reiche die Umsetzung von Einzelmaßnahmen wie Antivirensoftware oder Firewalls nicht aus. Es sei ein „ganzheitlicher Ansatz“ nötig, der kontinuierlich aufLeistungsfähigkeit und Wirksamkeit zu prüfen und bei Bedarf anzupassen sei, erläutert Häußler.
Die Informationssicherheit müsse daher als regelmäßiger Prozess fest in die Organisationsstrukturen eingebunden werden, etwa durch Anwendung des „Plan-Do-Check-Act“-Modells (PDCA-Modell). Wichtig sei hierbei, dass Leitlinien, Ziele und Prozesse festgelegt, Maßnahmen zu ihrer Umsetzung durchgeführt und die Entwicklungen überprüft würden.
Ein starker Fokus liege bei einem ISMS auf der Risikoanalyse und der Risikobehandlung. Durch interne Audits lässt sich laut Häußler feststellen, welche Korrektur- oder Vorbeugungsmaßnahmen nötig sind, um das ISMS ständig zu verbessern und nachhaltig sicherzustellen, dass der Betrieb der relevanten Telekommunikations- und Datenverarbeitungssysteme ordnungsgemäß erfolgt.
Akkreditierte Zertifizierungsstellen erforderlich
Um ein gleichbleibend hohes und vergleichbares Qualitätsniveau der Zertifizierungsstellen für den „IT-Sicherheitskatalog“ gewährleisten zu können, fordere die Bundesnetzagentur eine Zertifizierung bei einer von der Deutschen Akkreditierungsstelle (DAkkS) akkreditierten Zertifizierungsstelle.
Dafür müssten gewisse Anforderungen erfüllt werden, welche im Konformitätsbewertungsprogramm festgehalten seien. So müsse etwa für einen Informationsaustausch unter den beschäftigten Auditoren gesorgt werden oder alle im Rahmen der Risikoeinschätzung mindestens als „hoch“ eingestuften Anwendungen und Systeme auditiert werden. Außerdem müssten die Auditoren eine von der Bundesnetzagentur anerkannte Schulung zu den Grundlagen der leitungsgebundenen Energieversorgung mit Strom und Gas erfolgreich absolvieren, so Häußler.
Zertifizierungsverfahren in zwei Stufen
Die Zertifizierung nach dem IT-Sicherheitskatalog erfolge in einem zweistufigen Verfahren.
Häußler: „In der ersten Stufe vergewissert sich der Auditor vor Ort, ob das System grundsätzlich funktioniert und das Unternehmen zertifizierungsfähig ist.“ Dafür werde geprüft, ob der Netzstrukturplan alle Systeme enthält, die Einfluss auf die Netzsteuerung haben. Außerdem werde das Thema Risikoeinschätzung betrachtet und der Frage nachgegangen, wie diese Netzsteuerung aufgesetzt wurde, wie sie funktioniert und ob die Ergebnisse nachvollziehbar sind.
Auch die Maßnahmen, die sogenannten Controls, würden darauf geprüft, ob sie anwendbar sind. Die Prüfung basiere auf den vom Unternehmen vorgelegten Dokumenten wie dem Netzstrukturplan und persönlichen Gesprächen. Zudem würden die grundsätzlichen Managementsystemaspekte wie die Durchführung von internen Audits oder Management-Bewertung betrachtet.
Werde deutlich, dass Aspekte nicht nachvollziehbar oder falsch bewertet sind, müsse der Netzbetreiber nacharbeiten. Über die Ergebnisse des ersten Audits erstelle der Auditor einen bei der Zertifizierungsstelle einzureichenden Bericht. Diese prüfe ebenfalls, ob alle Angaben nachvollziehbar sind, und entscheide, ob das Audit der Stufe 2 folgen kann.
Im Audit der Stufe 2 würden beim Unternehmen vor Ort das Managementsystem an sich, die technischen Systeme und die Maßnahmen mit Prozesscharakter genauer betrachtet. Der Auditor prüfe hierzu die Implementierung der „Controls“. Dafür würden konkrete Beispiele betrachtet. Häußler: „Werden Aspekte gefunden, die nicht zu 100 Prozent den Anforderungen genügen, muss das Unternehmen eine Ursachenanalyse sowie Korrekturen und Korrekturmaßnahmen liefern.“ Erst wenn dies erfolgt sei, könne der Auditor auch für die zweite Stufe einen Bericht erstellen. Dieser werde wiederum bei der Zertifizierungsstelle eingereicht, um über die Vergabe des Zertifikats zu entscheiden.
Weitere Informationen zum Thema:
TÜV SÜD
IT-Sicherheitskatalog
datensicherheit.de, 21.03.2017
Manifest zur IT-Sicherheit auf der CeBIT 2017 an BMI und BMWi überreicht
Aktuelles, Experten, Veranstaltungen - Okt 14, 2024 20:41 - noch keine Kommentare
Politisches Herbstforum der BfDI: Daten im Dienst der Patienten
weitere Beiträge in Experten
- ELITE 2.0 Wanderzirkus: OT-Awareness für KMU am 16. Oktober 2024
- Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren