Aktuelles, Branche - geschrieben von dp am Donnerstag, Mai 11, 2017 22:23 - noch keine Kommentare
Energieversorger: Hohe Anforderungen an sichere und zuverlässige Netzsteuerung
Bundesnetzagentur hat 2015 gemäß Energiewirtschaftsgesetz den „IT-Sicherheitskatalog“ veröffentlicht
[datensicherheit.de, 11.05.2017] Die Bundesnetzagentur hat 2015 gemäß dem Energiewirtschaftsgesetz (EnWG) den „IT-Sicherheitskatalog“ veröffentlicht, um die Sicherstellung der Energieversorgung zu gewährleisten. Netzbetreiber seien daher verpflichtet, bis 31. Januar 2018 ein Informationssicherheits-Managementsystem (ISMS) einzuführen und dieses zertifizieren zu lassen, betont der TÜV-SÜD-Experte Alexander Häußler.
Zunehmende Anforderungen an sichere und zuverlässige Netzsteuerung
Im Zuge der „Energiewende“ und der zunehmend dezentralen Stromerzeugung stiegen die Anforderungen an eine sichere und zuverlässige Netzsteuerung. Diese sei aufgrund der Digitalisierung der Netzleit- und Messtechnik in hohem Maße von einer intakten Informations- und Kommunikationstechnologie (IKT) abhängig.
Um die Versorgungssicherheit zu gewährleisten, habe die Bundesnetzagentur (BNetzA) nach § 11 Absatz 1a EnWG daher den „IT-Sicherheitskatalog“ publiziert. Dieser basiere auf den Normen DIN ISO/IEC 27001 und DIN ISO/IEC TR 27019 und sei um spezifische Aspekte der Netzsteuerung erweitert worden.
Die in den beiden Normen genannten Maßnahmen seien zwar nicht zwingend vollständig umzusetzen, aber im Rahmen des Risikomanagements vollständig auf ihre Relevanz zu prüfen.
ISMS-Einführung und dessen Zertifizierung
Eine Kernforderung des Sicherheitskatalogs sei die ISMS-Einführung und dessen Zertifizierung durch eine zugelassene unabhängige Stelle, wie z.B. TÜV SÜD. Denn um ein angemessenes Sicherheitsniveau für IKT-Systeme gewährleisten zu können und somit einen sicheren Netzbetrieb, reiche die Umsetzung von Einzelmaßnahmen wie Antivirensoftware oder Firewalls nicht aus. Es sei ein „ganzheitlicher Ansatz“ nötig, der kontinuierlich aufLeistungsfähigkeit und Wirksamkeit zu prüfen und bei Bedarf anzupassen sei, erläutert Häußler.
Die Informationssicherheit müsse daher als regelmäßiger Prozess fest in die Organisationsstrukturen eingebunden werden, etwa durch Anwendung des „Plan-Do-Check-Act“-Modells (PDCA-Modell). Wichtig sei hierbei, dass Leitlinien, Ziele und Prozesse festgelegt, Maßnahmen zu ihrer Umsetzung durchgeführt und die Entwicklungen überprüft würden.
Ein starker Fokus liege bei einem ISMS auf der Risikoanalyse und der Risikobehandlung. Durch interne Audits lässt sich laut Häußler feststellen, welche Korrektur- oder Vorbeugungsmaßnahmen nötig sind, um das ISMS ständig zu verbessern und nachhaltig sicherzustellen, dass der Betrieb der relevanten Telekommunikations- und Datenverarbeitungssysteme ordnungsgemäß erfolgt.
Akkreditierte Zertifizierungsstellen erforderlich
Um ein gleichbleibend hohes und vergleichbares Qualitätsniveau der Zertifizierungsstellen für den „IT-Sicherheitskatalog“ gewährleisten zu können, fordere die Bundesnetzagentur eine Zertifizierung bei einer von der Deutschen Akkreditierungsstelle (DAkkS) akkreditierten Zertifizierungsstelle.
Dafür müssten gewisse Anforderungen erfüllt werden, welche im Konformitätsbewertungsprogramm festgehalten seien. So müsse etwa für einen Informationsaustausch unter den beschäftigten Auditoren gesorgt werden oder alle im Rahmen der Risikoeinschätzung mindestens als „hoch“ eingestuften Anwendungen und Systeme auditiert werden. Außerdem müssten die Auditoren eine von der Bundesnetzagentur anerkannte Schulung zu den Grundlagen der leitungsgebundenen Energieversorgung mit Strom und Gas erfolgreich absolvieren, so Häußler.
Zertifizierungsverfahren in zwei Stufen
Die Zertifizierung nach dem IT-Sicherheitskatalog erfolge in einem zweistufigen Verfahren.
Häußler: „In der ersten Stufe vergewissert sich der Auditor vor Ort, ob das System grundsätzlich funktioniert und das Unternehmen zertifizierungsfähig ist.“ Dafür werde geprüft, ob der Netzstrukturplan alle Systeme enthält, die Einfluss auf die Netzsteuerung haben. Außerdem werde das Thema Risikoeinschätzung betrachtet und der Frage nachgegangen, wie diese Netzsteuerung aufgesetzt wurde, wie sie funktioniert und ob die Ergebnisse nachvollziehbar sind.
Auch die Maßnahmen, die sogenannten Controls, würden darauf geprüft, ob sie anwendbar sind. Die Prüfung basiere auf den vom Unternehmen vorgelegten Dokumenten wie dem Netzstrukturplan und persönlichen Gesprächen. Zudem würden die grundsätzlichen Managementsystemaspekte wie die Durchführung von internen Audits oder Management-Bewertung betrachtet.
Werde deutlich, dass Aspekte nicht nachvollziehbar oder falsch bewertet sind, müsse der Netzbetreiber nacharbeiten. Über die Ergebnisse des ersten Audits erstelle der Auditor einen bei der Zertifizierungsstelle einzureichenden Bericht. Diese prüfe ebenfalls, ob alle Angaben nachvollziehbar sind, und entscheide, ob das Audit der Stufe 2 folgen kann.
Im Audit der Stufe 2 würden beim Unternehmen vor Ort das Managementsystem an sich, die technischen Systeme und die Maßnahmen mit Prozesscharakter genauer betrachtet. Der Auditor prüfe hierzu die Implementierung der „Controls“. Dafür würden konkrete Beispiele betrachtet. Häußler: „Werden Aspekte gefunden, die nicht zu 100 Prozent den Anforderungen genügen, muss das Unternehmen eine Ursachenanalyse sowie Korrekturen und Korrekturmaßnahmen liefern.“ Erst wenn dies erfolgt sei, könne der Auditor auch für die zweite Stufe einen Bericht erstellen. Dieser werde wiederum bei der Zertifizierungsstelle eingereicht, um über die Vergabe des Zertifikats zu entscheiden.
Weitere Informationen zum Thema:
TÜV SÜD
IT-Sicherheitskatalog
datensicherheit.de, 21.03.2017
Manifest zur IT-Sicherheit auf der CeBIT 2017 an BMI und BMWi überreicht
Aktuelles, Experten - Jan. 24, 2025 1:00 - noch keine Kommentare
Stargate: KI-Initiative in den USA setzt Europa unter Zugzwang
weitere Beiträge in Experten
- Laut Studie von DLA Piper wurden 2024 europaweit 1,2 Milliarden Euro DSGVO-Bußgelder verhängt
- Auskunftsrecht: EDSA hat Bericht zur koordinierten Prüfaktion CEF 2024 publiziert
- Bundestagswahl 2025: Politische Parteien dürfen Adressen zweckgebunden für Wahlwerbung nutzen
- Pseudonymisierung: Europäischer Datenschutzausschuss hat Leitlinien beschlossen
- Rat der Verbraucherzentrale zur ePA: Entweder aktive Pflege oder grundsätzlicher Widerspruch
Aktuelles, Branche, Studien - Jan. 23, 2025 0:48 - noch keine Kommentare
Cyber-Versicherungen: Neuer KnowBe4-Bericht zeigt dringenden Bedarf angesichts eskalierender digitaler Bedrohungen auf
weitere Beiträge in Branche
- Der Europäische Datenschutztag am 28. Januar soll Bürger sensibilisieren, die eigenen Daten besser zu schützen
- Gamer geraten ins Phishing-Fadenkreuz
- DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen
- NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber
- Warnung vor neuer Phishing-Angriffskampagne über Reisebüro-Konten
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren