Der IT-Sicherheitskatalog und Netzbetreiber

Der IT-Sicherheitskatalog der Bundesnetzagentur stellt Anforderungen an Netzbetreiber hinsichtlich einer sicheren IT-Infrastruktur für den Netzbetrieb. Ein zentrales Element ist die Einführung eines Informationssicherheits-Managementsystems (ISMS), das bis 31.01.2018 auditiert und zertifiziert sein muss.

Zu dieser Auditierung und Zertifizierung gibt es gleichfalls Anforderungen der Bundesnetzagentur, die in einem Konformitätsbewertungsprogramm beschrieben sind.

In unserer 3-teiligen News-Serie berichten wir, was auf

Netzbetreiber,
Zertifizierungsstellen und
Auditoren

zukommt.

Heute Teil 1: Der IT-Sicherheitskatalog und Netzbetreiber.

Für wen gilt der IT-Sicherheitskatalog?

Der „IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz“ (IT-Sicherheitskatalog) der Bundesnetzagentur (BNetzA) [IT-SichKat] gilt für alle Betreiber eines Energieversorgungsnetzes (Netzbetreiber) in den Bereichen Strom und Gas: „Die Anforderungen des Sicherheitskatalogs sind unabhängig von der Größe oder der Anzahl der angeschlossenen Kunden von allen Netzbetreibern zu erfüllen, soweit diese über Systeme verfügen, die in den Anwendungsbereich des Sicherheitskatalogs fallen.“ [IT-SichKat, Abschnitt A].

Es gibt Ausnahmen für besonders kleine Netzbetreiber. Hinweise gibt es auf der Webseite BNetzA.

Verantwortlich bleibt der Netzbetreiber, auch wenn er Outsourcing betreibt: „Die volle Verantwortung in Bezug auf die Einhaltung des Katalogs bleibt dabei beim Betreiber des Energieversorgungsnetzes.“ [IT-SichKat, Abschnitt D].

Im Fokus stehen die TK- und IT-Systeme, die für den sicheren Netzbetrieb notwendig sind.

Anforderungen lt. IT-Sicherheitskatalog

Der IT-Sicherheitskatalog [IT-SichKat] normiert Anforderungen bzgl. des ISMS, des Ansprechpartners IT-Sicherheit, zur Risikoanalyse, zum Netzstrukturplan, sowie zur Auditierung und Zertifizierung und zum Geltungsbereich/ Scoping an die Netzbetreiber.

ISMS

Die Grundlage für die Auditierung und Zertifizierung ist ein Informationssicherheits-Managementsystem (ISMS) gem. ISO/IEC 27001 unter Berücksichtigung von ISO/IEC 27019: „Dementsprechend haben Netzbetreiber ein ISMS zu implementieren, das den Anforderungen der DIN ISO/IEC 27001 in der jeweils geltenden Fassung genügt und mindestens die unter Abschnitt D beschriebenen Systeme, d. h. Telekommunikations- und EDV-Systeme, die für einen sicheren Netzbetrieb notwendig sind, umfasst.“ [IT-SichKat, Abschnitt E.I] „Bei der Implementierung des ISMS sind daher die Normen DIN ISO/IEC 27002 und DIN ISO/IEC TR 27019 (DIN SPEC 27019) in der jeweils geltenden Fassung zu berücksichtigen.“ [IT-SichKat, Abschnitt E.II]

Ansprechpartner IT-Sicherheit

Es ist ein Ansprechpartner „IT-Sicherheit“ ggü. der BNetzA zu benennen [IT-SichKat, Abschnitt E.VII].

Risikoanalyse

Die Risikoanalyse ist unter Berücksichtigung der folgenden Aspekte durchzuführen:

zu berücksichtigende Schutzziele: Verfügbarkeit; Integrität; Vertraulichkeit.
vorgegebene Schadenskategorien: „kritisch“ (die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen); „hoch“ (die Schadensauswirkungen können beträchtlich sein) und „mäßig“ (die Schadensauswirkungen sind begrenzt und überschaubar.
mit folgender Maßgabe: „Für die Komponenten, Systeme und Anwendungen, die für einen sicheren Netzbetrieb notwendig sind, ist grundsätzlich von einer Einstufung in die Kategorie „hoch“ auszugehen. Im Einzelnen ist zu prüfen, ob ggf. eine Einstufung als „kritisch“ notwendig ist. Eine vom Grundsatz abweichende Einstufung als „mäßig“ ist ausführlich zu begründen und zu dokumentieren.“ [IT-SichKat Abschnitt E.V]

Netzstrukturplan

„Der Netzbetreiber hat eine Übersicht über die vom Geltungsbereich des IT-Sicherheitskatalogs betroffenen Anwendungen, Systeme und Komponenten mit den anzutreffenden Haupttechnologien und deren Verbindungen zu erstellen. Die Übersicht ist nach den Technologiekategorien

„Leitsystem/Systembetrieb“,
„Übertragungstechnik/Kommunikation“ und
„Sekundär-, Automatisierungs- und Fernwirktechnik“

zu unterscheiden.“ [IT-SichKat, Abschnitt E.IV]

Dazu findet sich in Tabelle 2 [IT-SichKat] ein Beispiel:

Unter Leitsysteme und Systembetrieb fallen alle zentralisierten Systeme, die der Netzsteuerung und -überwachung dienen, sowie die hierzu notwendigen unterstützenden IT-Systeme, Anwendungen und zentralen Infrastrukturen.

Beispiele: Zentrale Netzleit- und Netzführungssysteme, Zentrale Messwerterfassungssysteme, Systeme zur Überwachung und Steuerung von Netzspeichern, Datenarchivierungssysteme, Zentrale Parametrier-, Konfigurations- und Programmiersysteme, die für den Betrieb der o. g. Systeme notwendigen unterstützenden Systeme.

Unter Übertragungstechnik/Kommunikation werden die in der Netzsteuerung zur Kommunikation eingesetzte Übertragungs-, Telekommunikations- und Netzwerktechnik zusammengefasst

Beispiele: Router, Switches und Firewalls, Übertragungstechnische Netzelemente, Zentrale Management- und Überwachungssysteme der Übertragungs-, Telekommunikations- und Netzwerktechnik, Kommunikationsendgeräte, Funksysteme.

Sekundär-, Automatisierungs- und Fernwirktechnik. beinhaltetdie prozessnahe Steuerungs- und Automatisierungstechnik, die zugehörigen Schutz- und Sicherheitssysteme sowie fernwirktechnische Komponenten. Hierzu gehören insbesondere die Technik in den dezentralen Stationen sowie die Automatisierungstechnik in Netzspeicheranlagen.

Beispiele: Steuerungs- und Automatisierungskomponenten, Leit- und Feldgeräte, Controller und SPS‘en inklusive digitaler Sensor- und Aktorelemente, Schutzgeräte und Sicherheitskomponenten, Fernwirkgeräte, Mess- und Zählvorrichtungen.“

Bei der Erstellung des Netzstrukturplans sind alle in der Übersicht enthaltenen Anwendungen, Systeme und Komponenten in geeigneter Form darzustellen. Die Komplexität des Netzstrukturplans kann durch Gruppenbildung vereinfacht werden (z. B. nach Typ, Konfiguration, Netz, Lokation, Rahmenbedingungen, Anwendungen, Dienste etc.). Ebenso können bei größeren Netzen getrennte Teilpläne sinnvoll sein. Neben den Schnittstellen zwischen den vorgenannten Teilnetzen müssen Schnittstellen zu Teilsystemen, die nicht zu den unter Abschnitt D genannten Teilsystemen gehören oder sich der unmittelbaren Kontrolle des Netzbetreibers (zum Beispiel durch Outsourcing) entziehen, im Netzstrukturplan klar gekennzeichnet und in einer Übersicht definiert werden. Netzstrukturen sind dabei grundsätzlich danach zu trennen, ob von der Art der dort betriebenen Systeme insgesamt Maßnahmen nach DIN SPEC 27019 greifen oder ob zur Absicherung der in dem IKT-Netz betriebenen Systeme Maßnahmen nach DIN ISO/IEC 27002 anzuwenden sind.“

Auditierung und Zertifizierung

Das ISMS muss auditiert und zertifiziert werden.

Das Zertifikat muss bis zum 31.01.2018 der BNetzA übermittelt werden.

Geltungsbereich/ Scoping

„Der Geltungsbereich des vorliegenden IT-Sicherheitskatalogs umfasst alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Netzbetrieb notwendig sind. Enthalten sind demnach zumindest alle TK- und EDV-Systeme des Netzbetreibers, welche direkt Teil der Netzsteuerung sind, d. h. unmittelbar Einfluss nehmen auf die Netzfahrweise. Daneben sind auch TK- und EDV-Systeme im Netz betroffen, die selbst zwar nicht direkt Teil der Netzsteuerung sind, deren Ausfall jedoch die Sicherheit des Netzbetriebs gefährden könnte. Darunter fallen z. B. Messeinrichtungen an Trafo- oder Netzkoppelstationen.“ [IT-SichKat, Abschnitt D].

Ausblick

Soviel zu den Anforderungen, die auf Netzbetreiber zukommen. Im nächsten Teil unserer 3-teiligen News-Serie geht es dann um die Anforderungen, die auf die Zertifizierungsstellen zukommen.

Dr. Sönke Maseberg | 6. September 2016 | Smart-Meter / Energie | IT-Sicherheitskatalog, Netzbetreiber, Reihe IT-Sicherheitskatalog